The Group Method Invocation Service

A los efectos de una SVA, la definición de riesgo se muestra en la Tabla No. 1. El riesgo que se está analizando para la SVA es definido como una expresión de la probabilidad de que definida va al objetivo y satisfactoriamente atacar a una vulnerabilidad de seguridad específica de un objetivo particular o la combinación de objetivos para causar un conjunto dado de consecuencias. (American Petroleum Institute, 2004)

TABLA No. 1

Definición de riesgo para SVA

El riesgo de seguridad es una función de:

 Las Consecuencias de un ataque acertado contra un activo y

 Probabilidad de un ataque acertado contra un active

La probabilidad es una función de:

 La atracción al adversario del activo,

 El grado de amenaza planteada por el adversario, y  El grado de vulnerabilidad del activo.

La completa SVA puede evaluar uno o más temas o resumir el riesgo de todo el conjunto de problemas de seguridad. Las variables de riesgo son: (American Petroleum Institute, 2004)

 Consecuencias

 Atracción de activos

 Amenaza

 Vulnerabilidad

Para el SVA, el riesgo del evento de seguridad normalmente se estima cualitativamente. Está basado en el juicio de acuerdo general de un equipo de gente con conocimientos en cuanto a cómo la probabilidad y las consecuencias de un escenario evento no deseado se compara con otros escenarios. La evaluación se basa en la mejor información disponible, utilizando la experiencia y pericia del equipo de tomar decisiones de gestión de riesgos. El equipo puede utilizar una matriz de riesgo, que es una representación gráfica del riesgo factores, como una herramienta para las decisiones de evaluación de riesgos. (American Petroleum Institute, 2004)

2.6.2.1 Consecuencia

La gravedad de las consecuencias de un evento de seguridad en una instalación se expresa generalmente en términos del grado de lesión o daño que resultaría si hubo un ataque con éxito. Actos malévolos pueden implicar efectos que son más graves que esperado con el riesgo accidental. Algunos ejemplos de las consecuencias relevantes en un SVA son: (American Petroleum Institute, 2004)

 Lesiones del público o de los trabajadores

 Daño ambiental

 Pérdidas financieras directas e indirectas a la empresas, a los proveedores y empresas asociadas

 Interrupción de la economía nacional, regional, o las operaciones locales y la economía.

 Pérdida de reputación o negocio variable.

 Exceso de exposición a los medios y a la preocupación pública que afectan a las personas afines que pueden ser muy alejadas de la actual ubicación del evento.

La estimación de las consecuencias puede ser diferente en magnitud o el alcance de lo que normalmente se prevé para liberaciones accidentales. En el caso de los eventos de seguridad, los adversarios están decididos maximizar el daño causado, por lo que un peor evento creíble de seguridad debe definirse. La infraestructura crítica especialmente puede tener dependencias e interdependencias que necesitan una cuidadosa consideración. (American Petroleum Institute, 2004)

Las consecuencias se utilizan como uno de los factores clave en la determinación de la criticidad del activo y el grado de medidas de seguridad necesarias. (American Petroleum Institute, 2004)

2.6.2.2 Atracción de activos

No todos los activos son de igual valor a los adversarios. Un supuesto básico del proceso de SVA es que esta percepción de valor desde la perspectiva de un adversario es un factor que influye en la probabilidad de un evento de seguridad. El atractivo de activos es una estimación del valor real o percibida de un objetivo a un adversario basado en factores durante la SVA, el atractivo de cada activo debe ser evaluado basado en las intenciones del adversario o anticipado el nivel de interés en el objetivo. Las estrategias de seguridad se pueden desarrollar en torno a los objetivos estimados y posibles amenazas. Este factor, con consecuencias, se utiliza para detectar instalaciones de análisis de escenarios más específico y de remotas consideraciones de medidas específicas durante la primera proyección de la metodología. (American Petroleum Institute, 2004)

2.6.2.3 Amenaza

La amenaza puede definirse como una indicación, circunstancia o hecho con el potencial de causar la pérdida o daño, a un activo. (American Petroleum Institute, 2004)

También se puede definir como la intención y la capacidad de un adversario para llevar a cabo las acciones que sean perjudiciales para los activos valorados. (American Petroleum Institute, 2004)

La información de la amenaza son datos de referencia importantes para permitir que el propietario / operador de entender los adversarios interesados en los activos de la planta, su historial de servicio, sus métodos y capacidades, sus posibles planes, y por qué son motivados. Esta información debe ser utilizada para desarrollar una amenaza base de diseño o amenazas. (American Petroleum Institute, 2004)

Los adversarios pueden ser categorizados como algo que ocurre a partir de tres tipos generales: (American Petroleum Institute, 2004)

 Las amenazas internas

 Las amenazas externas

 Personas que trabajan como imputados por colusión con las amenazas externas Cada tipo de adversario aplicable debe ser evaluada respecto de cada activo en su caso para entender las vulnerabilidades. (American Petroleum Institute, 2004)

2.6.2.4 Vulnerabilidad

La vulnerabilidad es cualquier debilidad que puede ser explotado por una amenaza para generar peligros ya generar pérdidas en términos de seguridad, a los activos o causar daño al ambiente.

La vulnerabilidad es cualquier debilidad que puede ser explotado por una amenaza para generar peligros y generar pérdidas en términos de seguridad, a los activos o causar daño al ambiente. Las vulnerabilidades pueden ser el resultado de, pero no se limitan a, deficiencias en la gestión de prácticas actuales, seguridad física, falta de control de procesos o prácticas operacionales. En un SVA, las vulnerabilidades son evaluadas teniendo en cuenta la amenaza y los riesgos de los activos que podrían atacar o afectar, o ser analizados considerando el potencial de múltiples secuencias específicas de los eventos (un enfoque

basado en escenarios). Para esta metodología SVA, cada activo crítico se analiza desde al menos un enfoque basado en los activos al principio por considerar consecuencias y atractivo. (American Petroleum Institute, 2004)