Guia de
Guia de
An
An
á
á
lise de Vulnerabilidades
lise de Vulnerabilidades
e Medidas de Prote
e Medidas de Prote
ç
ç
ão
ão
a Instala
a Instala
ç
ç
ões Industriais Qu
ões Industriais Qu
í
í
micas
micas
III
III
Semin
Semin
á
á
rio
rio
de
de
Prote
Prote
ç
ç
ão
ão
Empresarial
Empresarial
São Paulo, 27 de
Agenda
Agenda
• Safety x Security
• Guias de Proteção
• Análise de Vulnerabilidades
– Metodologia
– Análise de Vulnerabilidades
– Medidas de Proteção
Safety
Security
Segurança
Qual a diferen
Safety x Security
Safety x Security
•
•
Safety
Safety
Æ
Æ
Seguran
Seguran
ç
ç
a
a
:
:
lida
lida
com eventos
com
eventos
involunt
involunt
á
á
rios
rios
e
e
não
não
desejados
desejados
•
•
Security
Security
Æ
Æ
Prote
Prote
ç
ç
ão
ão
:
:
lida
Guias
Guias
de
de
Prote
Prote
ç
ç
ão
ão
da
da
Abiquim
Abiquim
•
•
Guia
Guia
de
de
Prote
Prote
ç
ç
ão
ão
a
a
Instala
Instala
ç
ç
ões
ões
Industriais
Industriais
Qu
Qu
í
í
micas
micas
publicado
publicado
em
em
julho/2005
julho/2005
•
•
Guia
Guia
de
de
Prote
Prote
ç
ç
ão
ão
ao
ao
Transporte
Transporte
de
de
Produtos
Produtos
da
da
Ind
Ind
ú
ú
stria
stria
Qu
Qu
í
í
mica
mica
publicado
publicado
em
em
dezembro/2005
dezembro/2005
•
•
Guia
Guia
de
de
An
An
á
á
lise
lise
de
de
Vulnerabilidades
Vulnerabilidades
e
e
Medidas
Medidas
de
de
Prote
Prote
ç
ç
ão
ão
a
a
Instala
Instala
ç
ç
ões
ões
Industriais
Industriais
Qu
Qu
í
í
micas
micas
em
em
fase
fase
de
de
publica
publica
ção
ç
ão
•
•
Guia
Guia
de
de
Prote
Prote
ç
ç
ão
ão
à
à
Informa
Informa
ç
ç
ão
ão
em
Alguns Conceitos
Alguns Conceitos
• Adversário:
pessoa, grupo de pessoas ou organização que pratique
ou tenha interesse e capacidade para praticar atos prejudiciais à
empresa.
• Ativo:
tudo que tenha valor para a empresa: pessoas, meio ambiente,
instalações, equipamentos, produtos, materiais, informação, marca,
imagem, reputação, etc..
• Alvo:
qualquer ativo que seja considerado atraente por um
adversário; um ataque específico a esse ativo pode produzir os efeitos
desejados pelo adversário.
• Ameaça:
qualquer indicação, circunstância ou evento que tenha o
potencial de causar a perda de um ativo ou danos a ele.
• Capacidade (operacional):
capacidade que um determinado
adversário tenha de obter, danificar ou destruir um ativo; ou de
atingir objetivos predeterminados através da utilização, dano ou
destruição do ativo.
Risco
Risco
(em
(em
“
“
security
security
”
”
)
)
Risco
é uma
expressão da probabilidade*
de que
um
determinado adversário
explore
uma
vulnerabilidade específica
de um
alvo ou conjunto de alvos
, que apresentem
um
perigo
ou uma
atratividade identificados
,
causando uma
determinada série de conseqüências
.
Referências principais
Referências principais
• “Guidelines for Analyzing and Managing the Security
Vulnerabilities of Fixed Chemical Sites”, livro publicado
em 2003 pelo CCPS
(Center for Chemical Process Safety)
, do
AIChE
(American Institute of Chemical Engineers)
.
• “Implementation Guide for Responsible Care
®
Security
Code of Management Practices – Site Security and
Verification” , publicado em julho de 2002 pelo ACC
Metodologia
Metodologia
Passo 1 Planejamento
Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças Passo 1 Planejamento Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças
Passo 1: Planejamento
• Definição do escopo do projeto
– Eventos mais graves, eventos mais prováveis
• Estruturação de equipe de trabalho
– Líder, secretário, “core team”, outros membros
Passo 1 Planejamento
Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças Passo 1 Planejamento Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças
Passo 2: Caracterização das instalações
e análise de conseqüências
• Perigo e atratividade
• Eventos mais graves ou mais prováveis
• Gravidade das conseqüências
• Proteções existentes
Passo 2: Caracterização das instalações e análise de conseqüências
Perigo, atratividade, conseqüências
Produto qu
Produto qu
í
í
mico
mico
Perigo associado
Perigo associado
Ex: cloro
Ex: cloro
G
G
á
á
s t
s t
ó
ó
xico / corrosivo
xico / corrosivo
Ativo cr
Ativo cr
í
í
tico
tico
Perigo associado
Perigo associado
Atratividade associada
Atratividade associada
Ex: caldeiras
Ex: caldeiras
Pressão, temperatura
Pressão, temperatura
Ex: agência banc
Ex: agência banc
á
á
ria
ria
Alto valor monet
Alto valor monet
á
á
rio
rio
Amea
Amea
ç
ç
a / conseq
a / conseq
ü
ü
ências
ências
Explosão ou vazamento
Explosão ou vazamento
Mortes, danos ambientais
Mortes, danos ambientais
Amea
Amea
ç
ç
a / conseq
a / conseq
ü
ü
ências
ências
Explosão / mortos, feridos
Explosão / mortos, feridos
Assalto / mortos, feridos
• Quantificação da gravidade das conseqüências
– a pessoas
– ao meio ambiente
– ao patrimônio ou à imagem / marca da empresa
– impactos sócio-econômicos
• Quantificação das proteções existentes
• Grau de perigo: gravidade – proteção
(1 a 5)
Passo 2: Caracterização das instalações e análise de conseqüências
Quantificação e grau de perigo
Passo 1 Planejamento
Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças Passo 1 Planejamento Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças
Passo 3: Avaliação de ameaças
• Ações terroristas
• Ações de criminosos: assalto, invasão, seqüestro
• Ameaças, colocação de bomba, atentados pelo correio
• Vandalismo
• Roubo ou desvio de produtos; contaminação ou falsificação
• Roubos diversos: cabos elétricos, laptops, valores, veículos
• Roubo de informação
• Ações de ativistas, protestos
• Violência entre funcionários ou com outras pessoas
• Fraudes, desvio de dinheiro, corrupção
Passo 3: Avaliação de ameaças
Descrição, quantificação, priorização
• Descrição e quantificação das ameaças
– Identificação e descrição
– Histórico
– Capacidade operacional
– Motivação
• Priorização
Quantifica
Passo 1 Planejamento
Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças Passo 1 Planejamento Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças
Passo 4: Avaliação de vulnerabilidades e
construção de cenários
• Matriz: ativos críticos x ameaças
• Identificação e priorização de cenários críticos
• Descrição dos cenários
Passo 1 Planejamento
Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças Passo 1 Planejamento Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças
Passo 5: Identificação de contramedidas
• Contramedidas identificadas a partir de cada
cenário descrito
• Guia inclui extensa relação de medidas de proteção
que podem ser consideradas
• Quantificação da relação benefício / custo de cada
contramedida e priorização
• Refazer os cálculos como se as contramedidas já
Passo 1 Planejamento
Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças Passo 1 Planejamento Passo 2
Caracterização das Instalações e Análise de Conseqüências Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 5: Identificação de Contramedidas Passo 3 Avaliação de Ameaças Passo 6: Relatório Final Auditoria e Melhoria Contínua Passo 7: Implementação das Recomendações Gestão de Risco e Gestão de Mudanças