Acest articol este al treilea din seria de articole despre evaluarea riscurilor de securitate concepute pentru a informa atât comunitatea specialiștilor în securitate fizică cât și pe clienții lor. Îmi doresc să facem din acest proces complex unul cât mai ușor de înțeles, accesibil tuturor celor implicați, fie că ești un specialist experimentat sau doar cineva care dorește să-și protejeze mai bine afacerea.
Evaluarea riscului este esențială în orice strategie de securitate fizică, fiind un proces global care include identificarea riscurilor, analiza acestora și, nu în ultimul rând, estimarea riscurilor. De ce e important să le abordăm pe toate trei? Ei bine, fiecare dintre aceste etape joacă un rol esențial și foarte bine definit în înțelegerea pe deplin a contextului de securitate și în luarea deciziilor informate. Evaluarea riscului nu este doar despre descoperirea amenințărilor, ci și despre înțelegerea impactului pe care acestea îl pot avea și modul în care putem să le controlăm sau să le evităm.
În securitatea fizică, identificarea riscurilor înseamnă găsirea tuturor vulnerabilităților care ar putea amenința siguranța unei clădiri, a unei organizații sau a unor persoane. Este ca și cum ai lua o lanternă și ai explora toate colțurile ascunse ale unei clădiri pentru a te asigura că nimic nu este lăsat la voia întâmplării. Riscurile pot include accesul neautorizat, deficiențe în structura fizică a clădirii sau lipsa măsurilor de monitorizare. Identificarea corectă a riscurilor reprezintă fundamentul pe care construim întregul proces de evaluare.
Odată ce am identificat riscurile, urmează analiza acestora. Aici, trecem la o etapă mai detaliată: încercăm să înțelegem natura riscurilor, sursele lor, cauzele și efectele posibile. Într-o analiză a riscurilor de securitate fizică, ne gândim la toate scenariile posibile: “Ce se întâmplă dacă un individ rău intenționat reușește să treacă de poarta de securitate?”, “Care sunt consecințele dacă sistemele de alarmă nu funcționează?” În această etapă, contextul specific devine, cu adevărat important. De exemplu, o clădire de birouri poate avea nevoi diferite de securitate față de un depozit sau față de o școală. Analiza riscurilor ne ajută să vedem cât de vulnerabile sunt resursele și care sunt șansele ca un risc să devină realitate.
Estimarea riscului este etapa în care încercăm să răspundem la întrebarea: “Este acest risc acceptabil sau trebuie să facem ceva în privința lui?” Aici comparăm rezultatele analizei cu criteriile de risc stabilite, pentru a înțelege dacă trebuie să luăm măsuri suplimentare. În contextul securității fizice, estimarea riscurilor poate include, de exemplu, decizia de a implementa sisteme de supraveghere video suplimentare, de a crește numărul agenților de securitate sau de a consolida ușile și ferestrele prin diferite mijloace mecano-fizice.
Importanța evaluării riscului ca proces global derivă din faptul că, doar printr-o abordare sistematică și iterativă, putem să acoperim toate scenariile posibile și să ne asigurăm că securitatea fizică nu este lăsată la întâmplare. Fiecare etapă, identificarea, analiza și estimarea, se construiește pe cealaltă și contribuie la o imagine de ansamblu clară, care ne permite să facem cele mai bune alegeri pentru a ne proteja resursele și oamenii. Evaluarea riscului în securitatea fizică nu este un proces pe care să-l facem o singură dată și apoi să uităm de el ci este un proces dinamic, care se adaptează la schimbările din mediul intern și extern al organizației. De aceea, este important să rămânem flexibili și să reevaluăm periodic riscurile, ținând cont de noile informații și schimbări. Primul pas…
Identificarea riscului…
În cadrul procesului de evaluare a riscurilor, primul pas esențial este identificarea riscului. Este ca și cum ai deschide harta pentru a înțelege unde se află toate punctele vulnerabile. De fapt, scopul identificării riscului este de a găsi, recunoaște și descrie acele riscuri de securitate fizică care pot ajuta sau împiedica o organizație să își realizeze obiectivele. Aceasta este baza de pornire a întregului proces de evaluare, pentru că fără o înțelegere clară a ceea ce ar putea merge prost, nu putem să ne gândim la soluții eficiente. Organizația poate utiliza o întreagă gamă de tehnici pentru identificarea incertitudinilor care ar putea afecta unul sau mai multe obiective și ar trebui să în considerare o serie de factori și relația dintre aceștia.
Sunteți un consultant de securitate și trebuie să evaluați un depozit industrial. Primul pas ar fi să mergeți la fața locului și să identificați, pe cât posibil, toate potențialele riscuri. Cum faceți asta? E simplu: vă puneți un set de ochelari critici, mereu atenți la ce ar putea reprezenta un punct de acces pentru un infractor sau o vulnerabilitate pentru clădire. De exemplu, să spunem că observați că zona de încărcare-descărcare este prost iluminată. Acesta ar putea fi un punct vulnerabil pentru acces neautorizat pe timp de noapte doarece luminile insuficiente pot facilita accesul infractorilor fără să fie văzuți.
Un alt exemplu ar putea fi lipsa unor sisteme adecvate de control al accesului. Observați că ușile de la intrarea principală sunt vechi și nu au un sistem de control al accesului sau un agent de securitate. Acesta este un alt risc care trebuie identificat, deoarece ușile slabe sunt o invitație clară pentru cei care au intenții rele iar în acest caz, riscul ar fi accesul necontrolat al persoanelor neautorizate, ceea ce poate duce la furt sau acte de vandalism.
Mai mult, să ne gândim la riscurile interne, nu doar la cele externe. De exemplu, constatați că există camere de supraveghere, dar în zona birourilor acestea nu funcționează. Asta înseamnă că, deși compania se bazează pe acele camere pentru a descuraja furtul sau alte incidente, realitatea este că acea zonă este expusă. Lipsa monitorizării efective este un risc major, iar identificarea acestuia este vitală pentru a putea lua măsuri ulterioare de remediere.
Scopul identificării riscurilor nu este doar să arătăm cât de multe lucruri pot merge prost. Trebuie să avem o imagine completă, care să ne ajute să înțelegem care sunt cele mai relevante amenințări și să le prioritizăm. Într-o clădire de birouri, de exemplu, un risc semnificativ ar putea fi accesul neautorizat în parcarea subterană. Dacă poarta de acces nu este securizată corespunzător, cineva ar putea intra și cauza pagube autoturismelor angajaților sau chiar să se apropie de clădire, punând în pericol siguranța acesteia.
Identificarea riscurilor înseamnă și să ne gândim la context. În cazul unei școli, unul dintre riscurile majore ar putea fi accesul necontrolat al persoanelor din exterior. Evaluatorul de risc la securitatea fizică trebuie să observe dacă porțile sunt încuiate pe durata orelor de curs și dacă există un sistem clar de înregistrare a vizitatorilor. Fără identificarea corectă a acestor riscuri, toate măsurile ulterioare sunt construite pe o bază nesigură.
Consider că este important să fim conștienți că procesul de identificare a riscurilor poate fi influențat de prejudecățile, presupunerile și convingerile celor implicați. Acestea pot afecta percepția asupra riscurilor și pot duce la subestimarea sau supraestimarea anumitor amenințări. De exemplu, dacă evaluatorul are o experiență anterioară negativă cu un anumit tip de risc, este posibil să exagereze importanța acestuia, considerându-l mai probabil decât este în realitate. Pe de altă parte, convingerile legate de invulnerabilitatea unui anumit sistem pot face ca anumite riscuri să fie complet ignorate. Astfel de influențe subiective pot afecta calitatea procesului de identificare și, implicit, eficiența măsurilor de securitate implementate. Este esențial ca toți cei implicați în proces să fie conștienți de aceste posibile tendințe și să încerce să abordeze riscurile într-un mod cât mai obiectiv și rațional.
Pe scurt, identificarea riscurilor este ca atunci când faci o listă de cumpărături: notezi tot ce ar putea să fie important, astfel încât să nu uiți nimic. Este un proces care trebuie să fie detaliat și, chiar dacă pare imposibil, exhaustiv. Fiecare ușă nesecurizată, fiecare zonă prost iluminată sau fiecare cameră de supraveghere nefuncțională reprezintă un potențial risc care trebuie documentat. Doar prin identificarea tuturor acestor aspecte putem să continuăm cu analizele și estimările necesare pentru a asigura o securitate fizică solidă.
Acum, că am discutat despre identificarea riscurilor, sper că ați înțeles mai bine de ce această etapă este atât de importantă. Fie că vorbim despre un depozit, o școală sau o clădire de birouri, riscurile sunt mereu prezente și doar prin recunoașterea lor putem să ne asigurăm că suntem pregătiți să le facem față. În continuare vă voi arăta cum analizăm și estimăm aceste riscuri pentru a lua cele mai bune decizii în materie de securitate.
Analiza riscului…
După ce am identificat riscurile, următorul pas este să ne ocupăm de analiza acestora. Analiza riscului este etapa în care luăm toate acele riscuri identificate anterior, fie ele zone prost iluminate, camere de supraveghere nefuncționale sau uși nesecurizate, și le privim mai atent pentru a înțelege natura lor. De ce? Pentru că doar înțelegând riscurile putem să decidem cât de serioase sunt și ce măsuri trebuie să luăm pentru a le gestiona eficient. Analiza riscului ar trebui să ia în considerare o serie de factori.
Analiza riscului este despre a pătrunde în detalii, despre a înțelege ce anume poate merge prost, cum și care ar fi consecințele. Spre exemplu, să revenim la depozitul industrial despre care am discutat în etapa de identificare. Să spunem că am identificat o zonă de încărcare-descărcare prost iluminată. Acum este momentul să analizăm acest risc: care sunt posibilele consecințe dacă zona rămâne așa? Un infractor ar putea profita de întuneric pentru a accesa spațiul și a sustrage marfă, sau, într-un scenariu și mai rău, ar putea exista un risc pentru siguranța angajaților care lucrează acolo noaptea. Analiza ne ajută să vedem toate scenariile și să înțelegem cât de sever poate fi impactul.
Un alt exemplu este lipsa controlului accesului la ușile de intrare. Prin analiză, nu doar identificăm faptul că ușile sunt nesecurizate, dar ne și gândim la ce înseamnă asta pentru siguranța organizației. Ce se poate întâmpla dacă cineva cu intenții rele trece de aceste uși? Ar putea avea acces la zone sensibile, la documente importante sau chiar la echipamente costisitoare. În plus, analizăm și cât de probabil este ca cineva să încerce să profite de această vulnerabilitate. Dacă depozitul este situat într-o zonă cu risc ridicat de infracționalitate, probabilitatea crește, ceea ce înseamnă că și nivelul riscului devine mai mare.
În cadrul unei școli, dacă analizăm riscul de acces necontrolat, trebuie să ne gândim la posibilele scenarii negative. Ce se întâmplă dacă cineva din afara școlii intră neobservat? Potențialul de a cauza daune este mare, fie că vorbim despre furt, vandalism sau chiar amenințări la siguranța elevilor și profesorilor. Analiza riscului în acest caz înseamnă să privim toate aceste aspecte și să încercăm să înțelegem cât de mari sunt consecințele și cât de des ar putea să se întâmple astfel de incidente. De asemenea, analizăm măsurile de protecție existente. “Sunt gardurile suficient de înalte?” “Sunt porțile bine încuiate?” “Camerele de supraveghere funcționează și acoperă toate zonele vulnerabile?” Toate aceste întrebări ne ajută să evaluăm cât de bine sunt controlate riscurile identificate.
Este important să subliniez și de data aceasta că analiza riscurilor nu presupune doar să ne gândim la ce se poate întâmpla rău, ci și să luăm în considerare probabilitatea și consecințele fiecărui risc. De exemplu, dacă analizăm riscul ca un intrus să pătrundă printr-o ușă nesecurizată, ar trebui să determinăm cât de des este posibil să se întâmple și care ar fi impactul. Dacă ușa respectivă duce direct într-o zonă unde se află serverele companiei, impactul ar putea fi uriaș. Dacă însă duce într-o încăpere de depozitare mai puțin importantă, riscul ar putea fi considerat mai puțin semnificativ.
Un alt aspect esențial în analiza riscului este să verificăm eficiența măsurilor de control deja existente. De exemplu, dacă avem camere de supraveghere care acoperă o zonă sensibilă, dar acestea nu funcționează, riscul rămâne la fel de mare ca și cum nu ar exista deloc. Prin analiză, evaluăm aceste măsuri și vedem dacă sunt eficiente sau dacă trebuie îmbunătățite. În depozitul nostru, poate avem un agent de securitate pe timp de noapte, dar dacă acesta nu are o procedură clară de verificare a fiecărui vehicul care intră sau iese, măsura de control este incompletă.
La fel ca și în cazul identificării riscului, și analiza riscului poate fi influențată de divergențele de opinie, de prejudecăți, percepții și aprecieri referitoare la risc. Divergențele de opinie pot apărea din cauza experiențelor individuale diferite ale membrilor echipei sau a înțelegerilor variate ale situației analizate. De exemplu, un expert cu o experiență vastă într-un anumit tip de risc ar putea să supraestimeze importanța acestuia, în timp ce altcineva, fără experiență similară, ar putea să îl considere nesemnificativ. Prejudecățile pot proveni din atitudini subiective sau din încrederea excesivă în anumite măsuri de control existente, care pot duce la subestimarea unor amenințări. Percepțiile personale asupra riscului pot varia și în funcție de contextul cultural sau profesional al celor implicați.
Influențe suplimentare sunt generate de calitatea informațiilor utilizate, de presupunerile și excluderile formulate, de orice limitări ale tehnicilor și de modul de realizare a acestora. Calitatea informațiilor este esențială pentru o analiză precisă – informațiile incomplete sau inexacte pot duce la concluzii eronate. Presupunerile formulate în timpul procesului de analiză pot adăuga incertitudine, mai ales dacă nu sunt documentate și revizuite în mod corespunzător. De exemplu, presupunerea că anumite măsuri de securitate sunt funcționale în permanență, fără a verifica acest lucru, poate compromite rezultatele analizei. Excluderile, cum ar fi ignorarea anumitor scenarii sau riscuri pe motiv că sunt improbabile, pot conduce la o evaluare incompletă a riscului real.
Orice limitări ale tehnicilor utilizate în analiză trebuie, de asemenea, recunoscute. De exemplu, tehnicile calitative de analiză pot fi utile pentru a obține o imagine generală, dar pot să nu ofere suficiente detalii pentru riscurile complexe. În plus, modul de realizare a analizei, inclusiv competențele și abilitățile evaluatorilor, poate avea un impact major asupra rezultatelor. Un evaluator fără o pregătire adecvată sau fără o înțelegere completă a contextului poate să subestimeze sau să supraestimeze riscurile.
Aceste influențe ar trebui luate în considerare, documentate și comunicate factorilor de decizie pentru a ne asigura că deciziile sunt luate pe baza unei înțelegeri clare a limitărilor și a incertitudinilor implicate în procesul de analiză a riscului. Această transparență permite factorilor de decizie să evalueze nivelul de încredere în rezultatele analizei și să ia măsurile necesare pentru a îmbunătăți procesul, acolo unde este cazul. De exemplu, calitatea informațiilor pe care ne bazăm poate să fie variabilă; dacă informațiile sunt incomplete sau inexacte, acest lucru poate conduce la o analiză eronată a riscului. Divergențele de opinie dintre membrii echipei de evaluare, bazate pe experiențe personale sau pe lipsa unei înțelegeri comune a contextului riscului, pot duce la evaluări diferite ale nivelului de risc. De asemenea, prejudecățile pot influența felul în care percepem un risc, de exemplu, tendința de a ignora riscurile rare, dar cu impact ridicat, doar pentru că nu au avut loc anterior. În mod similar, limitările tehnicilor de analiză pot duce la neînțelegeri privind amploarea riscurilor. Este esențial ca aceste influențe să fie recunoscute și comunicate, astfel încât factorii de decizie să poată înțelege contextul complet al evaluării riscurilor.
Concluzia mea este că analiza riscului este ca și cum ai privi cu o lupă tot ce ai găsit în etapa de identificare. Este despre a înțelege nu doar ce riscuri există, ci și cât de severe sunt, cât de des ar putea să se întâmple și cât de bine sunt controlate în prezent. Acesta este momentul în care putem spune: “Da, acest risc este destul de serios încât să trebuiască să facem ceva în privința lui” sau “Nu, acest risc este controlat suficient de bine încât să îl putem considera acceptabil”.
Estimarea riscului…
Acum că am identificat și analizat riscurile, suntem pregătiți să trecem la etapa următoare: estimarea riscului. Scopul acestei etape este să ne ajute să luăm decizii informate despre ce ar trebui să facem mai departe. Pe scurt, estimarea riscului ne spune dacă un risc este suficient de serios încât să necesite acțiuni suplimentare sau dacă poate fi acceptat așa cum este. Așadar, estimarea este despre comparație, comparăm rezultatele analizei riscurilor cu criteriile de risc stabilite pentru a decide dacă și ce măsuri suplimentare sunt necesare.
Să ne întoarcem la exemplul cu depozitul industrial. Am identificat că zona de încărcare-descărcare este prost iluminată, iar acest lucru poate facilita accesul neautorizat pe timp de noapte. În analiza riscului, am înțeles că acest lucru poate pune în pericol atât siguranța mărfurilor, cât și a angajaților. Acum, la estimarea riscului, trebuie să comparăm aceste concluzii cu criteriile de risc pe care le-am stabilit. De exemplu, ne-am putea întreba: “Este acest nivel de risc acceptabil pentru organizația noastră sau trebuie să luăm măsuri imediate?” Dacă criteriul nostru este să nu existe puncte de acces necontrolat la depozit, atunci riscul nu este acceptabil și trebuie să facem ceva, poate să instalăm mai multe lumini sau să suplimentăm cu un agent de securitate pe timp de noapte.
Un alt exemplu ar fi ușile de la intrarea principală care nu sunt securizate corespunzător. După ce am analizat acest risc, am realizat că un intrus ar putea avea acces la zone importante ale clădirii, ceea ce ar putea avea un impact sever asupra securității organizației. La etapa de estimare, comparăm aceste informații cu criteriile noastre de risc. Dacă politica de securitate a organizației specifică faptul că accesul în clădire trebuie să fie strict controlat, atunci clar avem nevoie de măsuri suplimentare, poate să instalăm un sistem de control al accesului sau să schimbăm ușile cu unele mai sigure.
Într-un alt scenariu, să zicem că vorbim despre o școală unde am identificat un risc legat de lipsa unui sistem de înregistrare a vizitatorilor. În analiza riscului, am ajuns la concluzia că acest lucru ar putea permite accesul persoanelor neautorizate, punând în pericol siguranța elevilor. La estimarea riscului, ne întrebăm dacă acest risc este acceptabil. Având în vedere că siguranța copiilor este prioritară, orice risc care ar putea periclita siguranța acestora ar trebui tratat cu seriozitate. În acest caz, criteriile noastre de risc ar indica faptul că avem nevoie de măsuri, cum ar fi introducerea unui sistem de înregistrare și validare a vizitatorilor.
Un alt aspect al estimării riscului este să evaluăm costurile și resursele necesare pentru a trata riscul versus beneficiile pe care le obținem. De exemplu, să revenim la camerele de supraveghere nefuncționale din zona birourilor. Analiza riscului a arătat că această problemă expune organizația la furt și pierderi. La etapa de estimare, comparăm riscul cu criteriile noastre și ne întrebăm: “Merită să reparăm sau să înlocuim camerele pentru a reduce acest risc?” Dacă impactul potențial al unui incident este foarte mare, atunci cu siguranță costurile pentru remedierea situației sunt justificate, dar dacă riscul este minor, iar impactul asupra activității organizației ar fi nesemnificativ, am putea decide că nu este necesară o intervenție imediată.
Scopul estimării riscului este, așadar, să ne ajute să prioritizăm. Nu toate riscurile necesită acțiuni imediate, și nu toate riscurile pot fi eliminate complet. De aceea, este important să evaluăm fiecare risc în funcție de criteriile pe care le-am stabilit, adică să decidem ce nivel de risc suntem dispuși să acceptăm. Într-un depozit industrial, un risc minor, precum o mică deficiență de iluminare în zona parcării, poate fi acceptabil, dar lipsa unui sistem de control al accesului în zona de stocare a mărfii cu valoare ridicată, nu este acceptabil.
Rezultatul estimării riscului ar trebui înregistrat, comunicat și apoi validat la nivelurile corespunzătoare ale organizației. Această etapă este esențială pentru a asigura transparența deciziilor și pentru a permite celor implicați să își alinieze înțelegerea asupra măsurilor necesare. Documentarea riguroasă a rezultatelor ajută nu doar la justificarea acțiunilor luate, dar și la îmbunătățirea procesului de evaluare a riscului în viitor, prin învățarea din experiențele anterioare.
În concluzie, estimarea riscului este etapa în care luăm decizii concrete și strategice cu privire la măsurile necesare pentru a controla sau a accepta anumite riscuri. Este momentul în care stabilim ce riscuri sunt acceptabile și care necesită intervenții urgente sau măsuri suplimentare de control. Prin urmare, estimarea riscului nu se limitează doar la identificarea necesității de intervenție, ci și la prioritizarea acestor măsuri în funcție de resursele disponibile și de impactul potențial asupra organizației. Aceasta ne permite să alocăm resursele în mod eficient și să ne concentrăm pe ceea ce contează cu adevărat pentru securitatea organizației, asigurând astfel un nivel optim de protecție și continuitate a activităților.
În articolele următoare voi prezenta:
- Abordarea proactivă versus reactivă, a evaluării riscurilor de securitate.
- Cine ar trebui să realizeze evaluarea riscurilor de securitate și cât de des ar trebui realizată o evaluare a riscurilor de securitate.
- Tratarea riscurilor de securitate.
Vă invit să împărtășiți experiențele și succesele voastre în comentarii. Impresiile voastre pozitive, sau negative, și recomandările pentru acest subiect, contează. Împreună putem învăța, crește și excela în profesiile noastre. Lectură plăcută!