À medida que as organizações avançam para 2023 e 2024, riscos emergentes continuam a surgir e as equipes de segurança devem estar preparadas para responder e mitigar ameaças potenciais a pessoas, operações e ativos.
As organizações nos Estados Unidos continuarão a enfrentar riscos crescentes de desastres naturais, como incêndios florestais no oeste, tornados no centro-oeste e furacões na bacia do Atlântico.
O aumento das perdas causadas por desastres naturais pode ser atribuído a muitos fatores, incluindo o desenvolvimento em regiões propensas a riscos e as mudanças climáticas. As organizações devem estar preparadas para mitigar e responder aos riscos naturais, incluindo redundância, pontos limitados de falha ou a possibilidade de mudar as operações.
Além disso, as organizações devem se preparar para riscos humanos e tecnológicos crescentes, como ameaças ativas, espionagem corporativa, ataques cibernéticos, terrorismo e falhas de infraestrutura.
Muitas organizações continuam vendo um aumento nos ataques à infraestrutura crítica que dá suporte a operações corporativas e governamentais. Esforços contínuos devem ser feitos para garantir que os riscos sejam devidamente identificados e mitigações apropriadas sejam tomadas para minimizar perdas potenciais.
Uma postura de defesa em profundidade implanta uma abordagem em camadas para a segurança que combina pessoas, processos e tecnologia para proteger ativos. Empresas e entidades governamentais devem desenvolver uma abordagem de segurança em camadas para ajudar a detectar, impedir e responder a riscos humanos e tecnológicos.
Realize uma avaliação de risco personalizada
Embora muitas indústrias enfrentem os mesmos perigos naturais devido à geografia, os riscos tecnológicos e humanos podem variar amplamente de acordo com o tipo de indústria ou uso da instalação.
Devido à variedade de ameaças potenciais, os profissionais de segurança e os reguladores de risco devem modificar a maneira como conduzem suas avaliações. Uma avaliação de tamanho único que não leva em consideração as operações de negócios e as ameaças específicas do setor provavelmente não fornecerá os resultados de que os clientes precisam para mitigar adequadamente as possíveis vulnerabilidades.
Em vez disso, as avaliações devem ser adaptadas aos sistemas e operações da organização que está sendo avaliada e adotar uma abordagem de todos os riscos.
Desenvolver uma lista abrangente de ameaças que podem afetar as operações é o primeiro passo para avaliar o risco corporativo.
Uma vez que as ameaças tenham sido inicialmente identificadas, estabelecer um raio de revisão para avaliar os locais ajudará a refinar os potenciais riscos humanos e tecnológicos dentro da área operacional.
As próximas etapas incluirão a revisão dos dados demográficos do site avaliado e do ambiente operacional em relação aos dados de código aberto e proprietários para garantir que todas as ameaças potenciais sejam devidamente identificadas.
Uma revisão de acompanhamento no local para verificar as informações coletadas é sempre recomendada para garantir que os dados de origem estejam corretos.
Em muitos casos, a lista inicial de ameaças potenciais identificadas pela organização não incluía os riscos humanos de operar dentro do raio operacional definido de revisão.
Por exemplo, a falha de um operador de instalação em identificar infraestrutura crítica (por exemplo, oleodutos, subestações, linhas ferroviárias) ou instalações de materiais perigosos (por exemplo, fabricantes de produtos químicos, instalações de armazenamento de petróleo) operando dentro do mesmo espaço geográfico pode levar a possíveis impactos nas instalações, incluindo o precisa se abrigar no local ou evacuar.
Compreender o cenário geral de ameaças permitirá que as equipes de segurança desenvolvam adequadamente estratégias de mitigação para ajudar a minimizar o impacto operacional e melhorar a capacidade de restaurar as operações.
controles de revisão
Uma vez que os avaliadores tenham identificado as ameaças adequadamente, a próxima etapa é revisar os controles que a organização possui para proteger instalações e ativos.
Esta etapa inclui o exame de medidas para fortalecer alvos, meios implantados para detectar e retardar ameaças potenciais e processos operacionais para responder adequadamente às ameaças. As medidas de mitigação padrão para a maioria das organizações envolvem barreiras físicas, tecnologias de segurança e políticas e procedimentos de segurança para minimizar o potencial de impactos nas instalações e ajudar os ocupantes a responder adequadamente aos incidentes.
Esta revisão adota uma abordagem equilibrada para garantir que as operações pretendidas possam ser mantidas sem comprometer a segurança.
Os controles de segurança física em espaços públicos ou semipúblicos, como escolas ou locais de culto, adotam uma abordagem muito diferente dos controles de segurança em instalações de acesso controlado, como data centers ou usinas de energia.
Os profissionais de segurança que realizam avaliações de risco devem considerar como a instalação que está sendo avaliada será usada para garantir que os controles existentes (ou os controles propostos) funcionem com sucesso. Portanto, é crucial criar um modelo de avaliação que considere o tipo de uso da instalação e o público-alvo.
Os profissionais de segurança devem adotar uma abordagem equilibrada e realizar uma pesquisa adequada antes de realizar uma avaliação de risco da instalação. A criação de avaliações exclusivas para cada tipo de uso de instalação produzirá os melhores resultados para sua organização. A consideração de todos os perigos potenciais determinará as ameaças potenciais que uma instalação pode enfrentar.
Uma informação completa e uma revisão no local da instalação produzirão resultados abrangentes e fornecerão ao operador da instalação uma visão holística do ambiente de risco para desenvolver estratégias de mitigação apropriadas para minimizar as perdas.