EVALUACION DE RIESGO APILAC-SGS-P-01

(1)

Elaborado por: Revisado y elaborado por: Revisado por: Autorizado por:

Ing. Antonio López Hernández Supervisor de Control de Accesos

Ing. Raul G. Reta Rodriguez Subgerente de Protección

Biol. Joel Mendez Reyes Gerente de Operaciones

Lic. Ruben Medina Gonzalez Director General APILAC

NIVEL DE SEGURIDAD: RESERVADA

APILAC-SGS-P-01

EVALUACION DE RIESGO

APILAC-SGS-P-01

(2)

EVALUACION DE RIESGO APILAC-SGS-P-01

HISTORIAL DE REVISIONES NUMERO DE

REVISIÓN FECHA DE REVISIÓN DESCRIPCIÓN DEL CAMBIO

0 04/11/11 - Emisión inicial

(3)

PROPOSITO.

Describir y mantener procedimientos para la continua identificación y evaluación de amenazas de seguridad así como riesgos relacionados con la gestión de seguridad, y la identificación e implementación de medidas de gestión de control necesarias para mantener la seguridad de activos que accedan o permanezcan en el perímetro del recinto portuario en las áreas comunes de directa responsabilidad y autoridad de la Administración Portuaria Integral de Lázaro Cárdenas, S.A. de C.V. establecidas en el alcance del sistema de Gestión.

1. ALCANCE.

Este documento es aplicable para los registros que se generan del SGS tanto internos como externos.

2. DEFINICIONES.

APILAC: Administraciones Portuaria Integral de Lázaro Cárdenas.

SGS: Sistema de Gestión de Seguridad.

Registros: Documentos que presentan evidencia de las actividades derivadas del SGS.

Acceso: Facilidad para obtener los archivos de registros, previa autorización del responsable del área.

Activo: Es el conjunto de bienes tangibles e intangibles a proteger derivado de la implementación del Sistema de Gestión en la Cadena de Suministro “ISO 28000”. También se refiere a los bienes muebles e inmuebles, vehículos, personal y a la información.

Inmueble: Son aquellos que no pueden trasladarse sin ocasionar perjuicio sobre los mismos, en la medida en que su movilidad es reducida como parte de un terreno del que son parte. Entre estos se consideran los Oficinas, Almacenes, Central de Emergencia, Sistema Fijo Contra Incendio, etc.

Personal: También se consideran activos, a todo el personal que accede, permanece o se traslada dentro del área considerada en el alcance de la Norma.

Información confidencial del recinto portuario: Son todas aquellas Bases de Datos, archivos, expedientes los cuales son administrados y se encuentran bajo resguardo por la Entidad. Así mismo se toma

Fuentes de información de activos: Son todos los recursos que contienen datos formales acerca de la Seguridad.

Grupo de Trabajo (GT): Se refiere al grupo de personas que laboran en la APILAC que tiene la responsabilidad de crear, modificar o implantar la norma ISO 28000.

(4)

Amenaza: Es un acontecimiento que se presenta dentro del alcance definido en la norma el cual afecta en el ámbito físico del proceso del negocio de la Administración Portuaria Integral de Lázaro Cárdenas incluyendo situaciones que dañen su reputación.

Deseo: La motivación para llevar a cabo un daño y el deseo para llevar a cabo las acciones

Capacidad: Habilidad, experiencia y conocimiento de una persona, proceso o información para llevar a cabo una actividad o ilícito. Es comúnmente utilizado con la capacidad de la

Vulnerabilidad: Cualquier debilidad que pueda ser aprovechada por un agresor que dañe un activo dentro del alcance del sistema de gestión de seguridad.

Probabilidad: La posibilidad que un evento ocurra medido por la proporción o tasa especifica de eventos o sucesos respecto del total de los posibles eventos o sucesos que ocurran.

Consecuencia: Es el resultado que un evento se materialice y que resulte en una perdida, accidente o desventaja, para las operaciones de negocio de la organización. Estos hechos pueden ser actos provocados por el ser humano o por la naturaleza, en ambos casos se refiere a la situación posterior al evento que desvirtúa la operación normal de las actividades portuarias.

Nivel de riesgo: El nivel de riesgo es el resultado de la combinación de la Probabilidad por la Consecuencia el cual da como resultado un indicador con el nivel de peligro que pueda materializarse en daños o afectaciones a los activos el cual inciden en actividades y operaciones portuarias.

Exposición: La conforma la probabilidad de ocurrencia de amenaza y su probabilidad de éxito.

Contexto: Se refiere a la situación o conjunto de circunstancias que condicionan un hecho.

4. DOCUMENTACIÓN DE REFERENCIA.

Manual del SGS. Norma ISO 28000:2007.

5. DESARROLLO DE LA ACTIVIDAD Y RESPONSABILIDADES.

5.1. Procedimientos para la evaluación de riesgos.

El GT realizaran el análisis de riesgos el cual se reunirá en sesión ordinaria en un término no mayor a 12 meses después de la última sesión de evaluación de riesgos aplicando la metodología SECURITY RISK MANAGEMENT METHODOLOGY (HB167:2006) adaptada a las necesidades de esta administración, tomando en consideración el análisis de nuevos activos, amenazas, vulnerabilidades, probabilidades o consecuencias tomando en cuenta el contexto de la organización que puedan afectar los activos que se encuentran dentro del alcance del Sistema de Gestión de Seguridad.

(5)

Cuando se identifique un nuevo Activo, este será sometido a evaluación de acuerdo a la metodología aplicable estableciendo su grado de riesgo y control.

Una vez validada esta información se presenta el resultado del Análisis de Riesgo a la Alta Dirección del Puerto para su conocimiento y aprobación.

5.1.1 La metodología propuesta se basa en los siguientes puntos: 1. Establecer el contexto del entorno

2. Lista de activos

3. Definir criterios de clasificación de criticidad

4. Definir criterios de vulnerabilidad, probabilidad, amenaza y nivel de riesgo 5. Rangos de priorización de riesgo.

5.1.2 Establecer el contexto del entorno

Para establecer el contexto de la situación de riesgos y amenazas de la APILAC se podrá tomar en cuenta las fuentes de información internas y externas más fiables posibles relacionada y vinculada con la seguridad y protección del Puerto de Lázaro Cárdenas entre las cuales pueden ser en el:

- Contexto Externo:

 INEGI

 Noticias oficiales por parte del gobierno del estado de Michoacán  Servicio Sismológico Nacional

 Comisión Nacional del Agua

 Comunicados por parte de Gobierno municipal de Lázaro Cárdenas  Comunicados por Protección Civil Municipal

 ONAPROMP

 Comunicados de la Secretaria de Seguridad Publica  Estudio de Tsunami

 Estudio UNISYS

 Periódicos locales y nacionales

(6)

- Contexto Interno:

 Relaciones con industrias.

 Despidos de baja de personal de APILAC y otras empresas  Cultura de protección y seguridad

 Simulacros internos y externos.

 Subcomité de Protección Civil del Puerto.  Juntas de OPIP

 Recorridos a las empresas cesionarias  Comité de Seguridad e Higiene del Puerto  Comité de Seguridad e Higiene de la APILAC  Reuniones con personal de vigilancia

 ONAPROMP

 Reportes de vigilancia.

 Reportes de auditoria de OIC, PBIP, SGS, SGCA,  Registros de eventos por personal de vigilancia  Registro de Incidentes

 Estudio UINSYS

 Plan de Protección Portuaria 5.1.3 Lista de Activos

Para determinar la lista de activos a proteger, es necesario conocer los Servicios Prestados en el Puerto de Lázaro Cárdenas para determinar los más importantes usando los Indicadores de selección de porcentaje en función del ingreso económico que recibe la APILAC así como por la importancia de dichos servicios para la continuidad de la operación en el puerto, estableciendo para tal efecto la siguiente formula.

Importancia para el puerto = (% de ingreso para la APILAC + Continuidad de operaciones)/2

Solo se tomaran en cuenta aquellos procesos cuya importancia para el puerto sea mayor al 25%, identificando también los diferentes servicios de soporte indispensable con que cuenta cada uno de estos procesos, posteriormente se deberá analizar cada uno de los activos indispensables para dar el servicio así como su

(7)

grado de criticidad, descartando aquellos activos que se encuentren fuera de la norma así como los que tienen una criticidad “NINGUNA o INSIGNIFICANTE”.

5.1.4 Definir criterios de clasificación de criticidad

GRADO DE CRITICIDAD SEVERIDAD/CONSECUENCIA

SEGURIDAD Y SALUD FINANCIERA OPERATIVA

5 CA TASTR ÓFI CO Cualquier condición crónica o situación que puede llevar a la muerte.

Perdida por equipo o producción por $100,000 Dólares en

adelante

Pérdida de tiempo de trabajo por 30 días o más y/o pérdida total del activo

4

SE

RIO Incapacidad permanente _{condición aguda o crónica} considerada debilitante

Perdida por equipo o producción por menos de $100,000 y más de

$10,000 Dólares

Pérdida de tiempo de trabajo por 15 a 29 días y/o pérdida total o parcial del activo 3 SIG NIFICA TIV O

Situación que resulta en tiempo perdido o responsabilidad legal ligera, Lesión que requiere atención medica profesional Sobre-exposición que resulta en una condición aguda a corto plazo

Perdida por equipo o producción por menos

de $10,000 y más de $1,000 Dólares

Pérdida de tiempo de trabajo por 7 a 14 días y/o pérdida total o parcial del activo

2

M

ENOR

Lesión tratable por un socorrista calificado Sobre-exposición que resulta en una condición aguda pero no debilitante

de $1,000 y más de $100 Dólares

Pérdida de tiempo de trabajo por 1 a 6 días y/o pérdida total o parcial del activo 1 NINGUN O O INS IG NIFICA NT E

Casi pérdidas. Sobre-exposición que no resulta en ninguna situación crónica a corto ni a mediano plazo.

de $100 Dólares

Pérdida de tiempo de trabajo menor a 1 día y/o pérdida total o parcial del activo

(8)

5.1.5 Definir criterios de vulnerabilidad, probabilidad, amenaza y nivel de riesgo

Se tomara como base los activos del punto 5.1.4 y se determinaran los diferentes riesgos a los que están expuestos los activos tomando en cuenta el contexto del entorno y como un consenso entre el Grupo de trabajo (GT).

5.1.5.1 Procedimiento de identificación de Amenazas

Para la identificación de las amenazas, se podrá tomar en cuenta los siguientes puntos. 1. Identificar la influencia geográfica. Puede ser Local, regional, nacional o internacional 2. Identificar la fuente de la amenaza.

 Eventos o personal Interno de la AIPILAC: Robo, fraude, negligencia, extracción de información documental, etc.).

 Eventos o personal Externo de la APILAC: robo, terrorismo, sabotaje, hackeo de información, etc.

3. Identificar el objetivo de la amenaza. Son ataques directos a las instalaciones o activos definidos en alcance del SGS.

4. Identificar el tipo de amenaza. Acciones que pueden afectar a los activos. 5. Calificar cada amenaza en función de los criterios del punto.

5.1.5.2 Determinación del Grado de Amenaza

Para determinar el grado de amenaza de deberá tomar en cuenta dos criterios:

1. Amenazas que resulten de una acción intencional (terrorismo, ataques armados, etc.)

2. Amenazas que resulten de una acción no intencional (accidentes, desastres naturales, negligencia, etc.)

 Para Amenazas que resulten de una acción intencional se usara la formula siguiente junto con las tablas indicadas.

(Intención * Capacidad)/ 125 = Grado de Amenaza

Nota: Puntos decimales suben al entero inmediato superior.

Intención= deseo * confianza

(9)

Tabla de Criterios de clasificación

Criterio Deseo Confianza Recursos Conocimiento

Nulo 1 1 1 1

Bajo 2 2 2 2

Moderado 3 3 3 3

Alto 4 4 4 4

Critica 5 5 5 5

Tabla de grado de amenaza (GA) Criterio Grado Nulo 1 Bajo 2 Medio 3 Alto 4 Critica 5

 Para Amenazas que resulten de una acción no intencional se usara la formula siguiente junto con las tablas indicadas.

(Severidad * frecuencia)/ 5 = Grado de Amenaza

Nota. Puntos decimales suben al entero inmediato superior

Tabla de Criterios de clasificación Criterio Severidad Confianza

Nulo 1 1

Bajo 2 2

Moderado 3 3

Alto 4 4

Critica 5 5

(10)

5.1.5.3 Procedimiento para análisis de vulnerabilidad

Para análisis de las vulnerabilidades, se deberá identificar y clasificar los controles de seguridad existentes que a su vez permitirán identificar posibles exposiciones a amenazas.

TABLA DE GRADO DE VULNERABILIDADES (GV)

Criterio Descripción Grado

Muy Bajo Los controles son óptimos y susceptibles 1 Bajo Los controles son efectivos pero existen áreas de mejora que se pueden _realizar 2 Moderado La mayoría de los controles está funcionando pero existen varias aras de _{oportunidad que pueden mejorar} 3 Alto Los controles son inefectivos, existen muchas áreas de oportunidad para _mejorar. 4 Muy alto \

Extremo Los controles no son eficientes. Es urgente la implementación de medidas de seguridad 5 5.1.5.4 Procedimiento para análisis de Probabilidad (P)

Para análisis de las vulnerabilidades, se deberá promediar el Grado de Amenaza, Grado de vulnerabilidad y la Exposición identificar y clasificar los controles de seguridad existentes que a su vez permitirán identificar posibles exposiciones a amenazas.

Probabilidad (P) = Grado de Amenaza (GA) + Grado de Vulnerabilidad (GV) + Grado Exposición (GE))/3 TABLA DE GRADO DE EXPOSICION (GE)

Criterio Descripción Grado

Raro / Nulo El evento podría suscitarse una vez cada dos años o más 1 Esporádico El evento podría presentarse una vez entre 12 y 23 meses. 2 Posible El evento podría presentarse una vez entre 3 y 11 meses. 3 Altamente probable El evento podría presentarse una vez entre 1 y 2 meses 4 Casi Seguro El evento podría presentarse una o más veces al mes 5 Nota. Puntos decimales suben al entero inmediato superior

(11)

EVALUACION DE RIESGO APILAC-SGS-P-01 Tabla de Probabilidad (P) Criterio Grado Raro 1 Esporádico 2 Posible 3 Altamente posible 4 Casi seguro 5

5.1.5.5 Procedimiento para determinación de Grado de Consecuencia (GC)

Para análisis de la consecuencia, se deberán considerar los siguientes factores enunciativos más no limitativos para estimar el grado de consecuencia:

 El impacto de cualquier amenaza en contra del activo, cuando la amenaza sea exitosa.  El grado de redundancia que existe dentro de la organización.

(12)

TABLA DE CLASIFICACIÓN DE GRADO DE CONSECUENCIA (GC)

Se refiere a la afectación que impactaría en las operaciones del puerto si el activo sufre algún daño.

SEVERIDAD/CONSECUENCIA

Grado SEGURIDAD Y SALUD FINANCIERA OPERATIVA

5

CATA

STROFICO

Cualquier condición crónica o situación que puede llevar a la muerte.

Perdida por equipo o producción por $100,000

Dólares en adelante

Pérdida de tiempo de trabajo por 30 días o más y/o pérdida

total del activo

4

M

AY

OR Incapacidad permanente condición aguda o crónica considerada debilitante

Perdida por equipo o producción por menos de $100,000 y más de $10,000

Dólares

Pérdida de tiempo de trabajo por 15 a 29 días y/o pérdida

total o parcial del activo

3

M

ODE

RADO

Situación que resulta en tiempo perdido o responsabilidad legal ligera, Lesión que requiere atención medica profesional

Sobre-exposición que resulta en una condición aguda a corto plazo

Perdida por equipo o producción por menos de $10,000 y más de $1,000

Dólares

Pérdida de tiempo de trabajo por 7 a 14 días y/o pérdida

total o parcial del activo

2

M

ENOR

Lesión tratable por un socorrista calificado Sobre-exposición que resulta

en una condición aguda pero no debilitante

Perdida por equipo o producción por menos de $1,000 y más de $100 Dólares

Pérdida de tiempo de trabajo por 1 a 6 días y/o pérdida total

o parcial del activo

1

M

INIMO

Casi pérdidas. Sobre-exposición que no resulta en ninguna situación crónica a

corto ni a mediano plazo.

Perdida por equipo o producción por menos de $100

Dólares

Pérdida de tiempo de trabajo menor a 1 día y/o pérdida total

(13)

5.1.5.6 Procedimiento para determinación del Nivel de Riesgo (NR) Para la determinación del nivel de riesgo, se utiliza la siguiente formula:

Matriz de Nivel de Riesgo (NR) = Probabilidad (P) * Grado de Consecuencia (GC)

Probabilidad

Raro - 1 Esporádico - 2 Posible - 3 _{Probable - 4}Altamente Casi Seguro _{- 5}

Gra do de Co ns ec uen

cia Catastrófico -5 Medio -5 Medio -10

Significativo

-15 Significativo -20 Significativo -25 Mayor -4 Bajo -4 Medio -8 Medio -12 Significativo _-16 Significativo _{- 20} Moderado -3 Bajo -3 Medio -6 Medio -9 Medio -12 Significativo _-15 Menor -2 Bajo -2 Bajo -4 Medio -6 Medio -8 Medio -10 Mínimo -1 Bajo -1 Bajo -2 Bajo -3 Bajo -4 Medio -5

(14)

5.1.6 Rangos de priorización de Riesgo

Se deberá priorizar el riesgo con el fin de contar con un medidor y conocer los activos que tiene mayor riesgo a ser afectados

PRIORIZACIÓN DEL RIESGO

4 Rango de _Criticidad Acciones

Significativo 15-25

“Mitigar Ahora” son las más importantes para el puerto y deben enfrentarse a la brevedad, puesto que son consideradas como muy probables y causantes de serios daños al puerto y/o a sus terminales. Éstas son de inquietud significativa, ya que el puerto puede tener una limitada capacidad de prevenir que estas amenazas ocurran o para responder y/o recuperarse de ellas. Se deberá realizar un plan para su control y mitigación a la brevedad posible.

Medio 5- 14 “”causan un daño significativo a las operaciones del puerto o su Mitigar Después” son aquéllas que ocurren regularmente pero no reputación. Se deberá monitorear para su seguridad y control.

Bajo 1-4

“Diferir” son aquéllas que son improbables que ocurran y, si ocurrieren, no impactarían seriamente al puerto. Por lo tanto, no deben dedicarse esfuerzos de planeación o recursos para estas amenazas de baja prioridad. Se evaluaran en la siguiente sesión del GT

(15)

5.1.7 Tablero de Control de Riesgos.

Una vez que se han priorizado los riesgos de los activos, se plasmaran aquellos cuyo riesgo sean “significativos” en el Tablero de Control de Riesgos con el formato APILAC-SGS-F-01, el cual tendrá al menos información acerca del activo, riesgo, contramedida y la Gerencia o Área Responsable de la mitigación del riesgo.

El responsable del mantenimiento para el control de riesgos será el Subgerente de Protección Portuaria y/o el Supervisor de Control de Accesos.

6. REGISTROS

APILAC-SGS-F-01 – Tablero de Control de Riesgos EVALUACIÓN DE RIESGOS

7. ANEXOS