Tři linie obrany

V souvislosti s řízením a správou operačních rizik se můžeme setkat s tzv. třemi liniemi obrany.

Tento jednoduchý (three lines of defence, zkr. 3LOD) model je tady s námi již hezkou řádku let, cca dvě dekády, a je otázka, zda je tento model stále ještě plně funkční.

V posledních letech nabývá tato otázka obzvláště na významu, především s probíhající transformací IT a turbulentními změnami v kyberprostoru, což si vyžádalo i revizi přístupu k řízení informačních rizik.

První linie obrany

První linii obrany představují samotní zaměstnanci, jejich vedoucí pracovníci a zavedená bezpečnostní opatření organizačního a technického charakteru, která by měla útoku zabránit (prevent), detekovat jej (detect) a reagovat na něj (respond). Tato obrana je vykonávána v zásadě nepřetržitě v rámci denní operativy zaměstnanci první linie a managementem, kteří by měli incidenty a rizika identifikovat, hodnotit a zvládat je odpovídajícím způsobem, protože jsou jejich vlastníky (risk ownership).

Druhá linie obrany

Druhou linii obrany pak představují zaměstnanci útvaru bezpečnosti, compliance, rizik, kteří poskytují podporu a konzultace první linii obrany. Ta spočívá ve vytváření a implementaci strategie, politik, standardů, procedur, procesů a nástrojů. Dále pak vytváří návrh vhodných bezpečnostních opatření organizační a technické povahy, bezpečné HW, SW a datové architektury. Rovněž zde probíhá vyhodnocování ze strany vrcholového managementu a dohled nad riziky a jejich zvládáním, tedy zda dochází k jejich zvládání správným způsobem s ohledem na risk capacity, tolerance a apetit, protože je odpovědný za jejich řízení (risk control).

Třetí linie obrany

Třetí linii obrany a chtělo by se i dodat poslední linii obrany, která může na poslední chvíli ještě něco zachránit, představují zaměstnanci auditu, kteří by měli provádět nezávislou kontrolu účinnosti přijatých opatření, a především pak ověřovat správné fungování druhé linie obrany a následně pak předkládat doporučení k nápravě aktuálního stavu. Jsou jakousi zárukou, že rizika jsou řízena správně (risk assurance).

Čtvrtá linie obrany

Výjimečně se můžeme setkat i s modelem čtyř linií obrany, kdy za čtvrtou linii obrany je považován externí audit. Ten však svou roli vykonává jen v pravidelných, řekněme třeba ročních intervalech, anebo ad hoc na základě požadavku stakeholdera. A mnohdy může už jen konstatovat nedostatečnost nebo absenci některých bezpečnostních opatření a procesů a to už může být pozdě.

Poznámka: Prosím nezaměňujte pojem 3LOD s vícevrstvou bezpečností, byť s ní rovněž velice úzce souvisí.

Úskalí n-line modelu

Je třeba si uvědomit, že se vzdáleností kontroly od skutečného místa výkonu dané činnosti klesá míra porozumění kontextu, ve kterém se vlastní business odehrává a tím dochází i ke zhoršení možnosti odhalit případné nedostatky a adekvátně na ně reagovat.

Na místě je tak úzká spolupráce mezi jednotlivými třemi liniemi, které však dost často v praxi nechtějí z nejrůznějších důvodů spolupracovat a pragmatický přístup k řízení rizik tak není možný.

Zástupci první linie mají snahu nedostatky zamlčovat a naopak přisuzovat některým bezpečnostním opatřením větší účinnost, než jakou ve skutečnosti mají. Rovněž mají často nedostatečné pravomoci a možnost rozhodovat o způsobu zvládání rizik, neboť není stanovena jasná individuální odpovědnost.

Zástupci druhé a třetí linie jsou mnohdy od řešení konkrétních incidentů odstíněni, a pak vychází pouze ze zveřejněných informací, mnohdy stejně jako zástupci první linie. Buď jako buď, tyto informace jsou jen obrazem značně zkreslené reality a vedou ve výsledku k chybným závěrům a rozhodnutím.

A jaký názor máte na tento model vy, napište.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Tři linie obrany” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: