Tudás kockázat menedzsment és információ biztonság

Dr. Bencsik Andrea írása

Közhelyként hangzik ma már, hogy állandó változásban élünk. Ennek ellenére ez azt jelenti, hogy a vállalati gazdálkodásban a stratégia változása is folyamatos, és ennek következtében az a tudás is, amely a stratégia megvalósításához szükséges. Azok a költségcsökkentést, hatékonyság növelést célzó vezetői döntések, melyek a létszámcsökkentésben öltenek testet, egyidejűleg tudásvesztést is okoznak. Így a belső kompetencia megtartásának és a költséghatékonyságnak az igénye összeütközésbe kerül. Ha csökken a belső tudás, csökken a kihívásokra adott vállalati reakció sebessége és minősége. Mindez komoly kockázatot jelent a vállalatok életében.

A XX. század második felében a felértékelődő emberi erőforrással egyidejűleg fokozott elvárásként fogalmazódott meg – a vállalati versenyképesség érdekében – a tudásvesztés kockázatának csökkentése. Ez azt jelenti, hogy tudásmenedzsment (TM) folyamatokat használunk a kockázat menedzsment fejlesztéséhez és alkalmazásához. A kockázat menedzsment támogatásához alkalmazott TM folyamatok csökkentik a kockázat lehetőségét, növelve ezzel a stratégia sikeres teljesítésének esélyét. Lényeges, hogy a szervezetek tisztában legyenek azzal, mely tudás szükséges a kockázat menedzsment támogatásához, mi szükséges a tudás előállításához, megragadásához, megosztásához. A kockázat menedzsment folyamatok sikerének kulcsa a vállalatok azon képessége, hogy mobilizálni képesek tudásukat és alkalmazottaik szakértelmét, tekintettel a kockázat csökkentésére, biztosítva ezzel a szervezeti döntéshozók számára a megfelelő időben rendelkezésre álló információkat. A tudás megőrzésének, ill. elvesztésének kockázata, a tudásfolyamatok szükségessége a kockázatok kezelésben, és a kockázatok számának szaporodása a tudásfolyamatokban, összefonódott egymással. Vagyis a tudásmenedzsment kezdeményezések lépései egyik oldalon a kockázat csökkenését, a másik oldalon – a TM folyamatok működése eredményeként – a kockázati esetek számának növekedését okozzák. (A bekövetkezési valószínűség és a súlyosság vizsgálata további elemzés tárgya kell, hogy legyen.) Ez a TM folyamatok szükségességének és a kockázat menedzselésének paradoxona.

A kérdés, hogyan lehet egyensúlyt teremteni, vagy a TM működésének javára billenteni a TM kontra kockázat mérlegét?

A kérdés szakszerű megválaszolása azért is szükséges, mert a kockázat és a biztonság kéz a kézben jár. A közelmúlt informatikai fejlődése következtében napi szinten jelent problémát a megfelelő biztonság megteremtése a tudás, az információk kezelése, megőrzése területén. Alapvető szervezeti érdek, hogy olyan pontokra fókuszáljanak a biztonsági intézkedések, melyek a leginkább nagy valószínűséggel bekövetkező és/vagy legnagyobb problémát okozó kockázati tényezők. Különösen időszerű ez a feladat, mivel ez év tavaszán bevezetésre kerül az EU Általános Adatvédelmi Rendelete (GDPR), mely számos követelményt állít a szervezetek elé. Ezek teljesítése érdekében hozott vállalati intézkedések a tudásfolyamatok és a kockázat együttes értékelése alapján kell, hogy megvalósuljanak.

Újabb kérdésként merül fel, hogy vajon hogyan tudjuk meghatározni azon tényezőket, melyek a leginkább kritikusnak tekinthetők a kockázat szempontjából?

A technikai fejlődés, a digitalizáció, a mind magasabb szintű információ technológia, a felhő alapú rendszerek és a mesterséges intelligencia térnyerése mind abba az irányba mozdította el a szervezetek működését, hogy az adatokkal, információkkal, a tudással megfelelő biztonsággal dolgozzanak. Nem csak megvédeni kell, de a folyamatos elérést és felhasználást is biztosítva megfelelő védelmi hálókat kiépítve kell gondoskodni a vállalati sikerhez történő hozzájárulásukról. Ezért a leggyakrabban keresett biztonsági megoldások a technikai eszközökhöz, megoldásokhoz köthetők, háttérbe szorítva minden egyéb területen felmerülő kockázati tényezőt. Komoly összegeket fizetnek a cégek a biztonsági rendszereik fejlesztésére, kamerákra, beléptető rendszerekre, szerverek, külső és belső hálózatok biztonsági védelmére, de egyáltalán nem áldozva azokra a kockázati tényezőkre, amelyek a fent említett eszközök kezelése, használata esetében is elkerülhetetlen részei a folyamatoknak.

Korábbi kutatások és a vállalati gyakorlat is azt támasztja alá (Proofpoint, 2016), hogy a kockázati esetek, biztonsági folyamatok legerősebb és leggyengébb láncszeme az ember.  A megbízhatósága, a döntései, a viselkedése, a helyzetfelismerő képessége, a gyors reakciói, ugyanakkor a hibái és mulasztásai vagy szándékos cselekedetei és kiszámíthatatlansága egyidejűleg teszik kockázati tényezővé. A szervezetek működési kockázatának nagy része a rossz döntésekből fakad. Csökkentheti a kockázatot egy új döntési modell, de valós kockázat csökkentést az eredményez, ha fejlesztjük a tudásfolyamatainkat, ha a probléma keresés/pozícionálás, felismerés és kifejezésre juttatás előtérbe kerül. A tudás folyamatok segítenek jobb döntéseket hozni, ami csökkenti a kockázat szintjét.
Példaként említünk néhány gyakori kockázatot, melyekkel a TM folyamatokban az emberi erőforrás kapcsán találkoznak a cégek:

• információk rögzítése, ill. annak hiánya
• a dokumentumok nem megfelelő tárolása
• az információk/dokumentumok nem állnak rendelkezésre, amikor szükség lenne rájuk
• a vállalati belső kommunikáció problémái
• tudásmegosztás problémái
• hanyagság
• szakértelem hiánya
• a fontos információk kinyerése gondot okoz
• információ hozzáférésben jogosultságbeli problémák
• az új kollégák nehezen tudják felvenni a ritmust
• a szervezeten belül sok a félreértés, egymásra mutogatás, konfliktus,
• etikai kérdések,
• értékítéletbeli különbözőség, stb.

Ha kellő odafigyeléssel, és a kockázat menedzsment logikáját alkalmazva sikerül feltárni nem csak és nem elsősorban a műszaki, technikai folyamatokban rejlő kockázatokat, akkor láthatóvá válik, hogy melyek azok a tényezők, ahol a biztonsági intézkedések, megoldások valóban sürgetőek vagy elengedhetetlenek, és érdemes áldozni a kiépítésükre. A májustól életbe lépő új (GDPR) elvárások miatt különösen fontos áttekinteni ilyen szempontból is a tudásfolyamatokat.

A fentiek alapján látható a kockázat és a tudásmenedzsment szinergiája, mely ma még nem kellő érdeklődésre számot tartó kutatási terület, és a vállalati gyakorlatban is a háttérbe szoruló intézkedések sorában van. Ez, a tudás kockázat menedzsment kifejezéssel illetett terület, mely egyenes utat biztosít – a tényeken alapuló és kockázat becslésen át vezető – szükséges biztonsági intézkedések meghatározásához, biztonsági rendszerek kiépítéséhez. Természetesen ehhez is megfelelő vezetői döntés szükséges, mely ismeri és elismeri azon kutatási eredményeket, melyek szerint a biztonsági incidensek 70%-a emberi okra vezethető vissza (Biztonságportál, 2018). A tudás kockázat menedzsment lehetőséget ad a menedzsereknek, hogy a tudást felhasználják a döntéseikhez, előre lássák és választ adjanak a kockázati esetekre és ott ruházzanak be a biztonsági rendszerekbe, ahol az a leginkább indokolt.

Irodalom:
Biztonságportál (2018): A nyolc legjelentősebb vállalati veszélyforrás, (Verizon kutatás), https://biztonsagportal.hu/a-nyolc-legjelentosebb-vallalati-veszelyforras.html
Proofpoint (2016): The Human Factor Research Report, https://www.proofpoint.com/sites/default/files/human-factor-report-2016.pdf