Los productos químicos desempeñan un papel crucial en muchos sectores de nuestra economía y brindan muchos beneficios a empresas y particulares. Sin embargo, también pueden plantear riesgos para la seguridad, especialmente si caen en manos de terroristas. Para hacer frente a esta amenaza, el Departamento de Seguridad Nacional de EE. UU. (DHS) administra el programa CFATS, que regula la seguridad de las instalaciones químicas de alto riesgo. Todas las instalaciones que manipulan ciertos productos químicos deben cumplir con estas regulaciones para evitar que estas sustancias potencialmente peligrosas se utilicen en un ataque.

Normas antiterroristas para instalaciones químicas

El programa de Estándares Antiterroristas de Instalaciones Químicas (CFATS) es un programa regulatorio para la seguridad en instalaciones químicas de alto riesgo. DHS administra el programa a través de su División de Cumplimiento de Seguridad de Infraestructura (ISCD). A través del programa, ISCD trabaja con las instalaciones químicas para garantizar que tengan medidas para reducir los riesgos asociados con cualquiera de las 300 sustancias químicas peligrosas de interés (COI) identificadas por el DHS. El CFATS tiene como objetivo evitar que estas sustancias sean explotadas como parte de un ataque terrorista.

La regulación CFATS se aplica a “Cualquier establecimiento o individuo que posea o planee poseer” cualquiera de los COI en o por encima de las cantidades umbral identificadas por el DHS. Las regulaciones CFATS se aplican a las instalaciones de varias industrias, que incluyen:

• Fabricación química
• Almacenamiento y distribución
• Agricultura y comida
• Fabricación de plásticos
• Energía y servicios Públicos
• Farmacéuticos

¿Por qué es importante CFATS?

El CFATS es una regulación importante porque el COI podría causar una cantidad sustancial de lesiones y muerte si lo utilizan los terroristas como parte de un ataque. ISCD describe tres problemas de seguridad principales relacionados con COI.

• Prensa: Algunos COI son tóxicos, explosivos o inflamables y podrían liberarse en una instalación.
• Robo o desvío: Si es robado o desviado, algunos COI podrían convertirse en armas usando química, equipo o techniques. La desviación se refiere a la adquisición de un producto mediante el engaño.
• Sabotaje: Otros COI pueden ser peligrosos si se mezclan con materiales fácilmente disponibles.

El programa CFATS está diseñado para ayudar a las instalaciones a reducir estos riesgos mediante la implementación de medidas de seguridad adecuadas.

Antecedentes de CFATS

CFATS es el primer programa regulatorio de EE. UU. Que se centra explícitamente en la seguridad de las instalaciones químicas de alto riesgo. El Congreso autorizó el programa por primera vez en 2007.

En 2013, el presidente Barack Obama emitió la Orden Ejecutiva sobre la mejora de la seguridad y la protección de las instalaciones químicas, EO 13650. La EO ordenó al gobierno federal que mejore la seguridad de las instalaciones químicas y reduzca los riesgos que representan los productos químicos peligrosos para los trabajadores y las comunidades. La orden estableció el Grupo de Trabajo de Seguridad y Protección de Instalaciones Químicas para supervisar el esfuerzo. DHS, el profesional medioambientaltecLa Agencia de Información Nacional (EPA) y el Secretario de Trabajo presiden juntos este grupo de trabajo.

En respuesta a la EO, el DHS creó el Infrastructure ProtecGateway (IP), que es un depósito de información y herramientas de infraestructura crítica, para mejorar la coordinación entre los gobiernos federales, estatales y locales y las partes interesadas de la comunidad para mejorar el programa CFATS.

En diciembre de 2014, el ProtecLey de Protección y Protección de Instalaciones Químicas de Ataques Terroristas de 2014 (Ley CFATS de 2014), se convirtió en ley. La Ley recodificó y reautorizó CFATS por cuatro años.

El 18 de enero de 2019, el presidente Donald Trump promulgó la ley la Ley de ampliación del programa de normas antiterroristas para instalaciones químicas, que extendió el programa CFATS por 15 meses.

Antes de la extensión de 2019, el Senador Ron Johnson (R-Wis.) legislación autorizada para realizar cambios al programa. Su proyecto de ley habría eliminado las regulaciones de CFATS que otra agencia también cubre y requeriría una evaluación del impacto del programa. Sin embargo, el proyecto de ley no fue aprobado por el Congreso, y el senador Tom Carper (demócrata por Del.) Señaló que los efectos potenciales de los cambios necesitaban más estudios. Con CFATS extendido por 15 meses, el Congreso ahora está examinando el programa y considerando posibles cambios.

En febrero de 2019, el Comité de Seguridad Nacional de la Cámara de Representantes celebró una audiencia para examinar la reautorización o extensión de CFATS a largo plazo. En marzo de 2019, el Subcomité de Seguridad Nacional de la Cámara sobre Ciberseguridad, Infrastructure Protección e Innovación celebraron una audiencia titulada Asegurar las instalaciones químicas de nuestra nación en la que se buscó la opinión de las partes interesadas para mejorar el CFATS.

El proceso CFATS

¿Cómo funciona el proceso CFATS? Los pasos básicos del proceso son los siguientes.

El primer paso es determinar si su instalación está sujeta a CFATS. Asegúrese de que su instalación no esté exenta por ley de CFATS. Las instalaciones exentas incluyen:

• Instalaciones reguladas por la Ley de Seguridad del Transporte Marítimo
• Instalaciones reguladas por la Comisión Reguladora Nuclear
• Instalaciones propiedad del Departamento de Defensa o del Departamento de Energía o operadas por este
• Varios otros tipos de instalaciones

Si su instalación no está exenta, consulte el Apéndice A para ver si maneja alguno de los COI en o por encima de la Cantidad de umbral de detección (STQ).

Si su instalación está sujeta a CFATS, debe completar una pantalla superior, una encuesta en línea sobre los productos químicos que posee. La encuesta está disponible utilizando la Herramienta de evaluación de seguridad química (CSAT), un portal web seguro que administra el DHS.

ISCD revisará su pantalla superior y determinará si su instalación es una instalación de alto riesgo. Si ISCD determina que no lo es, no está regulado por CFATS. Si determina que lo es, asignará la instalación por nivel de riesgo. ISCD clasifica las instalaciones en cuatro niveles, siendo el Nivel 1 el que representa el mayor riesgo.

Si su instalación está regulada por CFATS, debe enviar una Evaluación de vulnerabilidad de seguridad (SVA) y un Plan de seguridad del sitio (SSP) o un Programa de seguridad alternativo (ASP) al DHS utilizando el CSAT en un plazo de 120 días.

El SVA identifica el uso que hace su instalación de COI, los activos críticos y las medidas que rodean las políticas, los procedimientos y los recursos necesarios para respaldar su plan de seguridad. También incluye un análisis de la postura de seguridad de su instalación y las posibles vulnerabilidades.

El SSP describe las medidas de seguridad existentes y planificadas y se adapta al nivel y las consideraciones únicas de su instalación. Tu plan debe cumplir las Normas de desempeño basadas en riesgos (RBPS) de CFATS, que describen los objetivos de seguridad.

Su centro también puede optar por enviar un ASP en lugar de un SSP. Al enviar un ASP, puede desarrollar su propio documento de plantilla en lugar de utilizar uno proporcionado por ISCD para el SSP. Un ASP necesita describir cómo las medidas de seguridad cumplirán con las RBPS que se aplican a su instalación y abordarán sus preocupaciones de nivel y seguridad.

Después de enviar su SVA y SSP o ASP, los inspectores de ISCD realizarán una inspección de autorización en la instalación. Esta inspección busca verificar que el contenido del plan de seguridad sea exacto y completo. Una vez que la instalación haya cumplido con los requisitos de la inspección de autorización, ISCD aprobará el plan. Luego, su empresa debe implementar el plan. La ISCD realizará inspecciones periódicas para verificar que la instalación se adhiera al plan.

Los estándares de desempeño basados ​​en riesgos (RBPS) de CFATS

Todas las instalaciones químicas de alto riesgo deben cumplir con las 18 RBPS establecidas en la Guía de DHS RBPS en su plan de seguridad. Cada instalación puede elegir las medidas que lograrán de manera más rentable el nivel de desempeño apropiado para cada RBPS para la instalación y su nivel. Los RBPS son los siguientes:

• RBPS 1, perímetro del área restringida: Asegure y monitoree el perímetro de la instalación
• RBPS 2, activos del sitio seguro: Asegure y monitoree áreas restringidas y posibles objetivos críticos en la instalación
• RBPS 3, acceso a pantalla y control: Controle el acceso a través de la inspección o inspección de personas y vehículos al ingresar
• RBPS 4, Detener, Detect y Retraso: disuadir, detecty retrasar posibles ataques
• RBPS 5, envío, recepción y almacenamiento: Asegurar y supervisar el envío, la recepción y el almacenamiento de productos químicos peligrosos.
• RBPS 6, robo y desvío: Impedir el robo y desvío de productos químicos peligrosos.
• RBPS 7, Sabotaje: Disuadir el sabotaje interno
• RBPS 8, cibernético: Impedir el sabotaje cibernético mediante la prevención del acceso no autorizado a los sistemas cibernéticos y los controles de procesos críticos
• RBPS 9, Respuesta: Cree un plan de emergencia para manejar incidentes de seguridad
• RBPS 10, supervisión: Mantener sistemas adecuados de monitoreo, alerta y comunicaciones.
• RBPS 11, Entrenamiento: Llevar a cabo la formación, los simulacros y los ejercicios de seguridad adecuados.
• RBPS 12, Fianza de personal: Realizar verificaciones de antecedentes adecuadas y garantizar las credenciales adecuadas para el personal y, según sea necesario, los visitantes sin escolta.
• RBPS 13, Amenazas elevadas: Escalar protecmedidas tivas en respuesta a niveles elevados de amenaza
• RBPS 14, amenazas, vulnerabilidades o riesgos específicos: Abordar las amenazas, vulnerabilidades o riesgos para la instalación identificados por el secretario adjunto.
• RBPS 15, Notificación de incidentes de seguridad significativos: Informe los incidentes de seguridad al DHS y a la policía local según sea necesario
• RBPS 16, incidentes de seguridad significativos y actividades sospechosas: Gestione adecuadamente los incidentes de seguridad importantes y la actividad sospechosa en o alrededor de la instalación identificándolos, investigándolos, reportándolos y documentándolos.
• RBPS 17, Funcionarios y organización: Definir quién es responsable de la seguridad y el cumplimiento de CFATS
• RBPS 18, registros: Mantener registros apropiados

Directrices generales de seguridad de RBPS

La ISCD proporciona cinco pautas de seguridad generales que las instalaciones pueden utilizar para determinar las pautas de seguridad adecuadas. Estos cinco indicadores son los objetivos generales de seguridad que aborda el RBPS. Los cinco indicadores son:

• Detección: La capacidad de identificar posibles ataques o signos de un ataque y comunicar esa información según sea necesario. RBPS 1, 2, 3, 4, 5, 6 y 7 caen bajo la guía detección.
• Retrasar: La capacidad de ralentizar el progreso de los adversarios para permitir una adecuada protectivas fuerzas para responder mediante el uso de los procesos de gestión de seguridad adecuados. Los RBPS que se incluyen en Delay incluyen RBPS 1, 2, 3, 4, 5, 6 y 7.
• Respuesta: La capacidad de gestionar, comunicar e informar de las reacciones adecuadas ante posibles ataques o acciones adversas y reducir el impacto de los incidentes relacionados con la seguridad. Los RBPS 9, 11, 13 y 14 están relacionados con la guía de respuesta.
• Ciber: La capacidad de proteger los controles de procesos críticos del sistema cibernético del acceso no autorizado. La guía cibernética corresponde a RBPS 8.
• Gestion de seguridad: La capacidad de administrar adecuadamente el plan de seguridad, incluido el desarrollo e implementación de políticas, procedimientos y otros procesos que respaldan la implementación y supervisión del plan. Los RBPS que se incluyen en la guía de gestión de seguridad incluyen RBPS 10, 11, 12, 15, 16, 17 y 18.

Acciones de cumplimiento

ISCD tiene la autoridad para emprender acciones de ejecución civil contra las instalaciones que no cumplen con CFATS. La agencia puede imponer una multa civil de hasta $ 33,333 por cada día que continúe una infracción o emitir una orden de cese de operaciones. Las violaciones pueden incluir negarse a reportar COI, no desarrollar o implementar medidas de seguridad y proporcionar información falsa a sabiendas. ISCD notificará a una instalación sobre un incumplimiento, especificará la naturaleza de la violación y describirá los pasos necesarios para corregirla antes de evaluar las multas.

Cómo gestionar mejor el cumplimiento de CFATS

Asegurar el cumplimiento de CFATS puede ser complejo y desafiante, especialmente si no se aborda de manera organizada. La creación de procedimientos bien definidos y una organización clara es esencial para garantizar que cumpla con todos los requisitos.

Un paso temprano importante en el proceso de gestión del cumplimiento de CFATS es determinar quién dentro de su organización es dueño del proceso CFATS. Asignar la supervisión de las actividades de cumplimiento ayuda a garantizar que se tomen las acciones necesarias. Una instalación puede asignar la propiedad de CFATS a un departamento, como gestión de riesgos o salud y seguridad ambiental. También puede contratar a un nuevo miembro del equipo que se dedicará a CFATS. La creación de un equipo multifuncional para administrar CFATS puede ayudar a garantizar que se aborden todos los aspectos de cumplimiento y problemas de seguridad. Incluso si un departamento o ejecutivo específico supervisa el proceso, deberán consultar con otros departamentos.

También es fundamental crear un plan de comunicación interna para garantizar que la información se comparta de manera eficiente y segura. Asegúrese de que todos los empleados necesarios pasen Capacitación para usuarios autorizados de información sobre vulnerabilidad al terrorismo químico (CVI). Este profesional de la información del DHStecprograma de desarrollo tiene como objetivotect información relacionada con vulnerabilidades de divulgación pública o uso indebido.

El éxito con CFATS requiere un enfoque organizado y centralizado. El uso de software de cumplimiento puede ayudar con esto. El software de cumplimiento proporciona una ubicación central a través de la cual las personas calificadas pueden administrar los protocolos de seguridad y garantizar el cumplimiento. Puede utilizar este software para enviar y administrar todos los documentos relacionados con CFATS, proporcionando una fuente central de información. Una plataforma segura basada en la nube puede hacer que estos datos estén disponibles en toda la empresa y en múltiples instalaciones. Hacer un seguimiento de sus datos mediante una plataforma de software le ayuda a demostrar el cumplimiento actual e histórico. El uso de un software de cumplimiento puede ayudarlo a reducir el tiempo dedicado a las actividades de cumplimiento y ayudar a aumentar la precisión y disponibilidad de la documentación.

Telgian Software de regulación de cumplimiento

Nuestro software de regulación de cumplimiento puede ayudar a su instalación a administrar de manera proactiva y demostrar el cumplimiento de manera efectiva. También puede ayudar a reducir las horas del personal dedicadas a respaldar la actividad de cumplimiento al establecer un estándar de datos en las alineaciones funcionales, hacer que la documentación esté más disponible para las personas calificadas, eliminar la entrada de datos repetitiva y más.

El módulo CFATS dentro de nuestro software de cumplimiento lo ayuda a identificar y organizar los requisitos de las 18 RBPS y proporciona un seguimiento continuo de las actividades de cumplimiento, los documentos y las auditorías. Está diseñado para enfoques SSP y ASP y se alinea con la plataforma web DHS para presentaciones CFATS.

Nuestro software está alojado en la nube, lo que proporciona varias ventajas, como disponibilidad superior, movilidad, escalabilidad y seguridad, así como mejores oportunidades de colaboración. Cuenta con el cumplimiento de más de 50 estándares de cumplimiento global para TI, análisis de amenazas avanzado y defensa distribuida de denegación de servicio. Nuestras instalaciones de centro de datos también están protegidas con mayor seguridad en cada nivel.

Además de CFATS, nuestro software respalda el cumplimiento del Código de seguridad de cuidado responsable (RCSC) del American Chemistry Council.

Para obtener más información sobre cómo nuestro software puede ayudar a sus instalaciones a gestionar de forma eficaz, eficiente y segura los datos y las actividades de cumplimiento, contáctenos a nuestro correo electronico o por teléfono al 1-877-TELGIAN .