Mit nevezünk vállalati kockázatnak?

Szervezeti kontextusban a biztonsági tevékenység elsődleges célja, hogy hatékonyan védelmezze a vállalat értékeit. Nyilvánvaló, hogy ehhez elsődlegesen tudni kell, hogy milyen értékei vannak az adott szervezetnek. Ezek ismeretében lehet ugyanis feltérképezni lehetséges kockázatok körét. Definíciószerűen kockázatnak nevezzük azt az esélyt, hogy egy fenyegetést okozó ágens támadása képes kihasználni a biztonsági gyengeséget.

Tehát a kockázat két fontos összetevője a (külső) fenyegetés, és a (belső) sérülékenységek. Ebből tehát az is következik, hogy a kockázatok kezelését is kettős fókuszból kell megközelíteni.

Milyen egy jó vállalati eszközvédelmi program?

Rendkívül fontos minden olyan fenyegetés megértése, amely hátrányosan érintheti a vállalati vagyont. Mivel nem létezik tökéletes, áthatolhatatlan biztonság, a szervezeti biztonság megteremtéséhez egy olyan eszközvédelmi programmal kell rendelkezni, amely:

  • Minimálisra csökkenti a fenyegetések általi sikeres támadás valószínűségét.
  • Minimálisra csökkenti a sebzést mértékét egy sikeres támadás esetén.
  • Módszert biztosít a gyors helyreállításhoz sikeres támadás esetén.

A vállalati fenyegetések két típusa

A fenyegetések maguk sokféle formát ölthetnek. Azonban két alapvető kategóriát különíthetünk el:

  • a természetes,
  • és az ember által okozott fenyegetéseket.

Bármelyikről is legyen szó, a fenyegetést minden esetben célszerű komolyan venni, lehetőség szerint felkészülni rájuk, és a megfelelő válaszlépéseket megtenni. Winston Churchill gondolatai éppen ide vágnak: „Soha nem szabad hátat fordítani egy fenyegető veszélynek, és megpróbálni elmenekülni előle. Ha így teszel, azzal megduplázod a veszélyt. De ha azonnal és rezzenés nélkül találkozol vele, azzal felére csökkented a veszélyt.”

Természetes fenyegetések

A természeti fenyegetések azok a fenyegetések, amelyeket nem ember okoz. Ezeket a köznyelv gyakran hívja „Isten cselekedeteinek”, vagy a „természet cselekedeteinek”. Ide tartoznak például:

  • a villámcsapás okozta tüzek
  • a túlzott esőzések nyomán kialakuló árvizek
  • a földlemezek mozgása által okozott földrengések
  • a szélsőséges időjárási körülmények okozta hurrikánok

Bár a természeti fenyegetések azon jellege, hogy az okokhoz nem egy vagy több személy rendelhető, egyfajta észlelt kontrollvesztettséggel jár, ezek a fenyegetések mégiscsak elég következetesek. Például egy hurrikán biztosan szelet és esőt hoz, ezáltal a védekezés optimális szintje a lehetséges szelek és a várható csapadékmennyiség figyelembevételével tervezhető. A történeti információk birtokában, a különböző természeti jelenségekről gyűjtött adatokat egy prediktív modellezésben felhasználva ma már becsléseket lehet tenni az előfordulási valószínűségekre.

A természeti veszélyek lefolyásának kiszámíthatósága mellett az ilyen fenyegetéseknek még van egy további lényeges tulajdonságuk, mégpedig az, hogy relatíve ritkán fordulnak elő. Emiatt szokás ezeket „fehér holló” eseményeknek is nevezni. Érdemes azonban ezt a körülményt pszichológiai szempontból is megvizsgálni. A tény, hogy valami ritkán fordul elő, azt eredményezi, hogy nem kapcsolódik hozzá rutin. Márpedig egy esetleges természeti katasztrófa kezelése egészen biztosan távol esik attól a hétköznapi eszközkészlettől, amit a zökkenőmentes napi működésünkre kialakítottunk. Emiatt nem meglepő, hogy a legtöbb személynek – amennyiben egy ilyen fehér holló eseménnyel szembesül – gondot jelent az adekvát válaszlépés.

Gyakorolni, gyakorolni, gyakorolni!

Felmerül a kérdés, hogy mit lehet tenni ebben a helyzetben? Az egyik lehetőség, hogy időszakosan gyakoroltatni kell azokat a készségeket és kompetenciákat, amelyekkel az ilyen fenyegetések eredményesen kezelhetők. Erre valók a különböző szimulációs gyakorlatok (ún. drillgyakorlatok). Egy árvízvédelmi gyakorlattal például szimulálni lehet egy komplett védekezési és mentési folyamatot annak érdekében, hogy egy esetleges éles helyzet alkalmával a veszteségek minimalizálhatók legyenek.

Emberi fenyegetések

Ezek olyan fenyegetések, amelyeket nem a természet okoz. Szemben a természeti jelenségekkel, ezek a fenyegetések nem sematikusak. Bár ebben az esetben is hasznosak lehetnek bizonyos adatok, melyek segíthetnek a jövőbeni eseményekkel kapcsolatos tervezésben – ha nem is azok előrejelzésében. Ilyenek lehetnek például a helyi bűnüldözési statisztikák a vállalat székhelye szerinti területen. Továbbá bizonyos fenyegetések nagyobb szervezeti változtatásokkal egyidejűleg is megjelenhetnek. Például amikor egy vállalat jelentős munkaerő leépítésére készül, nagyobb az esélye annak, hogy az elégedetlen alkalmazottak „kiegyenlítik a számlát” (pl. szoftverek vagy ügyféllisták eltulajdonításával). Egyéb ember által előidézett esetek lehetnek még:

  • Gyújtogatás
  • Véletlen vagy szándékos károkozás (rongálás, megsemmisítés)
  • Jogosulatlan információmódosítása (pl. egy számítógépes szoftverben)

Véletlen versus szándékos

Meglepő módon az emberi mulasztások és balesetek gyakran több kárt okoznak az eszközökben, mint a szándékos akciók. Ezért fontos az is, hogy a védelmi intézkedések köre magában foglalja az esetleges balesetekkel kapcsolatos tényezőket. Ebben a vonatkozásban lényeges, hogy az érintett személyek, illetve szervezeti egységek együttműködése (pl. munkabiztonságért és minőségellenőrzésért felelős szakemberek).

Határtalan képzelet a fenyegetés szolgálatában

A természetes fenyegetésekkel ellentétben az ember okozta fenyegetések bizony nem következetesek. Például aligha valószínű, hogy egy lopást minden esetben ugyanolyan eszközökkel és módszerekkel hajtanak végre, továbbá, hogy az akció mindig ugyanazon vállalati értékek eltulajdonítására irányul. Az ember által előidézett fenyegetéseknek csak a fenyegetést okozó személy(ek) képzelete szab határt.

Kreatív akció, kreatív reakció

Némi tervezés segítségével persze csökkenthetők egyes támadási formák valószínűségei. Például vállalati notebook-okra be lehet szerezni számkombinációs biztonsági kábelzárat a lopás ellen. Annyi bizonyos, hogy a vállalati értékek ellen irányuló akciók tervezésében mutatkozó kreativitás kreatív és tudatos válaszlépéseket, illetve preventív szemléletet igényel. Az ember által okozott károkozások elleni védekezésnél hasznos lehet, amennyiben folyamatokban és forgatókönyvekben gondolkodunk. Egy szándékos akció például egészen biztosan számos lépésben valósul meg, vagyis több potenciális védelmi vonalat érint. Más szóval, ha a lépésekhez valós védelmi intézkedéseket társítunk, azzal jelentősen növelhetjük a szervezet biztonsági szintjének minőségét.

Egy stabil, konzisztens szervezeten belüli biztonsági kultúra kiépítése kulcsfontosságú, erről az alábbi cikkünkben olvashat: Az “SCM” modell: Mi köze van a biztonságnak a svájci sajthoz? .