Antes de apresentar um pequeno texto elucidativo do tema eu gostaria de compartilha algumas dúvidas que chegam a este humilde canal de informação:
Quem foram os representantes (chefes) da Guarda Portuária que participaram das duas reuniões da SEP e se a SEP vai convidar Guardas Portuários para participar da elaboração deste regulamento conforme divulgado anteriormente.
Marco Jamil
Tecgº Seg. Pública/ Guarda Portuário
Introdução
Constata-se que são poucas as organizações que possuem política de análise de risco. Públicas ou privadas, muitas organizações empregam de forma amadora programas de segurança, sem qualquer noção de quais ameaças devem se proteger, nem quais são seus ativos e vulnerabilidades. Esses programas de segurança, confeccionados sem qualquer base científica ou técnica, muitas vezes produzem o efeito contrário, isto é, incrementam o risco da empresa ou entidade.
Com base nessa verificação do risco e sua valoração, permitir-se-á o enfrentamento:
- tomando ações para reduzi-lo;
- aceitando o risco – pois muitas vezes o custo em reduzir é maior que o custo do evento negativo, tornando inviável mitigar o risco;
- transferindo o risco – por intermédio de seguro, por exemplo.
A medição do risco pode ser realizada de forma quantitativa e qualitativa. A avaliação quantitativa do risco é extremamente complexa e depende de cálculos matemáticos avançados. É muito utilizada onde há a necessidade em se conhecer a porcentagem exata do risco a ser enfrentado, como em usinas nucleares, laboratórios de pesquisa, indústrias químicas, aviação civil etc. A avaliação qualitativa é baseada em parâmetros, não expressos em números exatos de porcentagem, mas em graus, níveis, números indicadores simples (alto, baixo, médio etc.). Pode ser utilizada para avaliar grande parte do risco a que prédios públicos, empresas, organizações estão sujeitos. Tem a vantagem de ser bom parâmetro para o conhecimento do risco sem as dificuldades técnicas presentes na avaliação quantitativa (que depende de dados exatos, quase perfeitos, assim como de séries históricas confiáveis).
Por isso, trataremos neste trabalho da avaliação qualitativa do risco, capaz de indicar de forma eficaz o risco na maior parte dos casos a serem analisados pelos profissionais de segurança. É claro que se há a necessidade em se proteger reator nuclear, viagem espacial ou outro ativo similar haverá a necessidade de avaliação mais detalhada que passará necessariamente pela análise quantitativa do risco. Na maior parte dos estabelecimentos e estruturas críticas não se vislumbra a necessidade em se obter metodologia para análise quantitativa de risco.
Ativos
Os ativos são os bens a serem protegidos. Podem englobar pessoas, informações, comunicações, estruturas críticas físicas de áreas e instalações (de energia, transporte, abastecimento, infraestrutura etc.), estruturas virtuais (sistemas, banco de dados), prédios públicos, monumentos públicos, processos, tecnologias, equipamentos, materiais, documentos etc.
Não há como realizar análise de risco idônea sem saber o que se quer proteger. O Estado e as empresas necessitam saber o valor de seus ativos. Esse valor pode ser financeiro ou não, mas devem ser valorados por serem indicadores da necessidade em serem protegidos.
Ameaças
Ameaças são ações naturais e humanas, intencionais ou não (acidentes), que colocam em risco os ativos a serem protegidos. Sem ameaças não existe risco, o que demonstra a necessidade em se conhecer e avaliar este elemento para a adequada gestão da segurança pública e privada.
A título de exemplo, podemos considerar possíveis ameaças a interrupção de serviços (energia, ar-condicionado, comunicação, elevadores), operação equivocada, roubo, furto, perda, acesso indevido, terrorismo, sabotagem, vandalismo, incêndio, inundação, explosão, desmoronamento, materiais tóxicos, falha em equipamento, funcionários insatisfeitos, grupos radicais, manifestantes, anarquistas, movimentos radicais estudantis, sem-terra, sem-teto, antiglobalização, intolerantes, nazistas, fascistas, organizações criminosas, terroristas separatistas, terroristas internacionais; enfim quaisquer ameaças possíveis a um estabelecimento.
Vulnerabilidades
Vulnerabilidades são características de áreas e instalações, bem como pessoais do ativo, que facilitam a concretização da ameaça. É a suscetibilidade de o ativo sofrer ataque, a fraqueza do bem crítico a ser protegido.
Conforme a ABNT/ISO/Guia 73 – Gestão de riscos – Vocabulário, 1ª edição de 2009, “vulnerabilidades” são propriedades intrínsecas de algo resultando em suscetibilidade a uma “fonte de risco” que pode levar a um “evento” com uma “consequência”. Pelo mesmo guia o termo “fonte de risco” refere-se a elemento que, individualmente ou combinado, tem o potencial intrínseco para dar origem ao “risco”, podendo ser tangível ou intangível; “evento” é a ocorrência ou mudança em um conjunto específico de circunstâncias; e finalmente “consequência” é resultado de um “evento” que afeta os objetivos, podendo ser certa ou incerta, com efeitos positivos ou negativos sobre os objetivos, e expressa de forma qualitativa ou quantitativa.
Os elementos para a análise da vulnerabilidade de ativo são:
- Elementos físicos – deficiências em áreas e instalações no que tange à segurança (prédio em área sujeita a inundações, falta de cercas, sem sistema de vigilância, sem alarmes, janelas quebradas, portas e fechaduras frágeis etc.).
- Elementos operacionais –conexão do sistema à Internet, comunicações não criptografadas, falta de consciência de segurança, falta de rotinas de proteção à informação, falta de capacitação adequada periódica, deficiências em procedimentos de segurança e proteção pessoal etc.
A análise de vulnerabilidades pode ser estabelecida consoante ações ativas e passivas. Ativas são aquelas de tentativa em se descobrir quais as fraquezas da organização pela atuação física sobre o órgão ou pessoa, isto é, pela imposição de ações de invasão, acesso, penetração. Pode-se recrutar membros do corpo de segurança ou de fontes externas (ex-criminosos, ex-terroristas, ex-guerrilheiros etc.) para que estes tentem acessar a organização, verificando em campo quais os setores e locais onde a segurança poderia ser violada.
Métodos passivos são aqueles relacionados à pesquisa teórica, normalmente por intermédio de questionário a ser preenchido pelo responsável em segurança sobre todos os elementos físicos e operacionais que participam do sistema de proteção do alvo: acessos, janelas, alarmes, procedimentos, guardas, cercas, procedimentos, cultura de segurança, exposição pública etc. É o método ou ação tradicional empregado na maior parte dos casos.
Risco
Risco é a possibilidade de que evento indesejável ocorra. Em segurança tenta-se verificar a ocorrência de eventos negativos, com impacto prejudicial sobre o ativo a ser protegido. E sabendo a probabilidade de que evento indesejável ocorra podemos buscar soluções mais eficazes e eficientes.
Conforme a ABNT/ISO/Guia 73 – Gestão de riscos – Vocabulário, 1ª edição de 2009, “risco” é o efeito da incerteza nos objetivos.
Para verificar o grau de risco devem ser estabelecidos critérios, como probabilidade de ocorrência e o impacto sobre as atividades.
Análise de Risco
A Análise de Risco é a verificação quantitativa ou qualitativa do Risco a ser enfrentado pelo gestor. É um relatório a ser confeccionado pela equipe que verificou o grau de risco a fim de subsidiar a decisão do gestor.
Conforme a ABNT/ISO/Guia 73 – Gestão de riscos – Vocabulário, 1ª edição de 2009, “análise de risco” é o processo de compreender a natureza do risco e determinar o “nível de risco”, o qual segundo o mesmo guia refere-se à magnitude de um “risco”, expressa em termo da combinação das consequências e de suas “probabilidades” (chance de algo acontecer).
Essa análise pode obedecer a diversos critérios. Ousamos estabelecer os seguintes parâmetros, com base na nossa experiência profissional, designando quatro estágios possíveis, a saber: risco inexistente (0), risco baixo (1), risco médio (2), risco alto (3). Dado o grau de risco, caberá ao gestor tomar as medidas necessárias à mitigação do possível problema a ser enfrentado. Este sistema de ações para a verificação do risco é denominadoMétodo de Verificação do Risco (MVR).
Nenhum comentário:
Postar um comentário