Είναι δύσκολη η αποτροπή μιας απειλής που δεν γνωρίζετε ότι υπάρχει.
Όταν οι άνθρωποι σκέφτονται τη φυσική ασφάλεια, συχνά φαντάζονται μια απλή διαδικασία. Κλειδώστε τις πόρτες, βεβαιωθείτε ότι οι ανιχνευτές καπνού και οι συναγερμοί λειτουργούν και τοποθετήστε κάμερες γύρω από τις εισόδους του κτηρίου.
Η κάλυψη των βασικών είναι σημαντική, αλλά η αποτελεσματικότητα κρίνεται στις λεπτομέρειες. Η πόρτα στην αποβάθρα φόρτωσης ενδέχεται να μην κλείνει αρκετά, μπορεί να υπάρχει ένα φως στο κλιμακοστάσιο του χώρου στάθμευσης που έχει σβήσει εδώ και καιρό ή να μην υπάρχει ενημέρωση των σχεδίων εκκένωσης και των χαρτών μετά από αναδιοργάνωση της εταιρείας.
Κανένα από αυτά τα ζητήματα δεν αποτελεί άμεσο κίνδυνο, αλλά όλα αντιπροσωπεύουν πιθανές απειλές για την ασφάλεια που θα μπορούσαν να βλάψουν ανθρώπους και περιουσίες. Ο μετριασμός αυτών των εντοπισμένων κινδύνων πριν από την υλοποίησή τους είναι ένας από τους βασικούς στόχους.
Τι είναι η αξιολόγηση φυσικής ασφάλειας;
Μια αξιολόγηση φυσικής ασφάλειας είναι ένας ολοκληρωμένος έλεγχος των μέτρων φυσικής ασφάλειας του οργανισμού που προστατεύουν τις εγκαταστάσεις, το προσωπικό και τα περιουσιακά στοιχεία. Η διαδικασία αξιολόγησης ερευνά τα συστήματα και τις διαδικασίες ασφαλείας σε σχέση με τις απειλές και τους κινδύνους που αντιμετωπίζει μια επιχείρηση και προτείνει τρόπους βελτίωσης της φυσικής ασφάλειας στον χώρο εργασίας. Ωστόσο, ενώ η ασφάλεια θα πρέπει να αποτελεί επίκεντρο σε ολόκληρο τον οργανισμό και οι απειλές στον κυβερνοχώρο να είναι πιο σημαντικό να αντιμετωπιστούν από ποτέ, η ασφάλεια δικτύων και πληροφορικής είναι εκτός του πεδίου εφαρμογής μιας αξιολόγησης φυσικής ασφάλειας.
Σε αντίθεση με πιο περιορισμένες αξιολογήσεις – όπως η δοκιμή συναγερμών πυρκαγιάς ή η διασφάλιση ότι οι κάμερες λειτουργούν – ένας έλεγχος φυσικής ασφάλειας είναι μια ανασκόπηση 360 μοιρών. Καλύπτει τα πάντα, από το κτήριο και τα συστήματα ασφαλείας, τα σχέδια και τις διαδικασίες έως τις πιθανές απειλές από το περιβάλλον.
Ορισμένοι οργανισμοί διαθέτουν την τεχνογνωσία και τους πόρους για να εκτελούν αξιολογήσεις φυσικής ασφάλειας εσωτερικά, αλλά πολλές εταιρείες απευθύνονται σε συμβούλους ασφαλείας που ειδικεύονται σε αυτές. Παρόλα αυτά είναι πιο επωφελής η αξιοποίηση των γνώσεων της ομάδας ασφαλείας της εκάστοτε επιχείρησης και κατόπιν η προσέγγιση ενός ειδικού καθώς ένα επιπλέον σύνολο ματιών μπορεί να προσφέρει νέες προοπτικές και να αντιληφθεί λεπτομέρειες που διαφορετικά θα μπορούσαν να ξεγλιστρήσουν μέσα από τις ρωγμές…
Βελτίωση της ανθεκτικότητας των επιχειρήσεων και της διαχείρισης κινδύνου
Κάθε εταιρεία θα αντιμετωπίσει προκλήσεις, είτε πρόκειται για ακραίες καιρικές συνθήκες, ατυχήματα ή κακόβουλες ενέργειες. Μια εις βάθος αξιολόγηση φυσικής ασφάλειας μπορεί να εντοπίσει τρωτά σημεία για όλα αυτά τα σενάρια και μέτρα που μπορεί να λάβει μια επιχείρηση για τον μετριασμό του κινδύνου. Εφαρμόζοντας αυτές τις διασφαλίσεις, βελτιώνεται η ανθεκτικότητα της επιχείρησης και αναβαθμίζονται οι πόροι που χρειάζονται για να αντιμετωπιστούν τα προβλήματα που προκύπτουν.
Προώθηση θετικής νοοτροπίας ασφάλειας
Μία από τις βασικές αρχές μιας θετικής κουλτούρας ασφάλειας είναι η παροχή ενός περιβάλλοντος εργασίας όπου οι άνθρωποι αισθάνονται ότι η επιχείρηση έχει κατά νου την ασφάλεια και την ευημερία τους. Εκτελώντας αξιολογήσεις φυσικής ασφάλειας, αντιμετωπίζοντας ευπάθειες και κοινοποιώντας ενημερωμένες διαδικασίες, επιδεικνύεται οργανωτική δέσμευση για ασφάλεια και προστασία.
Μετριασμός των απειλών στον κυβερνοχώρο
Ενώ οι περισσότερες δοκιμές διείσδυσης και ο σχεδιασμός αντιμετώπισης κυβερνοεπιθέσεων είναι εκτός πεδίου εφαρμογής, τα προγράμματα φυσικής ασφάλειας διαδραματίζουν κρίσιμο ρόλο στη διατήρηση της ασφάλειας στον κυβερνοχώρο.
Διατήρηση κανονιστικής συμμόρφωσης
Σε ορισμένες βιομηχανίες, οι αξιολογήσεις φυσικής απειλής και ευπάθειας αποτελούν απαίτηση ασφαλείας. Υπάρχει μια ποικιλία κανονισμών που καλύπτουν τη φυσική ασφάλεια – πολλοί από αυτούς σχετίζονται με εταιρείες που αποθηκεύουν ευαίσθητες πληροφορίες, όπως οι:
- Διεθνής Οργανισμός Τυποποίησης (ISO) 27001: Ένα ολοκληρωμένο σύνολο κατευθυντήριων γραμμών για την ασφάλεια των πληροφοριών
- Payment Card Industry Data Security Standards (PCI-DSS): Ένα πρότυπο ασφαλείας για κάθε επιχείρηση που επεξεργάζεται συναλλαγές με πιστωτικές κάρτες
7 βήματα για μια διεξοδική αξιολόγηση κινδύνου φυσικής ασφάλειας
1. Επιθεώρηση των εγκαταστάσεων
Το πρώτο βήμα είναι η αξιολόγηση των χώρων και των συνολικών δομών που ασφαλίζονται. Ο στόχος είναι η ευρύτερη κατανόηση τόσο των δυνατών όσο και των αδύνατων σημείων, υπενθυμίζοντας ότι η διαχείριση της φυσικής ασφάλειας δεν αφορά μόνο την πρόληψη του εγκλήματος αλλά και την προστασία από ατυχήματα, συμβάντα ασφαλείας, φυσικές καταστροφές και άλλες πιθανές απειλές.
Ακολουθούν μερικά από τα πιο συνηθισμένα στοιχεία που πρέπει να λαμβάνονται υπόψη κατά τη διάρκεια μιας αξιολόγησης ασφάλειας κτηρίου:
- Υπάρχει κατάλληλος φωτισμός τόσο στους εσωτερικούς όσο και στους εξωτερικούς χώρους;
- Ποια είναι τα αξιοθέατα γύρω από τις εισόδους και τις εξόδους της εγκατάστασης;
- Τα ηλεκτρικά συστήματα και οι καλωδιώσεις έχουν δείξει σημάδια υποβάθμισης;
- Υπάρχουν υδραυλικά προβλήματα που θα μπορούσαν να οδηγήσουν σε ζημιές στο κτήριο ή να προκαλέσουν ατύχημα;
- Εφαρμόζουν και κλειδώνουν σωστά όλες οι πόρτες, τα παράθυρα, οι πύλες και άλλα σημεία εισόδου;
- Οι περιοχές με κρίσιμα περιουσιακά στοιχεία διαχωρίζονται φυσικά από χώρους με γενική πρόσβαση;
- Είναι ο εξοπλισμός ασφαλείας, όπως οι πυροσβεστήρες και οι ανιχνευτές καπνού σε καλή κατάσταση λειτουργίας;
2. Έλεγχος φυσικών συστημάτων ασφαλείας
Στη συνέχεια, πρέπει να αξιολογηθούν τα συστήματα ασφαλείας και πώς καλύπτουν τους φυσικούς χώρους που διαθέτει η κάθε επιχείρηση, όπως:
- Συστήματα ελέγχου πρόσβασης, είτε πρόκειται για βιομετρικά, βασισμένα σε κάρτες ή απλά κλειδιά
- Προσωπικό, συμπεριλαμβανομένων των εποπτών, του προσωπικού στο κέντρο επιχειρήσεων ασφαλείας (SOC) και των φρουρών ασφαλείας σε όλη την εγκατάσταση
- Κάμερες παρακολούθησης, οθόνες και συσκευές αποθήκευσης που περιέχουν εγγραφές
- Συστήματα συναγερμού και υποστηρικτικά συστήματα που ειδοποιούν τις τοπικές αρχές επιβολής του νόμου σε περίπτωση προβλήματος.
Αντίστοιχα, θα πρέπει να εξεταστούν συγκεκριμένες συνθήκες όπως:
-Υπάρχουν ώρες της ημέρας που το προσωπικό ασφαλείας δεν παρακολουθεί τις κάμερες κλειστού κυκλώματος που καλύπτουν ευαίσθητες περιοχές;
-Υπάρχουν συναγερμοί που θα ηχήσουν εάν διαπιστωθεί παράκαμψη των συστημάτων ελέγχου πρόσβασης και θα ειδοποιηθούν αντίστοιχα οι κατάλληλοι άνθρωποι;
-Το δίκτυο καμερών παρακολούθησης έχει κρίσιμα τυφλά σημεία που θα επέτρεπαν μη εξουσιοδοτημένη πρόσβαση;
-Μπορεί το SOC να αξιοποιήσει απρόσκοπτα όλα τα συστήματα ασφαλείας για να αποτρέψει και να ανταποκριθεί σε ζητήματα ασφαλείας που προκύπτουν;
3. Έλεγχος διαδικασιών λειτουργίας
Ακόμη και τα πιο ισχυρά συστήματα ασφαλείας είναι άχρηστα εάν οι διαδικασίες της κάθε επιχείρησης δεν ευθυγραμμίζονται με τους στόχους ασφαλείας της. Για παράδειγμα, μια εταιρεία που κατασκευάζει τοξικές χημικές ουσίες θα θέσει ως στόχο να κρατήσει το ευρύ κοινό μακριά για την ασφάλεια όλων. Όμως, αν για κάποιο λόγο οι εξωτερικές πόρτες παραμείνουν ανασφάλιστες και δεν διαχωριστούν οι ευαίσθητες περιοχές, οι διαδικασίες της εν λόγω επιχείρησης δεν θα αντικατοπτρίζουν αυτόν τον στόχο.
Σε αυτή τη φάση της διαδικασίας, θα πρέπει να αξιολογηθεί η αποτελεσματικότητα των πολιτικών και των σχεδίων ασφαλείας. Ενώ το επίκεντρο αυτής της άσκησης είναι η φυσική ασφάλεια, η άνοδος της συγκλίνουσας ασφάλειας σημαίνει ότι θα εξεταστούν επίσης θέματα ασφάλειας στον κυβερνοχώρο.
Σε αυτό το βήμα, θα πρέπει να αξιολογηθούν τα πάντα, από πολιτικές ασφαλείας έως σχέδια έκτακτης ανάγκης, όπως:
-Τι είδους παρουσία ασφαλείας κατά τη διάρκεια της νύχτας / εκτός ωραρίου, διατηρείται επί τόπου;
-Πώς πρέπει οι εργαζόμενοι να αναφέρουν ύποπτη δραστηριότητα ή πιθανό ζήτημα ασφάλειας;
-Ποιο βασικό προσωπικό έχει αυξημένη πρόσβαση στην εγκατάσταση σε περίπτωση έκτακτης ανάγκης και πώς ελέγχεται αυτό;
-Υπάρχουν διαθέσιμα σχέδια εκκένωσης και σαφής επισήμανση στις εξόδους κινδύνου;
-Το ανθρώπινο δυναμικό έχει λάβει εκπαίδευση στη χρήση της πλατφόρμας αμφίδρομης επικοινωνίας;
-Διατίθενται σχέδια αντιμετώπισης έκτακτης ανάγκης για συμβάντα όπως ληστείες;
4. Προσδιορισμός των κινδύνων φυσικής ασφάλειας
Κάθε επιχείρηση αντιμετωπίζει διαφορετικούς κινδύνους με βάση έναν συνδυασμό εσωτερικών και εξωτερικών παραγόντων.
Συγκεκριμένοι παράγοντες κινδύνου θα διαφέρουν ανάλογα με την εκάστοτε επιχείρηση, ωστόσο, τα παρακάτω είναι μερικά βασικά θέματα που πρέπει να λαμβάνουν υπόψη όλες οι επιχειρήσεις:
- Περιβάλλον: Ποια είναι τα ποσοστά εγκληματικότητας στην περιοχή και ποια είδη εγκληματικότητας είναι πιο διαδεδομένα;
- Φυσικές καταστροφές: Η επιχείρηση βρίσκεται σε μια περιοχή που είναι επιρρεπής σε συγκεκριμένες καταστροφές ή έντονα καιρικά φαινόμενα όπως σεισμούς, πλημμύρες ή χιονοθύελλες;
- Εργατικό δυναμικό: Η επιχείρηση διαθέτει υψηλό κύκλο εργασιών και συνεπώς επαναλαμβανόμενη εισροή νέων ανθρώπων σε θέσεις ευθύνης;
- Επισκέπτες ή πελάτες: Υπάρχει συνεχής ροή αγνώστων στις εγκαταστάσεις;
- Αποθέματα και περιουσιακά στοιχεία: Αποθηκεύονται αντικείμενα υψηλής αξίας στις εγκαταστάσεις και πόσο φορητά είναι; Η εξασφάλιση μικρών αλλά πολύτιμων αντικειμένων όπως τα χρυσά νομίσματα διαφέρει σημαντικά από τα μεγάλα αντικείμενα όπως τα ακριβά τυπογραφικά πιεστήρια ή μηχανήματα.
- Εφοδιαστική αλυσίδα: Υπάρχουν τρωτά σημεία στη φυσική ασφάλεια που μπορεί να δημιουργήσουν κινδύνους στην αλυσίδα εφοδιασμού και να διακόψουν τις επιχειρηματικές δραστηριότητες;
5. Πρόβλεψη εσωτερικών απειλών
Οι απειλές για τη φυσική ασφάλεια δεν προέρχονται πάντα από εξωτερικές πηγές. Ενδέχεται να υπάρχουν πιθανές παραβιάσεις ασφαλείας που προέρχονται από το εσωτερικό του οργανισμού, οι οποίες πρέπει να αποτραπούν και μετριαστούν το συντομότερο δυνατό. Ομοίως, η αξιολόγησή τους θα πρέπει να επικεντρώνεται στον εντοπισμό τρωτών σημείων που θα μπορούσαν να αξιοποιηθούν από πρόσωπα που κατέχουν εμπιστευτικές πληροφορίες (υπάλληλοι ή μέλη του προσωπικού), όπως περιοχές με ανεπαρκή επιτήρηση, υπερβολικά ανεκτικούς ελέγχους πρόσβασης ή ανεπαρκή διαχωρισμό καθηκόντων.
Μπορεί επίσης να εξεταστεί το ενδεχόμενο εφαρμογής της αρχής των «ελάχιστων προνομίων», όπου τα άτομα έχουν μόνο την απαραίτητη πρόσβαση για την εκτέλεση των καθηκόντων εργασίας τους και τίποτα περισσότερο. Οι συγκεκριμένες στρατηγικές, σε συνδυασμό με μια συνολική κουλτούρα ευαισθητοποίησης των εργαζομένων για την ασφάλεια, μπορούν να μειώσουν σημαντικά τον κίνδυνο εσωτερικών απειλών.
6. Αξιολόγηση συγκεκριμένων απειλών και τρωτά σημεία
Μόλις διευθετηθεί ο χειρισμός των κινδύνων που αντιμετωπίζει η επιχείρηση, θα πρέπει να αξιολογηθούν οι απειλές καθώς και ποιες εξ αυτών είναι οι πιο ρεαλιστικές. Οι δύο πιο σημαντικοί παράγοντες που πρέπει να ληφθούν υπόψη είναι η πιθανότητα υλοποίησης μιας απειλής και ο πιθανός αντίκτυπός της στην επιχείρηση. Για παράδειγμα, η πτώση ενός μετεωρίτη θα είχε καταστρεπτικά αποτελέσματα αλλά το γεγονός αυτό, είναι αρκετά απίθανο!
Κατά την αξιολόγηση των απειλών, θα πρέπει να αναζητηθούν πιθανές ευπάθειες και τρόποι διόρθωσής τους με μέτρα ασφαλείας. Για παράδειγμα, ένα κατάστημα λιανικής πώλησης σε αστικό περιβάλλον θα θεωρούσε την κλοπή ως βασική απειλή. Η περιστασιακή κλεμμένη καραμέλα δεν θα θέσει κανέναν εκτός λειτουργίας, αλλά οι απώλειες προστίθενται με την πάροδο του χρόνου. Έχοντας αυτό κατά νου, θα πρέπει να εξεταστούν στρατηγικές πρόληψης ζημιών λιανικής στο πλαίσιο της επιχείρησής τους για την ελαχιστοποίηση της κλοπής, όπως:
-Παρουσία έναν φύλακα στην είσοδο ως ορατό μέσο αποτροπής
-Κάμερες που παρακολουθούνται συνεχώς
-Φύλαξη πολύτιμων εμπορευμάτων σε ασφαλείς χώρους του καταστήματος
-Εκπαίδευση του προσωπικού σχετικά με τον τρόπο αντιμετώπισης των κλεφτών καταστημάτων
-Φωτισμός με αισθητήρες κίνησης για την αποτροπή της περιπλάνησης το βράδυ
-Πτυσσόμενες πόρτες ή εξωτερικές πύλες προκειμένου να παρέχεται ένα επιπλέον επίπεδο ασφάλειας ενώ η επιχείρηση παραμένει κλειστή.
7. Τακτικός έλεγχος και ενημέρωση
Ακριβώς όπως η φυσική ασφάλεια δεν είναι στατική, η αξιολόγησή της δεν πρέπει επίσης να αντιμετωπίζεται ως μια ολοκληρωμένη διαδικασία.
Οι τακτικές αναθεωρήσεις κρίνονται απαραίτητες για καλύτερη προσαρμογή στις εξελισσόμενες απειλές, τις αλλαγές στο οργανωτικό περιβάλλον και τις εξελίξεις στην τεχνολογία ασφαλείας.
Οι εν λόγω ενημερώσεις θα πρέπει να εκτελούνται με συνέπεια, όπως ανά διετία, για να διασφαλιστεί ότι τα μέτρα ασφαλείας παραμένουν αποτελεσματικά και ευθυγραμμισμένα με τους στόχους της κάθε επιχείρησης.
Μια προληπτική προσέγγιση για τη βελτίωση της φυσικής ασφάλειας
Οι επαγγελματίες ασφαλείας αντιμετωπίζουν ένα διαρκώς εξελισσόμενο τοπίο απειλών. Μεταξύ της κλιματικής αλλαγής, των παγκόσμιων πανδημιών και των ιδιοτροπιών της ζωής, υπάρχει ένα ευρύ φάσμα παραγόντων εκτός του ελέγχου τους.
Ωστόσο, αυτό που ελέγχεται είναι η ετοιμότητα της εταιρείας να αντιμετωπίσει το άγνωστο. Λαμβάνοντας μια προληπτική προσέγγιση για τον εντοπισμό ρεαλιστικών απειλών και τον προσδιορισμό του τρόπου με τον οποίο διαμορφώνεται η φυσική ασφάλεια έναντι αυτών, κάθε οργανισμός μπορεί να προβλέψει τα προβλήματα πριν συμβούν. Μπορεί να μην είναι σε θέση να διακρίνει τον κάθε κίνδυνο που ελλοχεύει, όμως, θα είναι σε θέση να κατέχει επισφαλείς διαδικασίες για να ενεργοποιήσει και εκπαιδευμένα άτομα έτοιμα να δράσουν άμεσα, απέναντι σε γνωστές και άγνωστες απειλές.