vi - managementul securitatii -1
DESCRIPTION
Curs de managementul securitatii fizice.TRANSCRIPT
-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici
Ca element de caracterizare a calitatii unui sistem,
SECURITATEA este capacitatea sistemului de a-i conserva
caracteristicile constructiv-funcionale sub aciunea unor factori
distructivi, care ar putea sa-l transforme in pericol pentru mediul
nconjurator i viaa oamenilor aflai in zona de risc, ori sa
provoace pagube materiale, informaionale sau morale.
ro Asuma-ti riscuri calculate. Asta inseamna sa nu te grabesti George S. Patton
-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
SECURITATEA este singurul concept care poate
raspunde dezideratelor de siguran i stabilitate necesare bunei
funcionari a sistemelor/organizaiilor in ziua de azi,
caracterizat de o multiplicare fr precedent a riscurilor.
23 octombrie 2014 2 Evaluator de risc la securitatea fizic
SECURITATEA
PROCESUL
SIGURAN
STABILITATE
-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
O alt perspectiva a SECURITAII: capacitatea de a te putea proteja mpotriva pericolelor sau a pagubelor, prin diminuarea consecinelor adverse asociate aciunilor intenionate i improprii ale altora.
Odat cu ameninarile tot mai complexe, securitatea tinde s includ reziliena, sustenabilitatea i asigurarea serviciilor critice.
Reziliena este abilitatea unei organizaii/individ/comunitate de a minimiza cosecinele negative ale unor evenimente adverse/potrivnice i de a le utiliza ca declanator pentru aciuni de ntarire i dezvoltare.
Reziliena se bazeaz pe starea de spirit, cultur, atitudine i valorile organizaiei. Este centrat mai mult pe securizarea viziunii i obiectivelor organizaiei decat pe prevenirea pierderilor.
Cultura de securitate se obine printr-un program reuit de contientizare a aspectelor de securitate. Insuite, oamenii acioneaz pentru aprarea lor.
Cultura de securitate este bazat pe informaie: cei ce conduc, opereaz i aplica sistemul de securitate, au cunotine la zi despre resursele umane, tehnice i organizaionale i despre factorii externi care determin eficiena sistemului , caun ntreg.
23 octombrie 2014 3 Evaluator de risc la securitatea fizic
-
MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
Ca proces in continua desfaurare, SECURITATEA are
ca obiectiv stabilitatea sistemului. Ea are o legislatie specific, se
bazeaz pe un sistem de strategii, norme, metodologii, procedee,
aciuni i instituii specializate/dedicate. Acestea, mpreuna cu
suportul tehnic tot mai avansat, sunt capabile sa ofere servicii de
siguran, protecie, supraveghere, precum i condiii pentru
viabilitatea sistemelor i a utilizatorilor acestora.
Fara securitate, ca parametru principal de calitate, a
tuturor proceselor si sistemelor, eficiena nu este posibil.
23 octombrie 2014 4 Evaluator de risc la securitatea fizic
-
VI - MANAGEMENTUL SECURITATII
Modele.Cerinte.Caracteristici(cont.)
Securitate = ,, absena pericolului,, (sistem protejat)
iar
Insecuritate = ,, prezena pericolului,, (sistem insuficient protejat)
Concluzia: unei securitai ridicate i corespunde un risc sczut, iar
unei securitai sczute, i corespunde un risc ridicat.
8 octombrie 2014 5 Evaluator de risc la securitatea fizic
Secu
rita
te
Securitate Absena pericolului
Insecuritate Existena pericolului
Risc 0
-
Preocuparile pentru asigurarea securitaii pornesc de la
individ, continu la nivelul organuzaiilor de orice tip, la nivelul
comunitaii i al structurilor administrative, la nivelul statului, si
constituie de multe ori obiectul al unor inelegeri, proiecte sau
structuri internaionale
MANAGEMENTUL SECURITATII
Componentele securitaii
23 octombrie 2014 6 Evaluator de risc la securitatea fizic
Homeland security
Protecia societaii
Securitatea privata
Protectie bunuri,etc.
Securitatea
nationala
-
MANAGEMENTUL SECURITATII
Modele. Securitatea ntreprinderii. Modelul GRC.
Au fost elaborate diferite modele de gestionare a securitaii:
-mangementul securitatii informaiei;
-protecia infrastructurii critice;
-protectia lanului de aprovizionare (supply chain management);
-modele ce funcioneaza la scara mare(organizaii de afaceri, mediu
universitar, societate civil)
Implementarea unui model la nivelul unei organizaii presupune un
proces de management al riscurilor, controlul reducerii acestora pe
domenii distincte(securitate fizic, informatica, etc).
Binomul autoritai publice-mediu privat: diferena dintre obiectivele i
misiunile celor dou pari ndeplinirea atribuiilor stabilite prin lege i
finaate de la buget, respectiv maximizarea profitului, joaca un rol
important in managementul securitii.
23 octombrie 2014 7 Evaluator de risc la securitatea fizic
-
MANAGEMENTUL SECURITATII
Securitatea ntreprinderii. Modelul GRC.
Odat cu apariia Legii Sarbanes Oxley si a cerintelor SUA privind societile listate la bursa, integrarea celor trei componente ale managementului securitii guvernare, analiza riscului, conformitate(GRC) - a devenit tot mai important. O reala integrare s-a obinut prin mbuntirea procesului lurii deciziilor i a planificrii strategice.
Guvernarea asigur conducerii executive datele i informaiile strategice, apte sa asigure luarea deciziilor i s implementeze mecanismele de control a conformitii.
Managementul riscului reprezinta un complex de procese prin care riscurile sunt identificate, analizate i, cnd se impune se iau msuri concrete, funcie de gravitatea perceput, implicnd eliminarea, acceptarea sau transferul acestora ctre teri. Riscurile legate de conformitatea cu cerinele legale i de rglementare reprezint aspectul cheie al modelului GRC.
Conformitatea reprezinta respectarea cerinelor stabilite.
23 octombrie 2014 8 Evaluator de risc la securitatea fizic
-
MANAGEMENTUL SECURITATII
Securitatea ntreprinderii. Modelul GRC. (cont)
23 octombrie 2014 9 Evaluator de risc la securitatea fizic
La nivelul unei organizaii, consecinele adverse pot fi:
- afectarea parial sau compromiterea obiectivelor afacerii
- nerespectarea cerinelor legale care are/poate avea ca urmare afectarea din culp a persoanelor, comunitaii, mediului.
Cele do categorii nu se exclud ntre ele.
Este evident faptul ca este nevoie de un sistem de management al securitii care s gestioneze unitar, integrat cu afacerea n sine, la nivelul ntregii organizaii toate aspectele de securitate, dar mai ales pe cele relevante.
Un astfel de sistem trebuie s asigure guvernarea, managementul riscurilor de securitate, si conformitatea, integrndu-se totodat n managementul general al organizaiei.
-
MANAGEMENTUL SECURITATII
Cerine de securitate.Cerine de conformitate legal
23 octombrie 2014 10 Evaluator de risc la securitatea fizic
Complexitatea aspectelor de securitate i percepia tot mai acut a ameninrilor i vulnerabilitilor au condus la necesitatea formularii unor cerine de securitate n legi, hotrri de guvern ordine ale minitrilor, pentru reglementarea unitar a unor domenii de activitate, etc.
-Legea nr. 333 din 8 iulie 2003 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor i modificrile aduse prin Legea 9/2007, Legea 40/ 2010;
-HG 301/2012 pentru aprobarea Normelor metodologice de aplicarea Legii 333/2003;
-Legea 16/2011 pentru aprobarea Ordonanei de urgena a Guvernului nr. 98/2010 privind identificarea, desemnarea i protecia infrastructurilor critice;
-Legea nr. 535/2004 privind prevenirea i combaterea terorismului;
-Legislaia naional i ordinele directorului ORNISS cu privire la informaiile clasificate(Legea 182/2002 privind protecia informaiilor clasificate; HG 585/2002 pentru aprobarea standardelor naionale de protecie a informaiilor clasificate n Romnia; HG 781/2002 privind protecia informaiilor secret de serviciu);
-Legea 677/2001 privind protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i circulaia acestor date;
-Legislaia privind prevenirea i stingerea incendiilor i situaii de urgen (Legea nr. 307/2006 privind aprarea mpotriva incendiilor; Legea 481/2004 privind protecia civil .a.m.d.);
-Legi sectoriale privind sectoarele electric, petrol i gaze, bancar, bursier, etc. *Legea58/1999 privind activitatea bancar.
-
MANAGEMENTUL SECURITATII
Cerine de securitate.Cerine de conformitate legal
23 octombrie 2014 11 Evaluator de risc la securitatea fizic
Fiecare categorie de acte legislative prezentat, reprezint o anume problematic la nivelul statului i are asociat o anume autoritate numita de regula autoritate de relementare, sau mai multe autoriti.
Astfel paza obiectivelor, bunurilor, valorilor i protecia persoanelor se afl sub autoritatea Insp. Gen. De Poliie-Dir. Ordine Public.
Protecia infrastructurilor critice este coordonat de un ansamblu de autoriti, cuprinznd un consilier de stat, un grup interinstituional, un centru de coordonare i mai multe autoriti responsabile.
Protecia informaiilor clasificate este sun autoritatea ORNISS i a autoritilor desemnate.
SRI este autoritatea n domeniul prevenirii i combaterii terorismului , dar i n domeniul inteligenei cibernetice.
De prevenirea i stingerea incendiilor, precum i de gestionarea situaiilor de urgena se ocupa IGSU.
Respectarea unui set de cerine de securitate, dintr-o anume lege/HG, nu nseamn asigurarea securitii n ansamblu. O organizaie trebuie s fie conform tuturor cerinelor de securitate ce-i reglementeaza activitatea, reglementri de rgul disparate, sub coordonarea mai multor autoriti, dup cum s-a putut vedea.
-
MANAGEMENTUL SECURITATII
Cerine de securitate. Modele i standarde
23 octombrie 2014 12 Evaluator de risc la securitatea fizic
Pentru creterea eficacitii n tratarea problemanticii de securitate, au fost dezvoltate mai multe modele, au fost elaborate standarde internaionale, care cuprind linii directoare, liste de bune practici i chiar cerine pentru certificare de catre teri. Relevante pentru securitate sunt:
-SR ISO/EC 9001:2008 privind sistemul de management al calitaii;
-Familia de standarde ISO/EC 27035 Managementul incidentelor privind securitatea informaiilor; SR ISO/EC 24762 Tehnologia informaiei Tehnici de securitate. Linii directoare pentru servicii de recuperare dup dezastre a trehnologiei informaiei i telecomunicaiilor;
-Standardul ISO/EC 28001 Securitatea canalului de aprovizionare;
- ISO/EC 22301 Managementul continuitii activitii
Dei nu sunt obligatorii, aplicarea cerinelor standardelor asigur utilizarea unor mecanisme de management care asigur performana i arat partenerilor capabilitiloe organizaiei n acest sens.
-n cazul unor standarde se practic autorizarea cde ctre autoritatea ter, urmare a auditrii, confirmnd aplicarea sistemului de management respectiv.
Autoritile de certificare sprijin doritorii in procesul implementrii adaptate a cerinelor standardului la condiiile concrete ale unei organizaii.
Alte standarde cuprind linii directoare sau aa numitele bune practici, ce trebuiesc adoptate n vederea obinerii anumitor performane.
O a treia categorie de standarde cuprind cerine minimale pentru bunuri i/sau servicii, fiind foarte utile n derularea achiziiilor.
-
MANAGEMENTUL SECURITATII
Paza obiectivelor, bunurilor, valorilor i protecia persoanelor
23 octombrie 2014 13 Evaluator de risc la securitatea fizic
Acest domeniu reglementat de IGPR Direcia Ordine Public este unul din cele mai cunoscute, privind securitatea n ara noastr. Aici ntlnim prestatori de servicii de paza i protecie, proiectare, instalare i ntreinere sisteme de alarm la efracie i, n curnd, consultan de securitate i analiza de risc la securitatea fizic.
Domeniul este rglementat de Legea 3333/203 i HG 301/2012. care stabilesc cine i n ce condiii trebuie s asigure paza.
-Paza se organizea i efectueaz potrivit planului de paza ntocmit de unitate i avizat de poliie.
-Sistemele tehnice de protecie i alarmare mpotriva efraciei sunt complementare pazei , realiznd securitatea mecanic i electronic a obiectivului protejat.
-Securitatea fizic reprezint domeniul aplicativ al securitii cuprinznd msuri pentru prevenirea i mpiedicarea atacatorilor s aib acces la obiective, resurse sau informaii, precum i recomandri privind proiectarea infrastructurii pentru a opune rezizten la actele ostile.
-
MANAGEMENTUL SECURITATII
Paza obiectivelor, bunurilor, valorilor i protecia
persoanelor(cont1)
23 octombrie 2014 14 Evaluator de risc la securitatea fizic
Modalitatea prin care autoritatea se asigur ca unitile desemnate aplic msurile de securitate necesare este stabilirea unui set de cerine minimale obligatorii, iar proiectul sistemului tehnic de protecie i alarm la efracie s fie supus avizrii de specialitate a poliiei.
Unitile care trebuie s aplice aceste cerine minime, obligatorii sunt;
-uniti de interes strategic i obiective ale infrastructurii critice;
-uniti sau instituii de interes public;
-Instituii de creditare, uniti potale, puncte de schimb valutar, case de amanet, uniti profilate pe bijuterii din metale sau pietre preioase;
-Magazine de arme i muniii;
-Staii de comercializare a carburanilor/combustibililor;
-Sli de exploatare a jocurilor de noroc;
-Centre de procesare;
-Casierii furnizori de servicii de utiliti;
-Obiective industriale;
-Depozite;
-Instalaii tehnologice.
-
MANAGEMENTUL SECURITATII
Paza obiectivelor, bunurilor, valorilor i protecia
persoanelor(cont2)
23 octombrie 2014 15 Evaluator de risc la securitatea fizic
HG 301/2012 vine cu completri la prevederile Legii 333/203, cum ar fi:
-introducerea in lista a infrastructurii critice;
-utilizarea analizei de risc ca fundament pentru adoptarea msurilor de securitate, n completare cu cerinele minimale de securitate, pe zone funcionale i categorii de uniti.
Analiza de risc este efectuat de unitate prin structuri de specialitate sau experi abilitai care dein competene profesionale dobndite pentru ocupaia de evaluator de risc la securitatea fizic. Aceasta poresupune parcurgerea urmatoarelor etape:
-Definirea parametrilor interni i externi care genereaz i/sau modific riscurile la securitatea fizic a unitii;
-Stabilirea metodei i a instrumentelor de lucru;
-Identificarea tuturor riscurilor la securitatea fizic, a zonelor de impact, a evenimentelor i cauzelor riscului, precum i a potenialelor consecine;
-Analizarea riscurilor la securitatea fizic;
-Estimarea riscurilor unitii beneficiare;
-ntocmirea Raportului de evaluare i propuneri de tratarea riscurilor la securitatea fizic.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate. Clasificare
23 octombrie 2014 16 Evaluator de risc la securitatea fizic
Principalul domeniu de aplicare a soluiilor de securitate din cauza avntului IT.
1.Informaii clasificate:
- secrete de stat:
- secrete;
- strict secrete;
-strict secrete de importan deosebita;
- secret de seviciu.
2.Informaii neclasificate
3.Informaii de interes public(Legea 544/2001 privind accesul la informaii publice).
Protecia informaiilor clasificate: ORNISS(Oficiul Registrului Naional al Informaiilor Secrete de Stat). SRI, MApN, MI, SIE, SPP, STS.
La nivelul organizaiei, responsabilitatea pstrrii secretului de stat/serviciu, revine conductorului instituiei, care trebuie s desemneze o structur de securitate sau, cel puin, un funcionar de securitate.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate.Componente
23 octombrie 2014 17 Evaluator de risc la securitatea fizic
Componentele proteciei informaiilor clasificate, statuate de standardele naionale de protecie a informaiilor clasificate sunt:
-protecia juridic;
-protecia prin msuri procedurale;
-protecia fizic;
-accesul la informaii naionale clasificate;
-Protecia personalului;
-Protecia surselor generatoare de informaii-INFOSEC.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate. Sistem de securitate
23 octombrie 2014 18 Evaluator de risc la securitatea fizic
n ceea ce privete informaiile clasificate, sistemul de securitate cuprinde totalitatea echipamentelor i personalul destinat aplicrii masurilor de securitate fizic ntr-o incint/comunitate/organizaie. Acesta are rolul; -S previn ptrunderea persoanelor neautorizate;
-S descopere persoanele neloiale, s descopere i s previn aciunile ostile ale acestora;
-s permit accesul la informaiile clasificate doar pesoanelor autorizate;
-S descopere i s combat orice nclvare a msurilor pe linia informaiilor clasificate.
Sistemul de securitate trebuie s se conduc dupa urmtoarele principii:
-ealonarea n adncime a msurilor de protecie;
-Corelarea masurilor de protecie fizic cu timpul de intervenie al forelor destinate;
-Eficacitate;
-Disponibilitate tehnic;
-Planificarea contingenei msurilor de protecie.
Acesta trebuie dimensionat funcie de:
-nivelul informaiilor clasificate;
-volumul i suporul fizic de prezentare al acestora;
-nivelul de acces conferit de certificatul de securitate/nevoia de a ti;
-situaia din zona de dispunere.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate.Cerine minimale
23 octombrie 2014 19 Evaluator de risc la securitatea fizic
Trebuie reinut c la protecia informaiilor clasificate sunt avute n vedere i alte ameninri dect cele aplicabile proteciei persoanei i valorilor. Reglementrile prevd msuri minimale, dar nu exclude analiza de risc, mai ales n cazul informaiilor pe suport electronic. Cele mai importante:
-Contolul accesului persoanelor;
-Controlul vizitatorilor;
-Controlul bagajelor(planificat i inopinat):
-la intrare (aparatur de copiere, stocare, transmitere date);
-La ieire(supori informaii, etc.)
-ncperi de securitate:
-Perei,podele, plafoane, ui,ncuietori;
-Protecie chei,coduri;
-Ferestre parter sau ultimul etaj gratii sau protecie antiefracie;
-Sistem de aerisire protecie mpotriva introducerii de materiale incendiare;
-Containere pentru pastrare dar i evacuare:
-Metalice, autorizate;
-Clasa A, B.
-ncuietori:
-clase A,B,C, mobilier;
-chei,coduri.
-
MANAGEMENTUL SECURITATII
Protecia informaiilor clasificate.Cerine minimale(cont)
23 octombrie 2014 20 Evaluator de risc la securitatea fizic
Trebuie reinut c la protecia informaiilor clasificate sunt avute n vedere i alte ameninri dect cele aplicabile proteciei persoanei i valorilor. Reglementrile prevd msuri minimale, dar nu exclude analiza de risc, mai ales n cazul informaiilor pe suport electronic. Cele mai importante:
-Contolul activitii la copiatoare, faxuri
-Protecia mpotriva ascultrii neautorizate:
-pasive-izolarea fonic a ncperilor;
- active miocrofoane, instalaii, echipamente de comunicaii;
-protecia fizic a ncperilor , inclusiv n perioada n care nbu sunt utilizate;
- evidena dotrilor ncperilor, a cureniei, reparaiilor.
-Protecia mpotriva distrugerii:
- la incendiu;
- la inundaie;
- la atac terorist;
-Controlul distrugerii documentelor(clasificate, declasificate)
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. Standarde
23 octombrie 2014 21 Evaluator de risc la securitatea fizic
Conceptul aplicativ cel mai evoluat de gestionare a securitii la nivelul unei organizaii.Acesta face obiectul familiei de standarde ISO 27000, care trateaza de la inventarierea valorilor care trebuie protejate, analiza i tratarea riscurilor, alegerea mijloacelor de diminuare a riscurilor, pna la recomandri de aplicare a msurilor de securitate, n general, sau specifice unor tipuri de organizaii. Cel mai important este standardul SR/ISO 27001 care este o specificaie de certificare.
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27001
23 octombrie 2014 22 Evaluator de risc la securitatea fizic
Cel mai important este standardul SR/ISO 27001 care este o specificaie de certificare.
PDCA
Plan
Do
Check
Act
Proiectare SMSI (evaluarea riscurilor, tratarea riscurilor, stabilirea mijloacelor de control...)
Proiectare i utilizarea SMSI (implementarea i testarea mijloacelor, de control, politicilor, procedurilor, proceselor...)
Monitorizare i revizuire SMSI (incidente, schimbrui, reevaluare riscuri, audituri..)
Actualizare i mbuntire SMSI (mbuntire sau implementare de Noi mijloace de control, politici, proceduri..)
Procesul de management al securitii informaiei
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27001
23 octombrie 2014 23 Evaluator de risc la securitatea fizic
Funcionarea SMSI este reglementat de un set de documente, folosite pentru analiza, control i mbuntire.
DOCUMENTAIE
Domeniul de aplicare i politica SMSI
Raportul de evaluare a riscurilor
Planul de tratatre a riscurilor
Declaraia de aplicabilitatea
Proceduri SMSI
Manuale SMSI
Manuale de audit
NREGISTRRI
nregistrri privind incidentele
nregistrri de personal
nregistrri privind instruirile
nregistrri privind contractele,
livrrile, achiziiile
nregistrri financiare
Rezultatele testrilor
Dovezi de audit
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27002
23 octombrie 2014 24 Evaluator de risc la securitatea fizic
Standardul SR/ISO 27002 Tehnologia informaiei Tehnici de securitate Cod de bune practici pentru managementul securitii informaiei, prezint recomandri pentru reducerea riscurilor la securitatea informaiei IT la elaborarea i implementarea:
-Politicii de securitate;
-Organizarea securitii informaiei;
-Managementul resurselor;
-Securitatea resurselor umane;
-Securitatea fizic i a mediului de lucru;
-Managementul comunicaiilor i operiunilor;
-Controlul accesului;
-Achiziionarea, dezvoltarea i mentenana sistemelor informatice;
-Mnagementul incidentelor de securitate a informaiei;
-Managementul continuitii afacerii:
-Conformitatea
-
MANAGEMENTUL SECURITATII
Managementul securitii informaiilor. SR/ISO 27002(cont)
23 octombrie 2014 25 Evaluator de risc la securitatea fizic
Fiecare domeniu al masurilor de securitate amintite, cuprinde : -un obiectiv al msurilor de securitate, care stabilete ce trebuie atins;
-una sau mai multe msuri de securitate care pot ajuta la tingerea
obiectivului.
Pentru msura de securitate sunt date enunul, detalii de implementare i
alte consideraii.
Alegerea msurii/lor de securitate se face urmare a procesului de
management al riscurilor informaionale, iar acestea sunt reinute n aa
numita ,,declaraie de aplicabilitatea,, , acesta din urm fiind utilizat de
auditor n vederea certificrii conformitii cu standardul SR/ISO 27001.
Dezvoltarea SMSI Identificare, evaluare risc Decizia de a trata
riscurile Adoptarea msurii de securitate. Control
Auditare SMSI
-
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice. Concept
23 octombrie 2014 26 Evaluator de risc la securitatea fizic
Conform UE: Acele obiective, reele, servicii, active fizice i mijloace informatice care, dac sunt ntrerupte sau distruse , vor avea un impact serios asupra sntii, siguranei, securitii sau a bunstrii economice a cetenilor sau asupra funcionrii efective a actului de guvernare;
-sisteme de producere, transport sau distribuie a energiei electrice;
-sisteme de extracie, prelucrare i transport petrol, gaze i alte resurse primare de energie;
-obiective i instalaii nucleare;
-sisteme informatice i de telecomunicaii(rele calculatoare, telefonie, etc
-deeuri rezultate din prelucrarea substanelor radioactive, toxice;
-sisteme aprovizionare cu ap;
-infrastructura i mijloacele de transport, de toate tipurile;
-sistemele financiare, bancare i de asigurri;
-serviciile de sntate i de intervenie n cazurile de urgen;
-valorile i utilitile publice de interes strategic;
-autoriti publice (preedinie, parlament, guvern, structurile informative.
-
Consilier de Stat
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice. Cadru naional
23 octombrie 2014 27 Evaluator de risc la securitatea fizic
Protecia infrastructurii critice devine tot mai mult un model regional/continental de securitate, care poate fi pus n practic n baza parteneriatului public-privat.
Directiva 114/2008, Ordonaa de Urgen nr. 98/2009 i Legea nr.18/2010 asigura cadrul legal de aciune.
Prim ministru
Ministerul Administraiei i Internelor Grup de lucru interinstituional
Centru de coordonare a proteciei infrastructurii critice (CCPIC)
Punct de contact naional Mnagement reea CIWIN
Autoriti publice responsabile
Compartiment specializat n domeniul ICN/ICE
Proprietari/operatori/administratori de ICN/ICE
Ofier de legtur pentru securitatea ICE/ICN
Planul de securitate al operatorului
Centru ssituaii de urgen/Guvern
-
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice.
23 octombrie 2014 28 Evaluator de risc la securitatea fizic
n accepiunea UE, infrastructura critic trebuie s afecteze cel puin 2 state.
Grupul de lucru interinstituional i CCPIC-ul au contacte la nivel UE.
Autoritile publice responsabile (APR) i Operatorii de infrastructuri
critice rspund de punerea n practic a msurilor i de coordonarea
eforturilor la nivel sectorial.
Din aceast perspectiv, deintor sau operator este acea
persoan/instituie care au responsabiliti cu investiiile n /operarea
curent a unui obiectiv/sistem sau parte a sa, identificat i desemnat ca
infrastructur critic.
Linkul ataat ne conduce la tabelul cu toate autoritile desemnate ca
responsabile pentru infrastructura critic.
..\Anexa 1.pdf
-
MANAGEMENTUL SECURITATII
Protecia infrastructurii critice. Mecanism de aciune
23 octombrie 2014 29 Evaluator de risc la securitatea fizic
Mecanismul de aciune, cu alocarea rolului i a responsabilitilor ntre participani este prezentat schematic mai jos.
Guvern, ministere, administraie local
Furnizori, Asociaii profesionale Mediu academic, ONG-uri
Companii publice sau Private careD/A/O IC
Identificare active critice
Evaluarea vulnerabilitilor
Analiza riscurilor
Managementul riscurilor
Planificarea rspunsului de Urgen i al recuperrii
Abordarea procesual
Diseminare informaii, instruire
Coordonare
Interdependene
Cercetare-dezvoltare
Prevederi legale
-
MANAGEMENTUL SECURITATII
Infrastructuri critice de informaii
23 octombrie 2014 30 Evaluator de risc la securitatea fizic
Protecia infrastructurii critice, excede n unele privine, aspectele securitii. De exemplu,
managementul riscurilor operaionale sau, analiza i managementul intedependenelor, n care
predomin aspectul tehnic sau operaional specific .
n al doile rnd, interdependena infrastructur critic i infrastructur critic de informaii.
Infrastructurile critice de informaii se refer la sistemele informatice i de telecomunicaii, vitale
pentru operarea/funcionarea infrastructurii critice naionale sau internaionale:
-reele de telecomunicaii, managementul acestora, servicii de localizare utilizate n apelurile de urgen;
-Controlul traficului aerian, controlul i rutarea trenurilor, managementul traficului rutier, fluvial;
-Sistemul plilor electronice cu card, tranzacii electronice, burse electronice;
-Sisteme de tip SCADA care gestioneaz producerea i distribuia energiei, a celei chimice.
-Conform OECD , ICI sunt definite ca ,, acele reele i sisteme de informaii interconectatea care, dac
sunt ntrerupte sau distruse, pot avea un impact major asupra sntii, siguranei, securitii sau a
bunstrii economice a cetenilor sau asupra funcionrii efective a actului de guvernare i a
economiei.,,
-Acestea pot fi:
- componente informatice care susin infrastructurile critice;
-Infrastructuri de informaii care susin componentele majore ale guvernrii;
-Infrastructuri de informaii care sunt eseniale pentru economia naional.
Atenie la rolul nefast pe care poate s-l aib atacul cibernetic asupra securitii infrastructurii critice de
informaii.
Internetul, magazinele virtuale, diagnostic/consultaii on-line.
-
MANAGEMENTUL SECURITATII
Infrastructura critic. Managementul rezilienei organizaiei.
23 octombrie 2014 31 Evaluator de risc la securitatea fizic
Pornind de la adevrul c nu toate activele pot fi protejate (sau c este prea scump)
ASIS Internaional a dezvoltat un nou concept ,, reziliena organizaional,,, n care a integrat
managementul securitii cu pregtirea pentru i susinerea rspunsului de urgen i de
cpntinuitate.
Cum nu toate riscurile pot fi eliminate, conceptul de rezilien pune accentul pe
rvenirea ct mai urgent la starea de normalitate. Elementele rezilienei:
-robusteea elementului/sistemului care trebuiwe protejat;
-existena unor proceduri i active adecvate de rezerv;
-capacitatea de a rspunde i de a declana aciunile de recuperare necesare;
-viteza cu care aciunile de reactivare sunt declanate;
-capabilitatea organizaiei de a gestiona situaia de criz.
Astfel au aprut standardele ASIS SPC 1-2009 Organizational Resilience: Security,
Preparadness, and Continuity Management Systems Requirements for Use, ANSI/ASIS SPC 4
2012 Organisational Resilience Maturity Model Phase Implementation, sau documentul de bune
practici elaborat de specialistii italieni UNI/PdR 6- 2014 Critical Infrastructure . Resilience
management system Requirments.
Aceste documente ofer , pentru orice tip de organizaie, elemntele necesare realizrii
unui control proactiv al riscurilor i a performanei n gestionarea rezilienei n raport cu dotrile
fizice, serviciile, activitile, produsele, canalele de aprovizionare i furnizare sau continuitatea
operaional.
-
MANAGEMENTUL SECURITATII
Infrastructura critic. Activiti de rspuns dup incident.
23 octombrie 2014 32 Evaluator de risc la securitatea fizic
Incident
Obiectivul: Revenirea la starea de normalitate
Timp
Rspuns la incident
Continuitatea activitii
Recuperare/Restabilire starea normal
Salvarea oamenilor Limitarea pagubelor Utilizarea planului de continuitate
Recuperarea proceselor critice Refacerea muncii pierdute
Repararea daunelor Revenirea la normal Recuperarea daunelor de la asiguratori
Minute - ore
Minute - zile
Sptmni - luni
-
MANAGEMENTUL SECURITATII
Mangementul riscului la securitatea fizic.
23 octombrie 2014 33 Evaluator de risc la securitatea fizic
Riscul este definit ca incertitudinea unui rezultat, mbrcnd forma unei oportuniti de
natur pozitiv sau ameniri la adresa unor aciuni, procese sau evenimente. Riscul trebuie
evaluat din perspectiva unei combinaii ntre probabilitatea ca ceva s se ntmple i impactul pe
care materializarea respectivei posibiliti l va avea.
Managementul riscurilor include identificarea i evaluarea riscurilor i modul de
reacie la apariia acestora. n cele mai multe cazuri, riscurile nu pot fi evitate, de aceea se va urmri
un rspuns optim la risc, plecnd de la prioritile stabilite de analiza riscului.
Fiecare organizaie trebuie s iamsurile ce necesare controlrii riscului pna la nivelurile
confirmate ca fiind tolerabile.
Rspunsul la risc - ,,control intern,, pote consta n:
-Tolerare;
-Tratarea ntr-un mod adecvat, pn la reducerea acestuia la un nivel acceptabil, sau transformarea
acestuia n oportuniti;
-Transferare;
-ncetarea activitii care l-a generat.
-Nivelul de risc care persist i dup tratarea acestuia expunerea la respectivul risc, trebuie s fie
acceptabil i justificabil(n limitele apetitului la risc).
-Unb proces eficace de gestionare a riscurilor presupune o analiz riguroas a contextului n care
organizaia funcioneaz i de prioritizarea riscurilor partenerilor.
-
MANAGEMENTUL SECURITATII
Ierarhia riscului.
23 octombrie 2014 34 Evaluator de risc la securitatea fizic
Proiect i operaional
Program
Strategic Decizii strategice
Decizii care traduc Strategia n aciuni
Decizii necesare implementrii
Mnagementul riscului la orice nivel strategic, de program i operaional Trebuie integrat, astfel ca nivelurile s se susin reciproc. Aceast strategie face din managementul riscului o operaie de rutin, plecat din vrf, pna La nivelurile de jos. Personalul trebuie s contientizeze importana controlului riscului pentru atingerea obiectivelor , urmare a instruirii n acest sens.
-
MANAGEMENTUL SECURITATII
Standardele SR/ISO/IEC 31000 i 31010.
23 octombrie 2014 35 Evaluator de risc la securitatea fizic
Abordarea generic din aceste standarde furnizeaz principiile i liniile directoare pentru abordarea oricrei probleme de risc ntr-o form sistematic, transparent i continu, pentru orice domeniu i orice context.
Fiecare sector sau aplicaie de management al riscului presupune nevoi, public, percepii i criterii proprii. Aceasta a fcut ca standardele enunate s includ n managementul riscului, chiar de la nceput, stabilirea contextului .
Acest proces preliminar ne ajut s nelegem obiectivele organizaiei, mediul n care organizaia acioneaz, prile interesate i complexitatea activitii, inclusiv diversitatea riscurilor inerente.
Pentru evaluarea riscului, n faza stabilirii contextului, se va urmri identificarea contextului extern dar i a celui intern:
a) extern familiarizarea cu mediul n care organizaia opereaz:
- factori culturali, sociali, politici, juridici, de reglementare, financiari, economici i de mediu concurenial, fie ei locali, regionali, naionali sau internaionali;
- factori cheie i tendine cu impact asupra organizaiei;
- percepii i valori ale prilor externe interesate.
b) Intern, implic nelegerea:
- capacitilor organizaiei n ceea ce privete cunotinele i resursele;
- fluxurilor de informaii i a proceselor decizionale;
- prilor interne interesate;
-Obiectivelor i a strategiilor pentryu atingerea acestora;
- percepiilor, valorilor, implicaiilor socio-culturale;
- poiliticilor i proceselor;
-Standardelor i modelelor de referin adoptate de organizaie;
-Structurilor (organigrame, roluri, atribuii)
-
MANAGEMENTUL SECURITATII
Standardele SR/ISO/IEC 31000 i 31010.
23 octombrie 2014 36 Evaluator de risc la securitatea fizic
c) Stabilirea contextului procesului de managemnt al riscurilor implic:
- definirea atribuiilor i responsabilitilor;
- definirea amplorii activitilor de managemnt al riscurilor ce vor
fi desfurate, inclusiv ce se include/exclude;
- definirea relaiei dintre un proiect/eveniment anume i alte
proiecte/evenimente ale organizaiei;
- definirea metodologiei de evaluare a riscurilor;
- definirea criteriilor de risc;
- definirea modului de evaluare a performanei managementului
riscului;
- identificarea i precizarea deciziilor i aciunilor ce trebuie
ntreprinse;
- identificarea studiilor necesare pentru domeniul de aplicare sau
ncadrare, mrimea, obiectivele, i resursele necesare pentru aceste
studii;
-
MANAGEMENTUL SECURITATII
Standardele SR/ISO/IEC 31000 i 31010.
23 octombrie 2014 37 Evaluator de risc la securitatea fizic
d) Definirea criteriilor de risc implic stabilirea:
- naturii i tipului de consecine ce trebuie incluse i modul n care
acestea vor fi msurate;
- modalitii n care se vor exprima probabilitile;
- modalitii de stabilire a unui nivel de risc;
- criteriile conform crora se va decide cnd un risc trebuie tratat;
- criteriile care stabilesc cnd un risc este acceptabil/tolerabil;
- dac i cum vor fi luate n considerare combinaiile de riscuri.
Criteriile se pot baza pe surse precum:
- obiective convenite ale proceselor;
- criterii identificate n specificaii;
- criterii general acceptate n domeniu, ex. Niveluri de integritate a
securitii;
- apetitul pentru risc organizaional;
- cerine juridice sau de alt natur, pentru echipamente sau procese.
-
MANAGEMENTUL SECURITATII
EVALUAREA RISCULUI .
23 octombrie 2014 38 Evaluator de risc la securitatea fizic
EVALUAREA RISCULUI reprezint procesul global care cuprinde identificarea, analiza
i estimarea riscului.
IDENTIFICAREA RISCULUI reprezint procesul de descoperire, recunoatere i descriere a
riscului i implic:
- identificarea surselor de risc, a evenimentelor, a cauzelor i a potenialelor cerine ale acestora;
- date istorice, analize teoretice, opinii informate i ale experilor, precum i nevoile prilor
interesate;
- descrierea riscului reprezint prezentarea structurat a riscului care conine, de regul, patru
elemente: surse, evenimente, cauze i consecine;
sursa riscului reprezint elementul care, singur sau n combinaie cu altele, are potenialul intrinsec de a
produce un risc;
evenimentul reprezint apariia sau modificarea unui anumit set de mprejurri:
- poate fi unic, se poate produce de mai multe ori sau poate avea mai multe cauze;
- poate consta din ceva ce nu se ntmpl;
- poate fi un incident sau un accident;
pericolul reprezint sursa de posibile pagube; poate fi o surs de risc;
proprietarul riscului reprezint o persoan sau o entitate cu responsabilitatea i autoritatea de a gestiona
un risc.
-
MANAGEMENTUL SECURITATII
ANALIZA RISCULUI .
23 octombrie 2014 39 Evaluator de risc la securitatea fizic
ANALIZA RISCULUI reprezint procesul de nelegere a naturii riscului i de determinare a nivelului de risc; ea constituie baza estimrii riscului i a deciziilor referitoare la
tratarea riscului:
- plauzibilitatea reprezint posibilitatea ca un anumit fapt s se ntmple; ea mai este considerat posibilitate,
probabilitate sau frecven;
- expunerea la risc reprezint msura n care o organizaie i/sau o parte interesat sunt/ este supuse (supus) unui
eveniment;
- consecina reprezint efectul unui eveniment care afecteaz obiectivele:
- un eveniment poate genera o serie de consecine;
- o consecin poate fi cert sau incert i poate avea efecte pozitive saunegative asupra obiectivelor;
- consecinele pot fi exprimate calitativ sau cantitativ;
- consecinele iniiale pot declana reacii n lan;
- probabilitatea este msura posibilitii de apariie exprimat ca un numr ntre 0 i 1, unde 0 reprezint
imposibilitatea i 1 - evenimentul sigur;
- frecvena reprezint numrul de evenimente sau efecte ntr-o unitate de timp definit: ea poate fi aplicat
evenimentelor trecute (plauzibilitate) sau evenimentelor viitoare (probabilitate);
- vulnerabilitatea reprezint caracteristica unei entiti care are ca urmare susceptibilitatea fa de o surs de risc i
poate conduce la un eveniment cu consecine;
- matricea de risc reprezint instrumentul pentru clasificarea i afiarea riscurilor, prin definirea categoriilor de
consecine i de plauzibiliti;
- nivelul de risc reprezint mrimea unui risc sau a unei combinaii de riscuri exprimat prin combinaia
consecinelor i plauzibilitii acestora.
-
MANAGEMENTUL SECURITATII
MONITORIZAREA RISCULUI .
23 octombrie 2014 40 Evaluator de risc la securitatea fizic
MONITORIZAREA reprezint verificarea continu,
supravegherea, observarea critic sau determinarea strii n scopul
de a identifica schimbrile fa denivelul de performan n raport
denivelul solicitat sau ateptat:
- poate fi aplicat unui cadru organizaional de management al
riscului, unui proces de management al riscului, unui risc sau unui
mijloc de control.
-
MANAGEMENTUL SECURITATII
REVIZUIREA RISCULUI .
23 octombrie 2014 41 Evaluator de risc la securitatea fizic
REVIZUIREA reprezint activitatea desfurat pentru a determina oportunitatea,
adecvarea i eficiena subiectului legate de atingerea obiectivelor stabilite:
- poate fi aplicat unui cadru organizaional de management al riscului, unui proces de management
al riscului, unui risc sau unui mijloc de control;
- raportararea riscului reprezint forma de comunicare destinat informrii anumitor pri interesate
interne sau externe, furnizndu-le informaii referitoare la starea curent a riscului i la
managementul acesteia;
- registrul de risc reprezint instrumentul de nregistrare a informaiilor despre riscurile identificate:
- mai este denumit i jurnal de risc;
- profilul de risc reprezint descrierea unui ansamblu de riscuri:
- ansamblul de riscuri poate conine elemente care se refer la ntreaga organizaie sau la o parte a
acesteia;
- auditul managementului riscului reprezint procesul sistematic, independent i documentat pentru
obinerea i evaluarea dovezilor n mod obiectiv, n scopul de a determina msura n care cadrul
organizaional de management al riscului sau orice parte selectat a acestuia, este adecvat sau
adecvat i eficient.
-
MANAGEMENTUL SECURITATII
TEHNICI DE ANALIZ A RISCULUI.
23 octombrie 2014 42 Evaluator de risc la securitatea fizic
Riscul n activitatea unei firme se refer la probabilitatea de a nu se respecta obiectivele
stabilite n termeni de performanta (nerealizarea standardelor de calitate), program (nerespectarea
termenului de execuie) si cost (depirea bugetului).
Element de risc este orice element care are o probabilitate msurabil de a devia de la plan.
O activitate,notat (a), poate fi considerat element de risc dac sunt ndeplinite simultan
urmtoarele dou condiii:
0 < P(a) < 1 (1) n faza de identificare a riscului
L(a) = 0 (2) se identific tote elementele care
stisfac condiiile (1) i (2)
unde: P(a) = probabilitatea ca un eveniment (a) s se produc
E(a) = efectul evenimentului (a) asupra obiectivelor
L(a) = evaluarea monetar a lui E(a)
Managementul riscului este un proces ciclic, cu mai multe faze distincte: identificarea riscului,
analiza riscului i reacia la risc.
Totodat, se elimin riscurile neconcordante, adic acele elemente de risc cu probabiliti reduse de
apariie sau cu un efect nesemnificativ.
Atenie : riscuri interne i riscuri externe
-
MANAGEMENTUL SECURITATII
Metode de identificare a riscului.
23 octombrie 2014 43 Evaluator de risc la securitatea fizic
Ci i metode de identificarea riscului:
ntocmirea unor liste de control care cuprind surse poteniale de risc, cum ar fi: condiii de mediu, rezultatele ateptate, personalul, modificri ale obiectivelor, erorile i omisiunile de
proiectare i execuie, estimrile costurilor i a termenelor de execuie etc.;
analiza documentelor disponibile n arhiva firmei, pentru identificarea problemelor care au aprut n situaii similare celor curente;
utilizarea experienei personalului direct productiv (efi de secii i de echipe) prin invitarea acestora la o edin formala de identificare a riscurilor. De multe ori oamenii de pe teren sunt
contieni de riscuri i probleme pe care cei din birourinu le sesizeaz. O comunicare
eficient teren - birouri este una dintre cele mai bune surse de identificare i diminuare a
riscurilor;
identificarea riscurilor impuse din exterior (prin legislaie, schimbri n economie, tehnologie, relaii cu sindicatele) prin desemnarea unei persoane care s participe la ntrunirile
asociaiilor profesionale, la conferine i care s parcurg publicaiile de specialitate.
Analiza riscului realizeaz o cuantificare ct mai precis a riscurilor identificate. Exist o
multitudine de metode matematice de cuantificare a riscului, de la calculul probabilistic, pna
la metoda Monte Carlo.
Cea mai simpl metod de cuantificare a riscurilor este aceea a valorii ateptate (VA), care se calculeaz ca produs ntre probabilitile de apariie ale anumitor evenimente i efectele acestora:
VA(a) = P(a) x E(a) (3)
-
MANAGEMENTUL SECURITATII
Riscurile securitii fizice. (cont)
23 octombrie 2014 44 Evaluator de risc la securitatea fizic
Securitate fizic este definita ca fiind starea de fapt n care riscul determinat de
factorii de ameninare i vulnerabilitile care pot pune n pericol viaa, integritatea corporal sau
libertatea persoanei ori pot aduce prejudicii valorilor deinute de uniti, se situeaz la unnivel
acceptabil.
Riscurile care ar putea interveni sunt:
g) mecanisme de securitate soluii care cuprind mai multe msuri de securitate, carefuncioneaz
conform unor scenarii predefinite, pentru securizarea unuia sau mai multor obiective, atunci cnd
sunt amplasate n acelai perimetru;
h) sisteme de securitate - soluii lanivel de sistem pentru uniti cu multiple obiective de securitate
distribuite geografic n locaii diferite;
i) parametri interni i externi care genereaz i/sau modific riscurile la securitatea fizic a unitii
contextul care poate cuprinde, dar nu se limiteaz la:
1. mediul cultural, social, politic, de reglementare, financiar, tehnologic, economic,natural i
concurenial, lanivel internaional,naional, regional sau local;
2. factorii cheie i tendinele cu impact asupra obiectivelor organizaiei;
3. relaiile cu prile interesate, percepiile i valorile acestora.
-
RISCUL LA SECURITATEA FIZIC
Conceptul de risc.
23 octombrie 2014 45 Evaluator de risc la securitatea fizic
Riscul nseamn posibilitatea de producere a unui eveniment nedorit,
Fapt ce ar duce la consecine negative.
Numim risc nesigurana asociat oricrui rezultat.
Nesigurana se poate referi la probabilitatea de apariie a unui eveniment sau
La influena, la efectul unui eveniment n cazul n care acesta se produce.
Riscul apare atunci cnd:
un eveniment se produce sigur, dar rezultatul acestuia e nesigur;
efectul unui eveniment este cunoscut, dar apariia evenimentului este
nesigur;
att evenimentul ct i efectul acestuia sunt incerte.
-
RISCUL LA SECURITATEA FIZIC
Caracteristicile riscurilor.
23 octombrie 2014 46 Evaluator de risc la securitatea fizic
Un eveniment concret ce se poate produce n viitor
Probabilitatea de apariie
Consecina producerii (impact + sau -)
Riscul este aproape ntotdeauna asociat unei ameninri; cu toate acestea,
exist riscuri pozitive, care pot fi vzute ca o oportuniti
Riscul nu este o problemo problem este un risc care sa
materializat
-
RISCUL LA SECURITATEA FIZIC
Presupunere Vs Risc.
23 octombrie 2014 47 Evaluator de risc la securitatea fizic
Presupunere (Assumption) Pot exista circumstante sau
evenimente externe care trebuie sa aiba loc pentru ca proiectul sa
se poata incheia cu succes. Daca probabilitatea de aparitie a unui
astfel de eveniment este mare, el trebuie considerat presupunere
(in contrast cu definitia riscului). Daca un eveniment se afla sub
controlul echipei de proiect, cum este de exemplu terminarea
testarii pina la o anumita data, acesta nu este o presupunere (face
parte din abordarea proiectului). Daca un eveniment are sanse
100% sa se intimple, nu este o presupunere, deoarece nu sunt
implicate o probabilitate sau un risc (este doar o realitate, un
fapt). Exemple de presupuneri pot fi Bugetul si resursele vor fi
disponibile atunci cind va fi nevoie sau Noua versiune de
software va fi disponibila pentru utilizare pina la inceperea Fazei
de Constructie.
-
RISCUL LA SECURITATEA FIZIC
Formalizri ale riscului de securitate.
23 octombrie 2014 48 Evaluator de risc la securitatea fizic
Au fost dezvoltatea modele de formalizare i reprezentarea nivelelor de risc.
Modelul EASI(Estimate of Adversary Sequence Interruption) propune evaluarea probabilitii
ntreruperii unui atac pe baza pe baza performanelor unui sistem de protecie fizic din
prespectiva funciilor de baz ale scestuia: detecie, ntrziere, rspunsul i comunicaiile.
Astfel, pentru ntreruperea unei tentative de furt, de exemplu, timpul de rspuns
necesa forelor de intervenie s intervin i s ntrerup atacul, trebuie s fie mai mic sau egal
cu suma timpilor necesari pentru: transmiterea alarmei, evaluarea alarmei, alertarea forelor de
intervenie, pregtirea rspunsului, parcurgerea distanei, intervenia/oprirea atacului.
Transmiterea alarmei
Evaluarea alarmei
Alertarea forelor de intervenie
Pregtirea rspunsului
Parcurgerea distanei
Intervenia Timp pentru:
-
RISCUL LA SECURITATEA FIZIC
Factori ai riscului de securitate.
23 octombrie 2014 49 Evaluator de risc la securitatea fizic
Pentru desemnarea cauzelor poteniale care pot pune n pericol viaa, integritatea corporal sau libertatea persoanei ori pot aduce prejudicii valorilor deinute de uniti, este utilizat tot mai frecvent, n analizele de specialitate, termenul de factor de risc. Orientarea specialitilor ctre studierea aprofundat a factorilor de risc este
perfect justificat de posibilitatea oferit astfel pentru stabilirea msurilor de prevenire
pornind de la riscurile poteniale.
Factori de risc la adresa securitii fizice pot fi clasificai n factori interni i externi.
La rndul lor, factorii externi de risc se pot diviza n:
- factori de risc determinai de mediu (obiectivi);
- factori de risc de natur uman (subiectivi).
Factorii de risc nu sunt independeni, iar pierderile nregistrate n situaiile manifestrii riscului sunt deseori consecine ale interdependenei dintre ei.
-
RISCUL LA SECURITATEA FIZIC
Factori ai riscului de securitate.
23 octombrie 2014 50 Evaluator de risc la securitatea fizic
Factorii interni de risc sunt asociai activitilor i operaiunilor desfurate n
interiorul entitii i exprim, n principal, deficienele cu care subsistemele entitii sunt
proiectate, realizate i exploatate de ctre utilizatori (cum ar fi calitatea i motivarea
personalului, fluctuaia personalului, calitatea sistemelor de control i creterea rapid a
volumului de munc). Acetia pot conduce, n unele cazuri, la obinerea unor
performane sczute ale sistemului (entitii) n ansamblu.
Factorii externi de risc pot fi reprezentani de mediul legislativ existent i posibilitatea schimbrilor n legislaie, dezvoltrile tehnologice, capacitatea instituiilor
de a ndeplini activitile ce le sunt delegate i mediul general de risc n care se opereaz,
situaii de for major.
Eroarea uman - numrul erorilor produse este determinat de fiabilitatea factorului uman, care depinde chiar pentru acelai individ i aceeai operaie, de un
numr ridicat de factori care nu ntotdeauna pot fi modelai veridic. Rata greelilor
umane crete semnificativ proporional cu creterea complexitii tehnice a sistemului din care face parte, ct i a complexitii sarcinii pe care acesta o are de ndeplinit.
.
-
RISCUL LA SECURITATEA FIZIC
Corelaia Securitate - Risc.
23 octombrie 2014 51 Evaluator de risc la securitatea fizic
n terminologia de specialitate, securitatea este definit ca faptul de a fi la adpost de
orice pericol, iar riscul - posibilitatea de a ajunge ntr-o primejdie, pericol potenial.
Securitatea guverneaz managementul riscului.
Gestionarea eficienta a riscurilor depinde de cuantificarea exacta a acestora. Este extrem
de dificil a proiecta o strategie durabila si de succes in gestionarea riscurilor fara ca mai intai sa
identifici, sa masori, sa analizezi si sa intelegi riscurile existente si emergente care au impact asupra
unei companii.
Proces cu nalt nivel de operaionalizare, securitatea este caracterizat, dpdv al performanelor, de
riscul asumat, care reprezint att indicator de performan al sistemului ct i element de referin
al comportamentului reactiv al acestuia.
La nivelurile de risc (dezastru, major, mediu, minor, neglijabil) se raporteaz direct strategiile de
securitate (limitele de siguran i stabilitate minimale, suficiente, acoperitoare i sigure), i se
evalueaz de regul, i costurile necesar a fi suportate.
Dat fiind faptul c nivelul de risc (R) este o variabil analitic, avnd drept factori ameninrile (A
= A1 A2) i vulnerabilitile (V) , iar ca element de concretizare corespondena cu producerea
evenimentelor nedorite, (de securitate), pe care le caracterizeaz din punct de vedere al
probabilitii sau posibilitii, precum i al consecinelor de producere, rezult c evaluarea
riscului este un proces complex, cu un nivel ridicat de subiectivism; de aceea pentru evaluare se
impun procedee ct mai precise i mai laborioase.
A1 = ameninri de mediu, A2= ameninri ce provin din exacerbarea unor vulnerabiliti
-
RISCUL LA SECURITATEA FIZIC
Repartizarea riscului.
23 octombrie 2014 52 Evaluator de risc la securitatea fizic
Repartizarea riscurilor este de asemenea un instrument performant de management al riscului. Aceasta se refera la partile care vor accepta o parte sau intreaga
responsabilitate pentru consecintele riscului. Repartizarea riscului trebuie sa se faca
tinandu-se seama de comportamentul fata de risc al diferitelor organizatii implicate. In
acest sens regula generala de alocare a riscului este sa se aloce riscul partii care poate sa
il suporte si sa il controleze cel mai bine.
Strategia de contractare constituie un mecanism esential in repartizarea
riscului. Riscurile pe care si le asuma firma sunt in mod obisnuit formalizate princontracte cu
beneficiarii. Riscurile legate de resursele umane sunt acoperite, cel putin partial, prin
incheierea contractelor colective si individuale de munca. In majoritatea cazurilor, riscurile legate
de materiale si echipamente pot fi transferate furnizorilor acestora, prin garantiile pe care acestia le
ofera. Unele riscuri pot fi indepartate prin incheierea unor contracte de asigurare. Compania de
asigurari isi asuma o parte din riscuri in schimbul unui pret (prima de asigurare). Daca riscul se
produce in conditiile specificate prin contractul de asigurare, asiguratorul va rambursa partea
asigurata sau toate pierderile suferite datorita riscului.
Performanta in procesul de management al riscului este data de calitatea managerilor si a
personalului implicat, si anume de cea mai slaba veriga din cadrul sau. Managerii firmei trebuie sa
se asigure ca echipa care realizeaza managementul riscului este competenta si a gasit o cale de
mijloc intre tehnicizarea excesiva a procesului si actiunea pe baza de intuitie.
-
RISCUL LA SECURITATEA FIZIC
Definirea riscului la securitatea fizic.
23 octombrie 2014 53 Evaluator de risc la securitatea fizic
Ameninare = un pericol potenial, ce trebuie evideniat funcie de natura procesului
care trebuie protejat i de caracteristicile mediului din care acesta face parte i care, dac se
concretizeaz, poate produce consecine dezastruoase.
Vulnerabilitatea reprezint fie o zon a aciunii invocate avnd un grad de ameninare
vizibil sau ridicat, fie un mediu favorabil neglijenei sau, n general, criminalitii, care, dac este
exploatat de un potenial duman, poate conduce, de asemenea, la consecine dezastruoase.
Prin risc se nelege, aadar, probabilitatea de a se produce i capabilitatea de a nfrunta
un pericol, o situaie neprevzut sau de a suporta o pagub, un eec n aciunea ntreprins. Sau,
altfel spus, riscul poate fi considerat o estimare a probabilitii ca o ameninare s foloseasc cu
succes o vulnerabilitate i s produc o consecin dezastruoas.
Atribuirea unei valori de risc pentru o aciune, un eveniment este condiionat de doi
factori importani: probabilitatea de apariie a pericolului i consecinele apariiei acestuia,
transpus formal n relaia:
R = P x C
sau, in termeni ai teoriei multimilor :
RISC = PROBABILITATE CONSECINE
Din aceast relaie rezult c riscul poate fi ridicat atunci cnd, fie probabilitatea de
producere a pericolului este mare, fie cnd, n cazul producerii unui pericol, consecinele sunt
pronunat negative, dar este sigur ridicat cnd ambii factori sunt mari.
-
RISCUL LA SECURITATEA FIZIC
Niveluri de risc
23 octombrie 2014 54 Evaluator de risc la securitatea fizic
Corelaia risc, probabilitatea de producere a pericolului i consecinele producerii
Asociind valori discrete celor dou mulimi ce se intersecteaz, rezult nivelurile de risc astfel:
-
RISCUL LA SECURITATEA FIZIC
Scala de reprezentare a nivelurilor de risc
23 octombrie 2014 55 Evaluator de risc la securitatea fizic
CALITATIV CANTITATIV
DEZASTRU F. MARE RIDICAT 100 % 1 5
MAJOR MARE 80 % 0,81 4 0,66
MEDIU MODERAT MEDIU 60 % 0,6 3
MINOR SCZUT 40 % 0,4 2 33
NEGLIJABIL REDUS F. SCZUT 20 % 0,2 1
n aplicaiile de determinare a riscurilor obiectivelor de securitate , i nu numai, se utilizeaz o scal cu cinci niveluri i cu valori de la 0 la 5, la care este asociat caracterizarea calitativ De la NEGLIJABIL la DEZASTRU
-
RISCUL LA SECURITATEA FIZIC
Niveluri de risc vs Atitudinea fa de risc
23 octombrie 2014 56 Evaluator de risc la securitatea fizic
Fig. 2. Atitudinea fa de risc
-
RISCUL LA SECURITATEA FIZIC
Atitudinea fa de risc
23 octombrie 2014 57 Evaluator de risc la securitatea fizic
La fundamentarea analizei de risc se va avea n vedere realizarea unei
corespondene ntre valorile de risc obinute i gradul de acceptabilitate al
acestuia, coresponden de care depinde politica de securitate ce va fi adoptat
de factorii de decizie
Analiznd corespondena din figur se poate trage concluzia c pot fi
adoptate 3 categorii de atitudini fa de risc:
acceptarea (tolerarea): se poate adopta fa de riscurile neglijabile i de o mic
parte a celor minore, care, dac s-ar produce, ar determina pagube suportabile
reducerea selectiv: se poate adopta fa de riscurile minore, medii i o mic
parte a celor majore i ar consta n adoptarea unor msuri preventive care s
reduc posibilitatea producerii evenimentelor nedorite i utilizarea unor tehnici
i proceduri adecvate de reducere a consecinelor acestora
asigurarea: se adopt obligatoriu fa de riscurile dezastruoase i o parte a
celor majore, pentru care msurile desecuritate proprii ar fi prea costisitoare sau
prea complexe i din aceste cauze aceste riscuri sunt inacceptabile.
-
RISCUL LA SECURITATEA FIZIC
Componentele riscului la securitatea fizic
23 octombrie 2014 58 Evaluator de risc la securitatea fizic
Un obiectiv cu nevoi de securitate este o entitate fizic, valoric, ori
un mediu de existen ori de afaceri. Unui obiectiv de securitate i corespunde o
strategie, un mediu i un mecanism de securitate, realizate urmare a unor
evaluri unitare, realizate n baza unor proceduri i standarde ce guverneaz
domeniul securitii.
O analiz complet a riscurilor pe care le implic o entitate/facere/activitate,
este un proces laborios care trebuie s in seama att de cele dou dimensiuni
ct i de cele patru componente ale securitii.
Securitate
Fizic
Stabilitate
De personal
Siguran
Procesual
Informaional
Categorii Dimensiuni
-
RISCUL LA SECURITATEA FIZIC
Componentele securitii unui obiectiv
23 octombrie 2014 59 Evaluator de risc la securitatea fizic
Pentru evidenierea dimensiunilor i componentelor riscului de securitate facem
apel la metoda Fishbone(Ishikawa):
Securitate obiectiv
Procesual
Fizic
Informaional
De personal
Juridic
Funcional
Procedural
Detecie
Analiz
Tratare
Disponibilitate
Confidenialitate
Integritate
Protecie personal
Protecie mpotriva personalului
G
u
v
e
r
n
a
r
e
E v
enim
ent
ned
orit
I
n
f
o
r
m
a
i
i
Personal propriu
Personal din mediu
-
RISCUL LA SECURITATEA FIZIC
Riscul unui obiectiv de securitate
23 octombrie 2014 60 Evaluator de risc la securitatea fizic
Diagrama Fishbone(Ishikawa) a riscului unui obiectiv de securitate:
Informaional procesual
De personal Fizic
Disponibilitate
Confidenialitate
Integritate
Autenticitate
Proceduralitate
Funcionalitate
Jurisdicie
Protecie personal
Protecie mpotriva personalului
Detecie
Analiz
Tratare
Riscul de securitate
-
RISCUL LA SECURITATEA FIZIC
Determinarea componentelor riscului.
23 octombrie 2014 61 Evaluator de risc la securitatea fizic
Cele 4 componente de securitate constituie cauze primare ale efectului.
Fiecare cauz primar are cte dou trei cauze secundare. Ex., informaionl are,
disponibilitatea, integritatea, confidenialitatea, autenticitatea. Acestea din urm
determin greeli de operare, abateri procedurale, erori procesuale sau infraciuni.
riscul de securitae este suma ponderat a riscurilor celor dou dimensiuni (stabilitate i siguran):
Rs = p1 * Rst + p2 * Rsg unde p1 +p2 = 1
p1 = ponderea cauzelor primare care determina stabilitatea efectului
p2 = ponderea cauzelor primare care determin sigurana evenimentului
riscul fiecrei dimensiuni reprezint suma ponderat a riscurilor cauzelor primare care le compun:
Rst = Pp * Rp + Pi * Ri ; Pp +Pi =1; Rp risc comp. procesualitate; Ri risc comp.
Informaional
Rsg = Pf * Rf + Pps * Rps
riscul fiecrei componente reprezint suma ponderat a cauzelor sercundare care le produc:
Rp = Pj*Rj + Pfc*Rfc + Ppr*Rpr; Pj+Pfc+Ppr=1; Rj, Rfc, Rpr reprezint riscurile cauzelor
secundare care produc componenta procesualitii a riscului de securitate (jurisdicie,
procesualitate i proceduralitate). La fel se determin i componentele informaional, de personal
i fizic
-
RISCUL LA SECURITATEA FIZIC
Determinarea riscului.
23 octombrie 2014 62 Evaluator de risc la securitatea fizic
riscurile cauzelor secundare se determin izomorfic, conform formalizrilor probabilitate , consecine , oricu alt metod de determinare a riscului.
Determinarea riscului cu metoda fishbone se face aadar dup urmtorul algoritm:
Evaluarea ponderilor i impactului elementelor cauzelor secundare
Stabilirea riscului cauzelor secundare
Evaluarea/stabilireaponderilor cauzelor secundare
Determinarea riscurilor cauzelor primare
Determinarea poderilor cauzelor primare
Determinarea riscului dimensiunilor
Determinarea ponderilor dimensiunilor
Determinarea riscului global(de securitate)
Acceptarea risculuui
Risc acceptabil NU
DA
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda cartografierii riscurilor
23 octombrie 2014 63 Evaluator de risc la securitatea fizic
Exemplu: riscul pierderii locului de munc.
Revizuirea riscului
de nesiguran la
locul de munc
Rapoarte de control al
riscului de nesiguran
la locul de munc
Buget
Timp manager
Proceduri de siguran
Standarde naionale
Evaluator
Reprezentant Camera
de Munc
PROCES
Principala intrare a procesului de evaluare a riscului de nesiguran la locul de munc l reprezint revizuirea riscului la locul de munc. n evaluarea riscului de nesiguran se ine cont de o serie de restricii (proceduri de siguran, standarde naionale, buget i resurse de timp ale conducerii), dar i de o gam larg de resurse ce ajut n obinerea unui rezultat (ieiri) rapoarte de control al riscului de nesiguran. Evaluatorul/reprezentantul Camerei de Munc reprezint resursele acestui proces, i nu intrrile acestui proces, ntruct nu se consum pe parcursul desfurrii procesului.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda clasificrii riscurilor
23 octombrie 2014 64 Evaluator de risc la securitatea fizic
Cunoscut drept proces de evaluare a prioritii riscurilor, metoda se concentreaz pe ordonarea unui numr variat de riscuri innd cont de importana lor, respectiv de probabilitatea ca un incident s cauzeze consecine de o anumit gravitate (Baldwin, 2002).
Metoda se aplic pentru evaluarea riscurilor acute din organizaiile mici i mijlocii. Tehnica presupune un proces n ase pai:
1. identificarea evenimentului;
2. probabilitatea de producere a evenimentului;
3. modul n care evenimentul afecteaz persoanele;
4. numrul de persoane afectate;
5. evaluarea riscurilor;
6. clasificarea, planificarea i revizuirea soluiilor.
Metoda are la baz un sistem de scoruri bazat pe gradul de seriozitate a
accidentelor de la locul de munc. ntregul algoritm se bazeaz pe incidente din trecut
pentru a previziona pierderi viitoare, innd cont de statistici naionale. Potrivit
procesului de evaluare a prioritii riscurilor, cu ct este mai mare scorul riscului, cu att problema este mai serioas i de aici se impune o decizie mai structurat pentru reducerea acestuia.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Cardul de notare a riscului
23 octombrie 2014 65 Evaluator de risc la securitatea fizic
Cardul de notare a riscului este o metod strategic, cu o gam mai larg de aplicaii pentru identificarea riscurilor. Abordarea de notare pentru mbuntirea performanelor unei organizaii se bazeaz pe raionamentul urmtor: mbuntirea performanei poate fi realizat prin cuantificarea indicatorilor-cheie de performan.
Principalii indicatori de performan luai n considerare sunt cei din domeniul clienilor, operaiilor interne i al managementului financiar.
Una dintre variantele metodei este cardul de notare a riscurilor FIRM (financiar,
infrastructur, reputaie, mediu). Metoda se concentreaz asupra evoluiei riscurilor n timp, a
impactului riscurilor asupra organizaiei i a corelrii dintre expunerea la risc i capacitatea de risc
a organizaiei. Astfel, metoda (cardul de notare) ilustreaz natura complex i interdependena
riscurilor din cadrul activitii i efectul asupra ntregii organizaii. Potrivit acestei metode, riscuri
le sunt interne (infrastructur i financiar) i externe (reputaie i mediu).
Riscurile financiare sunt riscuri cu impact asupra resurselor financiare.
Riscurile de infrastructur sunt cele denumite riscuri stabilite, adic acele riscuri acoperite prin
asigurri i mecanisme similare.
Riscurile de reputaie sunt legate de imaginea organizaiei fa de clieni, furnizori, acionari i societate, n general. Aceste riscuri sunt variate, dificil de neles i cuantificat. Exemple de astfel de riscuri ar fi managementul firmei, aspecte de etic, aspecte legale. Rezultatul poate fi o imagine negativ i nedorit care afecteaz imaginea i reputaia companiei.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Cardul de notare a riscului
23 octombrie 2014 66 Evaluator de risc la securitatea fizic
Riscurile de mediu sunt acele riscuri legate de poziionarea organizaiei pe pia riscurile comerciale care afecteaz clienii i cheltuiala acestora, abilitatea de a menine contractele
cu partenerii, profilul de pia i performana organizaiei.
innd cont de aceste patru tipuri de riscuri, se poate determina capacitatea de risc a unei
organizaii. Astfel, aceasta se bazeaz pe acceptarea controalelor, tolerana la hazarduri i apetitul
pentru oportuniti.
Capacitate de risc = Acceptare control + Toleran hazarduri + Apetit pentru
oportuniti
Infrastructur
Reputaie Mediu
Financiar
Acceptare
control
Hazard
Oportunitate
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Profilul riscurilor
23 octombrie 2014 67 Evaluator de risc la securitatea fizic
Metoda profilul riscurilor ofer un cadru pentru realizarea unor raportri publice anuale privind controale de managementul riscului, permind evaluarea i monitorizarea strategic, sistematic i structurat a riscurilor existente (Dickson, 2003). De asemenea, metoda ofer sigurana suplimentar mpotriva pierderilor dezastruoase, un control efectiv al riscurilor pe perioade de schimbri i cretere, un management continuu, fr devieri, n timpul fuzionrilor i al achiziiilor. Potrivit unei organizaii de inovaii din Marea Britanie, care ofer soluii de management al riscului, aceast metod este format din cinci etape (AEA Technology, 2003).
1. definirea unitilor de risc;
2. stabilirea unor grade i a unei scheme de prioriti;
3. identificarea i evaluarea ameninrilor;
4. clasificarea riscurilor i identificarea controalelor;
5. monitorizarea i planurile de aciune pentru controlul riscului.
Un instrument de gradare a riscurilor propus de AEA, pct. 2, este matricea de gradare, care ine
cont de severitatea i frecvena evenimentelor.
Impact Niciuna Minor Moderat Semnificativ Impresionant
Frecven
Ocazional Mediu Mediu Ridicat Ridicat Ridicat
Redus Redus Mediu Mediu Ridicat Ridicat
Improbabil Redus Redus Mediu Mediu Ridicat
De necrezut Redus Redus Redus Mediu Mediu
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Concluzii
23 octombrie 2014 68 Evaluator de risc la securitatea fizic
Astfel, pentru o frecven ocazional cu un impact semnificativ, riscul va fi clasat drept ridicat. n schimbul celor trei valori ridicat, mediu i redus AEA folosete sistemul culorilor
rou, galben i verde.
Metoda de stabilire a profilului riscurilor ofer o abordare complex, interdisciplinar i strategic. Sistemul ofer o evaluare transparent, comparabil i consistent a riscurilor din ntreaga organizaie. Imaginea de ansamblu a riscurilor adreseaz prioritile de risc diferite i concurente cu care se confrunt majoritatea companiilor. Procesul este creat pentru necesitile fiecrei or
Procesul de prioritizare permite concentrarea resurselor limitate pentru riscurile-cheie
care pot afecta obiectivele i scopul unei organizaii. Un alt avantaj este preocuparea continu pentru identificarea i integrarea riscurilor noi n sistem.ganizaii ntruct diferenele existente determin profiluri distincte.
Concluzii
Dei exist un numr semnificativ de metode de identificare, exist o serie de
caracteristici comune pentru toate acestea. De obicei, nu este suficient o singur metod de
identificare pentru relevarea tuturor problemelor de risc cu care o organizaie are de-a face. Nu este
de dorit aplicarea numai a uneia sau a dou tehnici de identificare a riscurilor, ntruct excluderea
celorlalte ar duce la restrngerea numrului de riscuri pe care managerul de risc va putea s le
releve.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Etapele de evaluare a riscurilor
23 octombrie 2014 69 Evaluator de risc la securitatea fizic
Etapele metodologiei de analiz a riscurilor
Caracterizarea obiectivului
Identificarea evenimentelor nedorite
i a activelor critice
Determinarea consecinelor
Determinarea consecinelor
Definirea ameninrilor
Analiza eficienei sistemului
de securitate fizic
Estimarea riscurilor
Estimarea riscurilor Nu
Da
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Analiza riscurilor
23 octombrie 2014 70 Evaluator de risc la securitatea fizic
Analiza riscului este un proces iterativ, cuprinznd urmtoarele etape:
-Definirea parametrilor externi i interni, care pot contribui la generarea/modificarea
riscurilor organizaiei;
- stabilirea mwetodei i a instrumentelor de lucru;
- identificarea tuturor riscurilor, zonelor de impact, evenimentelor, cauzelor riscului,
precum i a potenialelor consecine, dac acestea s-ar materializa;
- analizarea riscurilor identificate;
- estimarea riscurilor identificate;
- ntocmirea Raportului de evaluare i tratare a riscurilor.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Analiza riscurilor
23 octombrie 2014 71 Evaluator de risc la securitatea fizic
Definirea parametrilor (factorilor, contextului)
Externi (Ameninri)
Interni (vulnerabiliti)
Stabilirea:
- Metodei de evaluare a riscului
- Instrumentelor de lucru
Identificarea riscurilor:
- Zonelor de manifestare
-Evenimentelor
- Cosecinelor
Analiza riscurilor
Estimarea riscurilor
Raportul de evaluare i tratare a riscurilor
(1)
(2)
(3)
(4)
(5)
(6)
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Analiza riscurilor
23 octombrie 2014 72 Evaluator de risc la securitatea fizic
Analiza de risc poate fi :
calitativ, cnd nu se aloc valori financiare resurselor, iar finalitatea const n
ncadrarea pe o
scal de aprecieri, sau
cantitativ, cnd predomin factorul cost ( valoarea resursei pentru organizaie,
impactul financiar imediat i costul asociat ).
n practica analizei riscului, literatura de specialitate menioneaz o list lung de
metode i tehnici, din care specialitii le aleg pe cele care se adapteaz cel mai bine
obiectivelor i proceselor care trebuie protejate.
Dintre cele mai frecvent utilizate amintesc :
a. metoda matricilor de risc;
b. metoda OCTAVE;
c. metoda MEHARI .
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda matricilor de risc
23 octombrie 2014 73 Evaluator de risc la securitatea fizic
Metoda mparte obiectivul de protejat n patru componente de baz :
componenta fizic;
componenta funcional (procesual);
componenta informaional;
componenta de personal.
Avnd ca punct de plecare modelul relaionalitii dintre ameninri i vulnerabiliti, se face
evaluarea riscului global prin aplicarea relaiilor de calcul specifice la determinarea riscurilor
pentru fiecare component i nsumarea ponderat a rezultatelor pariale.
Matricea de risc este construit din liste de ameninri, liste de vulnerabiliti specifice, aferente
i liste de riscuri, rezultate din conjuncia celor doi factori.
Caracteristicile fizice se refer la perimetrul obiectivului, zona exterioar imediat, zona interioar
imediat, zona spaiilor funcionale, zona spaiilor interioare destinate pstrrii valorilor critice,
alte elemente specifice construciilor. Procesul funcional, predominant n organizaie, este definit
prin resurse materiale i umane, mod de organizare, grad existent de asigurare a continuitii
derulrii sale. Componenta informaional este analizat prin prisma rolului pe care l are n
obiectiv, aspectele sale structurale ( elemente hardware i software), precum i tinnd seama de
ameninrile determinate de transmiterea informaiilor spre i din exterior. O atenie deosebit este
acordat proteciei personalului, plecnd de la tipizarea potenialilor infractori i pn la etapele de
recrutare, angajare, instruire i fidelizare a personalului propriu.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda matricilor de risc (cont)
23 octombrie 2014 74 Evaluator de risc la securitatea fizic
Calculul riscului global, Rg , se obine prin nsumarea ponderat a riscurilor pe componente, dup o formalizare de tipul :
Rg = p1 x Rp + p2 x Rf + p3 x Ri + p4 x Rps ,
unde :
Rp , este riscul asupra componentei procesuale
Rf , este riscul asupra componentei fizice
Ri , este riscul asupra componentei informaionale
Rps , este riscul asupra componentei de personal ,
iar : p1 , p2 , p3 , p4 sunt ponderile specifice organizaiei (obiectivului).
Evident pi=1 .
La rndul su, fiecare valoare de risc se calculeaz ca o sum ponderat a valorilor
riscurilor pe elementele constitutive ale componentei; de exemplu:
Rf = pk x Rfk , cu :
pk , ponderea alocat elementului k
Rck , riscul aferent elementului k al componentei fizice
Metoda este adaptabil i se poate transforma ntr-un instrument de evaluare.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda OCTAVE
23 octombrie 2014 75 Evaluator de risc la securitatea fizic
Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation SM ), elaborat de specialiti americani, definete evaluarea strategic,
bazat pe risc i planificarea tehnic, n scopul realizrii securitii obiectivului de
protejat. Exist o versiune adaptat organizaiilor mici, avnd pn la 100 de persoane i
care se numete OCTAVE -S. Pentru implementarea metodei este necesar s lucreze o
echip de 3-5 specialiti, care se vor ocupa cu culegerea de date, analiza informaiilor
obinute, elaborarea strategiei de protecie i a planurilor de reducere a riscurilor identificate .
Activitatea este organizat n cadrul a 3 faze .
Faza 1 este consacrat construirii profilului ameninrii pe baza valorilor existente n organizaie
(obiectiv) i se compune din dou procese :
1. identificarea informaiilor organizaiei;
2. stabilirea profilurilor ameninrilor.
Faza a 2-a, de identificare a vulnerabilitilor infrastructurii, este dedicat analizei detaliate a
reelelor de calculatoare, din punctul de vedere al valorilor critice.
n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese :
1. identificarea i analiza riscurilor;
2. dezvoltarea strategiei de protecie i a planurilor de reducere a riscurilor.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda OCTAVE (cont)
23 octombrie 2014 76 Evaluator de risc la securitatea fizic
Faza a 2-a, de identificare a vulnerabilitilor infrastructurii, este dedicat analizei detaliate a reelelor de calculatoare, din punctul de vedere al valorilor critice.
n cadrul fazei a 3-a, activitatea se deruleaz prin dou procese :
1. identificarea i analiza riscurilor;
2. dezvoltarea strategiei de protecie i a planurilor de reducere a riscurilor.
Activitile pe durata primului proces, de identificare i analiz a riscurilor, sunt alocate evalurii impactului ameninrilor, determinrii probabilitii pentru criteriile de evaluare i estimrii probabilitilor ameninrilor.
n continuare, pe parcursul celui de-al doilea proces, de elaborare a strategiei de protecie i a planurilor concrete de reducerea riscurilor, se efectueaz urmtoarele activiti :
schiarea strategiei curente de protecie;
alegerea concepiilor de reducere a riscurilor;
dezvoltarea planurilor de reducere a riscurilor;
identificarea schimbrilor n strategia de protecie .
Din aceast scurt prezentare se evideniaz cteva caracteristici ale metodei, care ncepe cu selectarea i tratarea difereniat a valorilor critice ale organizaiei, continu cu analiza dedicat componentei informaionale i nu se ncheie cu elaborarea strategiei de securitate, ci cu redactarea planurilor concrete de reducere a riscurilor identificate, activiti care sunt concepute a se derula ciclic i sistemic .
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI
23 octombrie 2014 77 Evaluator de risc la securitatea fizic
Una din metodele utilizate pe plan european este metoda MEHARI, elaborat de o echip de specialiti francezi, care abordeaz att analiza, ct i managementul riscului, evalund,
cantitativ i calitativ, factorii de risc. n setul de instrumente al metodei exist o baz de cunotine
referitoare la situaiile de risc, susinut de o aplicaie software, ce permite calcule, simulri i
optimizri.
Schema global a analizei de risc conine paii urmtori :
1. evaluarea expunerii naturale, care se face pe baza unei grile combinate, ce conine nivelurile
expunerii ( expunere foarte slab, slab, medie, ridicat ) i n funcie de care se face evaluarea a
patru capitole de ameninri:
accidente (foc, inundaii, cderi ale energiei electrice, deranjamente de echipamente IT sau telefonice, pierderi accidentale de date i fiiere, pierderi de personal important s.a.)
actiuni ruvoitoare (vandalism, terorism, alterare intenionat de date i fiiere, furturi de date
i componente IT , configurare greit intenionat a software-ului de reea, spionaj industrial sau
de stat, etc.)
actiuni intenionate, dar fr intenie ruvoitoare (absen sau greva personalului IT , plecarea
sau demisia unor funcionari cheie, utilizare ilegal de software liceniat )
erori ( degradarea performanelor ca urmare a neaplicrii mentenanei periodice, tergere neintenionat de programe, ca urmare a unor erori umane, bug-uri n programe aplicative, erori la
introducerea datelor de intrare, etc. )
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI (cont)
23 octombrie 2014 78 Evaluator de risc la securitatea fizic
2. evaluarea factorilor de descurajare i prevenire (elemente de construcie, echipamente tehnice,
proceduri, personal de specialitate )
3. evaluarea potenialitii (n funcie de evenimentul care conduce la scenariu, se folosete unul
din trei tabele standard STATUS -EXPO , STATUS -DISS , STA - TUS -PREV - i se evalueaz
potenialitatea sub numele STATUS-P)
4. evaluarea impactului direct ; are ca punct de plecare o gril ale crei capitole trateaz :
bunuri (valori);
date i informaii;
infrastructura (telecomunicaii i sisteme);
infrastructura general;
disponibilitatea personalului;
conformitatea cu reglementrile i procedurile n materie.
(referitor la capitolul informaional, n cadrul acestei anexe se evideniaz atributele specifice, ce
pot fi afectate : Disponibilitatea informaiilor, Integritatea sau Confidenialitatea acestora)
5. evaluarea factorilor de protectie, compensare i recuperare ; exista un set de 5 categorii de
msuri de reducere a riscului :
o descurajare;
o prevenire;
o protecie;
o compensare;
o recuperare.
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI (cont)
23 octombrie 2014 79 Evaluator de risc la securitatea fizic
5. evaluarea factorilor de protectie, compensare i recuperare ; exista un set de 5 categorii de
msuri de reducere a riscului :
descurajare;
prevenire;
protecie;
compensare;
recuperare.
6. evaluarea reducerii impactului ( n cadrul etapei de audit de securitate se face analiza factorilor
de reducere a riscurilor i evaluarea nivelurilor acestora; factorii de reducere sunt disuasiunea i
prevenia, pentru potenialitate, protecie i paliativ i recuperarea, pentru impact ).
7. evaluarea global a riscului ( pe baza evalurii STATUS -P, la pasul 3 i a grilei STATUS -RI , la
pasul 6, se evalueaz STATUS -GLOBAL , respectnd raionamentele specifice metodei i tabelele
standard de evaluare).
Estimarea factorilor ce concur la definirea i calcularea riscului se realizeaz utiliznd un set de
grile standard (grile STATUS-P, axate pe scenarii de tip accident, eroare, actiune voluntara i
grile STATUS-RI, axate pe scenarii de tip Disponibilitate, Integritate, Confidentialitate ), care fac
parte din baza de cunotinte MEHARI .
-
EVALUAREA I MONITORIZAREA RISCURILOR LA SECURITATEA
FIZIC.
Metoda MEHARI (cont)
23 octombrie 2014 80 Evaluator de risc la securitatea fizic
Faza iniial de inspecie n obiectiv (site-survey) este susinut de un set de chestionare care servesc la relevarea caracteristicilor amanunite ale componentelor obiectivului :
organizaia; locaia;
incintele; funcionarea extins a reelei;
funcionarea reelei locale; operaii n reea;
securitatea arhitecturii de sistem; operaionalitatea resurselor IT ;
aplicaiile principale; securitatea aplicaiilor i a dezvoltrii de proiecte;
mediul de lucru; reglementrile n funciune, interne i naionale.
Din prezentarea succint a metodei se relev unele trsturi specifice :
utilizarea unor instrumente de ghidare (chestionare de audit, scenarii de evenimente );
tratarea complet a securitii (fizic, funcional, informaional, de personal );
aplicarea acestei metode nu se limiteaz la obiective deja consacrate n domeniu (militare, guvernamentale, comerciale, .a. ), ci se aplic i la alte categorii, care au de protejat diverse tipuri de valori, n accepiunea general a noiunii de securitate;
este o metod laborioas, care necesit un numr mare de persoane calificate.
Metoda impresioneaz prin pachetul de chestionare care servesc la efectuarea auditului i lista
amnunit de scenarii, lucru util la evaluarea ct mai precis a impactulu