Сценарный подход: метод «галстук-бабочка» (Bow-Tie) для точности оценки

35 минут Урок 7

Введение: Почему линейных списков недостаточно?

Добро пожаловать на урок, посвященный одному из самых мощных инструментов визуализации и анализа рисков — методу «Галстук-бабочка» (Bow-Tie).

В предыдущих занятиях мы обсуждали, как наш мозг склонен упрощать сложные системы. Когда мы заполняем стандартный реестр рисков (обычную таблицу Excel), мы часто совершаем когнитивную ошибку: мы смешиваем причину, само событие и его последствия в одну кучу. Мы пишем: «Риск пожара». Но что это на самом деле? Это угроза? Это событие? Или это последствие?

Такая путаница приводит к тому, что меры защиты выбираются хаотично. Мы ставим огнетушитель (мера реагирования), но забываем проверить проводку (мера предотвращения). Сценарный подход, и в частности диаграмма Bow-Tie, решает эту проблему, заставляя нас разделить время на «До» и «После».

В этом уроке мы разберем анатомию этого метода, научимся строить диаграммы и поймем, как этот инструмент помогает не только оценивать риски, но и продавать стратегии безопасности руководству.

Анатомия «Галстука-бабочки»: Разбираем структуру

Название метода происходит от формы диаграммы, которая действительно напоминает галстук-бабочку. В центре находится узел (событие), слева — причины, справа — последствия.

Давайте разберем 5 ключевых элементов этой структуры. Понимание различий между ними критически важно для методологии.

1. Опасность (Hazard): Это то, с чем мы работаем. Источник потенциального вреда, который является частью нормальной деятельности.
Пример: Хранение персональных данных клиентов, вождение корпоративного автомобиля, использование химикатов на производстве. Сама по себе опасность не плоха, она необходима для бизнеса.
2. Верхнее событие (Top Event) — «Узел»: Это момент потери контроля над опасностью. Точка невозврата. Это еще не катастрофа, но ситуация, когда система вышла из штатного режима.
Пример: Утечка данных (еще не штраф, но данные ушли), потеря управления автомобилем (еще не авария), разлив химикатов.
3. Угрозы (Threats) — Левая сторона: Прямые причины, которые могут спровоцировать Верхнее событие. Угроз может быть много.
Пример: Хакерская атака, инсайдер, ошибка администратора.
4. Последствия (Consequences) — Правая сторона: Реальный ущерб, который наступает, если Верхнее событие реализуется и развивается.
Пример: Репутационный ущерб, штрафы регулятора, остановка бизнеса.
5. Барьеры (Barriers/Controls): Самое важное. Это меры защиты.
- Превентивные барьеры (слева): Стоят между Угрозой и Верхним событием. Их цель — не допустить потери контроля.
- Барьеры восстановления/смягчения (справа): Стоят между Верхним событием и Последствиями. Их цель — минимизировать ущерб, если событие все же произошло.

Синтез методологий: Дерево отказов и Дерево событий

Методологическая сила Bow-Tie заключается в том, что она объединяет два классических инженерных подхода к анализу надежности.

Левая часть (До события)	Центр	Правая часть (После события)
Fault Tree Analysis (FTA) Анализ дерева отказов. Мы спрашиваем: «Почему это может произойти?» Мы идем от причин к центру. Здесь работает дедуктивная логика.	Top Event Момент истины	Event Tree Analysis (ETA) Анализ дерева событий. Мы спрашиваем: «Что будет, если это произойдет?» Мы идем от центра к последствиям. Здесь работает индуктивная логика.

Этот визуальный разрыв заставляет нас переключать режимы мышления. Слева мы — параноики, ищущие уязвимости. Справа мы — кризис-менеджеры, планирующие спасение.

Практический пример: Риск утечки конфиденциальной информации

Давайте построим диаграмму для сценария информационной безопасности. Представьте, что вы CISO (директор по безопасности) в финтех-компании.

1. Опасность (Контекст): Обработка чувствительных финансовых данных клиентов. (Мы не можем от этого отказаться, это суть бизнеса).

2. Верхнее событие (Потеря контроля): Неавторизованный доступ к базе данных (Data Breach).

Левая сторона (Угрозы и Превентивные барьеры)

Угроза 1: Фишинг-атака на сотрудника.
- Барьер 1: Тренинг по кибергигиене (Человеческий фактор).
- Барьер 2: Фильтр электронной почты (Технический фактор).
- Барьер 3: Многофакторная аутентификация MFA (Организационно-технический).
Угроза 2: Уязвимость в ПО (Zero-day).
- Барьер 1: Регулярное обновление патчей.
- Барьер 2: WAF (Web Application Firewall).

Правая сторона (Последствия и Барьеры реагирования)

Допустим, барьеры слева не сработали, и доступ получен. Что теперь?

Последствие 1: Кража средств со счетов клиентов.
- Барьер восстановления: Система антифрода (блокировка транзакций).
- Барьер восстановления: Страхование киберрисков.
Последствие 2: Штрафы регулятора и иски.
- Барьер восстановления: План коммуникации в кризисе (PR).
- Барьер восстановления: Юридическая подготовка.

Обратите внимание: наличие антифрода (справа) никак не помогает предотвратить взлом (слева). Это разные стратегии защиты. В простых табличных реестрах рисков это различие часто теряется.

Факторы эскалации: Ахиллесова пята защиты

Диаграмма Bow-Tie имеет еще один уровень глубины, который отличает профессионала от новичка. Это Факторы эскалации (Escalation Factors).

Барьеры не идеальны. У каждого барьера есть условия, при которых он может отказать. Фактор эскалации — это то, что убивает барьер.

Например:

Барьер: Охранник на входе.
Фактор эскалации: Охранник уснул или был подкуплен.
Барьер для фактора эскалации: Система контроля бодрствования или регулярные проверки (аудит).

В схеме Bow-Tie факторы эскалации рисуются как ответвления от самих барьеров. Это позволяет увидеть «риск внутри риска». Если вы полагаетесь на систему пожаротушения (барьер), то «отсутствие давления в трубах» — это фактор эскалации. Если вы этого не учли, вашего барьера де-факто не существует.

Психология оценки: Как Bow-Tie борется с когнитивными искажениями

В Модуле 2 мы говорим о психологии. Почему Bow-Tie работает лучше, чем список?

Борьба с «Туннельным зрением»: Часто эксперты фокусируются только на одной угрозе (той, что недавно случилась). Bow-Tie визуально требует заполнить все ветки слева и справа, расширяя поле зрения.
Преодоление «Иллюзии контроля»: Когда мы видим список мер безопасности в столбик, нам кажется, что мы защищены. Когда мы расставляем их на диаграмме, может оказаться, что против одной конкретной угрозы (например, инсайдера) нет ни одного барьера, хотя в целом мер много. Метод подсвечивает «дыры» в обороне.
Ясность коммуникации: Руководителям проще принимать решения, видя сценарий целиком. Это переводит разговор с языка страха («Всё пропало») на язык инженерии («Если сломается барьер А, нас спасет барьер Б»).

Упражнение

Построение диаграммы Bow-Tie для сценария «Увольнение ключевого сотрудника». Вводные данные: Вы HR-директор или руководитель департамента. Ваш ключевой эксперт (носитель уникальных знаний) может уйти. Задание: 1. Определите Опасность (Hazard) и Верхнее событие (Top Event). 2. Назовите 2 Угрозы (почему он может захотеть уйти). 3. Предложите по 1-2 Превентивных барьера для каждой угрозы. 4. Назовите 1 негативное Последствие. 5. Предложите Барьер восстановления (как снизить ущерб, если он уже подал заявление).

Решение:

Пример возможного решения:

1. Опасность: Зависимость процессов от уникальной экспертизы сотрудников.
   Верхнее событие: Ключевой сотрудник подает заявление об увольнении.

2. Угрозы:
   - Угроза А: Профессиональное выгорание.
   - Угроза Б: Хедхантинг конкурентов (предложение высокой зарплаты).

3. Превентивные барьеры:
   - Для А: Регулярные one-to-one встречи, контроль work-life balance, ротация задач.
   - Для Б: Система долгосрочной мотивации (опционы, LTI), мониторинг рынка зарплат.

4. Последствие:
   - Остановка критического проекта или потеря клиентов, которых вел сотрудник.

5. Барьеры восстановления (когда он УЖЕ уходит):
   - Наличие базы знаний (Wiki) и документации (чтобы знания не ушли с ним).
   - Программа преемственности (Succession Planning) — наличие обученного заместителя.
   - Garden leave (оплачиваемый отпуск перед увольнением без доступа к данным) для предотвращения увода клиентов.

Вопрос

В методологии Bow-Tie, в чем заключается ключевое различие между Превентивным барьером и Барьером восстановления?

Превентивные барьеры всегда технические, а барьеры восстановления — организационные.

Превентивные барьеры стоят дороже, чем барьеры восстановления.

Превентивные барьеры предотвращают наступление Верхнего события (потери контроля), а барьеры восстановления минимизируют ущерб после того, как событие произошло.

Барьеры восстановления направлены на устранение Угроз, а превентивные — на устранение Последствий.

Различий нет, это просто способ графического отображения на разных сторонах листа.

Предыдущий урок Следующий урок