Guia de Análise de Vulnerabilidades e Medidas de Proteção

Transcrição

1 Guia de Análise de Vulnerabilidades e Medidas de Proteção Ênio Viterbo Jr. (Bayer) Coordenador da Comissão de Proteção Empresarial César Garcia (neologos)) Consultor

2 Guias de Proteção da Abiquim Guia de Proteção a Instalações Industriais Químicas publicado em julho/2005 Guia de Proteção ao Transporte de Produtos da Indústria Química publicado em dezembro/2005 Guia de Análise de Vulnerabilidades e Medidas de Proteção a Instalações Industriais Químicas Guia de publicado em agosto/2007 de Proteção à Informação em planejamento

3

4 Qual a diferença a??? Safety Segurança Security

5 Safety x Security Safety Segurança: lida com eventos involuntários e não desejados Security Proteção ão: lida com atos deliberados de agressão

6 Alguns Conceitos Adversário: pessoa, grupo de pessoas ou organização que pratique ou tenha interesse e capacidade para praticar atos prejudiciais à empresa. Ativo: tudo que tenha valor para a empresa: pessoas, meio ambiente, instalações, equipamentos, produtos, materiais, informação, marca, imagem, reputação, etc.. Alvo: qualquer ativo que seja considerado atraente por um adversário; um ataque específico a esse ativo pode produzir os efeitos desejados pelo adversário. Ameaça: qualquer indicação, circunstância ou evento que tenha o potencial de causar a perda de um ativo ou danos a ele. Capacidade (operacional): capacidade que um determinado adversário tenha de obter, danificar ou destruir um ativo; ou de atingir objetivos predeterminados através da utilização, dano ou destruição do ativo.

7 Risco (em security ) Risco é uma expressão da probabilidade* de que um determinado adversário rio explore uma vulnerabilidade específica de um alvo ou conjunto de alvos,, que apresentem um perigo ou uma atratividade identificados, causando uma determinada série de conseqüências ências. * qualitativa ou semi-quantitativa

8 Referências principais Guidelines for Analyzing and Managing the Security Vulnerabilities of Fixed Chemical Sites, livro publicado em 2003 pelo CCPS (Center for Chemical Process Safety), do AIChE (American Institute of Chemical Engineers). Implementation Guide for Responsible Care Security Code of Management Practices Site Security and Verification, publicado em julho de 2002 pelo ACC (American Chemistry Council).

9 Metodologia Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

10 Passo 1: Planejamento Definição do escopo do projeto Eventos mais graves, eventos mais prováveis Estruturação de equipe de trabalho Líder, secretário, core team, outros membros Planejamento e método de trabalho

11 Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

12 Passo 2: Caracterização das instalações e análise de conseqüências Perigo e atratividade Eventos mais graves ou mais prováveis Gravidade das conseqüências Proteções existentes Quantificação: gravidade - proteção

13 Passo 2: Caracterização das instalações e análise de conseqüências Perigo, atratividade, conseqüências Produto químico Ex: cloro Perigo associado Gás s tóxico t / corrosivo Ameaça a / conseqüências Explosão ou vazamento Mortes, danos ambientais Ativo crítico Ex: caldeiras Ex: agência bancária Perigo associado Atratividade associada Pressão, temperatura Alto valor monetário Ameaça a / conseqüências Explosão / mortos, feridos Assalto / mortos, feridos

14 Passo 2: Caracterização das instalações e análise de conseqüências Quantificação e grau de perigo Quantificação da gravidade das conseqüências a pessoas ao meio ambiente ao patrimônio ou à imagem / marca da empresa impactos sócio-econômicos Quantificação das proteções existentes Grau de perigo: gravidade proteção (1 a 5)

15 Passo 2: Caracterização das instalações e análise de conseqüências Cód. Exemplos: Descrição Conseqüências Grau de perigo P1a Cloro: grande vazamento Risco de morte de muitas pessoas, danos ambientais P1b Cloro: pequeno vazamento Risco de intoxicação grave a algumas pessoas, risco de morte A2 Explosão de caldeira Feridos, risco de mortes, dano patrimonial, parada da fábrica A3 Assalto a agência bancária Tiros podem atingir pessoas ou equipamentos

17 Passo 3: Avaliação de ameaças Ações terroristas Ações de criminosos: assalto, invasão, seqüestro Ameaças, colocação de bomba, atentados pelo correio Vandalismo Roubo ou desvio de produtos; contaminação ou falsificação Roubos diversos: cabos elétricos, laptops, valores, veículos Roubo de informação Ações de ativistas, protestos Violência entre funcionários ou com outras pessoas Fraudes, desvio de dinheiro, corrupção

18 Passo 3: Avaliação de ameaças Descrição, quantificação, priorização Descrição e quantificação das ameaças Identificação e descrição Histórico Capacidade operacional Motivação Quantificação Priorização

19 Passo 3: Avaliação de ameaças Exemplos: Cód Descrição Histórico Capacidade Operacional Motivação Pontos AM3 Criminosos assaltam agência bancária Eventual 1,0 AM5 Atentado terrorista Improvável 0,5 AM6 AM7 Criminosos invadem para roubar produtos Funcionário descontente pratica ato de sabotagem Provável 1,5 Improvável 0,5 Alta 1,5 Muito alta 2,0 Alta 1,5 Alta 1,5 Alta 1,5 4,0 Média 1,0 3,5 Alta 1,5 4,5 Baixa 0,5 2,5

21 Passo 4: Avaliação de vulnerabilidades e construção de cenários Matriz: ativos críticos x ameaças Identificação e priorização de cenários críticos Descrição dos cenários

22 MATRIZ DE CRUZAMENTO PRODUTOS E ATIVOS CRÍTICOS X AMEAÇAS Cód. Produto / Ativo P1a Cloro gás A2 PRODUTOS / ATIVOS CRÍTICOS Conjunto de caldeiras P1b Cloro gás Evento / ataque considerado Ruptura de tanques 5 Explosão 4 Perfuração de linha Grau de Perigo 4 A3 Agência bancária Assalto , Probab. Total Probab. Total Probab. Total Probab. Total Pontos 0,5 11,25 0,5 9 0,5 9 0,5 4, , AM5 AM6 Terroristas explodem tanque ou outro ativo crítico Grupo criminoso invade a fábrica para roubar produtos AM7 Funcionário descontente pratica ato de sabotagem 4 3,5 4,5 2,5 AMEAÇAS AM3 Criminosos assaltam agência bancária 1 17, ,5 7 0,5 3,5

23 AM5 AM6 AM7 Terroristas explodem tanque ou outro ativo crítico Grupo criminoso invade a fábrica para roubar produtos Funcionário descontente pratica ato de sabotagem MATRIZ DE CRUZAMENTO PRODUTOS E ATIVOS CRÍTICOS X AMEAÇAS Cód. Produto / Ativo P1a Cloro gás A2 PRODUTOS / ATIVOS CRÍTICOS Conjunto de caldeiras P1b Cloro gás Evento / ataque considerado Ruptura de tanques Pontos ,5 0,5 11, Explosão ,5 9 0,5 5 Perfuração de linha Grau de Perigo 4 3,5 4,5 4 0,5 8 0,5 7 0, ,5 Probab. Total Probab. Total Probab. Total Probab. Total AM3 AMEAÇAS Criminosos assaltam agência bancária A3 Agência bancária Assalto ,5 3,5 0,5 4,5 0 0

24 Passo 4: Avaliação de vulnerabilidades e construção de cenários Composição e priorização de cenários Cód Ativo crítico Ameaça Pontos Descrição Cenário C1 P1a Cloro gás AM5 AM6 C2 A2 Conjunto de caldeiras AM5 AM6 Terroristas Grupo Criminoso Terroristas Grupo Criminoso C3 P1b Cloro gás AM7 Funcionário descontente C4 P1b Cloro gás AM4 AM6 Assaltantes banco Grupo criminoso 17,5 Explosão de tanque de cloro por terroristas ou grupo criminoso 14,0 Explosão de caldeiras por terroristas ou grupo criminoso 10,0 Liberação de cloro por funcionário descontente 9,0 Perfuração de linha de cloro por assaltantes C5 A3 Agência bancária AM4 Assaltantes banco 8,0 Assalto à agência bancária, com risco às pessoas na planta

25 Cenário n : C1 Cód. P1a Cód. AM5 AM6 Título: Explosão de tanque de cloro por terroristas ou grupo criminoso Alvo (produto / ativo): Pontos Cloro gás 17,5 Ameaça (descrição): (a) Terroristas que invadem a planta para provocar um evento de grandes proporções ou (b) Grupo de criminosos fortemente armados que invadem a planta para roubar produtos, mas, cercados pela Polícia, decidem provocar um evento de grandes proporções que lhes possibilite a fuga. Adversário(s) / nº: Grupo de terroristas ou criminosos, de 10 a 15 pessoas, fortemente armados. Motivação: Modo de atuação: Capacidade de ação: Equipamentos: Histórico: Principais conseqüências possíveis: Defesas e proteções existentes: Vulnerabilidades identificadas: Contramedidas sugeridas: Observações e Notas:

27 Passo 5: Identificação de contramedidas Contramedidas identificadas a partir de cada cenário descrito Guia inclui extensa relação de medidas de proteção que podem ser consideradas Quantificação da relação benefício / custo de cada contramedida e priorização Refazer os cálculos como se as contramedidas já tivessem sido implementadas, para avaliar impacto.

29 Passo 6: Relatório Final Passo 7: Implementação de recomendações Preparação de relatório final Sumário executivo Relação de contramedidas e plano de implementação Negociação prévia com a liderança da empresa Implementação das recomendações Cronograma com prazos e responsabilidades

30 Gestão de Riscos e Gestão de Mudanças Integração com processos corporativos para: Gestão de riscos, Gerenciamento de crises, Comunicação interna e externa em situação de crise, Contingência e continuidade de negócios. Processos para identificação e gestão de mudanças que possam interferir nos sistemas de proteção.

31 Auditoria e Melhoria Contínua Processos para auditar periodicamente os sistemas implementados: Testes periódicos Treinamento Assegurar que sistemas funcionam conforme projeto Processos de melhoria contínua, com participação de todos os funcionários da empresa.

32 Muito Obrigado!