banner
Proteção e Gestão de Risco de Infraestruturas Críticas

 

A ameaça do terrorismo internacional e o crescente número de desastres naturais constituíram, em cada Estado-Membro, um desafio crescente para a proteção das infraestruturas críticas (PIC).

De acordo com o Conselho Nacional do Planeamento Civil de Emergência (CNPCE), considera-se infraestrutura Crítica (IC), aquela cuja destruição total ou parcial, disfunção ou utilização indevida possa afetar, direta ou indiretamente, de forma permanente ou prolongada:

  • O funcionamento do setor a que pertence, ou de outros setores;
  • O funcionamento de Órgãos de Soberania;
  • O funcionamento de Órgãos da Segurança Nacional;
  • Os Valores Básicos, afectando, desta forma, gravemente, o Bem-Estar Social.

A sua criticidade determinar-se-á pelo impacto que a sua destruição, disfunção ou utilização indevida possa determinar no conjunto dos critérios referidos.

 

 

Na União Europeia

Em 20 de Outubro de 2004, a Comissão adoptou uma Comunicação relativa à PIC e propôs a elaboração de um “Programa Europeu de Proteção de Infraestruturas Críticas”, (PEPIC).

Em 17 de Novembro de 2005, a Comissão adotou um livro verde sobre um PEPIC, que veio reforçar o valor acrescentado da existência de um enquadramento comunitário em matéria de proteção das IC.

Em Dezembro de 2005, o Conselho (Justiça e Assuntos Internos) solicitou à Comissão que apresentasse uma proposta de PEPIC com enfoque na abordagem de todos os riscos, com destaque para a luta contra as ameaças de terrorismo. Esta abordagem deveria atender às ameaças humanas e tecnológicas e às catástrofes naturais no processo das PIC, embora devesse privilegiar as ameaças de terrorismo.

Em Abril de 2007, o Conselho aprovou conclusões sobre o PEPIC reafirmando que em última instância, é da responsabilidade dos Estados-Membros assegurar a PIC nos respetivos territórios.

A Diretiva 2008/114/CE do Conselho veio assim estabelecer um procedimento de identificação e designação das Infraestruturas Críticas Europeias (ICE) e uma abordagem comum relativa à avaliação da necessidade de melhorar a sua proteção, de modo a contribuir para a proteção das pessoas.

De acordo com esta Diretiva, a ICE, é a infraestrutura situada nos Estados-Membros, cuja perturbação ou destruição tenha um impacto significativo em pelo menos dois Estados-Membros, sendo o impacto avaliado em função de critérios transversais, incluindo os efeitos resultantes de dependências intersetoriais em relação a outros tipos de infraestruturas.

 

 

Em Portugal

Em 2003, o CNPCE iniciou o desenvolvimento do Projeto PIC com o objectivo de uma definição estratégica das infraestruturas nacionais a proteger, quer em situação de crise, quer do ponto de vista preventivo, através da definição de políticas mais adequadas para a sua proteção, o qual se divide em duas etapas:

1. Identificação e classificação das infraestruturas fundamentais para o normal funcionamento do país e o bem-estar da sua população, ou ainda para o manter em níveis de funcionamento aceitáveis, em situação de crise;

2. Elaboração do Programa Nacional para a Proteção de Infraestruturas Críticas. Identificação e avaliação das vulnerabilidades das infraestruturas identificadas, face às principais ameaças passíveis de as atingir. Estudo e apoio à implementação das medidas de prevenção com vista a conter os riscos em níveis considerados aceitáveis.

A primeira etapa permitiu classificar, com base na sua importância relativa, os Sectores Estratégicos Nacionais (29) e identificar as Infraestruturas críticas (aprox. 12.000). Da análise dos dados, concluí-se nomeadamente que algumas IC estão sujeitas a um significativo ou elevado potencial para ações mal-intencionadas e estão localizadas em zonas de elevado risco de Incêndio Florestal ou em Leitos de Cheia.

A segunda etapa está a ser alvo de candidaturas a financiamento externo e conta com a participação de diversas entidades de renome, especialistas nas matérias abordadas, pertencentes na maioria ao Sistema Científico e Tecnológico Nacional, nomeadamente entidades do Ensino Superior e Entidades Privadas sem Fins Lucrativos, tais como o Instituto Superior Técnico e a Fundação para a Computação Científica Nacional, entre outras [3].

A FCT através do Programa CMU|Portugal tem igualmente financiando projectos de I&D (Investigação e desenvolvimento) no âmbito das “Critical Infrastructures and Risk Assessment” com o objetivo de promover a problemática das IC junto dos operadores e das universidades.

Projetos como estes que têm contribuído para a promoção da interligação entre os operadores e as Universidades Portuguesas e a Carnegie Mellon University, tendo o ISQ nesse campo, em parceria com o Instituto Superior Técnico, um papel fundamental na colaboração ao nível da Transferência e Desenvolvimento de Tecnologia e Inovação de Produtos e Processos.

 

 

Características das Infraestruturas Críticas

Estas infraestruturas são identificadas em vários sectores, no entanto, os setores que servem de base à execução da Diretiva 2008/114/CE são os da energia e dos transportes. Na Tabela 1, estão indicados os subsetores respetivos.

Tabela 1 - Lista dos setores de ICE [2]

Sector

Subsetor

I Energia

1. Eletricidade

Infraestruturas e instalações de produção de transporte de eletricidade, em termos de abastecimento

2. Petróleo

Produção, refinação, tratamento, armazenagem e transporte de petróleo por oleodutos
3. Gás

Produção, refinação, tratamento, armazenagem e transporte de gás, por gasodutos Terminais para GNL

II Transportes 4. Transportes rodoviários
5. Transportes ferroviários
6. Transportes aéreos
7. Transporte por vias navegáveis interiores
8. Transporte marítimo, transporte marítimo de curta distância e portos

A análise histórica dos incidentes/acidentes ocorridos permite concluir que, as principais causas para a destruição total ou parcial, disfunção ou utilização indevida se devem principalmente a causas naturais (sismos, erupção vulcão, …) e danos ou falhas de funcionamento locais, que nalguns casos se propagam para além da área original, devido às redes e interligações entre regiões e sistemas (ex.: falhas de funcionamento redes elétricas, em particular as ocorridas nos EUA, Canadá e Itália em 2003, em Novembro de 2006, na Alemanha e numa região em Portugal em 2010).

As IC têm características especiais que as tornam vulneráveis, designadamente, as redes e as interligações entre setores. Por exemplo, o fornecimento de eletricidade é efetuado através de infraestruturas físicas distribuídas em redes de grande dimensão e complexidade e as interações com estas redes representam áreas de possível vulnerabilidade, onde a falha de funcionamento pode ter consequências regionais, interregionais, nacionais ou internacionais.

Paralelamente as IC são caracterizadas por um elevado grau de intercomunicação e complexidade (interdependência), podendo pequenas falhas em sistemas complexos ter consequências dramáticas.

Em Portugal, de uma forma geral, os operadores das principais IC estão sensibilizados para as ameaças e vulnerabilidades associados às suas infraestruturas. No entanto, ainda não realizam de forma sistematizada a gestão do risco das mesmas.

Com o objetivo de ajudar os operadores das infraestruturas, a identificar riscos e implementar medidas preventivas é apresentada uma abordagem para a gestão do risco das IC.

 

 

Gestão do Risco

A metodologia de gestão do risco apresentada é baseada na ISO 31000 e é composta por 5 fases:

  • Fase 1: Planeamento;
  • Fase 2: Avaliação de Risco;
  • Fase 3: Tratamento do Risco;
  • Fase 4: Monitorização e Revisão;
  • Fase 5: Comunicação e Consulta.

Como é uma metodologia genérica pode ser aplicada a qualquer dos sectores acima referidos.



Fase 1 - Planeamento

Nesta fase são comunicados os objetivos e a estratégia a todos os envolvidos, são identificadas as obrigações legais ou normativas, são escolhidos os intervenientes e definidas as suas responsabilidades.



Fase 2: Avaliação de Risco

A avaliação do risco divide-se nas seguintes etapas: identificação, análise e apreciação do risco.

Inicialmente deve dividir-se a organização em processos e sub-processos e identificar os fatores de risco. Como exemplo são indicados alguns como fatores de risco”:

  • Recursos Humanos (RH);
  • Edifícios;
  • Área envolvente;
  • Utilidades;
  • Equipamentos;
  • Gestão documental e informática.

 

 

Análise de Criticidade

De seguida deve ser efetuada uma “Análise de Criticidade” com base em critérios predefinidos, os quais têm como objetivo seleccionar de entre os processos identificados quais os que têm maiores consequências.

Como exemplo podem ser utilizados os seguintes critérios para identificar os processos críticos:

  • Bem-estar Social;
  • Período Temporal (tempo que o serviço ou produção foi interrompido);
  • Magnitude (percentagem do serviço/processo que será afectada);
  • Condições contratuais e/ou requisitos legais
  • Económico.

 

 

Identificação do Risco

É efetuada a identificação de ameaças. Para garantir a uniformização entre os diversos intervenientes na identificação de riscos (ameaças) é definida uma lista de ameaças.

É igualmente efetuada a análise de vulnerabilidade por forma a conseguir determinar de que forma a empresa é afetada e quais os danos.

Posteriormente, com o objetivo de hierarquizar os riscos, é efectuada a estimativa do risco através da atribuição de valores à probabilidade do cenário ocorrer e da vulnerabilidade por “fator de risco” de acordo com as tabelas 2 e 3.

São calculados parcialmente os riscos e as vulnerabilidade parciais através de [4]:

Vparcial = FR * (V1+…+Vn) (Eq 1)

Rparcial = P*Vparcial (Eq 2)

Em que:

P: Probabilidade

FR: Dependência do fator de risco (RH, …)

V1: Dependência de infraestruturas externas (água, eletricidade, gás, …)

V2: Dependência de infraestruturas externas (Trânsito, transporte e logística);

V3: Robustez do nível de proteção

V4: Redundâncias e peças de reserva

V5: Esforço para voltar à normalidade

O risco total (RT) e as vulnerabilidades totais (VT) são calculados pela soma do risco e vulnerabilidades parciais.



Fase 3: Tratamento do Risco

Nesta fase são identificados os riscos para os quais é necessário a implementação de medidas que permitam a redução e/ou controlo dos riscos.



Fase 4: Monitorização e Revisão

O processo de gestão do risco é um processo contínuo e dinâmico (Ciclo de Deming), como tal é fundamental definir o processo de monitorização e revisão da gestão do risco, identificando os responsáveis e a periodicidade de realização da mesma.



Comunicação e Consulta

Para que o processo de Gestão do Risco funcione é fundamental que em todas as fases do mesmo exista comunicação e consultas interna e externa.

 

 

Fonte: ISQ – Instituto de Soldadura e Qualidade

Consulte a versão integral na Proteger nº10




© 2017 SEGURANÇA ONLINE TODOS OS DIREITOS RESERVADOS