Treceți la conținutul principal

ANALIZA VULNERABILITĂȚILOR ȘI REALIZAREA UNEI ”HĂRȚI DE VULNERABILITATE”


Autor: drd. Ana Maria ONU -INIMM

Analiza vulnerabilităților presupune în primul rând documentarea acestora. În acest sens am dezvoltat un formular de documentare/analiză original prezentat în continuare.
Tabel 1- Formular de analiză 
Nr. crt.
Descriere vulnerabilitate
Cauzator (cauză primară)
Propagator
Amplificator
Amplitudine și amplitudine potențială





Amplitudine evaluată
Amplitudine potențială

Descrierea (cât mai exactă) textuală a vulnerabilității identificate
Cine a provocat vulnerabilitatea (se poate folosi analiza de tip root cause aici)
Propagatori existenți sau posibili (De exemplu, pentru o lege care încă n-a fost promulgată, există deja anumiți lucrători care susțin că legea le oferă posibilitatea lucrului de 6 ore/zi)
Actori care pot amplifica vulnerabilitatea- de exemplu un reprezentant de nivel mediu al managementului susține zvonul că s-au mărit salariile într-o anumită secție față de celelalte secții ale unității, determinând apariția unor probleme sociale.
Amplitudine evaluată pentru fiecare element pe scala Likert
Până la ce valoare pe scara Likert poate crește amplitudinea

Este bine să reținem faptul că orice vulnerabilitate pe care o dorim remediată sau cel puțin mitigată trebuie DOCUMENTATĂ. Documentarea poate fi mai exhaustivă sau nu, în funcție de caracteristicile problemei și de ce dorim să obținem


Un exemplu de aplicare este oferit în continuare.

Tabel 2-Exemplu de aplicare
Nr. crt.
Descriere vulnerabilitate
Cauzator (cauză primară)
Propagator
Amplificator
Amplitudine și amplitudine potențială





Amplitudine evaluată
Amplitudine potențială
1
Un document intern al firmei, care conținea detalii confidențiale despre procedurile specifice a fost nesecretizat, informații din document ajungând la competitori
Managerul care a produs documentul și care n-a specificat cine îl poate accesa.
Managerul căruia îi era destinat documentul și care l-a prezentat mai multor colaboratori (fără să știe că era doar pentru uzul personal)
Unul din colaboratorii cărora le-a fost prezentat documentul care a prezentat detalii presei
4
5
2
Accesul necontrolat în zona de primiri/livrări a firmei a condus la sustragerea unor componente de către cunoștințe ale personalului aflate în trecere
Managerul de securitate care a gândit planul de acces fără să realizeze că nu e suficient să interzici doar accesul în zonele productive
Managerul General care a acceptat și propus spre implementare acest plan
Managerul de la aprovizionare- care n-a solicitat restrângerea accesului
3
4


Harta de ”vulnerabilitate” va fi realizată pe structura punctelor critice prezentate în paragraful următor.
Harta de vulnerabilitate va fi un accesoriu extrem de valoros pentru echipa de management, permițându-i să urmărească într-un mod activ, operativ și agresiv localizarea și eventual evoluția acestor vulnerabilități. 

Pentru lucrul în mod practic cu conceptul de vulnerabilitate se poate dezvolta o procedură originală de audit al vulnerabilităților, procedură dezvoltată pentru această lucrare.

Identificarea punctelor critice

Definim punctele critice ca acele zone din structura sistemului managerial al unității analizate sau din afara ei în care se generează/pot fi afectate de vulnerabilitățile despre care discutam. Dacă actorii sunt cei care generează (voit sau nedorit) vulnerabilitățile- punctele critice pot fi contextul în care astfel de vulnerabilități sunt generate sau  reprezintă zonele în care se manifestă rezultatul vulnerabilităților. În acest sens, diagrama următoare este relevantă.




Figura 1 Principalele puncte critice afectate

Formularul următor- creație originală- identifică și separă punctele critice.

Tabel 3.Formular de identificare și separare pentru punctele critice
Nr. crt.
Puncte critice generatoare
Puncte critice țintă
Observații

Datorită unor acțiuni malevolente



Datorită fenomenelor naturale

Datorită chestiunilor tehnice

Din alte cauze


Să dăm un exemplu pentru acest tabel.Presupunem că pentru o instalație industrială – un anumit rezervor care se află expus elementelor naturii- are legătură cu o instalație de preparare. Corodarea rezervorului în timpul unei ploi puternice poate provoca inundarea instalației.Tabelul următor prezintă acest exemplu.

Tabel 4.Exemplu de completare- 1
Nr. crt.
Puncte critice generatoare
Puncte critice țintă
Observații
1
Datorită fenomenelor naturale
Rezervorul de condens al soluției de fenoftaleină hidrată M 201-32
Instalație de preparare a pieselor de legătură
Rezervorul este supus unei corodări accelerate- având cel puțin 20 de m 2 de înveliș în exterior. În aceste condiții și datorită presiunii existente în rezervor- fisurarea sa provoacă inundarea instalației de preparare.
Un alt exemplu este prezentat în următorul tabel.


Tabel 5.Exemplu de completare- 2
Nr. crt.
Puncte critice generatoare
Puncte critice țintă
Observații
1
Datorită acțiunilor malevolente
În atelierul de tâmplărie al anexei noastre de pe strada...o parte din angajați, în loc să producă pentru unitate- au început să producă și să desfacă piese din lemn lucrate manual pentru interesul propriu
Anexa unității din strada...., atelierul de tâmplărie
Se impune o supraveghere mai atentă a zonelor declarate ca fiind puncte slabe, eventual instalarea unui sistem de camere astfel încât să fie înregistrate toate acțiunile malevolente.
Din considerente tehnice
Zona de instrumente și mașini de prelucrat din cadrul anexei nu este supravegheată corespunzător, astfel încât acestea nu au o încărcare și un control corespunzător.

Evident că punctele critice generatoare pot fi în afara unității- și atunci vom identifica numai puncte critice țintă, ca în următorul exemplu.

Tabel 6.Exemplu
Nr. crt.
Puncte critice generatoare
Puncte critice țintă
Observații
1
-
Gardul care separă unitatea de exterior, gard care nu este întreținut cum trebuie pe tot perimetrul, existând zone în care persoane malevolente se pot strecura ca să fure.
Trebuie identificate și întărite acele puncte din gard prin care intră hoții


Comentarii

Postări populare de pe acest blog

IDENTIFICAREA ȘI ANALIZA CAUZELOR RĂDĂCINĂ -1

Analiza cauzelor rădăcină este o metodă extrem de folosită de către managementul de performanță  din firmele dezvoltate. Metoda este considerată ca o metodă primară- care trebuie utilizată în primele faze ale analizei specifice procesului managerial. Ne propunem să prezentăm o metodă de analiză a cauzelor rădăcină care să poată fi aplicată atât pentru managementul calității cât și pentru managementul securității – ținând seama de faptul că în cea mai mare parte, cauzele rădăcină ale problemelor de calitate și problemelor de securitate și sănătate sunt comune. Figura 1 prezintă modul  global de analiză pentru cauzele rădăcină Din figură se poate observa că avem 2 procese distincte: ·         -un proces de identificare- care va fi realizat pe baza metodei cunoscute și ca 5 W ( 5 Why); ·         -un proces de analiză; procesul de analiză urmărește: o   stabilirea cauzelor specifice managementului calității și managementului de SSM; o   ierarhizarea cauzelor identificate;

Figura 1  Structurare…

VULNERABILITY METRICS AND KPI

KPI definitionA key performance indicator(KPI) is a measure of performance, commonly used to help an organization defineand evaluate how successful it is, typically in terms of making progress towards its long-term organizational goals.
–KPIs provide business-level context to security-generated data –KPIs answer the “so what?” question –Each additional KPI indicates a step forward in program maturity –None of these KPIs draw strictly from security data
COBITControl Objectives for Information and Related Technology (COBIT) is a framework created by ISACA for information technology (IT) management and IT governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. COBIT was first released in 1996; the current version, COBIT 5, was published in 2012. Its mission is “to research, develop, publish and promote an authoritative, up-to-date, international set of generally accepted information technology control obj…

APLICAȚII ALE GRAFULUI DE RISC-1

Așa după cum s-a văzut dintr-o postare trecută, graful de risc poate fi un instrument util- și nu numai în cazul bolilor profesionale. Vom adapta în continuare  teoria existentă la teoria și practica din România și vom detalia câteva aspecte considerate de interes.
Este interesant de adaptat  graful de risc pornind de la clasicul sistem Om-Mașină folosit în practica de specialitate din domeniul SSM din România. În acest sens, folosind experiența existentă și datele statistice putem dezvolta în mod corespunzător- așa cum se prezintă în continuare în acest material.
Tabelul 1- Atribute folosite în graf Atribut Descriere I (Inițiatori) Operator(O): a. operator pregătit necorespunzător[1] b.operator malevolent [2] c.operator surprins de un eveniment neprevăzut datorat sarcinii[3] d. operator surprins de un eveniment neprevăzut datorat mașinii;[4] e. operator surprins de un eveniment neprevăzut datorat mediului/factorilor naturali. [5] Sarcină(S): a. sarcină incorect formulată- care dete…