ISMS Copilot
Compliance Strategy

Macierz ryzyka 5x5 przechodzi audyty, ale nie krytyczną analizę

ISO 27001 nigdy nie wymaga mapy cieplnej. To, czego standard rzeczywiście wymaga (spójne, trafne i porównywalne wyniki), jest testem, któremu większość macierzy ryzyka nie jest w stanie sprostać.

przez ISMS Copilot··7 min read
Macierz ryzyka 5x5 przechodzi audyty, ale nie krytyczną analizę

Zapytaj zespół wdrażający, dlaczego ich ocena ryzyka w ramach ISO 27001 przyjmuje formę pięciokrotnej macierzy zielonych, żółtych i czerwonych pól, a odpowiedź – naszym zdaniem – najczęściej brzmi: „tak oczekuje audytor”. Obie części tej odpowiedzi zasługują na głębszą analizę. W standardzie nie ma bowiem wymogu stosowania macierzy, a sama macierz to słaby sposób na spełnienie tego, czego standard rzeczywiście wymaga. Grid przetrwał, ponieważ jest czytelny w dokumentacji, a nie dlatego, że dobrze opisuje ryzyko. Traktowanie tych dwóch cech jako tożsamych jest – naszym zdaniem – cichym błędem metodologicznym wielu certyfikowanych systemów zarządzania bezpieczeństwem informacji (ISMS).

Czego naprawdę wymaga punkt 6.1.2

ISO/IEC 27001:2022 (trzecie wydanie, opublikowane 25 października 2022 r.; poprawka klimatyczna Amd 1:2024 z 23 lutego 2024 r. nie zmienia punktu 6.1.2) poświęca jeden punkt – 6.1.2 – na proces oceny ryzyka. Nakłada on obowiązek zdefiniowania i wdrożenia procesu, który:

  • ustanawia kryteria ryzyka, w tym kryteria akceptacji ryzyka,
  • zapewnia, że powtarzalne oceny „dają spójne, trafne i porównywalne wyniki”,
  • identyfikuje ryzyka, analizuje je poprzez ocenę konsekwencji i prawdopodobieństwa w celu określenia poziomów ryzyka, oraz
  • ewaluuje je w odniesieniu do ustalonych kryteriów (ISO/IEC 27001:2022, punkt 6.1.2).

Zwróć uwagę na to, czego nie określa punkt 6.1.2. Brak tu wymogu stosowania macierzy, mapy cieplnej, pięciostopniowej skali, mnożenia „prawdopodobieństwa przez wpływ” czy kolorów. Nawet określenie „poziomy ryzyka”, które zespoły często interpretują jako przyzwolenie na porządkowe kategorie, nie precyzuje, w jaki sposób te poziomy powinny być wyrażane. Wsparcie dla standardu, czyli ISO/IEC 27005:2022 (czwarte wydanie, opublikowane 25 października 2022 r.), dopuszcza zarówno podejścia jakościowe, jak i ilościowe, a jego przykłady skal konsekwencji, prawdopodobieństwa i macierzy znajdują się w załączniku A – jako informacyjny załącznik z przykładowymi technikami. To tylko wskazówki, nie wymogi.

Tak więc, niezależnie od wybranej metody, certyfikowany tekst standardu wymaga trzech cech wyników: spójności, trafności i porównywalności. Standard nie definiuje tych pojęć, dlatego poniżej przedstawiamy naszą interpretację ich znaczenia oraz oceniamy, jak domyślna metoda – macierz ryzyka – wypada w tym teście. Odpowiedź na to pytanie znana jest od niemal dwóch dekad w literaturze recenzowanej.

Macierz kontra trzy słowa z punktu 6.1.2

Najczęściej cytowanym badaniem dotyczącym macierzy ryzyka jest praca Tony’ego Coxa „What's Wrong with Risk Matrices?” (Risk Analysis, tom 28, nr 2, kwiecień 2008), której wnioski doskonale korespondują z wymogami punktu 6.1.2.

Porównywalność. Cox wykazał, że macierze ryzyka mają ograniczoną rozdzielczość: zazwyczaj potrafią poprawnie i jednoznacznie porównać jedynie niewielki odsetek losowo wybranych par zagrożeń, przypisując tym samym rating do ilościowo bardzo różnych ryzyk. Dwa ryzyka różniące się o rząd wielkości w oczekiwanej stratach mogą trafić do tej samej „wysokiej” komórki. Metoda, której wyniki nie pozwalają na rozróżnienie takich przypadków, nie zapewnia porównywalności – oferuje jedynie wspólną etykietę, która ukrywa potrzebę porównania.

Trafność. To samo badanie pokazało, że macierze mogą działać jeszcze gorzej niż zawodzić w rozróżnianiu: mogą błędnie przypisywać wyższą ocenę jakościową ilościowo mniejszemu ryzyku. W realistycznych warunkach, np. gdy częstotliwość i nasilenie są ujemnie skorelowane, priorytetyzacja oparta na macierzy może działać gorzej niż losowe. Trafność oznacza, że wyniki metody odzwierciedlają rzeczywistość. Metoda, która może odwrócić ranking dwóch ryzyk, jej nie posiada.

Spójność. Etykiety porządkowe wydają się obiektywne, ponieważ wszyscy w pomieszczeniu używają tych samych słów. Dowody wskazują jednak, że te słowa nie niosą ze sobą tych samych wartości liczbowych w umysłach różnych osób. Gdy badacze testowali, jak odbiorcy interpretują kalibrowany język niepewności IPCC, przypisywane prawdopodobieństwa znacznie się różniły i często wykraczały poza zakresy zdefiniowane dla tych terminów (Budescu, Broomell i Por, „Improving communication of uncertainty in the reports of the Intergovernmental Panel on Climate Change”, Psychological Science, tom 20, nr 3, s. 299–308, 2009). Twoje „prawdopodobne” działa dokładnie tak samo: dwóch kompetentnych oceniających, to samo ryzyko, różne komórki macierzy – a proces nie ma możliwości tego zauważyć, ponieważ nieporozumienie ukryte jest za wspólną etykietą.

Podsumowując, mamy do czynienia z niewygodnym paradoksem: metoda, którą zespoły wybierają, ponieważ wydaje się bezpieczna w kontekście audytu, jest jednocześnie najtrudniejsza do obrony przed dosłownym odczytaniem punktu, który ma spełniać. Jak pokazuje nasze doświadczenie, rzadko prowadzi do znalezienia uchybień – i właśnie w tym tkwi problem. Macierz jest zoptymalizowana pod kątem rozpoznawalności w przeglądzie dokumentacji, a nie dla decyzji, które dokumentacja ma wspierać.

Dlaczego macierz wciąż funkcjonuje

Byłoby zbyt proste nazwać to lenistwem. Macierz przetrwała, ponieważ pełni realną funkcję – tylko nie tę, która dotyczy pomiaru ryzyka. Jest tania w produkcji. Kompresuje różnice zdań, co pozwala zakończyć warsztaty ryzyka na czas: dwie osoby, które mogłyby godzinami dyskutować, czy prawdopodobieństwo wynosi 5%, czy 25%, obie zaakceptują „średnie”. Daje kierownictwu jedną stronę wizualizacji. Jest znana każdemu recenzentowi, który widział setki takich macierzy – i to, naszym zdaniem, jest to, co praktycy mają najczęściej na myśli, mówiąc „tak oczekuje audytor”.

To są korzyści społeczne i są one realne. Błąd polega na tym, że traktuje się je jako korzyści analityczne. Kompresja, która kończy warsztat wcześniej, to ta sama kompresja, która usuwa informacje, których punkt 6.1.2 wymaga zachowania. Gdy macierz staje się analizą, a nie jej podsumowaniem, rejestr ryzyk staje się zapisem tego, jakie argumenty zostały pominięte.

Jeśli chodzi o obawę przed audytem: naszym zdaniem certyfikacyjny audyt ocenia zgodność zarówno ze standardem, jak i z udokumentowanym przez organizację procesem. W certyfikowanym tekście nie ma wymogu stosowania konkretnej techniki, więc jeśli gdziekolwiek oczekiwana jest macierz, wynika to z konwencji lub z udokumentowanej metody organizacji – a nie z ISO/IEC 27001. To, co audytor może rzetelnie poddać w wątpliwość, to:

  • czy kryteria są zdefiniowane,
  • czy metoda jest stosowana zgodnie z dokumentacją,
  • czy powtarzalne wyniki są porównywalne.

Te pytania są niezależne od wybranej metody, a lepsza metoda pozwala na bardziej przekonujące odpowiedzi – nie mniej.

Rzeczywista decyzja

Szczerze mówiąc, wybór metody oceny ryzyka w ramach ISO 27001 sprowadza się do trzech opcji.

Pierwsza to utrzymanie macierzy i jej „wzmocnienie”: zakotwiczenie każdej etykiety w jawnej skali ilościowej, zdefiniowanie konsekwencji w pieniądzach lub czasie przestoju zamiast przymiotników, i akceptacja udokumentowanych patologii jako ceny czytelności. Jest to podejście obronne, ale tylko pod warunkiem, że zakotwiczenie jest realne. Macierz, której „prawdopodobne” jest powiązane z określoną skalą liczbową, to zupełnie inny instrument niż taka, której „prawdopodobne” oznacza to, co dana grupa uznała danego dnia.

Druga to pełna kwantyfikacja w stylu FAIR (Factor Analysis of Information Risk), podejścia opracowanego przez The Open Group w ramach standardów Open FAIR. Wymaga ono stosowania rozkładów, symulacji i krzywych przekroczenia strat. Dla wielu małych i średnich organizacji jest to – naszym zdaniem – zbyt skomplikowane jak na potrzeby podejmowanych decyzji, a umiejętności kalibracji i modelowania, których wymaga, są rzadko dostępne wewnętrznie. Źle wdrożone FAIR powiela problem fałszywej precyzji – tylko z większą liczbą miejsc po przecinku.

Trzecia opcja – i ta, którą byśmy polecali – to nieskomplikowane rozwiązanie pośrednie:

  • zdefiniowanie kryteriów akceptacji ryzyka w kategoriach operacyjnych (pieniądze, czas przestoju, liczba naruszonych rekordów),
  • szacowanie prawdopodobieństwa i wpływu jako zakalibrowanych zakresów, a nie punktów porządkowych,
  • utrzymanie macierzy kolorów – jeśli w ogóle się ją stosuje – wyłącznie jako warstwy prezentacyjnej nad analizą, która została przeprowadzona gdzie indziej.

Takie podejście spełnia trzy wymogi punktu 6.1.2 dosłowniej niż domyślna metoda, kosztuje znacznie mniej niż pełna kwantyfikacja i nie zmienia niczego w tym, co widzi audytor – poza tym, że teraz za obrazkiem stoją realne liczby.

Jeden uczciwy zastrzeżenie dotyczy każdej zmiany metody: punkt 6.1.2 wymaga, aby powtarzalne oceny były porównywalne, a zmiana metody w trakcie cyklu pozbawia Cię porównywalności rok do roku. Zmieniaj metodę na naturalnym etapie i udokumentuj powód. To koszt przejściowy do zarządzania, a nie powód, by utrzymywać metodę, w którą już nie wierzysz.

Zasada, którą warto zachować

Jeśli najsilniejszym argumentem za Twoją metodą ryzyka jest to, że wygląda tak jak u wszystkich innych, dowiedziałeś się czegoś o audytach, ale nic o swoich ryzykach. ISO 27001 jest bardziej elastyczny – i bardziej wymagający – niż domyślna metoda, której się przypisuje: jego punkt dotyczący ryzyka nigdy nie wymaga siatki, ale zawsze wymaga spójności, trafności i porównywalności – czyli dokładnie tych cech, których macierz – jak udowodniono – brakuje.

Zespoły, które czytają punkt 6.1.2 zamiast kopiować artefakt, kończą z metodą, którą mogą obronić zarówno przed audytorem, jak i podczas przeglądu incydentu.

Wypracowanie tego, czego naprawdę wymaga punkt, a nie to, co ekosystem szablonów uznał za wymagane, stanowi sporą część codziennej pracy przy budowaniu ISMS. To właśnie tego rodzaju pytania ISMS Copilot pomaga rozwiązać, odwołując się bezpośrednio do tekstu standardu. Macierz jest opcjonalna. Trzy słowa – nie.

Powiązane artykuły