o processo de avaliação de riscos e o isps code · o processo de avaliaÇÃo de riscos e o isps...
TRANSCRIPT
O PROCESSO DE AVALIAÇÃO DE RISCOS E O ISPS CODE: EVIDÊNCIAS
DE CONFORMIDADE
A avaliação de riscos é um processo geral de análise e avaliação que no final
apresenta uma relação com os seus principais riscos, apontando a necessidade
de um tratamento específico para cada um deles. O seu objetivo principal é
identificar, analisar e avaliar os riscos.
O ISPS Code (International Ship and Port Facility Security Code) estabeleceu
requisitos e diretrizes para um sistema de proteção em navios e instalações
portuárias, e apresenta como um de seus objetivos o de prover uma
metodologia para avaliações de proteção, de modo a traçar planos e
procedimentos para responder às alterações nos níveis de proteção.
Para que esse processo esteja alinhado com o ISPS Code, faz-se necessário
que os requisitos e as diretrizes do código sejam obedecidos ao se elaborar a
avaliação de riscos. Essa conformidade é constatada quando se compara a
evidência1 com os requisitos e as diretrizes do código.
E é justamente sobre as evidências de conformidade do processo de avaliação
de riscos com o ISPS Code que estamos escrevendo este artigo, com o
objetivo de identificar as principais evidências para podermos atestar a
conformidade com o ISPS Code.
Avaliação de proteção (avaliação de riscos)
O ISPS Code, no item 1.17 de sua parte B diz que:
A avaliação de proteção é fundamentalmente uma análise de riscos de
todos os aspectos de operação de uma instalação portuária a fim de
determinar quais partes dela são mais suscetíveis, e/ou prováveis de
sofrer um ataque. O risco de proteção é uma função da ameaça de um
1 Evidências são os registros, a apresentação de fatos ou informações colhidas durante a auditoria que, depois de comparados, objetivam constatar as conformidades e as não conformidades.
ataque, juntamente com a vulnerabilidade do alvo e as consequências
de um ataque.
A avaliação deve incluir os seguintes itens:
- determinação da pressuposta ameaça às instalações e infraestrutura do porto;
- identificação das prováveis vulnerabilidades; e
- cálculo das consequências de um incidente.
Internacionalmente, o risco é conceituado pela combinação da probabilidade
de um evento e suas consequências, e probabilidade e consequência são os
dois elementos que caracterizam o risco. Entretanto, o ISPS Code acrescentou
mais um ingrediente para a avaliação de riscos que é a vulnerabilidade. Para
se identificar a evidência de conformidade, esses três ingredientes
(probabilidade, consequência e vulnerabilidade) devem fazer parte desse
processo.
O ISPS Code, na sua parte A, item 15, estabelece:
15 AVALIAÇÃO DA PROTEÇÃO DAS INSTALAÇÕES
PORTUÁRIAS
15.1 A avaliação da proteção das instalações portuárias é parte
integral e essencial do processo de elaboração e atualização do plano de
proteção das instalações portuárias.
15.2 A avaliação de proteção das instalações portuárias deverá ser
executada pelo Governo Contratante em cujo território a instalação
portuária esteja localizada. Um Governo Contratante poderá autorizar
uma organização de proteção reconhecida a executar a avaliação de
proteção das instalações portuárias para uma determinada instalação
portuária localizada em seu território.
15.2.1 Quando a avaliação de proteção das instalações portuárias tiver
sido executada por uma organização de proteção reconhecida, deverá
ser revisada e aprovada, para fins de cumprimento aos requisitos desta
seção, pelo Governo Contratante em cujo território a instalação
portuária esteja localizada.
15.3 As pessoas responsáveis pela execução da avaliação deverão ter
os conhecimentos adequados para avaliar a proteção da instalação
portuária de acordo com o previsto nesta seção, levando em conta as
diretrizes constantes da Parte B deste Código.
15.4 As avaliações da proteção das instalações portuárias deverão ser
revisadas e atualizadas periodicamente, levando em conta mudanças
nas ameaças e/ou pequenas alterações na instalação portuária, e
deverão ser revisadas e atualizadas sempre que ocorreram mudanças
de vulto na instalação portuária.
15.5 A avaliação da proteção das instalações portuárias deverá incluir,
pelo menos, os seguintes elementos:
1. Identificação e avaliação de bens móveis e infraestrutura relevantes,
os quais é importante proteger;
2. Identificação de possíveis ameaças a bens móveis e infraestrutura e
a possibilidade de sua ocorrência, a fim de estabelecer e priorizar
medidas de proteção;
3. Identificação, seleção e priorização de contramedidas e alterações
nos procedimentos e seu nível de eficácia quanto à redução de
vulnerabilidade; e
4. Identificação de fraquezas, incluindo fatores humanos, na
infraestrutura, planos de ação e procedimentos.
15.6 O Governo Contratante poderá permitir que uma avaliação da
proteção das instalações portuárias cubra mais de uma instalação
portuária se o operador, a localização, a operação, os equipamentos e o
projeto destas instalações portuárias forem semelhantes. Qualquer
Governo Contratante que permita tal procedimento deverá comunicar à
Organização os detalhes do mesmo.
15.7 Após a conclusão da avaliação da proteção das instalações
portuárias, um relatório deverá ser preparado, consistindo de um
resumo sobre como a avaliação foi executada, uma descrição de cada
ponto vulnerável descoberto durante a avaliação e uma descrição de
contramedidas que poderiam ser utilizadas para resolver cada ponto de
vulnerabilidade. O relatório deverá ser protegido contra o acesso ou
divulgação não autorizada.
De acordo com os itens acima citados, podemos concluir que, para atestar a
conformidade com os requisitos do ISPS Code, uma avaliação de riscos deve:
1- Ser parte integrante e essencial do processo de elaboração e atualização do
plano de proteção de uma instalação portuária.
Isso quer dizer que todo plano de proteção e sua alteração devem ser
precedidos de uma avaliação de risco.
2- Ser executada pelo Governo contratante ou por uma organização de
proteção reconhecida (RSO).
Isso quer dizer que o governo poderá realizar a avaliação de risco ou poderá
autorizar uma RSO a elaborá-la. Neste último caso, ele próprio deverá revisar
e aprovar a avaliação de riscos realizada.
3- Ser executada por pessoas que possuam conhecimento adequado, e que
realizem a avaliação considerando as diretrizes estabelecidas na parte B do
código.
Isso quer dizer que as pessoas que realizam a avaliação de riscos devem
demonstrar que possuem conhecimento para tal e que a façam em
conformidade com as diretrizes estabelecidas na parte B do código. Esse
“conhecimento” pode ser verificado com a apresentação de documentos de
capacitação e treinamento.
4- Ser revisada e atualizada periodicamente, e toda vez que mudanças nas
ameaças ou alterações nas instalações portuárias ocorram.
5- Conter em seu processo os subitens do item 15.5 acima descritos.
Todo e qualquer requisito deve ser entendido como ponto que
obrigatoriamente deva ser contemplado, e que, em não tendo sido, não se
possa falar em conformidade, ou seja, nenhum subitem do item 15 da parte A
do ISPS Code pode ser excluído sob pena de não se atestar a conformidade
com esse código. Esse é o entendimento que permeia o segmento daqueles
que trabalham com certificação.
Dos requisitos do ISPS Code, o item 15.52 requer uma atenção maior porque
se refere ao processo de avaliação de riscos.
15.5 A avaliação da proteção das instalações portuárias deverá incluir,
pelo menos, os seguintes elementos:
1. Identificação e avaliação de bens móveis e infraestrutura relevantes,
os quais são importantes proteger;
2. Identificação de possíveis ameaças a bens móveis e infraestrutura e
a possibilidade de sua ocorrência, a fim de estabelecer e priorizar
medidas de proteção;
3. Identificação, seleção e priorização de contramedidas e alterações
nos procedimentos e seu nível de eficácia quanto à redução de
vulnerabilidade; e
4. Identificação de fraquezas, incluindo fatores humanos, na
infraestrutura, planos de ação e procedimentos.
O processo de avaliação de riscos e as evidências de conformidade
com o ISPS Code
Para o objetivo deste artigo, e considerando que a parte B do código apresenta
as diretrizes para cada subitem do item 15.5 da parte A, vamos comentar
essas diretrizes, identificando as evidências para que o processo de avaliação
de riscos esteja em conformidade com o ISPS Code.
1-Identificação e avaliação de bens móveis e infraestrutura
relevantes, os quais são importantes proteger
A parte B do código, nos itens 15.5 a 15.8, estabelece as seguintes diretrizes:
2 Observemos que o item 15.5 da parte A do código utiliza a expressão “pelo menos”, o que significa que a avaliação de risco não está restrita a esses itens, mas que, no mínimo, deve contê-los.
15.5 A identificação e avaliação da infraestrutura e bens móveis
importantes é um processo através do qual se pode estabelecer a
importância relativa das estruturas e instalações para o funcionamento
da instalação portuária. Este processo de identificação e avaliação é
importante porque fornece uma base para a concentração de estratégias
de atenuação do impacto naqueles bens móveis e estruturas os quais
são mais importantes proteger contra um incidente de proteção. Este
processo deve levar em conta a perda potencial de vidas, a
importância econômica do porto, seu valor simbólico e a
presença de instalações governamentais.
15.6 A identificação e avaliação de bens móveis e infraestrutura deve
ser usada para priorizar sua importância relativa para a proteção. O
objetivo principal deve ser evitar mortes e lesões corporais. Também é
importante considerar se a instalação portuária, estrutura ou planta
pode continuar a operar sem tais bens e quão rapidamente pode-se re-
estabelecer o seu funcionamento normal.
15.7 Os bens móveis e infraestrutura que devem ser considerados
como importantes para proteger podem incluir:
1. Áreas de acesso, entradas, aproximações, ancoragem, manobras e
atracação;
2. Instalações de cargas, terminais, áreas de armazenagem e
equipamentos para manuseio de cargas;
3. Sistemas, tais como sistemas de distribuição elétrica, sistemas de
rádio e telecomunicações e sistemas e redes de informática;
4. Sistemas de gestão de tráfego de navios no porto e sistemas de
auxílio à navegação;
5. Instalação de energia, tubulação de transferência de cargas e
abastecimento de água;
6. Pontes, ferrovias estradas;
7. Embarcações de serviços portuários, incluindo embarcações de
praticagem, rebocadores, chatas, etc.;
8. Sistemas e equipamentos de proteção e vigilância; e
9. Águas adjacentes às instalações portuárias.
15.8 A identificação clara de bens móveis e infraestrutura é essencial
para a avaliação dos requisitos de proteção das instalações portuárias e
para a priorização de medidas de proteção e de decisões relativas à
designação de recursos para melhor proteger as instalações portuárias.
O processo pode envolver consultas com as autoridades relevantes com
relação a estruturas adjacentes às instalações portuárias as quais
poderiam causar danos dentro das instalações ou serem utilizadas para
causar danos às instalações, para observação ilícita das instalações ou
para desviar a atenção.
Dessas diretrizes, as principais evidências são:
1- No item 15.5, está estabelecido que a identificação e a avaliação da
infraestrutura e dos bens móveis fazem parte de um processo que pode
estabelecer a importância das estruturas e instalações para o
funcionamento da instalação portuária.
A evidência de conformidade é a identificação dos bens móveis e da
infraestrutura importantes para o funcionamento da instalação portuária. Essa
identificação deve levar em consideração os subitens do item 15.7, e os
elementos de avaliação constantes do item 15.3 da parte B do ISPS Code.
Como o objetivo dessa identificação é a priorização das infraestruturas e bens
móveis para a proteção, e considerando que nessa identificação se deve levar
em conta a capacidade de resposta e o retorno à normalidade da atividade
(item 15.6 do ISPS Code), a evidência de conformidade deve identificar
onde está esse destaque de importância no processo de avaliação, que vai se
materializar no critério utilizado para a valoração da importância para a
infraestrutura e bens móveis identificados.
2- No item 15.7 da parte B, a diretriz orienta o que pode ser considerado
quando da identificação dos bens móveis e da infraestrutura. É bom ressaltar
que as diretrizes contidas nesse item podem ser consideradas como não
obrigatórias, uma vez que, no texto, a expressão “podem incluir” não gera tal
obrigatoriedade. É uma interpretação literal.
3- No item 15.5, também é estabelecido que a avaliação de risco deve levar
em conta a perda potencial de vidas, a importância econômica do porto,
seu valor simbólico e a presença de instalações governamentais. Esses
pontos são os parâmetros que devem ser utilizados para as consequências, e
constituem as evidências de conformidade.
Ressalte-se aqui que esses são os parâmetros mínimos que devem constar em
todo processo da avaliação de riscos para se poder atestar a conformidade
com o ISPS Code.
Exemplificando: Se um método conhecido e considerado de avaliação de riscos
não tiver em seu processo esses parâmetros de avaliação (a perda potencial
de vidas, a importância econômica do porto, seu valor simbólico e a presença
de instalações governamentais), ele não pode ser atestado como em
conformidade com o ISPS Code, independentemente do argumento, por não
possuir elemento caracterizador de evidência objetiva, pois estará constatado
que ele não atende aos requisitos e/ou diretrizes. No caso específico, a não
conformidade é o não atendimento ao item 15.5 da parte B do ISPS Code.
4- No item 15.6, está estabelecido que o objetivo principal desse processo é
evitar mortes e lesões corporais. Com relação a esse ponto, entendemos que o
parâmetro do item 15.5 (levar em conta a perda potencial de vidas) contempla
a evidência.
5- No item 15.8, é citada a expressão requisitos de proteção. As principais
fontes dos requisitos de proteção são: 1- A legislação, os estatutos, os
contratos, etc.; 2- Os princípios, objetivos e requisitos de negócios, e 3- A
avaliação de risco.
Com relação à legislação, o ISPS Code é o principal requisito de proteção.
Entretanto, as políticas de segurança e outros instrumentos normativos que
estabelecem requisitos (Legislação aduaneira, Resoluções da CONPORTOS,
legislação ambiental, etc.) são indispensáveis e devem ser considerados
quando do processo de construção do sistema de proteção de uma instalação
portuária. A evidência de conformidade para esse item já é o próprio ISPS
Code.
2- Identificação de possíveis ameaças a bens e infraestrutura e a
probabilidade de sua ocorrência, a fim de estabelecer e priorizar
medidas de proteção
A parte B do código, nos itens 15.9 a 15.12, estabelece as seguintes
diretrizes:
15.9 Possíveis atos que possam ameaçar a proteção de bens móveis e
infraestrutura e os métodos utilizados para sua execução devem ser
identificados para avaliar a vulnerabilidade de um determinado bem
móvel ou local em relação a um incidente de proteção e para
estabelecer e priorizar os requisitos de proteção a fim de permitir o
planejamento e a alocação de recursos. A identificação e avaliação de
cada ato potencial e do método utilizado para executá-lo deve ser
baseada em vários fatores, incluindo avaliações de ameaças por
organizações Governamentais. Ao identificar e avaliar as ameaças,
aqueles que realizam a avaliação não precisam recorrer a projeções de
piores cenários possíveis para orientar o planejamento e a alocação de
recursos.
15.10 A PFSA deve incluir uma avaliação realizada em consulta com as
organizações nacionais de proteção relevantes para determinar:
1. Quaisquer aspectos particulares das instalações portuárias, incluindo
o tráfego de navios que utilizam as instalações, os quais as tornam
passíveis de serem alvos de um ataque;
2. As possíveis consequências de um ataque nas instalações portuárias
em termos de perda de vidas, danos a propriedades, danos econômicos,
incluindo interrupção dos sistemas de transporte.
3. A capacidade e intenções daqueles passíveis de planejar tal ataque;
e
4. Os possíveis tipos de ataques, realizando uma avaliação completa do
nível de risco contra o qual as medidas de proteção têm que ser
desenvolvidas.
15.11 A PFSA deve considerar todas as ameaças possíveis, as quais
podem incluir os seguintes tipos de incidentes de proteção:
1. Danos às instalações portuárias e aos navios ou destruição dos
mesmos, por exemplo, através de explosivos, incêndio criminoso,
sabotagem ou vandalismo;
2. Sequestro ou captura do navio ou de pessoas a bordo;
3. Adulteração de cargas, sistemas ou equipamentos essenciais do
navio ou de provisões do navio;
4. Acesso ou uso não autorizado, incluindo a presença de
clandestinos;
5. Tráfico de armas ou equipamentos, incluindo armas de destruição
em massa;
6. Uso do navio para transportar pessoas que pretendem causar um
incidente de proteção e seus equipamentos;
7. Uso do navio em si como uma arma ou como um meio de causar
danos ou destruição;
8. Bloqueio; de entradas dos portos, comportas, aproximações, etc.; e
9. Ataque nuclear, biológico e químico.
15.12 O processo deve envolver consultas com as autoridades
relevantes em relação a estruturas adjacentes às instalações portuárias
que possam causar danos dentro das instalações ou serem utilizadas
para causar danos às instalações ou para observação ilícita das
instalações ou para desviar a atenção.
Das diretrizes acima podemos concluir:
1- Que os incidentes de proteção devem ser identificados ao se levar em
conta a ameaça que podem causar aos bens móveis e à infraestrutura, e os
métodos para a sua execução.
2- Que esses incidentes devem ser confrontados com as possíveis
vulnerabilidades dos ativos identificados (bens móveis e infraestrutura), para
que seja possível estabelecer e priorizar os requisitos de proteção.
3- Que na identificação das ameaças podem ser incluídos os incidentes de
proteção citados no item 15.11 (citado acima).
4- Que devem ser consultadas organizações nacionais de proteção e
autoridades para atender ao que está disposto nos itens 15.10 e 15.12 das
diretrizes do ISPS Code.
Para a identificação das evidências de conformidade faz-se necessário
observarmos os seguintes pontos:
Identificação de possíveis ameaças
Um aspecto que merece destaque com relação à identificação das ameaças,
entendidas aqui como incidentes de proteção (ISPS Code), é que a avaliação
de risco não deve limitar-se aos incidentes descritos no item 15.11 da parte B
do ISPS Code, mas incluir outros tipos de ameaças que fazem parte do
cotidiano de qualquer organização.
Como podemos verificar, os incidentes citados no item 15.11 da parte B do
ISPS Code servem como um referencial, e limitarmo-nos apenas a esses
incidentes é abrir um campo de possibilidades de termos uma avaliação de
risco vulnerável, uma vez que outros incidentes não relacionados são
verdadeiras ameaças aos negócios de uma instalação portuária, pois, ao se
concretizarem, podem vir a interromper as suas atividades com danos de difícil
reparação.
Exemplificando: A interrupção do fornecimento de energia (incidente não
previsto no ISPS Code) pode ser decorrente de uma descarga elétrica (raio)
que, devido a uma falha no equipamento (para-raios), danifique a subestação
de energia; pode ser decorrente de uma ação intencional se provocar a
ruptura do cabo condutor, ou um dano provocado pelo acesso sem proteção à
sala da subestação. Esse simples evento pode interromper as atividades de
uma instalação portuária e interferir na eficácia do sistema de proteção.
A evidência de conformidade é constatada ao se identificarem os possíveis
atos (incidentes e ameaças) em cada bem móvel e infraestrutura, identificados
como sendo importante proteger.
Exemplificando: O subitem 2 do item 15.7 diz que os bens móveis e a
infraestrutura que devem ser considerados podem incluir equipamentos para
manuseio de cargas. O portêiner é um equipamento importante e estratégico
para um terminal de contêiner (TECON). A interrupção de sua atividade pode
decorrer da falta de energia, de modo acidental ou intencional. O evento
(ameaça) erro ou falha não é contemplado no ISPS Code, mas é factível, e
pode e deve ser considerado. Não considerar os atos (incidentes e ameaças)
para esse equipamento, é não atender ao ISPS Code, por não observar o item
15.7 e o 15.9.
No exemplo acima, fica evidenciada a necessidade de aferição da
conformidade, combinando os itens 15.7 e 15.9 da parte B do código. É ter a
constatação, no processo, da identificação do ativo e das ameaças específicas
para esse ativo. É ter como premissa que as possibilidades e os impactos
variam entre ativos diferentes. Daí a diligente observação quanto aos métodos
de avaliação de riscos, pois não devem ser aceitos métodos que considerem a
possibilidade da concretização do evento em si, como um todo para uma
instalação portuária, pois essa não é a intenção do código. Nesses casos, a
avaliação é vulnerável e não aponta as evidências de conformidade com os
itens 15.7 e 15.9 da parte B do ISPS Code.
Identificação da probabilidade de ocorrência das ameaças
Outro ponto nesse domínio do ISPS Code é o de se estabelecer a possibilidade
de sua ocorrência.3 A evidência de conformidade é intrínseca ao processo,
quando são analisadas a possibilidade, a consequência e a vulnerabilidade, de
acordo com o item 1.17 das diretrizes do código. Entretanto, não é possível
aceitar uma aferição apenas pela observação do especialista, pois carece de
indicador objetivo, que será ponto de confrontação do fato com o critério do
exame (item do ISPS Code).
A fim de estabelecer e priorizar medidas de proteção
Como foi visto, o título deste item do ISPS Code diz: “identificação de
possíveis ameaças a bens móveis e infraestrutura e da probabilidade de sua
ocorrência a fim de estabelecer e priorizar medidas de proteção”.
Sabemos que o processo de avaliação de risco possui três etapas: a
identificação das ameaças, a análise dos riscos e a avaliação dos riscos. 3 Observemos que o texto dos itens desse domínio não trata da identificação ou valoração da probabilidade de sua ocorrência. Entretanto, o título do domínio faz referência, textualmente, à “probabilidade de sua ocorrência”. Os termos probabilidade e possibilidade são sinônimos, segundo os dicionários da língua portuguesa.
Quando identificamos as ameaças e a possibilidade de sua ocorrência,
adentramos na análise do risco.
A análise de riscos desenvolve um entendimento sobre os riscos e os seus
impactos, no sentido de sugerir as melhores estratégias para o seu
tratamento. O objetivo maior da análise é poder segregar os riscos de maiores
impactos, a fim de tornar possível a eliminação do que puder ser eliminado, e
reduzir ou transformar em níveis menores aqueles que não puderem ser
eliminados, ou transferi-los para outras partes.
Três fatores são fundamentais na fase de análise dos riscos: os controles, a
possibilidade e as consequências.
O fator consequência (impacto) baseia-se na valoração do ativo e da sua
importância para as atividades de negócios. Sua análise deve levar em
consideração os critérios estabelecidos para se avaliarem os impactos, o que,
para se alcançar a conformidade com o ISPS Code, deve considerar (item
15.5, parte B): a perda potencial de vidas, a importância econômica do porto,
seu valor simbólico e a presença de instalações governamentais. O fator
possibilidade, como o próprio nome já o diz, deve estar baseado na
possibilidade de a ameaça se concretizar. O fator controle4 tem como base a
avaliação da vulnerabilidade dos controles.
A análise de riscos é a fase na qual ocorre o estudo detalhado de cada risco e
a sua inter-relação com os controles e suas vulnerabilidades. É o que pode ser
chamado de estudo do risco propriamente dito. O seu resultado apresenta um
ranking dos principais riscos que devem ser tratados, ou seja, que devem ser
priorizados pelas medidas de proteção.
Com essa classificação, inicia-se a etapa da avaliação do risco analisado
para se estabelecerem as medidas de tratamento dos riscos, as quais são
materializadas em medidas de controle, que no caso específico serão as
medidas de proteção.
4 Os controles são materializados em normas, processos, procedimentos e práticas, dentre outros, que compõem todo o arcabouço de uma infraestrutura voltada para a proteção da instalação portuária.
3- Identificação, seleção e priorização de contramedidas e alterações
nos procedimentos e seu nível de eficácia quanto à redução de
vulnerabilidade
A parte B do código, nos itens 15.13 e 15.14, estabelece as seguintes
diretrizes:
15.13 A identificação e priorização de contramedidas tem o objetivo de
assegurar que sejam empregadas as medidas de proteção mais eficazes
para reduzir a vulnerabilidade de uma instalação portuária ou da
interface navio/porto a possíveis ataques.
15.14 As medidas de proteção devem ser selecionadas com base em
fatores, tais como, se reduzem a probabilidade de um ataque, e devem
ser avaliadas utilizando-se informações que incluam:
1. Vistorias, inspeções e auditorias relacionadas à proteção;
2. Consultas com proprietários e operadores de instalações portuárias e
com proprietários/operadores de estruturas adjacentes, se apropriado;
3. Informações relativas ao histórico de incidentes de proteção; e
4. Operações dentro das instalações portuárias.
Como podemos observar nos itens acima, as contramedidas devem ter por
objetivo ser eficazes na redução das vulnerabilidades (15.13) para um possível
ataque. Devem ser avaliadas (15.14) levando em consideração as informações
que incluam todos os subitens desse item do código. A evidência de
conformidade é a própria medida identificada. Essas medidas geralmente são
estabelecidas com o objetivo de ser eficazes, e a aferição da eficácia de uma
medida só deve ser feita após determinado prazo da implantação. Essa
aferição deverá ser feita quando da realização das auditorias.
Um ponto a ser observado tem relação com o item 16.9 da parte B do ISPS
Code, o qual estabelece que as medidas de proteção devem cobrir: o acesso
às instalações portuárias, as áreas de acesso restrito dentro das instalações
portuárias, o manuseio de cargas, a entrega das provisões do navio, o
manuseio de bagagens desacompanhadas e o monitoramento da proteção das
instalações portuárias. Se tais medidas não alcançarem esse item do código,
não se poderá falar em conformidade.
4- Identificação de vulnerabilidades
A parte B do código, nos itens 15.15 e 15.16, estabelece as seguintes
diretrizes:
15.15 A identificação de vulnerabilidades em estruturas físicas, sistemas
de proteção de pessoal, processos ou outras áreas que possam levar a
um incidente de proteção pode ser usada para estabelecer opções para
eliminar ou atenuar tais vulnerabilidades. Por exemplo, uma análise
pode revelar vulnerabilidades nos sistemas de proteção das instalações
portuárias ou infraestruturas não protegidas, tais como abastecimento
de água, pontes, etc., que podem ser resolvidas através de medidas
físicas, por exemplo, barreiras permanentes, alarmes, equipamentos de
vigilância, etc.
15.16 A identificação de vulnerabilidades deve incluir a consideração de:
1. Acesso às instalações portuárias por água e por terra e navios
atracados nas instalações;
2. Integridade estrutural dos ancoradouros, instalações e estruturas
relacionadas;
3. Medidas e procedimentos existentes de proteção, incluindo sistemas
de identificação;
4. Medidas e procedimentos existentes de proteção com relação a
serviços portuários e empresas de utilidades públicas;
5. Medidas para proteger equipamentos de rádio e de
telecomunicações, serviços portuários e empresas de utilidades públicas,
incluindo sistemas e redes de informática;
6. Áreas adjacentes que possam ser exploradas durante ou para um
ataque;
7. Acordos existentes com companhias privadas de proteção que
forneçam serviços de proteção em terra/na água;
8. Quaisquer políticas conflitantes entre as medidas e procedimentos de
segurança e proteção;
9. Quaisquer conflitos entre as instalações portuárias e a atribuição de
deveres relativos à proteção;
10. Quaisquer limitações no tocante ao pessoal e à implementação;
11. Quaisquer falhas identificadas durante os treinamentos e
simulações; e
12. Quaisquer falhas identificadas durante as operações rotineiras, após
a ocorrência de incidentes ou alertas, relatórios de preocupações
relativas à proteção, exercício de medidas de controle, auditorias, etc.
A evidência de conformidade consiste em identificar se foi considerado o
estabelecido no item 15.16 da parte B do ISPS Code.
Uma observação especial com relação a essa etapa é que ela será executada
na fase de análise de riscos, conforme foi visto anteriormente, pois a
identificação de vulnerabilidade faz parte da etapa de análise de riscos.
Conclusão
Como foi visto, o processo de avaliação de riscos envolve a identificação, a
análise e a avaliação dos riscos, e o ISPS Code afirma que esse processo deve
considerar as ameaças, as vulnerabilidades e as suas consequências, ao
estabelecer um conjunto de requisitos e diretrizes para que a avaliação possa
ser atestada como em conformidade com ele (código).
A adequação do processo ao código ocorre ao se evidenciar que os requisitos e
as diretrizes foram contemplados na realização da avaliação, ou seja, é dizer,
confirmar, atestar que a avaliação de riscos está em conformidade com os
requisitos e diretrizes do ISPS Code. Tecnicamente falando, é quando as
evidências objetivas são identificadas para a aprovação da avaliação pela
autoridade competente.
A filosofia das certificações passa sempre pela adequação do padrão, modelo,
objeto, processo, etc. a um referencial, geralmente caracterizado nos critérios
normativos, como é o caso do ISPS Code. Em se falando de certificação, o
elemento de comparação (critério de conformidade) é o próprio código,
materializado nas evidências objetivas de conformidade com os requisitos e
diretrizes estabelecidos apenas nele.
Não devemos atestar a conformidade com o código tomando por base outra
norma (interpretativa ou não). Se assim o fizermos, essa aprovação ou
atestado de conformidade abrigará vícios formais, e a prova disso é a falta da
evidência objetiva em relação ao critério de conformidade, que é o ISPS Code.
Entretanto, outras normas podem surgir para auxiliar no exame do
certificador, mas não para ser o referencial de conformidade para com o
código. Quando isso acontecer, o certificador deve trabalhar com dois
parâmetros: o ISPS Code e a norma auxiliar. As evidências de conformidade
são para as duas normas, separadamente, ou seja, deve-se atestar a
conformidade com o ISPS Code e a conformidade com a norma auxiliar. No
entanto, se a conformidade é para com o código, entendemos que basta o
ISPS Code.
O papel do ente certificador é o de atestar a conformidade com o ISPS Code
ao identificar as evidências objetivas de que a avaliação de riscos atende aos
requisitos e diretrizes estabelecidos no código, pois ele é o instrumento
balizador de todo o processo.
Um ponto é pacífico: a adequação aos requisitos e diretrizes estabelecidos no
ISPS Code passa pela conscientização e profissionalização de todas as pessoas
envolvidas nesse importante processo de certificar.
Um desafio é proposto: verificar a adequação da avaliação de riscos de sua
instalação portuária para atestar a conformidade com os requisitos e diretrizes
do ISPS Code (em anexo um checklist para auxiliar na verificação).
Um resultado é esperado: a conformidade com o ISPS Code.
Marcus Leal Dantas [email protected]
É autor dos livros: Avaliação de riscos em instalações portuárias; Auditoria em instalações portuárias; Segurança preventiva: conduta inteligente do cidadão; e Segurança da informação: uma abordagem focada em gestão de riscos.
Livros disponíveis para download em http://www.marcusdantas.com.br/publicacoes.html
ANEXO I – DESAFIO
O desafio a seguir tem por objetivo verificar a adequação da avaliação de riscos de sua instalação portuária para atestar a
conformidade com os requisitos e diretrizes do ISPS Code.
O checklist a seguir foi elaborado adotando como referência cada item de domínio do ISPS Code relacionado às avaliações
de riscos (requisitos e diretrizes). Para o nosso objetivo didático, adotamos a mesma sequência do ISPS Code para esses
itens de verificação.
Ratificamos que esta verificação diz respeito à conformidade com o ISPS Code. Já para a conformidade com as Resoluções
da CONPORTOS, o exame deverá adotar como referência essas resoluções, e em especial as Resoluções CONPORTOS
07/2003 e 10/2003.
INSTALAÇÃO PORTUÁRIA:
NOME: VERIFICAÇÃO DATA:
OBJETIVO DO EXAME: Verificar a conformidade da avaliação de riscos de acordo com os requisitos e diretrizes do ISPS Code. REFERÊNCIA: ISPS Code
AUDIT CHECKLIST- ISPS Code- Parte A
RESULTADOS ISPS Code
VERIFICAÇÃO
Comentários C/NC
15 AVALIAÇÃO DE PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS
15.1 A avaliação da proteção das instalações portuárias é parte integral e essencial do processo de
elaboração e atualização do plano de proteção das instalações portuárias. (verificar se o PSPP foi
atualizado com base em nova avaliação de riscos)
15.2 A avaliação de proteção das instalações portuárias deverá ser executada pelo Governo
Contratante em cujo território a instalação portuária esteja localizada. Um Governo Contratante
poderá autorizar uma organização de proteção reconhecida a executar a avaliação de proteção
das instalações portuárias para uma determinada instalação portuária localizada em seu
território. (ver item 15.1 da parte B)
15.2.1 Quando a avaliação de proteção das instalações portuárias tiver sido executada por uma
organização de proteção reconhecida, deverá ser revisada e aprovada, para fins de cumprimento
aos requisitos desta seção, pelo Governo Contratante em cujo território a instalação portuária
esteja localizada. (ver item 15.2 da parte B)
15.3 As pessoas responsáveis pela execução da avaliação deverão ter os conhecimentos adequados
para avaliar a proteção da instalação portuária de acordo com o previsto nesta seção, levando
em conta as diretrizes constantes da Parte B deste Código. (ver item 15.4 da parte B)
15.4 As avaliações da proteção das instalações portuárias deverão ser revisadas e atualizadas
periodicamente, levando em conta mudanças nas ameaças e/ou pequenas alterações na
instalação portuária, e deverão ser revisadas e atualizadas sempre que ocorreram mudanças de
vulto na instalação portuária.
Obs: Caso a instalação portuária tenha realizado alguma alteração, como uma
ampliação, dentre as recomendações de sua verificação, deverá constar a realização de
nova avaliação de riscos.
A avaliação da proteção das instalações portuárias deverá incluir, pelo menos, os seguintes
elementos:
5. Identificação e avaliação de bens móveis e infraestrutura relevantes, os quais
são importantes proteger; (ver itens 15.5 a 15.8 da parte B)
6. Identificação de possíveis ameaças a bens móveis e infraestrutura e a
probabilidade de sua ocorrência, a fim de estabelecer e priorizar medidas de
proteção; (ver itens 15.9 a 15.12 da parte B)
15.5
7. Identificação, seleção e priorização de contramedidas e alterações nos
procedimentos e seu nível de eficácia quanto à redução de vulnerabilidade; e
(ver itens 15.13 e 15.14 da parte B)
8. Identificação de fraquezas, incluindo fatores humanos, na infraestrutura, planos
de ação e procedimentos. (ver itens 15.15 e 15.16 da parte B)
15.6 O Governo Contratante poderá permitir que uma avaliação da proteção das instalações
portuárias cubra mais de uma instalação portuária se o operador, a localização, a operação, os
equipamentos e o projeto destas instalações portuárias forem semelhantes. Qualquer Governo
Contratante que permita tal procedimento deverá comunicar à Organização os detalhes do
mesmo.
15.7 Após a conclusão da avaliação da proteção das instalações portuárias, um relatório deverá ser
preparado, consistindo de um resumo sobre como a avaliação foi executada, uma descrição de
cada ponto vulnerável descoberto durante a avaliação e uma descrição de contramedidas que
poderiam ser utilizadas para resolver cada ponto de vulnerabilidade. O relatório deverá ser
protegido contra o acesso ou divulgação não autorizada.
AUDIT CHECKLIST- ISPS Code- Parte B
RESULTADOS Item
VERIFICAÇÃO
(Domínio do ISPS Code) Comentários C/NC
AVALIAÇÃO DE PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS (item 15.1 a 15.16 do ISPS)
15.1
A avaliação da proteção foi realizada por uma Organização de Proteção Reconhecida
(RSO)? Qual? (verificar documentação da RSO e do técnico que a realizou)
O Governo contratante revisou a avaliação de proteção?
Foi utilizada uma RSO para essa revisão?
15.2
Esta RSO tem relação com a RSO encarregada de executar a avaliação de proteção?
A avaliação alcançou os seguintes elementos: (verificar a documentação e identificar
os itens no relatório da avaliação de riscos)
a) Proteção física
b) Integridade estrutural
c) Sistemas de proteção de pessoal
d) Programas de procedimentos
e) Sistemas de rádio e de telecomunicações, incluindo sistemas e redes de
informática
f) Infraestrutura de transporte relevante
g) Utilidades públicas
15.3
h) Outros elementos que possam caso danificados ou utilizados para observação
ilícita, apresentar um risco a pessoas, propriedade ou operações dentro da
instalação portuária.
Foi necessária a participação de especialistas para ajudar na elaboração da avaliação
de proteção?
15.4
Esse especialista comprovou a sua capacidade técnica? (checar documentação)
Identificação e avaliação da infraestrutura e dos bens móveis que são importantes proteger
Na identificação e avaliação da infraestrutura e dos bens móveis foi estabelecido um
nível de importância para a instalação portuária?
15.5
Foram consideradas a perda potencial de vidas, a importância econômica do porto e
o seu valor simbólico, e a presença de instalações governamentais?
15.6 Foi priorizada a importância relativa dos bens móveis e infraestrutura para a proteção?
(verificar o critério utilizado para tal priorização)
Teve como objetivo principal evitar mortes e lesões corporais?
Foi considerado o funcionamento da instalação portuária sem tais bens (ativos) e a
capacidade de recuperação do incidente de proteção?
Foram considerados na identificação e avaliação da infraestrutura e bens móveis os
seguintes itens: (identificar no relatório e papéis de trabalho da avaliação)
a) Áreas de acesso, entradas, aproximações, ancoragem, manobras e atracação
b) Instalações de cargas, terminais, áreas de armazenagem e equipamentos para
manuseio de cargas
c) Sistemas de distribuição elétrica, sistemas de rádio e telecomunicações e
sistemas e redes de informática
d) Sistemas de gestão de tráfego de navios no porto e sistemas de auxílio à
navegação
e) Instalação de energia, tubulação de transferência de cargas e abastecimento
de água
f) Pontes, ferrovias, estradas
g) Embarcações de serviços portuários
h) Sistemas e equipamentos de proteção e vigilância
15.7
i) Águas adjacentes às instalações portuárias
Identificação das possíveis ameaças aos bens móveis e infraestrutura, e da probabilidade de sua ocorrência, a fim de
estabelecer e priorizar medidas de proteção
Possíveis atos que possam ameaçar a proteção de bens móveis e infraestrutura e os
métodos utilizados para sua execução foram identificados para avaliar a
vulnerabilidade de um determinado bem móvel ou local em relação a um incidente de
proteção?
15.9
Esses atos foram considerados na priorização dos requisitos de proteção a fim de
permitir o planejamento e a alocação de recursos?
15.10
Foram realizadas consultas com as organizações nacionais de proteção para
determinar:
a) Aspectos particulares das IP, incluindo o tráfico de navios que utilizam as
instalações, os quais as tornam passíveis de serem alvos de um ataque;
b) As possíveis conseqüências de um ataque na IP em termos de perda de vidas,
danos a propriedades, danos econômicos, interrupção do sistema de transporte;
c) A capacidade e intenções daqueles passíveis de planejar tal ataque;
d) Os possíveis tipos de ataque; (neste caso verificar se foi realizada uma avaliação
completa do nível de risco contra o qual as medidas de proteção devem ser
desenvolvidas- item 4 do 15.10)
Foram incluídos os seguintes tipos de incidentes de proteção:
a) Danos às instalações portuárias e aos navios ou destruição dos mesmos;
b) Seqüestro ou captura do navio ou de pessoas a bordo;
c) Adulteração de cargas, sistemas ou equipamentos essenciais do navio ou de
provisões do navio;
d) Acesso ou uso não-autorizado, incluindo a presença de clandestinos;
15.11
e) Tráfico de armas ou equipamentos, incluindo armas de destruição em massa;
f) Uso do navio para transportar pessoas que pretendem causar um incidente de
proteção e seus equipamentos;
g) Uso do navio em si como uma arma ou como um meio de causar danos ou
destruição;
h) Bloqueio das entradas dos portos, comportas, aproximações, etc., e
i) Ataque nuclear, biológico e químico.
Foram identificadas outras ameaças (roubo, furto, greve, sabotagem, etc.)?
Obs: Não se devem aceitar apenas os incidentes do item 15.11, mas todos os
possíveis atos (ameaças). Verificar o critério utilizado para identificação das
ameaças. Neste item de verificação a atenção é redobrada para a limitação de
incidentes que poderá deixar a avaliação vulnerável.
15.12
Foi considerada a possibilidade de outras estruturas causarem danos dentro das
instalações ou serem utilizadas para causar danos às instalações, como também
utilizada para observação ilícita ou para desviar a atenção?
Identificação, seleção e priorização de contramedidas e mudanças de procedimentos e seus níveis de eficácia na redução da vulnerabilidade
15.13
A identificação e priorização de contramedidas tomaram como base medidas de
proteção para reduzir as vulnerabilidades de uma IP ou da interface navio/porto a
possíveis ataques?
15.14
As medidas de proteção tomaram como base as vistorias, inspeções e auditorias, o
histórico de incidentes de proteção, as operações da instalação e as consultas a seus
proprietários e operadores, informações de históricos de incidentes e das operações
dentro do terminal?
Identificação de vulnerabilidade
15.15
Foi considerada a identificação de vulnerabilidade para o estabelecimento de ações de
proteção?
Foram considerados os seguintes aspectos na identificação de vulnerabilidades:
a) Acesso às instalações portuárias por água e por terra e a navios atracados nas
instalações;
b) Integridade estrutural dos ancoradouros, instalações e estruturas relacionadas;
c) Medidas e procedimentos de proteção existentes;
d) Medidas para proteger equipamentos de rádio e de telecomunicações, serviços
portuários e empresas de utilidade pública;
e) Áreas adjacentes que possam ser exploradas durante um ataque ou para a sua
realização;
f) Acordos existentes com companhias privadas de proteção que forneçam serviços
de proteção em terra/na água;
g) Quaisquer políticas conflitantes entre as medidas e procedimentos de segurança
e proteção;
15.16
h) Quaisquer conflitos entre as instalações portuárias e a atribuição de deveres
relativos à proteção;
i) Quaisquer limitações no tocante ao pessoal e à implementação;
j) Quaisquer falhas identificadas durante os treinamentos e simulações, bem como
falhas identificadas durante as operações rotineiras, após a ocorrência de
incidentes ou alertas, relatórios de preocupações relativas à proteção, exercício
de medidas de controle, auditorias, etc.