Încă din zorii civilizației umane, securitatea a reprezentat un aspect esențial pe care oamenii nu l-au putut ignora, iar atunci când a fost neglijată, urmările au fost adesea catastrofale. În prezent, într-o lume tot mai interconectată, comunitățile și organizațiile de orice tip se confruntă cu amenințări complexe, care pot avea consecințe la fel de devastatoare.
Fie că vorbim despre afaceri, instituții publice sau chiar locuințele noastre, evaluarea riscurilor de securitate a devenit o necesitate absolută. Și nu este vorba doar despre a urma niște recomandări, în România, de exemplu, există obligații legale clare privind evaluarea riscurilor la securitatea fizică pentru majoritatea organizațiilor de orice tip, a companiilor și a instituțiilor statului. Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor şi protecţia persoanelor, împreună cu Instrucțiunile M.A.I. nr. 9/2013 privind efectuarea analizelor de risc la securitatea fizică a unităţilor ce fac obiectul Legii nr. 333/2003, reglementează clar obligația de a efectua o analiză de risc la securitatea fizică, pentru a identifica și gestiona vulnerabilitățile dintr-o organizație, “analiza de risc la securitatea fizică constituind fundamentul adoptării măsurilor de securitate a obiectivelor, bunurilor şi valorilor prevăzute de lege”.
Poate ați auzit deja termeni precum „audit de securitate”, analiză de securitate” sau „evaluare de riscuri”, dar te-ai întrebat vreodată ce presupun? Ei bine, fiecare dintre acestea sunt mai mult decât un simplu control sau o listă pe care bifăm cu da sau nu. Este un proces complex care ne ajută să identificăm potențialele vulnerabilități și să punem la punct măsuri pentru a preveni incidentele de securitate. Legislația, în România impune ca această evaluare să fie făcută de către experți certificați, înscriși în Registrul Național al Evaluatorilor de Risc la Securitatea Fizică (RNERSF) coordonat de către Inspectoratul General al Poliției Române. Aceasta nu este doar o obligație legală, ci și o măsură esențială pentru că logica ne spune că nu am putea lua măsuri eficiente de scuritate fără să înțelegem riscurile obiectivului respectiv.
Pe scurt, evaluarea riscurilor de securitate înseamnă să identifici, să analizezi și să estimezi riscurile, fie că vorbim despre securitatea fizică, politici de protecție sau tehnologie – și să decizi cum poți face lucrurile mai sigure printr-un tratament eficient. Un aspect interesant este că, deși există standarde și bune practici general acceptate, fiecare evaluare de securitate este distinctă. Fiecare organizație și fiecare locație are propriile provocări și riscuri specifice. De exemplu, o companie de cercetare și dezvoltare va necesita măsuri pentru protejarea secretelor industriale, în timp ce un magazin se va concentra pe prevenirea jafurilor sau a furturilor din stoc.
Aceste evaluări nu reprezintă doar reacții la incidente deja produse, ci constituie un demers proactiv menit să prevină apariția unor situații nedorite. Ele pot fi comparate cu un plan de asigurare, implementat pentru a proteja ceea ce este cu adevărat important. Nu este vorba doar de apărarea bunurilor materiale sau a capitalului, ci și de asigurarea liniștii mentale și protejarea resurselor critice ale unei afaceri sau organizații.
Un alt aspect esențial de subliniat este că evaluările riscurilor de securitate nu sunt întotdeauna pe deplin înțelese de toată lumea. De exemplu, unii oameni consideră că, dacă nu au avut probleme de securitate până în prezent, nu vor avea nici în viitor. Totuși, lipsa unor măsuri solide de securitate doar pentru că nu au existat incidente majore este similară cu a lăsa ușa descuiată doar pentru că nu a intrat nimeni în casă până acum. Riscurile pot apărea oricând, iar situațiile se pot modifica rapid, uneori fără semne evidente în prealabil. Fie că ne referim la afaceri mici, organizații mari sau chiar la propriile locuințe, este important să conștientizăm că riscurile de securitate sunt reale, iar măsurile preventive reprezintă cea mai eficientă apărare împotriva acestora.
Subliniez încă odată că, în România, evaluările de risc la securitatea fizică sunt obligatorii pentru toate tipurile de organizații/companii/instituții “cu excepția celor din cadrul sistemului de apărare, ordine publică şi siguranţă naţională, care se asigură în conformitate cu reglementările stabilite în cadrul acestora”, și trebuie revizuite “cel puţin o dată la 3 ani”, “în cel mult 60 de zile de la producerea unui incident de securitate la unitatea respectivă”, și/sau “în cel mult 30 de zile de la modificarea caracteristicilor arhitecturale, funcţionale sau a obiectului de activitate al unităţii.”
Așadar, dacă nu ai făcut încă o evaluare a riscurilor de securitate, poate ar fi momentul să iei în considerare acest pas și printre alte neplăceri, vei evita și o amendă din partea poliției. În definitiv, este mai bine să fii pregătit decât să regreți mai târziu. Iar dacă ai nevoie de ghidare, documentele legale și colaborarea cu un consultant de securitate și/sau evaluator de risc la securitatea fizică, sunt soluțiile care te vor ajuta să îți protejezi afacerea și/sau locuința. În această serie de articole, voi prezenta ce presupune o evaluare a riscurilor de securitate și nu numai riscurile de securitate fizică, despre cum funcționează acest proces și cine ar trebui să facă această evaluare. La final, vei înțelege de ce evaluările de risc nu sunt doar pentru experți sau organizații mari, ci sunt o necesitate pentru oricine vrea să fie în siguranță – fie că vorbim despre afacerea ta, angajații tăi sau bunurile tale.
Ce este riscul, riscul de securitate și evaluarea riscurilor de securitate…
Standardul ISO 31000:2018 Managementul Riscului – Linii Directoare definește “riscul” ca fiind “efect al incertitudinii asupra obiectivelor” și exemplifică prin trei note la termen:
- Efect înseamnă o deviere de la ceea ce se preconizează. El poate fi pozitiv, negativ sau ambele și poate trata, crea sau conduce la oportunități și amenințări.
- Obiectivele pot avea diverse aspecte și categorii și pot fi aplicate la diverse niveluri.
- Riscul este de obicei exprimat în termeni de surse de risc (element care, singur sau în combinație cu altele, are potențialul de a genera un risc), evenimente potențiale (apariția sau modificarea unui anumit ansamblu de circumstanțe), consecințele acestora (rezultat al unui eveniment care influențează obiectivele) și plauzibilitatea acestora (posibilitate ca ceva să se întâmple).
ASIS International, definește “riscul de securitate” ca fiind “potențialul ca o anumită amenințare să exploateze vulnerabilitățile pentru a cauza pierderi sau daune unui activ“.
Evaluarea riscurilor de securitate … știu, poate părea un termen complicat la prima vedere, dar, de fapt, e mai simplu decât crezi. Imaginează-ți că faci o trecere în revistă a tuturor lucrurilor care ar putea merge prost în ceea ce privește securitatea, fie că e vorba de clădirea ta, datele pe care le gestionezi sau chiar activitățile zilnice ale organizației. Practic, îți faci un plan pentru a preveni problemele înainte să devină reale. Cam asta este, în esență, o evaluare a riscurilor de securitate – un mod de a te asigura că ești cu un pas înaintea potențialelor incidente.
De fapt, procesul real de identificare a problemelor de securitate a fost denumit în multe feluri diferite și există mai multe definiții pentru “evaluarea riscurilor de securitate”. De exemplu: în conformitate cu manualul ASIS International, Protection of Assets: Physical Security, o evaluare a riscurilor de securitate este „o examinare fundamentală care poate include revizuirea documentației, a politicilor, a instalațiilor, a tehnologiei, a strategiilor de protecție, a personalului, a formării și a altor indicatori-cheie pentru a determina starea actuală a programului de protecție (securitate) în efortul de a identifica deficiențele și chiar excesele, pentru a face recomandări de îmbunătățire bazate pe metode dovedite” sau, evaluarea riscurilor de securitate este:
- procesul prin care se identifică, se analizează și se evaluează riscurile potențiale care pot afecta securitatea unei organizații sau a unui sistem, cu scopul de a le gestiona eficient;
- reprezintă o analiză sistematică a amenințărilor și vulnerabilităților care pot compromite confidențialitatea, integritatea și disponibilitatea informațiilor sau a resurselor unei organizații;
- procesul de evaluare implică identificarea factorilor de risc, estimarea impactului potențial și a probabilității de apariție, pentru a stabili măsuri adecvate de control și reducere a riscurilor.
În general, este vorba despre o evaluare și o analiză sistematică la fața locului a măsurilor actuale de securitate, fie că este vorba despre măsuri de securitate fizică, tehnologie, operațiuni, instalații, gestionarea securității, politici, formare, rapoarte sau orice alt aspect al programului sau al măsurilor de securitate.
Definiția pe care o regăsim în ISO Guide 73:2009 Managementul Riscului – Vocabular și la care mă voi referi pe larg în această serie de articole ne spune că “evaluarea riscului” este “un proces global care cuprinde identificarea riscului, analiza riscului şi estimarea riscului” – proces ilustrat în figura de mai jos, preluată și adaptată din ISO 31000 și ISO Guide 73.
O evaluare de acest tip nu este doar despre detectarea problemelor; este un proces complex care analizează toate măsurile de protecție pe care le ai la dispoziție. Vorbim despre sisteme de securitate fizică (cum ar fi camerele de supraveghere sau alarmele), dar și despre politicile de securitate, tehnologiile pe care le folosești, managementul riscurilor și chiar instruirea personalului. Scopul este să identifici orice vulnerabilitate, dar și excesul de măsuri care poate fi inutil. Da, ai citit bine – uneori investiția exagerată în măsuri care nu sunt necesare poate fi o risipă. Așadar, evaluarea riscurilor nu este doar despre a găsi deficiențe, ci și despre a optimiza ce ai deja, astfel încât să ai o securitate echilibrată și eficientă.
În România, conform Legii nr. 333/2003 și Instrucțiunilor M.A.I. nr. 9/2013, evaluarea riscurilor de securitate fizică este obligatorie pentru majoritatea organizațiilor/companiilor/instituțiilor, fie ele private sau publice iar evaluarea trebuie realizată de experți în evaluare înscriși în Registrul Național al Evaluatorilor de Risc la Securitatea Fizică (RNERSF), coordonat de Inspectoratul General al Poliției Române – Direcţia de Ordine Publică.
Acum, un lucru interesant de reținut este că evaluarea riscurilor poate avea diverse denumiri, „audit de securitate”, „sondaj de securitate” sau „evaluare de securitate”. Toate aceste procese au, în esență, același obiectiv: să descopere riscuri și să propună soluții pentru a le diminua. În România, evaluarea de risc la securitatea fizică trebuie să urmeze un proces sistematic și structurat pe etape, pentru a acoperi toate aspectele legate de securitate – de la securitatea fizică, la tehnologia utilizată și chiar la procesele de management.
Față de Instrucțiunile nr. 9/2013 privind efectuarea analizelor de risc la securitatea fizică a unităţilor ce fac obiectul Legii nr. 333/2003 care stabilesc aceste etape, trebuie să fac câteva precizări, cu speranța că noile modificări propuse de Asociația Natională a Evaluatorilor de Risc la Securitatea Fizică (ANERSFR) pentru modificarea Instrucțiunilor 9/2013 vor rezolva aceste probleme.
- În primul rând, chiar din denumirea actului oficial, remarc referirea la “efectuarea analizelor de risc la securitatea fizică” și consider că acest lucru este greșit, “analiza riscului” fiind doar una din cele trei etape ale procesului de evaluare a riscului. Actul oficial ar trebui redenumit.
- Etapele prezentate ca aparținând “analizei de risc”, să fie reconsiderate ca fiind etape ale “evaluării riscului” cu precizarea acestora: identificarea riscului, analiza riscului și estimarea riscului.
- “Tratarea riscului”, consider că ar trebui să fie o etapă distinctă în cadrul actului oficial.
- Un al aspect care creeză confuzii, atât pentru experții evaluatori, cât și pentru beneficiari, este obligativitatea ca în “Raportul de evaluare și tratare a riscurilor la securitatea fizică” să fie “estimate costurile de securitate, în funcţie de măsurile de securitate propuse şi nivelul de risc asumat”. Consider că această precizare ar trebui eliminată din actul oficial.
Fiecare organizație are nevoi diferite, iar o evaluare de succes trebuie să țină cont de asta. De exemplu, o companie care lucrează cu tehnologie de vârf va avea nevoie de măsuri de securitate care să prevină furtul de informații sensibile, în timp ce un magazin de retail se va concentra pe prevenirea furturilor și a fraudelor. Evaluarea riscurilor trebuie să fie personalizată pentru fiecare tip de activitate și să ofere soluții clare și practice.
Pe lângă identificarea riscurilor, o evaluare corectă trebuie să includă și soluții concrete. Nu este suficient doar să identifici problemele, ci trebuie să vii și cu recomandări clare despre cum pot fi remediate. De exemplu, dacă raportul arată că sistemul tău de supraveghere video este depășit, recomandarea ar putea fi să schimbi echipamentele cu unele mai performante și să implementezi un sistem de monitorizare în timp real.
Un alt element esențial într-o evaluare de succes este analiza statistică. Așa cum subliniază specialiștii, istoricul incidentelor de securitate este crucial. Fără informații despre ce s-a întâmplat în trecut, este greu să anticipezi ce riscuri ar putea apărea în viitor. Este ca și cum ai încerca să previi o problemă fără să știi ce s-a întâmplat înainte. Datele despre incidentele trecute îți oferă un punct de plecare pentru a înțelege ce riscuri sunt mai probabile și ce măsuri trebuie să iei.
De asemenea, trebuie să înțelegem diferența dintre abordările proactive și reactive în securitate. O evaluare a riscurilor te ajută să fii proactiv – să previi problemele înainte să apară. Este mult mai eficient să faci ajustările necesare acum decât să aștepți să se întâmple un incident neplăcut. Pe de altă parte, autoritățile de ordine publică reacționează de obicei după ce o problemă a avut loc. Prin urmare, evaluarea riscurilor te ajută să iei măsuri preventive înainte ca ceva rău să se întâmple.
În concluzie, o evaluare a riscurilor de securitate este un instrument esențial pentru oricine dorește să-și protejeze afacerea, locuința sau orice alt tip de proprietate. Nu este doar o simplă verificare – este un proces profund și sistematic, care te ajută să identifici riscurile și să îți optimizezi măsurile de protecție. Indiferent de domeniul în care activezi, prevenția este întotdeauna mai eficientă și mai ieftină decât remedierea unui incident deja produs. Respectarea obligațiilor legale nu doar că te ferește de sancțiuni, dar îți oferă și liniștea că ai făcut tot ce ține de tine pentru a fi protejat.
În articolele următoare voi prezenta:
- Procesul de evaluare a riscurilor de securitate.
- Abordarea proactivă versus reactivă a evaluării riscurilor de securitate.
- Cine ar trebui să realizeze evaluarea riscurilor de securitate și cât de des ar trebui realizată o evaluare a riscurilor de securitate.
Vă invit să împărtășiți experiențele și succesele voastre în comentarii. Impresiile voastre pozitive, sau negative, și recomandările pentru acest subiect, contează. Împreună putem învăța, crește și excela în profesiile noastre. Lectură plăcută!