Tři linie obrany

V souvislosti s řízením a správou operačních rizik se můžeme setkat s tzv. třemi liniemi obrany.

Tento jednoduchý (three lines of defence, zkr. 3LOD) model je tady s námi již hezkou řádku let, cca dvě dekády, a je otázka, zda je tento model stále ještě plně funkční.

V posledních letech nabývá tato otázka obzvláště na významu, především s probíhající transformací IT a turbulentními změnami v kyberprostoru, což si vyžádalo i revizi přístupu k řízení informačních rizik.

První linie obrany

První linii obrany představují samotní zaměstnanci, jejich vedoucí pracovníci a zavedená bezpečnostní opatření organizačního a technického charakteru, která by měla útoku zabránit (prevent), detekovat jej (detect) a reagovat na něj (respond). Tato obrana je vykonávána v zásadě nepřetržitě v rámci denní operativy zaměstnanci první linie a managementem, kteří by měli incidenty a rizika identifikovat, hodnotit a zvládat je odpovídajícím způsobem, protože jsou jejich vlastníky (risk ownership).

Druhá linie obrany

Druhou linii obrany pak představují zaměstnanci útvaru bezpečnosti, compliance, rizik, kteří poskytují podporu a konzultace první linii obrany. Ta spočívá ve vytváření a implementaci strategie, politik, standardů, procedur, procesů a nástrojů. Dále pak vytváří návrh vhodných bezpečnostních opatření organizační a technické povahy, bezpečné HW, SW a datové architektury. Rovněž zde probíhá vyhodnocování ze strany vrcholového managementu a dohled nad riziky a jejich zvládáním, tedy zda dochází k jejich zvládání správným způsobem s ohledem na risk capacity, tolerance a apetit, protože je odpovědný za jejich řízení (risk control).

Třetí linie obrany

Třetí linii obrany a chtělo by se i dodat poslední linii obrany, která může na poslední chvíli ještě něco zachránit, představují zaměstnanci auditu, kteří by měli provádět nezávislou kontrolu účinnosti přijatých opatření, a především pak ověřovat správné fungování druhé linie obrany a následně pak předkládat doporučení k nápravě aktuálního stavu. Jsou jakousi zárukou, že rizika jsou řízena správně (risk assurance).

Čtvrtá linie obrany

Výjimečně se můžeme setkat i s modelem čtyř linií obrany, kdy za čtvrtou linii obrany je považován externí audit. Ten však svou roli vykonává jen v pravidelných, řekněme třeba ročních intervalech, anebo ad hoc na základě požadavku stakeholdera. A mnohdy může už jen konstatovat nedostatečnost nebo absenci některých bezpečnostních opatření a procesů a to už může být pozdě.

Poznámka: Prosím nezaměňujte pojem 3LOD s vícevrstvou bezpečností, byť s ní rovněž velice úzce souvisí.

Úskalí n-line modelu

Je třeba si uvědomit, že se vzdáleností kontroly od skutečného místa výkonu dané činnosti klesá míra porozumění kontextu, ve kterém se vlastní business odehrává a tím dochází i ke zhoršení možnosti odhalit případné nedostatky a adekvátně na ně reagovat.

Na místě je tak úzká spolupráce mezi jednotlivými třemi liniemi, které však dost často v praxi nechtějí z nejrůznějších důvodů spolupracovat a pragmatický přístup k řízení rizik tak není možný.

Zástupci první linie mají snahu nedostatky zamlčovat a naopak přisuzovat některým bezpečnostním opatřením větší účinnost, než jakou ve skutečnosti mají. Rovněž mají často nedostatečné pravomoci a možnost rozhodovat o způsobu zvládání rizik, neboť není stanovena jasná individuální odpovědnost.

Zástupci druhé a třetí linie jsou mnohdy od řešení konkrétních incidentů odstíněni, a pak vychází pouze ze zveřejněných informací, mnohdy stejně jako zástupci první linie. Buď jako buď, tyto informace jsou jen obrazem značně zkreslené reality a vedou ve výsledku k chybným závěrům a rozhodnutím.

A jaký názor máte na tento model vy, napište.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Tři linie obrany” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: