Cele mai utilizate metode de determinare a riscului de securitate la securitatea fizic\u0103 sunt: \u00a0metoda matricilor de risc, metoda modelului \u00een cascad\u0103 ASIS, metoda MEHARI \u0219i metoda OCTAVE. \u00cen post\u0103rile urm\u0103toare vom prezenta toate cele patru metode, pentru a da ocazia evaluatorului de risc s\u0103 \u00een\u021beleag\u0103 \u0219i s\u0103 aleag\u0103 \u00een cuno\u0219tin\u021b\u0103 de cauz\u0103 una dintre acestea. Este important ca evaluatorii de risc la securitatea fizic\u0103 s\u0103 st\u0103p\u00e2neasc\u0103 foarte bine o metod\u0103, prin care s\u0103 determine amploarea riscurilor la care este supus un obiectiv, urm\u00e2nd ca prin experien\u021ba acumulat\u0103 s\u0103 g\u0103seasc\u0103 \u0219i cele mai bune metode de tratare a acestora. Prin simplitate \u0219i precizie se desprinde metoda modelului \u00een cascad\u0103 ASIS, care va fi tratat\u0103 pe larg, \u00een prezenta postare.<\/p>\n
<\/p>\n
\u00a0 \u00a0 \u00a0<\/strong>Modelul de evaluare a riscului \u00een cascad\u0103 ASIS (cuprinde urm\u0103toarele \u015fapte etape:<\/strong>\u00a0<\/strong><\/p>\n 1) \u2013 identificarea valorilor protejate;<\/p>\n 2) \u2013 identificarea evenimentelor nedorite (de securitate);<\/p>\n 3) \u2013determinarea frecven\u0163ei de producere a evenimentelor nedorite (probabilit\u0103\u0163i, posibilit\u0103\u0163i);<\/p>\n 4) \u2013 determinarea consecin\u0163elor producerii evenimentelor nedorite;<\/p>\n 5) \u2013 stabilirea solu\u0163iilor pentru minimizarea riscului;<\/p>\n 6) \u2013 evaluarea eficien\u0163ei implement\u0103rii solu\u0163iilor pentru minimizarea riscului;<\/p>\n 7) \u2013 determinarea raportului cost\/nivel de securitate.<\/p>\n \u00cen func\u0163ie de m\u0103rimea raportului cost\/nivel de securitate se ia decizia implement\u0103rii solu\u0163iilor de securitate sau relu\u0103rii evalu\u0103rii, p\u00e2n\u0103 c\u00e2nd se asigur\u0103 un raport acceptat.<\/p>\n Reluarea evalu\u0103rii se poate produce de la oricare etap\u0103, \u00een func\u0163ie de acceptarea sau neacceptarea rezultatului ob\u0163inut \u00een etapa respectiv\u0103.<\/p>\n Buclele succesive ale modelului asigur\u0103 o mare flexibilitate de reac\u0163ie, dar \u00eengreuneaz\u0103 desf\u0103surarea procesului evalu\u0103rii. De aceea, este necesar\u0103 stabilirea unui compromis \u00eentre acurate\u0163ea evalu\u0103rii \u015fi timpul \u015fi for\u0163ele de evaluare.<\/p>\n <\/p>\n \u00a0 \u00a0 \u00a01. Etapa identific\u0103rii valorilor protejate.<\/em><\/strong><\/p>\n \u00a0<\/em><\/strong><\/p>\n Identificarea valorilor protejate reprezint\u0103 o etap\u0103 de analiz\u0103 complex\u0103,care vizeaz\u0103:<\/p>\n – definirea organiza\u0163iei incluz\u00e2nd cultura, domeniul de activitate, mediul de afaceri, infrastructura critic\u0103, structura, strategia \u015fi tacticile utilizate, organizarea calit\u0103\u0163ii, sistemul de rela\u0163ii cu furnizorii \u015fi clien\u0163ii, natura comportamentului (reactiv sau proactiv), adaptabilitatea si flexibilitatea, nivelul de informatizare, managementul riscului (modul de tratare \u015fi de tolerare a acestuia), politica de stocuri, categoriile de servicii sau bunuri furnizate, caracteristicile de opera\u0163ionalitate a produc\u0163iei, categoriile de clien\u0163i, organizarea \u00een grupuri de interese sau \u00een re\u0163ele de afaceri, caracteristicile obiectivului de securitate, categoriile de informa\u0163ii \u015fi de surse de informa\u0163ii, complexitatea procesului de fabrica\u0163ie etc.<\/p>\n – stabilirea propriet\u0103\u0163ii care se refer\u0103 la imobile, terenuri, cl\u0103diri, facilit\u0103\u0163i industriale sau comerciale, dar \u015fi la resursele materiale energetice, financiare \u015fi informatice, tehnologiile, patentele, m\u0103rcile, cu accent deosebit pe elementele periculoase (arme, explozivi, droguri etc.), cuprinz\u00e2nd, de fapt, tot ceea ce se poate fura, degrada sau afecta.<\/p>\n – identificarea informa\u0163iilor care se refer\u0103 la informa\u0163iile, activit\u0103\u0163ile \u015fi materialele care sunt confiden\u0163iale sau constituie proprietatea intelectual\u0103 a organiza\u0163iei, dar \u015fi la informa\u0163iile opera\u0163ionale sau structurate \u00een baze documentare (informa\u0163ii clasificate, planuri de dezvoltare, planuri de marketing, planuri de produc\u0163ie, acorduri \u015fi conven\u0163ii, informa\u0163ii cu caracter personal despre angaja\u0163i, furnizori, clien\u0163i sau colaboratori); toate informa\u0163iile au relevan\u0163\u0103 \u00een activitatea organiza\u0163iei, precum \u015fi renumele, reputa\u0163ia \u015fi imaginea acesteia.<\/p>\n Identificarea \u015fi evaluarea valorilor organiza\u0163iei care trebuie protejate reprezint\u0103 o activitate a unei echipe multiprofesionale, capabil\u0103 s\u0103:<\/p>\n – identifice valorile \u015fi s\u0103 le categoriseasc\u0103;<\/p>\n – stabileasc\u0103 caracteristicile de valoare de pia\u0163\u0103, relevan\u0163\u0103 opera\u0163ional\u0103, perisabilitate, suprema\u0163ie \u015fi schimb;<\/p>\n – ordoneze valorile dup\u0103 criterii de opera\u0163ionalitate, relevan\u0163\u0103 \u015fi cost;<\/p>\n – determine si s\u0103 evalueze pierderile organiza\u0163iei (financiare \u015fi opera\u0163ionale) \u00een cazul furtului, degrad\u0103rii sau afect\u0103rii valorilor;<\/p>\n – stabileasc\u0103 pierderile (financiare si opera\u0163ionale) adiacente furtului, degrad\u0103rii sau afect\u0103rii valorilor (blocarea produc\u0163iei, restabiliri) opera\u0163ionale, reluarea activit\u0103\u0163ii dup\u0103 producerea unui eveniment nedorit, \u00eenlocuirea personalului, schimbarea tehnologiilor, refacerea sistemelor informatice etc.).<\/p>\n De regul\u0103, valorile, pe categorii, se \u00eenscriu \u00een liste (matrice) ca articole ordonate (dup\u0103 cost sau relevan\u0163\u0103) descrise de atribute (caracteristici), astfel \u00eenc\u00e2t s\u0103 se poat\u0103 determina pagubele produse de evenimentele nedorite care afecteaz\u0103 valorile.<\/p>\n \u00cen func\u0163ie de anumite caracteristici de opera\u0163ionalitate se pot determina consecin\u0163ele atacurilor maxime credibile sau cu frecven\u0163\u0103 mai mare de producere, precum \u015fi modul de afectare a zonelor sau infrastructurilor critice \u00een cazul producerii anumitor tipuri de evenimente nedorite (atacuri).<\/p>\n <\/p>\n \u00a0 \u00a0 \u00a02. Etapa identific\u0103rii evenimentelor nedorite.<\/em><\/strong><\/p>\n \u00a0<\/em><\/strong><\/p>\n \u00cen str\u00e2ns\u0103 corela\u0163ie cu identificarea, categorisirea, caracterizarea si evaluarea valorilor organiza\u0163iei care trebuie protejate, se identific\u0103 evenimentele nedorite (incidente, erori, greseli, infrac\u0163iuni, catastrofe etc.) care pot afecta valorile.<\/p>\n Identificarea are la baz\u0103 analize izomorfice \u015fi autoizomorfice ale evenimentelor, obiectivelor, organiza\u0163iilor, infrastructurii \u015fi mediului \u015fi se concretizeaz\u0103 \u00een eviden\u0163ierea evenimentelor care se pot produce, frecven\u0163a de producere (probabilitatea, posibilitatea), gama de intensit\u0103\u0163i, influen\u0163ele nefaste asupra valorilor, precum \u015fi corela\u0163iile dintre acestea, mediu si infrastructur\u0103.<\/p>\n \u00cen func\u0163ie de natura evenimentelor nedorite, acestea se pot \u00eemp\u0103r\u0163i \u00een trei categorii:<\/p>\n – infrac\u0163iuni sau evenimente de natur\u0103 criminal\u0103, care pot pune \u00een pericol existen\u0163a valorilor prin ac\u0163iuni voite, orientate spre atingerea unui anumit scop;<\/p>\n – dezastre naturale si evenimente non-criminale care pot degrada sau afecta valorile;<\/p>\n – evenimente de natur\u0103 informa\u0163ional\u0103 care pot aduce atingere renumelui, reputa\u0163iei sau imaginii unei organiza\u0163ii sau rela\u0163iilor acesteia cu alte organiza\u0163ii.<\/p>\n Infrac\u0163iunile sau evenimentele de natur\u0103 criminal\u0103<\/strong> se identific\u0103 \u00een func\u0163ie de natura activit\u0103\u0163ii si structurii organiza\u0163iei, de categoriile \u015fi m\u0103rimea valorilor sale, de distribu\u0163ia \u015fi circula\u0163ia acestora si cuprind at\u00e2t asa numitele aspecte ale criminalit\u0103\u0163ii tradi\u0163ionale si organizate, c\u00e2t si aspecte ale criminalit\u0103\u0163ii economice.<\/p>\n Identificarea infrac\u0163iunilor posibile a se produce asupra valorilor organiza\u0163iei este o problem\u0103 care necesit\u0103 profesionalism deosebit si se poate realiza prin consultarea unui num\u0103r mare de surse care vizeaz\u0103:<\/p>\n – starea de criminalitate a mediului \u00een care \u00eesi desf\u0103soar\u0103 activitatea organiza\u0163ia (de afaceri, de produc\u0163ie, financiar-bancar etc.);<\/p>\n – statisticile infrac\u0163ionale ale poli\u0163iei, locale, zonale sau centrale, care se refer\u0103 la categoria \u015fi frecven\u0163a infrac\u0163iunilor produse \u00een zona (zonele) de amplasare a organiza\u0163iei;<\/p>\n – statisticile si rapoartele interna\u0163ionale viz\u00e2nd domeniile de activitate a organiza\u0163iei;<\/p>\n – observa\u0163iile, propunerile si concluziile studiilor izomorfice sau autoizomorfice<\/p>\n – statisticile sociale si demografice viz\u00e2nd starea social\u0103 (s\u0103r\u0103cia, rata somerilor, densitatea popula\u0163iei etc.) a popula\u0163iei din zona (zonele) de amplasare si de colaborare ale organiza\u0163iei;<\/p>\n – cauzele civile sau penale aflate \u00een anchet\u0103, \u00een curs de judecat\u0103 sau finalizate de justi\u0163ie;<\/p>\n – amenin\u0163\u0103rile asupra mediului \u00een care organiza\u0163ia \u00ee\u015fi desf\u0103soar\u0103 activitatea \u015fi vulnerabilit\u0103\u0163ile acesteia;<\/p>\n – existen\u0163a grupurilor sociale paupere, de interese mafiote sau de crim\u0103 organizat\u0103.<\/p>\n Infrac\u0163iunile identificate se grupeaz\u0103 \u00eentr-o matrice de amenin\u0163\u0103ri criminale \u00een care, pe l\u00e2ng\u0103 infrac\u0163iunile identificate, ierarhizate dup\u0103 diferite criterii (frecven\u0163\u0103, intensitate, pagube etc.), se trec \u015fi caracteristicile acestora: frecven\u0163a producerii (posibilitatea, probabilitatea), intensitatea sau virulen\u0163a, num\u0103rul de participan\u0163i, valorile vizate, pagubele produse direct, pagubele adiacente etc.<\/p>\n Dezastrele naturale<\/strong> se refer\u0103 la uragane, tornade, furtuni, cutremure, inunda\u0163ii (valuri uria\u015fe), fulgere \u015fi incendii cauzate de natur\u0103, \u00een timp ce evenimentele non-criminale produse de om se refer\u0103 la accicentele tehnologice sau de munc\u0103, epuizarea resurselor, \u00eentreruperile aliment\u0103rii cu energie electric\u0103 sau a comunica\u0163iilor, pr\u0103bu\u015firile de avioane, coliziunile navale, deraierile trenurilor, accidentele auto, gre\u015felile de operare cu consecin\u0163e de blocare a produc\u0163iei sau de nerespectare a re\u0163etelor de fabrica\u0163ie ori a parametrilor de calitate, incendiile \u015fi inunda\u0163iile produse de om etc.<\/p>\n De\u015fi atacurile teroriste se includ, de regul\u0103, \u00een categoria evenimentelor criminale, prin consecin\u0163ele lor majore, pot fi eviden\u0163iate drept cauze ale unor dezastre \u015fi tratate, ca atare, \u015fi \u00een aceast\u0103 categorie de evenimente nedorite.<\/p>\n Matricea dezastrelor \u015fi a evenimentelor non-criminale se structureaz\u0103 dup\u0103 acelea\u015fi reguli ca \u015fi matricea infrac\u0163iunilor, eviden\u0163iindu-se, \u015fi de aceast\u0103 dat\u0103, valorile afectate si amploarea pagubelor posibile.<\/p>\n Evenimente de natur\u0103 informa\u0163ional\u0103<\/strong> cuprind acele evenimente care pot facilita accesul neautorizat la informa\u0163iile confiden\u0163iale ale organiza\u0163iei, blocarea activit\u0103\u0163ii informa\u0163ionale, atacurile asupra integrit\u0103\u0163ii informa\u0163iilor, renumelui, reputa\u0163iei \u015fi imaginii organiza\u0163iei, dar si derularea unor rela\u0163ii cu colaboratori, clien\u0163i sau furnizori.<\/p>\n In aceast\u0103 categorie de evenimente se mai \u00eenscriu \u015fi evenimentele determinate de corela\u0163ii de mediu, de infrastructur\u0103 sau de rela\u0163ii directe dintre organiza\u0163ii. Reflectarea imaginii negative a unei organiza\u0163ii asupra unei alte organiza\u0163ii colaboratoare sau din acelasi grup de interese ori re\u0163ea este edificatoare \u00een acest sens.<\/p>\n La fel ca \u015fi celelalte evenimente, \u015fi evenimentele informa\u0163ionale se grupeaz\u0103 \u00eentr-o matrice de evenimente, descrise sau evaluate prin atribute, asociindu-le valorile afectate si valoarea pagubelor posibile.<\/p>\n \u00a0 \u00a0 \u00a03. Etapa determin\u0103rii frecven\u0163ei de producere a evenimentelor nedorite.<\/em><\/strong><\/p>\n \u00a0<\/em><\/strong><\/p>\n Determinarea frecven\u0163ei (posibilit\u0103\u0163ii, probabilit\u0103\u0163ii) de producere a evenimentelor nedorite se bazeaz\u0103 pe studii izomorfice de evenimente sau autoizomorfice, \u00een cazul repet\u0103rii unor evenimente \u00een organiza\u0163ie \u015fi presupune o analiz\u0103 a statisticilor \u00een domeniu, observa\u0163ii atente asupra modalit\u0103\u0163ilor de producere, analize de caz, discu\u0163ii cu cei implica\u0163i, inclusiv cu f\u0103ptuitorii, cu autorit\u0103\u0163ile competente (poli\u0163ie, pompieri, prim\u0103rii, institute meteorologice \u015fi asocia\u0163ii nonguvernamentale, exper\u0163i etc.).<\/p>\n O importan\u0163\u0103 major\u0103 \u00een stabilirea frecven\u0163ei de producere a evenimentelor nedorite o are studiul mediului \u00een care se afl\u0103 organiza\u0163ia, viz\u00e2nd natura mediului, consisten\u0163a infrastructurii, vecin\u0103t\u0103\u0163ile, schimb\u0103rile de stare economic\u0103, precum \u015fi orice alt factor de mediu care ar putea influen\u0163a activitatea organiza\u0163iei \u015fi favoriza producerea de evenimente nedorite (plasarea \u00eentr-o zon\u0103 inundabil\u0103 sau de coast\u0103 \u2013 valuri si furtuni, ori seismic\u0103, \u00eentr-un cartier r\u0103u famat etc.).<\/p>\n De asemenea, natura evenimentului determin\u0103, \u00een mare m\u0103sur\u0103, frecven\u0163a sa de producere (inunda\u0163iile se pot produce \u00een anumite perioade de timp, seismele au o anumit\u0103 perioad\u0103 de repetabilitate, pe c\u00e2nd jafurile sunt aleatorii, dar furturile din magazine sau din parcare au o repetabilitate dependent\u0103 de zona \u00een care se produc).<\/p>\n Frecven\u0163a de producere a evenimentelor nedorite se materializeaz\u0103 sub urm\u0103toarele forme cantitative \u015fi\/sau calitative:<\/p>\n \u00a0 1. frecven\u0163a de producere<\/strong>:<\/p>\n – zilnic<\/p>\n – o dat\u0103 la zece zile<\/p>\n – o dat\u0103 la o sut\u0103 de zile<\/p>\n – o dat\u0103 la o mie de zile (3 ani)<\/p>\n – o dat\u0103 la zece mii de zile (30 ani)<\/p>\n \u00a0 2. probabilitatea<\/strong>:<\/p>\n – 80% – 99%<\/p>\n – 60% – 79%<\/p>\n – 40% – 59%<\/p>\n – 20% – 39%<\/p>\n – 01% – 19%<\/p>\n \u00a0 3. posibilitatea<\/strong>:<\/p>\n – 5 \u2013 permanent<\/p>\n – 4 \u2013 frecvent<\/p>\n – 3 \u2013 posibil<\/p>\n – 2 \u2013 pu\u0163in posibil<\/p>\n – 1 \u2013 aproape imposibil,<\/p>\n sau sub oricare alt\u0103 form\u0103 care exprim\u0103 frecven\u0163a, posibilitatea sau probabilitatea.<\/p>\n De regul\u0103, se utilizeaz\u0103 cinci niveluri de partajare, \u00een str\u00e2ns\u0103 corela\u0163ie cu nivelurile de risc ( 5 \u2013 dezastru, 4 \u2013 major, 3 \u2013 mediu, 2 \u2013 minor \u015fi 1 \u2013 neglijabil).<\/p>\n Studiile privind frecven-a de producere a evenimentelor nedorite se pot completa cu elementele care le determin\u0103 sau le favorizeaz\u0103 apari\u0163ia, precum \u015fi cu grafice care prezint\u0103 diferite corela\u0163ii.<\/p>\n De determinarea frecven\u0163ei de producere a evenimentelor nedorite depind at\u00e2t strategia de securitate adoptat\u0103, \u00een special managementul de risc, c\u00e2t \u015fi structura \u015fi opera\u0163ionalitatea mecanismului de securitate implementat.<\/p>\n <\/p>\n \u00a0 \u00a0 \u00a04. Etapa determin\u0103rii consecin\u0163elor producerii evenimentelor nedorite.<\/em><\/strong><\/p>\n \u00a0<\/em><\/strong><\/p>\n Etapa determin\u0103rii consecin\u0163elor producerii evenimentelor nedorite este o etap\u0103 complex\u0103 de analiz\u0103 si evaluare, av\u00e2nd \u00een vedere necesitatea prognoz\u0103rii posibilelor pagube at\u00e2t directe, c\u00e2t \u015fi adiacente (indirecte, colaterale, asociate).<\/p>\n Determinarea consecin\u0163elor trebuie realizat\u0103 de o echip\u0103 de profesioni\u015fti (\u00een securitate, tehnologie, finan\u0163e, marketing, organizare etc.) care trebuie s\u0103 analizeze fiecare eveniment nedorit posibil \u015fi, \u00een func\u0163ie de intensitatea \u015fi frecven\u0163a sa de producere, s\u0103 stabileasc\u0103:<\/p>\n \u00a0 1. pierderile (costurile) directe<\/strong>:<\/p>\n – pierderile financiare cauzate de producerea evenimentului (costul bunurilor furate sau degradate);<\/p>\n – cresterea primelor de asigurare pentru bunurile pentru care s-au pl\u0103tit daune precum \u015fi a cheltuielilor deductibile cu acoperirea asigur\u0103rii;<\/p>\n – penalit\u0103\u0163ile contractuale cauzate de nerespectarea termenelor de livrare sau de prestare a serviciilor;<\/p>\n – cheltuielile cauzate de \u00eenl\u0103turarea efectelor producerii evenimentelor nedorite si de restabilire a st\u0103rii de normalitate (\u00eenl\u0103turarea elementelor degradate si restabilirea \u2013 repararea imobilelor sau echipamentelor degradate, costurile de spitalizare a personalului accidentat, costurile pentru repunerea \u00een func\u0163iune a utilajelor ori a liniilor tehnologice de produc\u0163ie etc.);<\/p>\n – cheltuielile cauzate de modernizarea sau readaptarea m\u0103surilor \u015fi mecanismelor de securitate si de protec\u0163ia muncii (extinderea sau modernizarea mecanismelor de securitate, achizi\u0163ionarea de noi echipamente de protec\u0163ie, m\u0103rirea num\u0103rului personalului de paz\u0103 sau de supraveghere);<\/p>\n – cheltuielile pentru opera\u0163ionalizarea managementului general, de produc\u0163ie, de securitate \u015fi de normalizare a situa\u0163iei de func\u0163ionalitate a organiza\u0163iei dup\u0103 producerea evenimentului nedorit;<\/p>\n – cheltuielile pentru restabilirea integr\u0103rii \u00een mediu, relu\u0103rii leg\u0103turilor cu colaboratorii, furnizorii \u015fi clien\u0163ii, precum \u015fi pentru refacerea climatului de comunicare.<\/p>\n \u00a0 2. pierderile (costurile) indirecte<\/strong>:<\/p>\n – costurile cauzate de percep\u0163ia negativ\u0103 a imaginii organiza\u0163iei (insecuritate general\u0103 \u015fi\/sau tehnologic\u0103, ne\u00eencadrare \u00een capacitatea de respectare a angajamentelor contractuale);<\/p>\n – pierderile cauzate de micsorarea nivelului de opera\u0163ionalitate a organiza\u0163iei, de sc\u0103derea poten\u0163ialului reactiv \u015fi proactiv al acesteia;<\/p>\n – costurile readapt\u0103rii \u015fi ale rec\u00e2stig\u0103rii segmentului de pia\u0163\u0103, cel pu\u0163in, la performan\u0163ele dinaintea producerii evenimentului nedorit;<\/p>\n – lipsa acoperirilor asigur\u0103rii producerii altor evenimente nedorite cauzat\u0103 de m\u0103rirea nivelului de risc al bunurilor asigurate;<\/p>\n – costurile refacerii moralului angaja\u0163ilor, intensific\u0103rii \u015fi l\u0103rgirii preg\u0103tirii acestora, ale exerci\u0163iilor de protec\u0163ie, ale restric\u0163ion\u0103rii deplas\u0103rilor \u015fi chiar a ini\u0163iativei.<\/p>\n Pierderile se eviden\u0163iaz\u0103 \u00een matricea evenimentelor nedorite sub form\u0103 de valori absolute sau relative (procente, diferen\u0163e) pentru fiecare intensitate sau frecven\u0163\u0103 de producere sau pentru diferite limite ale acestora.<\/p>\n Este de preferat ca m\u0103rimile pierderilor s\u0103 fie exprimate \u00een aceeasi unitate de m\u0103sur\u0103, la fel \u015fi valorile de compara\u0163ie, folosindu-se, pentru toat\u0103 matricea, fie valori absolute, fie relative.<\/p>\n \u00cen cazul \u00een care nu se pot determina costurile producerii unui eveniment nedorit, evenimentul se eviden\u0163iaz\u0103 \u00een matrice \u015fi se asociaz\u0103 sau compar\u0103 cu un alt eveniment c\u0103ruia i s-au determinat consecin\u0163ele producerii, specific\u00e2ndu-se expres acest lucru.<\/p>\n <\/p>\n \u00a0 \u00a0 \u00a05. Etapa stabilirii solu\u0163iilor pentru minimizarea riscului.<\/em><\/strong><\/p>\n \u00a0<\/em><\/strong><\/p>\n Deoarece riscul reprezint\u0103 o variabil\u0103 de securitate analitic\u0103, rezultat\u0103 din conjunc\u0163ia a doi factori (amenin\u0163\u0103ri \u015fi vulnerabilit\u0103\u0163i), iar minimizarea riscului este un proces analitic si material complex, care nu presupune numai mic\u015forarea maxim posibil\u0103 a valorii sale, ci \u015fi identificarea celor mai eficiente metode \u015fi solu\u0163ii de tratare ra\u0163ional\u0103 a riscului (reducere, acoperire-asigurare, transfer, acceptare).<\/p>\n Acest proces se \u00eenscrie direct \u00een managementul riscului \u015fi este guvernat \u00een concordan\u0163\u0103 cu strategia de securitate a organiza\u0163iei, cu caracteristicile mediului \u015fi mecanismelor de securitate.<\/p>\n Op\u0163iunile pentru solu\u0163iile de securitate se sub\u00eenscriu at\u00e2t nivelurilor de risc determinate, c\u00e2t \u015fi dinamicii acestora \u00een timpul desf\u0103\u015fur\u0103rii activit\u0103\u0163ii organiza\u0163iei. De aceea, \u00een cadrul fundament\u0103rii analizei de risc este necesar s\u0103 se realizeze o coresponden\u0163\u0103 \u00eentre valorile de risc \u015fi gradul de acceptabilitate a acestuia, element definitoriu \u00een abordarea unei politici eficiente de securitate.<\/p>\n \u00cen esen\u0163\u0103, atitudinea fa\u0163\u0103 de risc se diferen\u0163iaz\u0103 \u00een trei categorii: a tolera riscul, a ac\u0163iona selectiv fa\u0163\u0103 de acesta sau a-l considera inacceptabil.<\/p>\n Atitudinea de tolerare (evitare) a riscului se refer\u0103 la riscurile neglijabile, cu valori, a c\u0103ror \u201erealizare\u201d produce pagube calificate suportabile. \u00cen func\u0163ie de costurile ce se pot suporta \u015fi de caracteristicile de evitare sau compensare ale mecanismelor de securitate, fa\u0163\u0103 de aceste riscuri se poate adopta o atitudine pasiv\u0103 de ignorare, suport\u00e2ndu-se pagubele produse f\u0103r\u0103 m\u0103suri de compensare func\u0163ional\u0103, sau o atitudine activ\u0103 de compensare func\u0163ional\u0103 (prin reglarea \u015fi interven\u0163ia mecanismelor de securitate), astfel \u00eenc\u00e2t pierderile suportate s\u0103 fie c\u00e2t mai mici posibile.<\/p>\n Atitudinea selectiv\u0103 fa\u0163\u0103 de unele riscuri neglijabile, minore si medii, cu valori cuprinse \u00eentre 0,5 si 3,05, presupune adoptarea unor m\u0103suri preventive \u015fi tehnici de reducere a consecin\u0163elor \u201erealiz\u0103rii\u201d unor astfel de riscuri. Este o atitudine activ\u0103 de anticipa\u0163ie, cu caracteristici de sistem cibernetic \u00een regim dinamic pe timpul compens\u0103rii efective sau post factum. Intr\u0103 \u00een func\u0163iune de la o anumit\u0103 valoare de program de selec\u0163ie (de prevenire a realiz\u0103rii evenimentelor nedorite cu o anumit\u0103 valoare de risc), func\u0163ioneaz\u0103 apoi dup\u0103 o anumit\u0103 func\u0163ie de compensare, pe baza reac\u0163iei negative de reglare a regimului dinamic \u015fi iese din func\u0163iune la o valoare minim\u0103, considerat\u0103 de siguran\u0163\u0103 sau de a\u015fteptare.<\/p>\n Trecerea de la programul de a\u015fteptare la cel de selec\u0163ie poate fi f\u0103cut\u0103 la diferi\u0163i stimuli: intervale de timp, prezen\u0163a unor perioade sau evenimente nedorite, alarme, ac\u0163ion\u0103ri manuale, interven\u0163ii ale echipelor de utilizatori, verific\u0103ri, antren\u0103ri etc..<\/p>\n Atitudinea de inacceptare (asigurare) se datoreaz\u0103 faptului c\u0103 sistemele de securitate nu pot ac\u0163iona eficace pentru prevenirea ori reducerea consecin\u0163elor \u201erealiz\u0103rii\u201d riscurilor cu valoare mai mare de 3,05 majore sau dezastruoase. \u00cen aceste cazuri se adopt\u0103 solu\u0163ii de asigurare a bunurilor, valorilor, serviciilor \u015fi informa\u0163iilor la astfel de evenimente nedorite \u015fi de interven\u0163ie post factum, oportun\u0103 si eficace, pentru restabilirea func\u0163ionalit\u0103\u0163ii. \u00cen cadrul trat\u0103rii unor astfel de riscuri, r\u0103m\u00e2ne permanent activ\u0103 componenta securit\u0103\u0163ii personalului \u015fi, \u00een limita posibilit\u0103\u0163ilor, componenta securit\u0103\u0163ii informa\u0163iilor. Trebuie subliniat, \u00eens\u0103, faptul c\u0103 atitudinea de inacceptare nu presupune ascunderea \u00een spatele asigur\u0103rii, ci doar recunoasterea c\u0103 mecanismele de securitate nu sunt suficient de performante pentru a face fa\u0163\u0103 unor astfel de dezastre.<\/p>\n Atitudinea de inacceptare r\u0103m\u00e2ne o atitudine activ\u0103, responsabil\u0103 \u015fi poate contribui mult la reducerea pagubelor produse de realizarea evenimentelor cu riscuri majore \u015fi dezastruoase, care nu pot fi prevenite. De asemenea, recunoasterea inacceptabilit\u0103\u0163ii este un act logic, subordonat de fapt principiului \u201elogic\u0103 \u00een loc de panic\u0103\u201d.<\/p>\n Adoptarea uneia sau alteia dintre atitudini este condi\u0163ionat\u0103 at\u00e2t de costul ce poate fi suportat pentru realizarea mediului \u015fi mecanismelor de securitate ale procesului, c\u00e2t \u015fi de caracteristicile fizice, func\u0163ionale, informa\u0163ionale \u015fi de personal ale procesului, care presupun o anumit\u0103 independen\u0163\u0103 de ac\u0163iune ce nu trebuie s\u0103 fie stingherit\u0103 de praguri de selec\u0163ie prea severe.<\/p>\n Alegerea unui compromis corespunz\u0103tor \u00eentre mediul de securitate \u015fi eficien\u0163a func\u0163ionalit\u0103\u0163ii procesului este una din consecin\u0163ele majore ale unei analize formale de risc, corecte si complete, precum si a unei politici de securitate eficiente, condi\u0163ionate de costul ce poate fi suportat.<\/p>\n O atitudine prea tolerant\u0103 poate prejudicia grav obiectivul, \u00een timp ce o atitudine prea sever\u0103 nu poate dec\u00e2t perturba func\u0163ionalitatea acestuia. La fel ca \u00een orice alt domeniu, \u015fi \u00een securitate atitudinile sau manifest\u0103rile extremiste nu dau rezultate pozitive.<\/p>\n \u00cen finalul acestei etape, matricea evenimentelor nedorite se reorganizeaz\u0103 \u00een func\u0163ie de nivelul de risc asociat, \u00eencep\u00e2nd de la cel transferabil (prin asigurare) la cel neglijabil.<\/p>\n <\/p>\n \u00a0 \u00a0 \u00a06. Etapa evalu\u0103rii eficien\u0163ei implement\u0103rii solu\u0163iilor pentru minimizarea riscului.<\/em><\/strong><\/p>\n \u00a0<\/em><\/strong><\/p>\n \u00cen func\u0163ie de natura evenimentelor nedorite si nivelurile pagubelor si ale riscurilor asociate, se stabilesc, \u00een concordan\u0163\u0103 cu strategia de securitate si cu costurile posibile a fi suportate, solu\u0163iile de securitate (mecanisme, reguli, m\u0103suri, proceduri, aten\u0163ion\u0103ri etc.).<\/p>\n Dup\u0103 stabilirea structurii \u00eentregului mecanism (integrat, sistem) de securitate, cu elemente dedicate evenimentelor nedorite (eviden\u0163iate, ca atare, \u00een matricea evenimentelor nedorite), se defineste mediul de securitate (evenimente, riscuri, urm\u0103ri, m\u0103suri de securitate, costuri) \u015fi se analizeaz\u0103 func\u0163ionalitatea procesual\u0103 a organiza\u0163iei \u015fi costul m\u0103surilor de securitate.<\/p>\n \u00cen func\u0163ie de flexibilitatea procesual\u0103 si de costurile de suportat, se analizeaz\u0103 strategia de securitate eficientiz\u00e2nd (cupl\u00e2nd mai str\u00e2ns sau mai slab) m\u0103surile de securitate astfel \u00eenc\u00e2t procesul s\u0103 nu fie stingherit, ci \u00eembun\u0103t\u0103\u0163it din punctul de vedere al stabilit\u0103\u0163ii \u015fi siguran\u0163ei func\u0163ionale. Se realizeaz\u0103 astfel un compromis opera\u0163ional \u00eentre securitatea procesului, permisibilitatea utilizatorilor, confortul func\u0163ional \u015fi consecin\u0163ele producerii evenimentelor nedorite.<\/p>\n \u00cen esen\u0163a sa, etapa a \u015fasea reprezint\u0103 procesul recursiv al determin\u0103rii mediului de securitate, condi\u0163ionat de riscurile asumate (tratate), de strategia de securitate \u015fi de costurile suportate. Acceptarea riscurilor evaluate (determinate) se face \u00een concordan\u0163\u0103 cu caracteristicile de proces, de viabilitatea obiectivelor suport pentru proces, utilit\u0103\u0163ile stabilite \u015fi cu prevederile legale \u00een materiale.<\/p>\n Evaluarea eficien\u0163ei implement\u0103rii solu\u0163iilor de securitate se concretizeaz\u0103 \u00een\u00a0 raportul de risc (riscul final asumat\/riscul ini\u0163ial al procesului), cu condi\u0163ia men\u0163inerii cel pu\u0163in a opera\u0163ionalit\u0103\u0163ii de proces, sau cu rapoarte valori de risc\/ costuri ori valori de risc\/pierderi posibile (costuri de insecuritate).<\/p>\n <\/p>\n \u00a0 \u00a0 \u00a07. Etapa determin\u0103rii raportului cost\/nivel de securitate.<\/em><\/strong><\/p>\n \u00a0<\/em><\/strong><\/p>\n Din analiza matricei evenimentelor nedorite se \u00eensumeaz\u0103 costurile \u015fi se raporteaz\u0103 la beneficiul adus de securitate (costurile de insecuritate din care se scad costurile de realizare a mecanismelor de securitate):<\/p>\n Tendin\u0163a este ca acest raport s\u0103 fie c\u00e2t mai mic posibil, acesta fiind totu\u015fi acceptat dac\u0103 se \u00eenscrie \u00een limitele urm\u0103toare:<\/p>\n – pentru securitatea minimal\u0103: 10-15%<\/p>\n – pentru securitatea suficient\u0103: 15-20%<\/p>\n – pentru securitatea acoperitoare: circa 30%<\/p>\n – pentru securitatea sigur\u0103: 35-40%.<\/p>\n \u00cen concluzie, pentru a se ob\u0163ine o protec\u0163ie corespunz\u0103toare, fondurile alocate pentru securitate trebuie s\u0103 fie de 35-40% din cele alocate investi\u0163iei pentru unit\u0103\u0163ile mari, iar pentru unit\u0103\u0163ile mijlocii si mici de circa 30%.<\/p>\n Devenirea strategiilor globale poate fi realizat\u0103 fie printr-o abordare conceptual\u0103 unitar\u0103 ini\u0163ial\u0103, fie printr-o dezvoltare succesiv\u0103, adapt\u00e2ndu-se mecanisme \u015fi m\u0103suri de protec\u0163ie pe elemente disparate,care apoi vor fi integrate conform concep\u0163iei desecuritate.<\/p>\n