Az “SCM” modell: Mi köze van a biztonságnak a svájci sajthoz?

A svájci sajt modell avagy “SCM” modell a szervezeti biztonsági kultúrán belül az adott szervezet védelmi rétegeit definiálja.

 

Ha feltesszük magunknak a kérdést, hogy milyen tényezőkön múlik a saját, egyéni biztonságérzetünk, akkor egészen biztos, hogy nem egy-két dolgot említünk. Hiszen ott van az alapvető igény, hogy legyen hol laknunk; legyen miből fizetni a megélhetésünket; ne legyünk betegek; nagyjából tudjuk, mi várható a következő hónapban, és még sorolhatnánk hosszasan.

 

Szervezeti szinten a biztonság még ennél is lényegesen összetettebb dolog, hiszen maga a szervezet – és itt most alapvetően nem a mikro- és kisvállalkozásokra gondolunk elsődlegesen – is egy összetett rendszer. Különböző szintek, szervezeti egységek, tevékenységi körök, adott esetben helyszínek/telephelyek. Egyéni, csoportos, szervezeti, technológiai és környezeti tényezők komplex interakciói. És egy ilyen rendszer valamennyi eleme összefüggésbe hozható a biztonsággal – még ha csak közvetett módon is.

 

A biztonsági szintek rétegei

Mindebből adódik az a tény, hogy a szervezeti biztonság többrétegű. És hogy ezek a rétegek úgy rakódnak egymásra, mint a sajtlapok – legalábbis a szervezeti biztonsági kultúrával foglalkozó szakirodalom megkerülhetetlen alakja, James Reason professzor allegóriája szerint. Az ő nevéhez köthető az úgynevezett „svájci sajt” modell (SCM), amelyben egy adott szervezet mélységi védelmi rétegeit a sajtszeletek szimbolizálják. És mint ahogyan az a sajtoknál is megfigyelhető, a szeleteken bizony előfordulhatnak lyukak is. 

 

A cikk címében a sajt egy szervezet biztonsági működésére utal, melyben a védelmi rétegek úgy rakódnak rá egymásra, akár csak a sajtszeletek. És arról is szó volt, hogy bizony a sajtszeleteken előfordulhatnak lyukak. Ezek a lyukak a védelmi rétegeken megjelenő réseket, hiányosságokat szimbolizálják. Ám mivel több védelmi réteg is van, ebből két dolog is következik. Egyrészt az, hogy egy adott védelmi rétegen lévő hiányosság nem feltétlenül vezet problémához, hiszen egy másik védelmi réteg ezt a hiányosságot ellensúlyozhatja. A másik dolog pedig ebből következik: az, hogy egy adott védelmi réteg hiányossága ebből fakadóan sokáig észrevétlen maradhat.

 

De hogyan is következik be egy biztonsági incidens? James Reason modellje szerint akkor, ha a lyukak a sajtlapokon úgy helyezkednek el, hogy azokon zavartalanul keresztül haladhat egy probléma (legyen az egy szándékos akció vagy egy emberi hibázás). Vagyis, ha egyik védelmi réteg sem tudja megállítani a folyamatot, és a „gátak” sérülései így egy nemkívánatos következményhez vezetnek.

 

Amit még érdemes kiemelni a védelmi rétegekről, hogy azok nem minden esetben előzik meg közvetlenül a biztonsági incidenst. Vagyis egy biztonsági esemény bekövetkezésben nem csupán az azt (időben) közvetlenül megelőző tényezők játszanak szerepet (pl. beléptető rendszer megfelelő működése), hanem olyan időben távoli tényezők is, mint például a biztonsági szabályok és előírások megalkotása; biztonsági témájú oktatások tartása (pl. tűzvédelem és információbiztonság témájú képzések); őrzés-védelemmel foglalkozó szervezettel való szerződés; vagy akár biztonsági szempontok figyelembe vétele a munkaerő kiválasztási folyamatban.

 

A továbbiakban egy fiktív példán keresztül mutatjuk be azt, hogy mennyi ilyen sérülés szükséges ahhoz, hogy bekövetkezzen egy biztonsági incidens. Tegyük fel, hogy egy illetéktelen személy akar bejutni egy irodába, ahonnan el akar tulajdonítani egy fontos vállalati iratot. Ekkor a személynek több védelmi rétegen is át kell hatolnia. 

 

Az “SCM” modell avagy svájci sajt modell fiktív példája

  1. A személy belép az épületbe. A belépést nem jelzi semmilyen technológiai eszköz (pl. szenzor, majd hangjelzés). Vagyis egy technológiai rés van a beléptetésnél.
  2. Tegyük fel, hogy egy fő dolgozik a recepción, aki mellett a személy egy óvatlan pillanatban észrevétlenül elsurranhat. Itt egy emberi mulasztásról is beszélhetünk, de felmerülhet a szervezet felelősége is abban, hogy csak egy személyt foglalkoztatnak a recepción, nincs biztonsági személyzet a bejáratnál stb.
  3. A forgóvillás beléptető rendszernél külön nincsen biztonsági személyzet, így az illető azt átugorja. Hasonlóan az előzőhöz, itt is felmerül a szervezet felelőssége.
  4. A liftnél ugyan több dolgozó vár, de egyikük sem szólítja meg a személyt, hogy mi járatban van (annak ellenére, hogy láthatóan nincs badge a nyakában). A személy így felmegy a többiekkel arra a szintre, ahol a kiszemelt iroda található. A védelmi réteg sérülése itt a munkavállalói attitűdben érhető tetten (nem akadnak fenn azon, hogy az illető nem visel badge-t, és még soha nem látták őt). Ez azonban megfelelő oktatásokkal formálható.
  5. Az épület ezen részén – így a folyosón sem, ahol az iroda van – nincs kiépítve kamerás megfigyelő rendszer. Ez egy technológiai hiányosság.
  6. Bár az iroda előtt belépőkártyát kell használni, az irodában dolgozó vezető – félvállról véve a biztonsági szabályokat – résnyire hagyja az ajtót, amíg kollégáival kimegy a folyosó végén lévő konyhába kávézni. Így az illetéktelen személyt semmi sem akadályozza meg abban, hogy bemenjen az irodába. Ez egy egyéni mulasztás, nemtörődömség.
  7. A vezető laptopja ugyan kéri a jelszót, azonban rövid keresgélés után a behatóló azt megtalálja egy billentyűzet aljára felragasztott cetlin. Ez újfent egy egyéni mulasztás, illetve a túlzott optimizmus torzítása („Ide úgyse jön be senki illetéktelen.”)

 

Újfent hangsúlyozzuk, hogy a fenti egy fiktív példa. De a biztonsági incidenseket utólagosan feltáró, úgynevezett eseményelemző módszerek minden esetben feltárják, hogy soha nem egy-egy hiányosság vezet egy nemkívánatos kimenetelhez. Egy szervezet biztonsági kultúrája tehát rendkívül összetett dolog, így számos ponton igényli a fejlesztést és megerősítést.

Biztonsági intézkedések kockázatvállalás