Cele mai utilizate metode de determinare a riscului de securitate la securitatea fizică sunt: metoda matricilor de risc, metoda modelului în cascadă ASIS, metoda MEHARI și metoda OCTAVE. În postările următoare vom prezenta toate cele patru metode, pentru a da ocazia evaluatorului de risc să înțeleagă și să aleagă în cunoștință de cauză una dintre acestea. Este important ca evaluatorii de risc la securitatea fizică să stăpânească foarte bine o metodă, prin care să determine amploarea riscurilor la care este supus un obiectiv, urmând ca prin experiența acumulată să găsească și cele mai bune metode de tratare a acestora. Prin simplitate și precizie se desprinde metoda modelului în cascadă ASIS, care va fi tratată pe larg, în prezenta postare.
Modelul de evaluare a riscului în cascadă ASIS (cuprinde următoarele şapte etape:
1) – identificarea valorilor protejate;
2) – identificarea evenimentelor nedorite (de securitate);
3) –determinarea frecvenţei de producere a evenimentelor nedorite (probabilităţi, posibilităţi);
4) – determinarea consecinţelor producerii evenimentelor nedorite;
5) – stabilirea soluţiilor pentru minimizarea riscului;
6) – evaluarea eficienţei implementării soluţiilor pentru minimizarea riscului;
7) – determinarea raportului cost/nivel de securitate.
În funcţie de mărimea raportului cost/nivel de securitate se ia decizia implementării soluţiilor de securitate sau reluării evaluării, până când se asigură un raport acceptat.
Reluarea evaluării se poate produce de la oricare etapă, în funcţie de acceptarea sau neacceptarea rezultatului obţinut în etapa respectivă.
Buclele succesive ale modelului asigură o mare flexibilitate de reacţie, dar îngreunează desfăsurarea procesului evaluării. De aceea, este necesară stabilirea unui compromis între acurateţea evaluării şi timpul şi forţele de evaluare.
1. Etapa identificării valorilor protejate.
Identificarea valorilor protejate reprezintă o etapă de analiză complexă,care vizează:
– definirea organizaţiei incluzând cultura, domeniul de activitate, mediul de afaceri, infrastructura critică, structura, strategia şi tacticile utilizate, organizarea calităţii, sistemul de relaţii cu furnizorii şi clienţii, natura comportamentului (reactiv sau proactiv), adaptabilitatea si flexibilitatea, nivelul de informatizare, managementul riscului (modul de tratare şi de tolerare a acestuia), politica de stocuri, categoriile de servicii sau bunuri furnizate, caracteristicile de operaţionalitate a producţiei, categoriile de clienţi, organizarea în grupuri de interese sau în reţele de afaceri, caracteristicile obiectivului de securitate, categoriile de informaţii şi de surse de informaţii, complexitatea procesului de fabricaţie etc.
– stabilirea proprietăţii care se referă la imobile, terenuri, clădiri, facilităţi industriale sau comerciale, dar şi la resursele materiale energetice, financiare şi informatice, tehnologiile, patentele, mărcile, cu accent deosebit pe elementele periculoase (arme, explozivi, droguri etc.), cuprinzând, de fapt, tot ceea ce se poate fura, degrada sau afecta.
– identificarea informaţiilor care se referă la informaţiile, activităţile şi materialele care sunt confidenţiale sau constituie proprietatea intelectuală a organizaţiei, dar şi la informaţiile operaţionale sau structurate în baze documentare (informaţii clasificate, planuri de dezvoltare, planuri de marketing, planuri de producţie, acorduri şi convenţii, informaţii cu caracter personal despre angajaţi, furnizori, clienţi sau colaboratori); toate informaţiile au relevanţă în activitatea organizaţiei, precum şi renumele, reputaţia şi imaginea acesteia.
Identificarea şi evaluarea valorilor organizaţiei care trebuie protejate reprezintă o activitate a unei echipe multiprofesionale, capabilă să:
– identifice valorile şi să le categorisească;
– stabilească caracteristicile de valoare de piaţă, relevanţă operaţională, perisabilitate, supremaţie şi schimb;
– ordoneze valorile după criterii de operaţionalitate, relevanţă şi cost;
– determine si să evalueze pierderile organizaţiei (financiare şi operaţionale) în cazul furtului, degradării sau afectării valorilor;
– stabilească pierderile (financiare si operaţionale) adiacente furtului, degradării sau afectării valorilor (blocarea producţiei, restabiliri) operaţionale, reluarea activităţii după producerea unui eveniment nedorit, înlocuirea personalului, schimbarea tehnologiilor, refacerea sistemelor informatice etc.).
De regulă, valorile, pe categorii, se înscriu în liste (matrice) ca articole ordonate (după cost sau relevanţă) descrise de atribute (caracteristici), astfel încât să se poată determina pagubele produse de evenimentele nedorite care afectează valorile.
În funcţie de anumite caracteristici de operaţionalitate se pot determina consecinţele atacurilor maxime credibile sau cu frecvenţă mai mare de producere, precum şi modul de afectare a zonelor sau infrastructurilor critice în cazul producerii anumitor tipuri de evenimente nedorite (atacuri).
2. Etapa identificării evenimentelor nedorite.
În strânsă corelaţie cu identificarea, categorisirea, caracterizarea si evaluarea valorilor organizaţiei care trebuie protejate, se identifică evenimentele nedorite (incidente, erori, greseli, infracţiuni, catastrofe etc.) care pot afecta valorile.
Identificarea are la bază analize izomorfice şi autoizomorfice ale evenimentelor, obiectivelor, organizaţiilor, infrastructurii şi mediului şi se concretizează în evidenţierea evenimentelor care se pot produce, frecvenţa de producere (probabilitatea, posibilitatea), gama de intensităţi, influenţele nefaste asupra valorilor, precum şi corelaţiile dintre acestea, mediu si infrastructură.
În funcţie de natura evenimentelor nedorite, acestea se pot împărţi în trei categorii:
– infracţiuni sau evenimente de natură criminală, care pot pune în pericol existenţa valorilor prin acţiuni voite, orientate spre atingerea unui anumit scop;
– dezastre naturale si evenimente non-criminale care pot degrada sau afecta valorile;
– evenimente de natură informaţională care pot aduce atingere renumelui, reputaţiei sau imaginii unei organizaţii sau relaţiilor acesteia cu alte organizaţii.
Infracţiunile sau evenimentele de natură criminală se identifică în funcţie de natura activităţii si structurii organizaţiei, de categoriile şi mărimea valorilor sale, de distribuţia şi circulaţia acestora si cuprind atât asa numitele aspecte ale criminalităţii tradiţionale si organizate, cât si aspecte ale criminalităţii economice.
Identificarea infracţiunilor posibile a se produce asupra valorilor organizaţiei este o problemă care necesită profesionalism deosebit si se poate realiza prin consultarea unui număr mare de surse care vizează:
– starea de criminalitate a mediului în care îsi desfăsoară activitatea organizaţia (de afaceri, de producţie, financiar-bancar etc.);
– statisticile infracţionale ale poliţiei, locale, zonale sau centrale, care se referă la categoria şi frecvenţa infracţiunilor produse în zona (zonele) de amplasare a organizaţiei;
– statisticile si rapoartele internaţionale vizând domeniile de activitate a organizaţiei;
– observaţiile, propunerile si concluziile studiilor izomorfice sau autoizomorfice
– statisticile sociale si demografice vizând starea socială (sărăcia, rata somerilor, densitatea populaţiei etc.) a populaţiei din zona (zonele) de amplasare si de colaborare ale organizaţiei;
– cauzele civile sau penale aflate în anchetă, în curs de judecată sau finalizate de justiţie;
– ameninţările asupra mediului în care organizaţia îşi desfăsoară activitatea şi vulnerabilităţile acesteia;
– existenţa grupurilor sociale paupere, de interese mafiote sau de crimă organizată.
Infracţiunile identificate se grupează într-o matrice de ameninţări criminale în care, pe lângă infracţiunile identificate, ierarhizate după diferite criterii (frecvenţă, intensitate, pagube etc.), se trec şi caracteristicile acestora: frecvenţa producerii (posibilitatea, probabilitatea), intensitatea sau virulenţa, numărul de participanţi, valorile vizate, pagubele produse direct, pagubele adiacente etc.
Dezastrele naturale se referă la uragane, tornade, furtuni, cutremure, inundaţii (valuri uriaşe), fulgere şi incendii cauzate de natură, în timp ce evenimentele non-criminale produse de om se referă la accicentele tehnologice sau de muncă, epuizarea resurselor, întreruperile alimentării cu energie electrică sau a comunicaţiilor, prăbuşirile de avioane, coliziunile navale, deraierile trenurilor, accidentele auto, greşelile de operare cu consecinţe de blocare a producţiei sau de nerespectare a reţetelor de fabricaţie ori a parametrilor de calitate, incendiile şi inundaţiile produse de om etc.
Deşi atacurile teroriste se includ, de regulă, în categoria evenimentelor criminale, prin consecinţele lor majore, pot fi evidenţiate drept cauze ale unor dezastre şi tratate, ca atare, şi în această categorie de evenimente nedorite.
Matricea dezastrelor şi a evenimentelor non-criminale se structurează după aceleaşi reguli ca şi matricea infracţiunilor, evidenţiindu-se, şi de această dată, valorile afectate si amploarea pagubelor posibile.
Evenimente de natură informaţională cuprind acele evenimente care pot facilita accesul neautorizat la informaţiile confidenţiale ale organizaţiei, blocarea activităţii informaţionale, atacurile asupra integrităţii informaţiilor, renumelui, reputaţiei şi imaginii organizaţiei, dar si derularea unor relaţii cu colaboratori, clienţi sau furnizori.
In această categorie de evenimente se mai înscriu şi evenimentele determinate de corelaţii de mediu, de infrastructură sau de relaţii directe dintre organizaţii. Reflectarea imaginii negative a unei organizaţii asupra unei alte organizaţii colaboratoare sau din acelasi grup de interese ori reţea este edificatoare în acest sens.
La fel ca şi celelalte evenimente, şi evenimentele informaţionale se grupează într-o matrice de evenimente, descrise sau evaluate prin atribute, asociindu-le valorile afectate si valoarea pagubelor posibile.
3. Etapa determinării frecvenţei de producere a evenimentelor nedorite.
Determinarea frecvenţei (posibilităţii, probabilităţii) de producere a evenimentelor nedorite se bazează pe studii izomorfice de evenimente sau autoizomorfice, în cazul repetării unor evenimente în organizaţie şi presupune o analiză a statisticilor în domeniu, observaţii atente asupra modalităţilor de producere, analize de caz, discuţii cu cei implicaţi, inclusiv cu făptuitorii, cu autorităţile competente (poliţie, pompieri, primării, institute meteorologice şi asociaţii nonguvernamentale, experţi etc.).
O importanţă majoră în stabilirea frecvenţei de producere a evenimentelor nedorite o are studiul mediului în care se află organizaţia, vizând natura mediului, consistenţa infrastructurii, vecinătăţile, schimbările de stare economică, precum şi orice alt factor de mediu care ar putea influenţa activitatea organizaţiei şi favoriza producerea de evenimente nedorite (plasarea într-o zonă inundabilă sau de coastă – valuri si furtuni, ori seismică, într-un cartier rău famat etc.).
De asemenea, natura evenimentului determină, în mare măsură, frecvenţa sa de producere (inundaţiile se pot produce în anumite perioade de timp, seismele au o anumită perioadă de repetabilitate, pe când jafurile sunt aleatorii, dar furturile din magazine sau din parcare au o repetabilitate dependentă de zona în care se produc).
Frecvenţa de producere a evenimentelor nedorite se materializează sub următoarele forme cantitative şi/sau calitative:
1. frecvenţa de producere:
– zilnic
– o dată la zece zile
– o dată la o sută de zile
– o dată la o mie de zile (3 ani)
– o dată la zece mii de zile (30 ani)
2. probabilitatea:
– 80% – 99%
– 60% – 79%
– 40% – 59%
– 20% – 39%
– 01% – 19%
3. posibilitatea:
– 5 – permanent
– 4 – frecvent
– 3 – posibil
– 2 – puţin posibil
– 1 – aproape imposibil,
sau sub oricare altă formă care exprimă frecvenţa, posibilitatea sau probabilitatea.
De regulă, se utilizează cinci niveluri de partajare, în strânsă corelaţie cu nivelurile de risc ( 5 – dezastru, 4 – major, 3 – mediu, 2 – minor şi 1 – neglijabil).
Studiile privind frecven-a de producere a evenimentelor nedorite se pot completa cu elementele care le determină sau le favorizează apariţia, precum şi cu grafice care prezintă diferite corelaţii.
De determinarea frecvenţei de producere a evenimentelor nedorite depind atât strategia de securitate adoptată, în special managementul de risc, cât şi structura şi operaţionalitatea mecanismului de securitate implementat.
4. Etapa determinării consecinţelor producerii evenimentelor nedorite.
Etapa determinării consecinţelor producerii evenimentelor nedorite este o etapă complexă de analiză si evaluare, având în vedere necesitatea prognozării posibilelor pagube atât directe, cât şi adiacente (indirecte, colaterale, asociate).
Determinarea consecinţelor trebuie realizată de o echipă de profesionişti (în securitate, tehnologie, finanţe, marketing, organizare etc.) care trebuie să analizeze fiecare eveniment nedorit posibil şi, în funcţie de intensitatea şi frecvenţa sa de producere, să stabilească:
1. pierderile (costurile) directe:
– pierderile financiare cauzate de producerea evenimentului (costul bunurilor furate sau degradate);
– cresterea primelor de asigurare pentru bunurile pentru care s-au plătit daune precum şi a cheltuielilor deductibile cu acoperirea asigurării;
– penalităţile contractuale cauzate de nerespectarea termenelor de livrare sau de prestare a serviciilor;
– cheltuielile cauzate de înlăturarea efectelor producerii evenimentelor nedorite si de restabilire a stării de normalitate (înlăturarea elementelor degradate si restabilirea – repararea imobilelor sau echipamentelor degradate, costurile de spitalizare a personalului accidentat, costurile pentru repunerea în funcţiune a utilajelor ori a liniilor tehnologice de producţie etc.);
– cheltuielile cauzate de modernizarea sau readaptarea măsurilor şi mecanismelor de securitate si de protecţia muncii (extinderea sau modernizarea mecanismelor de securitate, achiziţionarea de noi echipamente de protecţie, mărirea numărului personalului de pază sau de supraveghere);
– cheltuielile pentru operaţionalizarea managementului general, de producţie, de securitate şi de normalizare a situaţiei de funcţionalitate a organizaţiei după producerea evenimentului nedorit;
– cheltuielile pentru restabilirea integrării în mediu, reluării legăturilor cu colaboratorii, furnizorii şi clienţii, precum şi pentru refacerea climatului de comunicare.
2. pierderile (costurile) indirecte:
– costurile cauzate de percepţia negativă a imaginii organizaţiei (insecuritate generală şi/sau tehnologică, neîncadrare în capacitatea de respectare a angajamentelor contractuale);
– pierderile cauzate de micsorarea nivelului de operaţionalitate a organizaţiei, de scăderea potenţialului reactiv şi proactiv al acesteia;
– costurile readaptării şi ale recâstigării segmentului de piaţă, cel puţin, la performanţele dinaintea producerii evenimentului nedorit;
– lipsa acoperirilor asigurării producerii altor evenimente nedorite cauzată de mărirea nivelului de risc al bunurilor asigurate;
– costurile refacerii moralului angajaţilor, intensificării şi lărgirii pregătirii acestora, ale exerciţiilor de protecţie, ale restricţionării deplasărilor şi chiar a iniţiativei.
Pierderile se evidenţiază în matricea evenimentelor nedorite sub formă de valori absolute sau relative (procente, diferenţe) pentru fiecare intensitate sau frecvenţă de producere sau pentru diferite limite ale acestora.
Este de preferat ca mărimile pierderilor să fie exprimate în aceeasi unitate de măsură, la fel şi valorile de comparaţie, folosindu-se, pentru toată matricea, fie valori absolute, fie relative.
În cazul în care nu se pot determina costurile producerii unui eveniment nedorit, evenimentul se evidenţiază în matrice şi se asociază sau compară cu un alt eveniment căruia i s-au determinat consecinţele producerii, specificându-se expres acest lucru.
5. Etapa stabilirii soluţiilor pentru minimizarea riscului.
Deoarece riscul reprezintă o variabilă de securitate analitică, rezultată din conjuncţia a doi factori (ameninţări şi vulnerabilităţi), iar minimizarea riscului este un proces analitic si material complex, care nu presupune numai micşorarea maxim posibilă a valorii sale, ci şi identificarea celor mai eficiente metode şi soluţii de tratare raţională a riscului (reducere, acoperire-asigurare, transfer, acceptare).
Acest proces se înscrie direct în managementul riscului şi este guvernat în concordanţă cu strategia de securitate a organizaţiei, cu caracteristicile mediului şi mecanismelor de securitate.
Opţiunile pentru soluţiile de securitate se subînscriu atât nivelurilor de risc determinate, cât şi dinamicii acestora în timpul desfăşurării activităţii organizaţiei. De aceea, în cadrul fundamentării analizei de risc este necesar să se realizeze o corespondenţă între valorile de risc şi gradul de acceptabilitate a acestuia, element definitoriu în abordarea unei politici eficiente de securitate.
În esenţă, atitudinea faţă de risc se diferenţiază în trei categorii: a tolera riscul, a acţiona selectiv faţă de acesta sau a-l considera inacceptabil.
Atitudinea de tolerare (evitare) a riscului se referă la riscurile neglijabile, cu valori, a căror „realizare” produce pagube calificate suportabile. În funcţie de costurile ce se pot suporta şi de caracteristicile de evitare sau compensare ale mecanismelor de securitate, faţă de aceste riscuri se poate adopta o atitudine pasivă de ignorare, suportându-se pagubele produse fără măsuri de compensare funcţională, sau o atitudine activă de compensare funcţională (prin reglarea şi intervenţia mecanismelor de securitate), astfel încât pierderile suportate să fie cât mai mici posibile.
Atitudinea selectivă faţă de unele riscuri neglijabile, minore si medii, cu valori cuprinse între 0,5 si 3,05, presupune adoptarea unor măsuri preventive şi tehnici de reducere a consecinţelor „realizării” unor astfel de riscuri. Este o atitudine activă de anticipaţie, cu caracteristici de sistem cibernetic în regim dinamic pe timpul compensării efective sau post factum. Intră în funcţiune de la o anumită valoare de program de selecţie (de prevenire a realizării evenimentelor nedorite cu o anumită valoare de risc), funcţionează apoi după o anumită funcţie de compensare, pe baza reacţiei negative de reglare a regimului dinamic şi iese din funcţiune la o valoare minimă, considerată de siguranţă sau de aşteptare.
Trecerea de la programul de aşteptare la cel de selecţie poate fi făcută la diferiţi stimuli: intervale de timp, prezenţa unor perioade sau evenimente nedorite, alarme, acţionări manuale, intervenţii ale echipelor de utilizatori, verificări, antrenări etc..
Atitudinea de inacceptare (asigurare) se datorează faptului că sistemele de securitate nu pot acţiona eficace pentru prevenirea ori reducerea consecinţelor „realizării” riscurilor cu valoare mai mare de 3,05 majore sau dezastruoase. În aceste cazuri se adoptă soluţii de asigurare a bunurilor, valorilor, serviciilor şi informaţiilor la astfel de evenimente nedorite şi de intervenţie post factum, oportună si eficace, pentru restabilirea funcţionalităţii. În cadrul tratării unor astfel de riscuri, rămâne permanent activă componenta securităţii personalului şi, în limita posibilităţilor, componenta securităţii informaţiilor. Trebuie subliniat, însă, faptul că atitudinea de inacceptare nu presupune ascunderea în spatele asigurării, ci doar recunoasterea că mecanismele de securitate nu sunt suficient de performante pentru a face faţă unor astfel de dezastre.
Atitudinea de inacceptare rămâne o atitudine activă, responsabilă şi poate contribui mult la reducerea pagubelor produse de realizarea evenimentelor cu riscuri majore şi dezastruoase, care nu pot fi prevenite. De asemenea, recunoasterea inacceptabilităţii este un act logic, subordonat de fapt principiului „logică în loc de panică”.
Adoptarea uneia sau alteia dintre atitudini este condiţionată atât de costul ce poate fi suportat pentru realizarea mediului şi mecanismelor de securitate ale procesului, cât şi de caracteristicile fizice, funcţionale, informaţionale şi de personal ale procesului, care presupun o anumită independenţă de acţiune ce nu trebuie să fie stingherită de praguri de selecţie prea severe.
Alegerea unui compromis corespunzător între mediul de securitate şi eficienţa funcţionalităţii procesului este una din consecinţele majore ale unei analize formale de risc, corecte si complete, precum si a unei politici de securitate eficiente, condiţionate de costul ce poate fi suportat.
O atitudine prea tolerantă poate prejudicia grav obiectivul, în timp ce o atitudine prea severă nu poate decât perturba funcţionalitatea acestuia. La fel ca în orice alt domeniu, şi în securitate atitudinile sau manifestările extremiste nu dau rezultate pozitive.
În finalul acestei etape, matricea evenimentelor nedorite se reorganizează în funcţie de nivelul de risc asociat, începând de la cel transferabil (prin asigurare) la cel neglijabil.
6. Etapa evaluării eficienţei implementării soluţiilor pentru minimizarea riscului.
În funcţie de natura evenimentelor nedorite si nivelurile pagubelor si ale riscurilor asociate, se stabilesc, în concordanţă cu strategia de securitate si cu costurile posibile a fi suportate, soluţiile de securitate (mecanisme, reguli, măsuri, proceduri, atenţionări etc.).
După stabilirea structurii întregului mecanism (integrat, sistem) de securitate, cu elemente dedicate evenimentelor nedorite (evidenţiate, ca atare, în matricea evenimentelor nedorite), se defineste mediul de securitate (evenimente, riscuri, urmări, măsuri de securitate, costuri) şi se analizează funcţionalitatea procesuală a organizaţiei şi costul măsurilor de securitate.
În funcţie de flexibilitatea procesuală si de costurile de suportat, se analizează strategia de securitate eficientizând (cuplând mai strâns sau mai slab) măsurile de securitate astfel încât procesul să nu fie stingherit, ci îmbunătăţit din punctul de vedere al stabilităţii şi siguranţei funcţionale. Se realizează astfel un compromis operaţional între securitatea procesului, permisibilitatea utilizatorilor, confortul funcţional şi consecinţele producerii evenimentelor nedorite.
În esenţa sa, etapa a şasea reprezintă procesul recursiv al determinării mediului de securitate, condiţionat de riscurile asumate (tratate), de strategia de securitate şi de costurile suportate. Acceptarea riscurilor evaluate (determinate) se face în concordanţă cu caracteristicile de proces, de viabilitatea obiectivelor suport pentru proces, utilităţile stabilite şi cu prevederile legale în materiale.
Evaluarea eficienţei implementării soluţiilor de securitate se concretizează în raportul de risc (riscul final asumat/riscul iniţial al procesului), cu condiţia menţinerii cel puţin a operaţionalităţii de proces, sau cu rapoarte valori de risc/ costuri ori valori de risc/pierderi posibile (costuri de insecuritate).
7. Etapa determinării raportului cost/nivel de securitate.
Din analiza matricei evenimentelor nedorite se însumează costurile şi se raportează la beneficiul adus de securitate (costurile de insecuritate din care se scad costurile de realizare a mecanismelor de securitate):
Tendinţa este ca acest raport să fie cât mai mic posibil, acesta fiind totuşi acceptat dacă se înscrie în limitele următoare:
– pentru securitatea minimală: 10-15%
– pentru securitatea suficientă: 15-20%
– pentru securitatea acoperitoare: circa 30%
– pentru securitatea sigură: 35-40%.
În concluzie, pentru a se obţine o protecţie corespunzătoare, fondurile alocate pentru securitate trebuie să fie de 35-40% din cele alocate investiţiei pentru unităţile mari, iar pentru unităţile mijlocii si mici de circa 30%.
Devenirea strategiilor globale poate fi realizată fie printr-o abordare conceptuală unitară iniţială, fie printr-o dezvoltare succesivă, adaptându-se mecanisme şi măsuri de protecţie pe elemente disparate,care apoi vor fi integrate conform concepţiei desecuritate.
(*) Adaptare după dr. Ing. ILIE, GHEORGHE, articol din revista Alarma, decembrie 2008.