Guia de Análise de Vulnerabilidades e Medidas de Proteção a Instalações Industriais Químicas

(1)

Guia de

An

á

lise de Vulnerabilidades

e Medidas de Prote

ç

_ç

ão

_ão

a Instala

ç

ões Industriais Qu

í

micas

III

Semin

á

rio

de

Prote

ç

ão

Empresarial

São Paulo, 27 de

(2)

Agenda

• Safety x Security

• Guias de Proteção

• Análise de Vulnerabilidades

– Metodologia

– Análise de Vulnerabilidades

– Medidas de Proteção

(3)

Safety

Security

Segurança

Qual a diferen

(4)

Safety x Security

•

• Safety

Safety

Æ

Seguran

ç

a

:

lida

com eventos

com

eventos

involunt

á

rios

e

não

desejados

•

• Security

Security

Æ

Prote

ç

ão

:

lida

(5)

Guias

de

Prote

ç

ão

da

Abiquim

•

• Guia

Guia

de

Prote

ç

ão

a

Instala

ç

ões

Industriais

Qu

í

micas

publicado

em

julho/2005

•

• Guia

Guia

de

Prote

ç

ão

ao

Transporte

de

Produtos

da

Ind

ú

stria

Qu

í

mica

publicado

em

dezembro/2005

•

• Guia

Guia

de

An

á

lise

de

Vulnerabilidades

e

Medidas

de

Prote

ç

ão

a

Instala

ç

ões

Industriais

Qu

í

micas

em

fase

de

publica

ção

ç

ão

•

• Guia

Guia

de

Prote

ç

ão

à

Informa

ç

ão

em

(6)

(7)

Alguns Conceitos

• Adversário:

pessoa, grupo de pessoas ou organização que pratique

ou tenha interesse e capacidade para praticar atos prejudiciais à

empresa.

• Ativo:

tudo que tenha valor para a empresa: pessoas, meio ambiente,

instalações, equipamentos, produtos, materiais, informação, marca,

imagem, reputação, etc..

• Alvo:

qualquer ativo que seja considerado atraente por um

adversário; um ataque específico a esse ativo pode produzir os efeitos

desejados pelo adversário.

• Ameaça:

qualquer indicação, circunstância ou evento que tenha o

potencial de causar a perda de um ativo ou danos a ele.

• Capacidade (operacional):

capacidade que um determinado

adversário tenha de obter, danificar ou destruir um ativo; ou de

atingir objetivos predeterminados através da utilização, dano ou

destruição do ativo.

(8)

Risco

(em

“

security

”

)

Risco

é uma

expressão da probabilidade*

de que

um

determinado adversário

explore

uma

vulnerabilidade específica

de um

alvo ou conjunto de alvos

, que apresentem

um

perigo

ou uma

atratividade identificados

,

causando uma

determinada série de conseqüências

.

(9)

Referências principais

• “Guidelines for Analyzing and Managing the Security

Vulnerabilities of Fixed Chemical Sites”, livro publicado

em 2003 pelo CCPS

(Center for Chemical Process Safety)

, do

AIChE

(American Institute of Chemical Engineers)

.

• “Implementation Guide for Responsible Care

®

Security

Code of Management Practices – Site Security and

Verification” , publicado em julho de 2002 pelo ACC

(10)

Metodologia

Passo 1 Planejamento

Passo 2

Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças Passo 1 Planejamento Passo 2

Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças

(11)

Passo 1: Planejamento

• Definição do escopo do projeto

– Eventos mais graves, eventos mais prováveis

• Estruturação de equipe de trabalho

– Líder, secretário, “core team”, outros membros

(12)

Passo 2

(13)

Passo 2: Caracterização das instalações

e análise de conseqüências

• Perigo e atratividade

• Eventos mais graves ou mais prováveis

• Gravidade das conseqüências

• Proteções existentes

(14)

Passo 2: Caracterização das instalações e análise de conseqüências

Perigo, atratividade, conseqüências

Produto qu

í

mico

Perigo associado

Ex: cloro

G

á

s t

ó

xico / corrosivo

Ativo cr

í

tico

Perigo associado

Atratividade associada

Ex: caldeiras

Pressão, temperatura

Ex: agência banc

á

ria

Alto valor monet

á

rio

Amea

ç

a / conseq

ü

ências

Explosão ou vazamento

Mortes, danos ambientais

Amea

ç

a / conseq

ü

ências

Explosão / mortos, feridos

Assalto / mortos, feridos

(15)

• Quantificação da gravidade das conseqüências

– a pessoas

– ao meio ambiente

– ao patrimônio ou à imagem / marca da empresa

– impactos sócio-econômicos

• Quantificação das proteções existentes

• Grau de perigo: gravidade – proteção

(1 a 5)

Passo 2: Caracterização das instalações e análise de conseqüências

Quantificação e grau de perigo

(16)

Passo 2

(17)

Passo 3: Avaliação de ameaças

• Ações terroristas

• Ações de criminosos: assalto, invasão, seqüestro

• Ameaças, colocação de bomba, atentados pelo correio

• Vandalismo

• Roubo ou desvio de produtos; contaminação ou falsificação

• Roubos diversos: cabos elétricos, laptops, valores, veículos

• Roubo de informação

• Ações de ativistas, protestos

• Violência entre funcionários ou com outras pessoas

• Fraudes, desvio de dinheiro, corrupção

(18)

Passo 3: Avaliação de ameaças

Descrição, quantificação, priorização

• Descrição e quantificação das ameaças

– Identificação e descrição

– Histórico

– Capacidade operacional

– Motivação

• Priorização

Quantifica

(19)

Passo 2

(20)

Passo 4: Avaliação de vulnerabilidades e

construção de cenários

• Matriz: ativos críticos x ameaças

• Identificação e priorização de cenários críticos

• Descrição dos cenários

(21)

Passo 2

(22)

Passo 5: Identificação de contramedidas

• Contramedidas identificadas a partir de cada

cenário descrito

• Guia inclui extensa relação de medidas de proteção

que podem ser consideradas

• Quantificação da relação benefício / custo de cada

contramedida e priorização

• Refazer os cálculos como se as contramedidas já

(23)

Passo 2

(24)

Passo 6: Relatório Final

Passo 7: Implementação de recomendações

• Preparação de relatório final

– Sumário executivo

– Relação de contramedidas e plano de implementação

– Negociação prévia com a liderança da empresa

• Implementação das recomendações

(25)

Gestão de Riscos e

Gestão de Mudanças

• Integração com processos corporativos para:

– Gestão de riscos,

– Gerenciamento de crises,

– Comunicação interna e externa em situação de crise,

– Contingência e continuidade de negócios.

• Processos para identificação e gestão de mudanças

que possam interferir nos sistemas de proteção.

(26)

Auditoria e

Melhoria Contínua

• Processos para auditar periodicamente os sistemas

implementados:

– Testes periódicos

– Treinamento

– Assegurar que sistemas funcionam conforme projeto

• Processos de melhoria contínua, com participação

de todos os funcionários da empresa.

(27)