Todas las instalaciones se enfrentan a un cierto nivel de riesgo asociados a las diversas amenazas. Estas amenazas pueden ser el resultado de eventos naturales , accidentes o actos intencionales para causar daño . Independientemente de la naturaleza de la amenaza, los propietarios de instalaciones tienen la responsabilidad de limitar o controlar los riesgos de estas amenazas a la medida de lo posible. El gobierno federal ha implementado el Interinstitucional de Seguridad (ISC) Criterios de Diseño de Seguridad. El ISC de Seguridad a los Estados diseñar criterios,
"La aplicación de los criterios de seguridad de diseño se basa en un proyecto de evaluación de riesgo específica que se ve en peligro, la vulnerabilidad y las consecuencias, tres componentes importantes de riesgo ... los requisitos específicos del edificio de seguridad debe basarse en una evaluación de riesgos realizado en las primeras etapas de la programación ... "
Propietarios de las instalaciones, especialmente los propietarios de las instalaciones públicas, deben cumplir con similares criterios de diseño de seguridad como los esgrimidos en los Criterios de Diseño de Seguridad ISC. Los propietarios que desean arrendar el espacio a las agencias de gobierno federal debe aplicar los criterios de diseño de seguridad de ISC en el diseño de nuevas instalaciones y / o la renovación de las instalaciones existentes.
DESCRIPCIÓN
A. Evaluación de amenazas
El primer paso en un programa de gestión de riesgos es una evaluación de la amenaza. Una evaluación de la amenaza considera todo el espectro de amenazas (es decir, natural, criminal, terrorista, accidente, etc) para una instalación determinada / ubicación. La evaluación debe examinar la información de apoyo para evaluar la probabilidad de ocurrencia para cada amenaza.En caso de amenazas naturales, los datos históricos referentes a la frecuencia de ocurrencia de desastres naturales dados, como tornados, huracanes, inundaciones, incendios o terremotos se pueden utilizar para determinar la credibilidad de la amenaza. En caso de amenazas criminales, los índices de delincuencia en la zona que rodea un buen indicador del tipo de actividad criminal que pueda poner en peligro las instalaciones. Además, el tipo de bienes y / o actividad ubicado en la planta también puede aumentar el atractivo de destino en los ojos del agresor. El tipo de activos y / o actividad ubicado en la planta también se relacionan directamente con la probabilidad de los distintos tipos de accidentes. Por ejemplo, una instalación que utiliza la maquinaria industrial pesada estarán en mayor riesgo de accidentes de trabajo graves o mortales relacionados con el de un típico edificio de oficinas .
Fig. 1. El tornado dañó Cash America Building - Fort Worth, TX
En caso de amenazas terroristas, el atractivo de la instalación como un objetivo es una consideración primordial. Además, el tipo de acto terrorista puede variar en función del potencial enemigo y el método de ataque más probabilidades de éxito para un escenario determinado. Por ejemplo, un terrorista que deseen a la huelga contra el gobierno federal pueden ser más propensos a atacar a un edificio federal grande que atacar un edificio de oficinas multi-tenant que contiene un gran número de inquilinos comerciales y los inquilinos del gobierno pocos. Sin embargo, si la seguridad en el edificio federal grande hace que el montaje de un ataque exitoso demasiado difícil, el terrorista puede ser desviada a una instalación cercana que puede no ser tan atractiva desde el punto de vista de ocupación, pero tiene una mayor probabilidad de éxito debido a la falta de una adecuada la seguridad. En general, la probabilidad de ataques terroristas no se pueden cuantificar estadísticamente que el terrorismo es, por su propia naturaleza, al azar. Por lo tanto, al considerar las amenazas terroristas, el concepto de desarrollo de paquetes de amenaza creíble es importante.
B. Evaluación de la vulnerabilidad
Una vez que las amenazas creíbles son identificados, una evaluación de la vulnerabilidad debe ser realizada. La evaluación de la vulnerabilidad considera el impacto potencial de la pérdida de un ataque con éxito, así como la vulnerabilidad de la instalación / ubicación de un ataque. Impacto de la pérdida es el grado en que se altera la misión de la agencia por un ataque con éxito de la amenaza. Un componente clave de la evaluación de la vulnerabilidad es definir adecuadamente las valoraciones de impacto de la pérdida y la vulnerabilidad. Estas definiciones pueden variar enormemente de una instalación a otra. Por ejemplo, la cantidad de tiempo que la capacidad de la misión se ve afectada es una parte importante del impacto de la pérdida. Si la instalación se está evaluando es una ruta de tránsito aéreo torre de control, un tiempo de inactividad de unos pocos minutos puede ser un grave impacto de la pérdida, mientras que para una oficina del Seguro Social, un tiempo de inactividad de unos pocos minutos sería menor. Un conjunto de muestras de las definiciones de impacto de la pérdida se proporciona a continuación. Estas definiciones son una organización que genera ingresos por el servicio público.
- Devastadoras: La instalación está dañado / contaminado más allá del uso habitable. Mayoría de los artículos / bienes se han perdido, destruido o dañado más allá de la reparación / restauración. El número de visitantes a las instalaciones de otros en la organización se puede reducir hasta en un 75% durante un periodo limitado de tiempo.
- Graves: La instalación se encuentra parcialmente dañado / contaminada. Ejemplos incluyen la violación de la estructura parcial que resulta en daño del tiempo / agua, humo, efectos o los incendios en algunas zonas. Algunos artículos / activos en la instalación están dañados sin posibilidad de reparación, pero la instalación se mantiene casi intacto. Toda la instalación se puede cerrar por un período de hasta dos semanas y una parte de la instalación se puede cerrar por un período de tiempo prolongado (más de un mes). Algunos bienes pueden necesitar ser trasladado a lugares remotos para protegerse de los daños ambientales. El número de visitantes a las instalaciones y otros en la organización se puede reducir hasta en un 50% durante un periodo limitado de tiempo.
- Notable: La instalación está temporalmente cerrado o no pueden funcionar, pero puede continuar sin interrupción de más de un día. Un número limitado de activos puede ser dañado, pero la mayoría de las instalaciones no se ve afectado. El número de visitantes a las instalaciones y otros en la organización se puede reducir hasta en un 25% durante un periodo limitado de tiempo.
- Menores: La instalación no experimenta un impacto significativo en las operaciones (el tiempo es inferior a cuatro horas) y no hay pérdida de los activos más importantes.
La vulnerabilidad se define como una combinación de los atractivos de una instalación como un objetivo y el nivel de disuasión y / o de defensa previstos por las contramedidas existentes.Atractivo destino es una medida del bien o servicio en los ojos de un agresor y se ve influenciada por la función y / o la importancia simbólica de las instalaciones. Definiciones de la muestra para las calificaciones de vulnerabilidad son los siguientes:
- Muy alto: Esta es una instalación de alto nivel que proporciona un objetivo muy atractivo para los potenciales adversarios, y el nivel de disuasión y / o de defensa previstos por las contramedidas existentes es insuficiente.
- Alta: Se trata de una instalación de alto perfil regional o un centro de perfil moderado nacional que proporciona un objetivo atractivo y / o el nivel de disuasión y / o de defensa previstos por las contramedidas existentes es insuficiente.
- Moderado: Se trata de una instalación de perfil moderado (no muy conocido fuera de la localidad o región) que provee un blanco potencial y / o el nivel de disuasión y / o de defensa previstos por las contramedidas existentes es marginalmente adecuada.
- Baja: Esto no es una instalación de alto nivel y proporciona una posible diana y / o el nivel de disuasión y / o de defensa previstos por las contramedidas existentes es suficiente.
La evaluación de la vulnerabilidad también puede incluir un análisis detallado del impacto potencial de la pérdida de un explosivo químico, o un ataque biológico. Profesionales con formación específica y experiencia en estas áreas se requieren para llevar a cabo estos análisis detallado. Una muestra del tipo de salida que puede ser generada por un análisis detallado explosiva se muestra en la Figura 2. Esta representación gráfica de los posibles daños a una instalación de un ataque con explosivos permite a un propietario de un edificio para interpretar rápidamente los resultados de los análisis, a pesar de una respuesta más completa de ingeniería detallada y cuantitativa sería necesario diseñar una actualización de la modificación.Además, las representaciones similares se pueden utilizar para describir la respuesta de un servicio actualizado a la amenaza mismo explosivo. Esto permite que un propietario de un edificio de interpretar que el beneficio potencial que se puede lograr mediante la implementación de diversas mejoras estructurales en la estructura del edificio, pared, techo, y / o ventanas .
Fig. 2. Salida de ejemplo de análisis de explosivos detallada: Peligro de vidrio en las instalaciones existentes (izquierda) y el riesgo de vidrios en las instalaciones de actualización (derecha)
C. Análisis de Riesgos
Una combinación de los efectos de la calificación de la pérdida y la calificación de la vulnerabilidad puede ser usada para evaluar el riesgo potencial para la instalación de una amenaza. Una matriz de riesgos de la muestra se representa en la Tabla 1. De alto riesgo son designados por los glóbulos rojos, los riesgos moderados por las células de color amarillo, y los riesgos de baja por las células verdes.
Tabla 1. Matriz de identificación de los niveles de riesgo
La vulnerabilidad a la amenaza | ||||
---|---|---|---|---|
Impacto de la pérdida | Muy Alta | Alto | Moderado | Bajo |
Devastador | ||||
Grave | ||||
Notable | ||||
Menor de edad |
Las calificaciones de la matriz puede ser interpretado con la explicación se muestra en la Tabla 2.
Tabla 2. Interpretación de los índices de riesgo
Estos riesgos son altos. Las contramedidas recomendadas para mitigar estos riesgos deben aplicarse tan pronto como sea posible.
Estos riesgos son moderados. Contramedida implementación debe ser planificada en un futuro próximo.
Estos riesgos son bajos. Contramedidas de aplicación mejorará la seguridad, pero es de menor urgencia que los riesgos mencionados.
D. Recomendaciones de actualización
Basándose en los resultados de los análisis de riesgo, el siguiente paso en el proceso es la identificación de contramedidas mejoras que reducirán los diferentes niveles de riesgo. Si mínimas medidas estándar para un nivel de servicio dado que no están presentes, estas medidas deben ser automáticamente incluidos en las recomendaciones de actualización.Adicionales contramedida mejoras por encima de los estándares mínimos debe ser recomendado como necesario para hacer frente a las amenazas específicas identificadas para la instalación. El costo de capital estimado de la aplicación de las contramedidas recomendadas por lo general en el informe de evaluación de amenazas / vulnerabilidad. La instalación y costos estimados de operación de las contramedidas recomendadas son por lo general en el informe de evaluación de amenazas / vulnerabilidad. Todos los costos de operación se estima habitualmente en una base por año.
E. Re-Evaluación de Riesgos
La implementación de la seguridad recomendados y / o mejoras estructurales deben tener un efecto positivo sobre el impacto de la pérdida y / o las calificaciones de vulnerabilidad para cada amenaza. El último paso del proceso consiste en volver a evaluar estas dos clasificaciones para cada amenaza a la luz de las actualizaciones recomendadas. Usando una amenaza explosiva exterior a modo de ejemplo, la instalación de reconversión de la ventana (es decir, la película de seguridad ventana, vidrio laminado, etc) no impedirá que el ataque con explosivos que se produzcan, pero hay que reducir el impacto de la pérdida / daño causado por el vuelo peligrosos de vidrio. Por lo tanto, el impacto de la calificación de la pérdida de una amenaza explosiva que mejorar, pero la calificación de la vulnerabilidad seguiría siendo la misma.
Fig. 3. Estas fotos muestran dos ventanas sometidos a una gran explosión. La ventana sin protección a la izquierda falla catastróficamente. La ventana de protección a la derecha conserva fragmentos de vidrio y representa un peligro significativamente menor a los ocupantes.
F. Resumen
La metodología general de amenazas / vulnerabilidades y análisis de riesgo se resume en el siguiente diagrama de flujo.
Fig. 4. Diagrama de flujo que representa el proceso de evaluación de riesgos básicos
APLICACIÓN
Amenazas / vulnerabilidad de las evaluaciones y análisis de riesgos se puede aplicar a cualquier instalación y / o organización. El gobierno federal ha sido la utilización de distintos tipos de evaluaciones y análisis por muchos años. En la actualidad, los EE.UU. Administración de Servicios Generales (GSA) y el Servicio Federal de Protección del Departamento de Seguridad Nacional están utilizando una metodología titulado Federal para el Manejo de riesgos de seguridad (FSRM). Este proceso es básicamente la metodología descrita en esta página de recursos. GSA está utilizando el proceso de evaluación de más de 8.000 instalaciones de propiedad federal y / o arrendados. El Servicio de Rentas Internas (IRS) también se ha adaptado esta misma metodología para evaluar más de 700 empleados del IRS viviendas. Otros organismos que han utilizado este proceso para evaluar algunas de sus instalaciones se encuentra el Departamento de Agricultura de EE.UU. y la Smithsonian Institution. La Administración del Seguro Social también se ha capacitado a más de 50 de sus gerentes de planta y especialistas en seguridad para aplicar este proceso. Finalmente, el Departamento de Seguridad Nacional tiene la intención de utilizar el proceso de FSRM a lo largo de los diversos organismos bajo su control.