Propósito y Alcance

Proceso de Responsabilidad Integral® Colombia
Comité Coordinador: ANDI, ACOPLASTICOS, CCS y GRI
Octubre de 2004
ANALISIS DEL SISTEMA DE GESTION DE RESPONSABILIDAD
INTEGRAL– SGRI Y CODIGO DE PROTECCION INTEGRAL
Realizado por Responsabilidad Integral
Anexo No 3. Código de Security (ACC)
Propósito y Alcance
El propósito del Código Gerencial de Seguridad física es ayudar a proteger a las
personas, propiedades, productos, procesos, información y sistemas de
información reforzando security incluyendo security contra potenciales ataques
terroristas, a través de la cadena de valor de la industria química. La cadena de
valor de la industria química incluye las actividades de diseño, compras,
manufactura, mercadeo, distribución, transporte, soporte al cliente, uso, reciclaje y
disposición de nuestros productos. Este Código esta diseñado para ayudar a las
empresas a lograr mejorar continuamente su desempeño en security usando un
enfoque basado en riesgo para identificar, revisar y manejar vulnerabilidades,
prevenir o mitigar incidentes, aumentar el entrenamiento y la capacidad de
respuesta, y mantener y mejorar las relaciones con los constituyentes claves. El
Código debe implementarse con el entendimiento que security es una
responsabilidad compartida que requiere acciones por parte de otros, tales como
clientes, proveedores, proveedores de servicios, y oficiales y entidades
gubernamentales. Todos en la cadena de valor de la industria química tienen
responsabilidades en security y deben actuar acorde con el fin de proteger el
interés público.
La implementación de este Código de Security es obligatoria para todos los
miembros del Consejo Americano de química para proteger al público, nuestras
comunidades y empleados.
Relación con los Principios Guía:
RELACION CON LOS PRINCIPIOS DE RESPONSABILIDAD INTEGRAL:
Operar las plantas e instalaciones de manera que preserve el Ambiente , la Salud
y la Seguridad de los empleados y el público, y hacer uso eficiente de los recursos
naturales.
Participar con el gobierno y con las entidades coordinadoras del Proceso, en la
promoción, formulación y perfeccionamiento de leyes, regulaciones y estándares
para preservar la buena calidad del entorno de la comunidad, de los lugares de
trabajo y el ambiente.
Trabajar con clientes, transportadores, proveedores, distribuidores y contratistas
para buscar el uso, transporte y disposición segura de químicos;
Buscar y responder preocupaciones de la comunidad acerca de nuestros
productos, insumos, sustancias químicas, procesos, operaciones y materiales de
desecho.
419493239.doc
Página 1 de 6
Proceso de Responsabilidad Integral® Colombia
Comité Coordinador: ANDI, ACOPLASTICOS, CCS y GRI
Octubre de 2004
ANALISIS DEL SISTEMA DE GESTION DE RESPONSABILIDAD
INTEGRAL– SGRI Y CODIGO DE PROTECCION INTEGRAL
Realizado por Responsabilidad Integral
Anexo No 3. Código de Security (ACC)
Dar prioridad a las consideraciones sobre Salud, Seguridad y Ambiente en la
planeación de los productos y procesos nuevos y existentes.
Promover y divulgar el Proceso “Responsabilidad Integral “ con énfasis en sus
principios y prácticas compartiendo experiencias y ofreciendo asistencia a otros
que produzcan, comercialicen, manipulen, usen, transporten o dispongan
productos o sustancias.
Relación con Otros Compromisos Industriales
El Código Security complementa, y debe implementarse en conjunto con las
demás practicas gerenciales que demuestren el compromiso de la industria en
proteger sus empleados y el publico. Las practicas gerenciales existentes que
refuerzan la seguridad de la comunidad y preparación para emergencias,
prevención de la contaminación, seguridad de proceso, seguridad y salud de los
empleados, distribución y transporte, y acompañamiento de productos incluyen
aspectos de security. Las compañías deben revisar con frecuencia estas practicas
relacionadas con security, con el espíritu de mejorar continuamente su
desempeño.
Practicas Gerenciales
Cada compañía debe implementar un sistema gerencial de security basado en el
riesgo para las personas, propiedad, productos, procesos, información y sistemas
de información a través de la cadena de valor de la industria química. La cadena
de valor de la industria química incluye las actividades de diseño, procura,
manufactura, mercadeo, distribución, transporte, soporte a clientes, uso, reciclaje y
disposición de productos. El sistema gerencial de security debe incluir las
siguientes trece practicas gerenciales:
1. Compromiso del Liderazgo. El compromiso de la alta gerencia con la mejora
continua a través de la publicación de políticas, provisión de recursos
suficientes y debidamente calificados y establecer responsabilidad. El
compromiso de la industria química con security comienza arriba. Este
elemento pide que los lideres de las empresas demuestren un claro
compromiso con sus palabras y acciones, desde la casa matriz hasta las
instalaciones.
2. Análisis de Amenazas, Vulnerabilidades y Consecuencias. Priorizacion y
análisis periódico de potenciales amenazas de security, vulnerabilidades y
consecuencias usando metodologías aceptadas. Utilizando herramientas y
métodos generalmente aceptados, las compañías conducirán análisis para
identificar como pueden mejorar su security. Este proceso será aplicado
419493239.doc
Página 2 de 6
Proceso de Responsabilidad Integral® Colombia
Comité Coordinador: ANDI, ACOPLASTICOS, CCS y GRI
Octubre de 2004
ANALISIS DEL SISTEMA DE GESTION DE RESPONSABILIDAD
INTEGRAL– SGRI Y CODIGO DE PROTECCION INTEGRAL
Realizado por Responsabilidad Integral
Anexo No 3. Código de Security (ACC)
usando herramientas y métodos generalmente aceptados, conduciendo
análisis para identificar la mejor forma de abordar security. Este proceso será
aplicado en plantas químicas usando los métodos desarrollados por Sandia
National Laboratories, the Center for Chemical Process Safety, u otros que
sean equivalentes. Las empresas también utilizaran herramientas para analizar
la security de la venta de productos, distribución y ciberespacio. Estos análisis
iniciales serán conducidos con una programación agresiva y luego deberán
conducirse en forma periódica y sistemática.
3. Implementación de Medidas de Security. El desarrollo y la implementación
de medidas de security acorde a los riesgos y tomando en cuenta enfoques
inherentemente mas seguros de diseño de procesos, ingeniería y controles
administrativos y medidas de prevención y mitigacion. Las empresas tomaran
acción cuando se identifiquen y anticipen riesgos potenciales de security.
Estas acciones pueden incluir la implementación de medidas adicionales de
security para proveer una mayor protección a las personas, la propiedad,
productos, procesos, información y sistemas de información. En la planta,
estas acciones pueden incluir la instalaciones de nuevas barreras físicas,
modificación a los procesos de producción o sustitución de materiales. En
venta de productos y distribución, las acciones pueden incluir medidas tales
como nuevos procedimientos para proteger el comercio por Internet o
investigación adicional sobre los proveedores de servicio de transporte.
4. Información y Cyber-Security. Reconocer que la protección de la información
y los sistemas de información es un componente crítico del buen
funcionamiento de un sistema gerencial de security. Las compañías aplicarán
las prácticas de security identificadas en este código a sus activos del cyber así
como sus activos físicos. Las redes y los sistemas de información son tan
críticos para el éxito de una compañía como sus sistemas de la fabricación y
de distribución. Consideración especial debe darse a los sistemas que apoyan
el comercio electrónico (“e-commerce”), el gerenciamiento del negocio,
telecomunicaciones y controles de proceso. Las acciones pueden incluir
controles adicionales para la detección de intrusos que intenten accesar las
redes de voz y datos, la verificación de las prácticas de la security de la
información aplicadas por los asociados con conexión digital y nuevos
controles en el acceso a los sistemas de control de proceso digitales en
nuestras instalaciones.
5. Documentación. Documentación de los programas, procesos y
procedimientos gerenciales de security. Para sostener un programa de
security constante y confiable en el tiempo, las compañías documentarán los
419493239.doc
Página 3 de 6
Proceso de Responsabilidad Integral® Colombia
Comité Coordinador: ANDI, ACOPLASTICOS, CCS y GRI
Octubre de 2004
ANALISIS DEL SISTEMA DE GESTION DE RESPONSABILIDAD
INTEGRAL– SGRI Y CODIGO DE PROTECCION INTEGRAL
Realizado por Responsabilidad Integral
Anexo No 3. Código de Security (ACC)
elementos claves de su programa. La consistencia y la confiabilidad darán
como resultado un lugar de trabajo y una comunidad más seguros.
6. Entrenamiento, simulacros y dirección. Entrenamiento, simulacros
y
dirección para los empleados, los contratistas, los proveedores de servicio, los
socios de la cadena de valor y otros, como sea apropiado, para realzar el
conocimiento y las capacidades. A medida que se desarrollan prácticas
eficaces de security, las compañías realzan el conocimiento y las capacidades
en security con el entrenamiento, los simulacros y la dirección. Este
compromiso va mas más allá de los empleados y de contratistas para incluir
otros, cuando sea apropiado, por ejemplo distribuidores de productos o
entidades de respuesta a emergencias. Este tipo de trabajo conjunto mejora
nuestra capacidad de disuadir y de detectar incidentes mientras que consolida
nuestra capacidad total de security.
7. Comunicaciones, diálogo e intercambio de información. Las
comunicaciones, el diálogo apropiado y el intercambio de información en
asuntos de security con los constituyentes tales como empleados, contratistas,
las comunidades, clientes, proveedores, proveedores de servicio y los oficiales
y agencias del gobierno balanceadas con medidas protectoras para la
información sensible. La comunicación es un elemento clave en la mejora de la
security. Mantener canales de comunicación abierto y eficaces incluye pasos
tales como compartir prácticas eficaces de security con otros a través de
industria y mantener la interacción con los funcionarios y entidades oficiales. Al
mismo tiempo, las compañías entienden que su papel es proteger a sus
empleados y a las comunidades donde funcionan, mientras que salvaguardan
la información que podría significar una amenaza si cayese en las manos
incorrectas.
8. Respuesta a amenazas de la security. Evaluación, respuesta, divulgación y
comunicación de las amenazas de la security tal como sea apropiado. Las
compañías toman muy en serio las amenazas físicas y cibernéticas. Ante tales
amenazas, las compañías evaluarán puntualmente la situación y responderán.
Las amenazas verdaderas y creíbles serán divulgadas y comunicadas al
personal de la compañía y a oficiales de la ley, tal como sea apropiado.
9. Respuesta ante incidentes de security. Evaluación, respuesta, investigación,
divulgación, comunicación y acción correctiva de incidentes de security. Las
compañías se mantendrán vigilantes en sus esfuerzos por disuadir y detectar
cualquier incidente de security. Sin embargo, si ocurre un incidente la
compañía responderá e involucrará puntualmente las entidades
gubernamentales tal como sea apropiado. Después de investigar el incidente,
419493239.doc
Página 4 de 6
Proceso de Responsabilidad Integral® Colombia
Comité Coordinador: ANDI, ACOPLASTICOS, CCS y GRI
Octubre de 2004
ANALISIS DEL SISTEMA DE GESTION DE RESPONSABILIDAD
INTEGRAL– SGRI Y CODIGO DE PROTECCION INTEGRAL
Realizado por Responsabilidad Integral
Anexo No 3. Código de Security (ACC)
la compañía incorporará los aprendizajes claves, y si lo considera, los
compartirá con otras agencias de la industria y el estado e implementara las
acciones correctivas a que haya lugar.
10. Auditorias. Auditorias para determinar programas de security y procesos y
puesta en práctica de acciones correctivas. Las compañías determinarán
periódicamente sus programas de security y los procesos necesarios para
asegurar que esos programas y procesos están en adecuadamente
implementados y se tomara las acciones correctivas a que haya lugar. En
circunstancias que lo ameriten, estas revisiones también aplicaran a los
programas y procesos de otras compañías con las cuales la empresa tenga
negocios tales como proveedores químicos, proveedores de servicios logisticos
o clientes.
11. Verificación por parte de Terceros. La verificación por parte de terceras
personas que, en las instalaciones químicas con potencial impacto fuera de
sus instalaciones, las compañías tienen implementado las medidas de security
a las que se han comprometido. Security de la industria química comienza en
nuestras instalaciones. Las compañías analizarán el security de sus
instalaciones, identificarán cualquier medida de security necesaria, pondrán
esas medidas en ejecución y harán revisiones vs. esas medidas. Para ayudar
al publico a tener confianza en la security de nuestras instalaciones, las
compañías invitarán a terceros con credibilidad – tales como bomberos,
oficiales de la ley, interventores del seguro y/o oficiales gubernamentales - que
confirmen que las compañías hayan implementado las medidas de security
físicas a las que se han comprometido. Además, las compañías deben
consultar con estas mismas entidades y personas cuando se consideren y/o
implementen medidas adicionales de security.
12. Manejo del cambio. La evaluación y el manejo de asuntos de security
asociados con los cambios que involucran las personas, la propiedad,
productos, procesos, la información o sistemas de información. Nuestros
empleados así como nuestros procesos contribuyen a, y se apoyan en
cambios e innovaciones a productos y tecnologías. Al considerar cualquier
cambio, las compañías evaluaran y revisarán asuntos de security que puedan
presentarse. Esto puede incluir cambios tales como nuevas asignaciones del
personal para la instalación de nuevos equipos de proceso o software o
hardware
13. Mejora Continua. Procesos de mejora continua incluyendo planeacion,
establecimiento de metas y objetivos, monitoreo del avance y funcionamiento,
análisis de tendencias y desarrollo y puesta en práctica de acciones
419493239.doc
Página 5 de 6
Proceso de Responsabilidad Integral® Colombia
Comité Coordinador: ANDI, ACOPLASTICOS, CCS y GRI
Octubre de 2004
ANALISIS DEL SISTEMA DE GESTION DE RESPONSABILIDAD
INTEGRAL– SGRI Y CODIGO DE PROTECCION INTEGRAL
Realizado por Responsabilidad Integral
Anexo No 3. Código de Security (ACC)
correctivas. Nuestro compromiso con la security llama para que las compañías
busquen la mejora continua en todos nuestros procesos de security. Puesto
que las prácticas para manejar security evolucionan, se anticipa que los
programas y las medidas de security de la compañía tecnología evolucionen
también reflejando los nuevos conocimientos y tecnología. Continuamente las
compañías harán seguimiento, mediciones y se enfocaran en el mejoramiento
de esfuerzos para mantener la security de las personas, propiedad, productos,
procesos, información y sistemas de información cada día en un nivel mas alto.
Las compañías compartirán la información sobre prácticas eficaces de security en
la industria y con profesionales externos calificados en security. Las compañías
continuarán ampliando el conocimiento de y el compromiso con las prácticas de
security realizadas a través de la cadena de valor de la industria química. El
Consejo Americano de la Industria Química continuará proporcionando dirección,
incluyendo ejemplos de prácticas eficaces de security de sus miembros,
ayudandoles en la implementación de este código; hará revisiones periódicas,
emitiendo una nueva revisión de la guiá cuando sea apropiado.
Debido a que el desarrollo y los cambios que se presentan en los asuntos de
security son tan rápidos, el Consejo Americano de la Industria química valorará el
Código de Security, sus Prácticas Gerenciales y el programa de implementación a
los 2 años de implementado o antes si lo considera necesario
419493239.doc
Página 6 de 6