La gestión del riesgo en Infraestructuras críticas o de seguridad de alta complejidad: Algunas reflexiones
Muchas veces hemos escuchado o leído del concepto de seguridad integral o gestión de riesgos integral.
Toda empresa de características de infraestructura Crítica o de seguridad de alta complejidad debe contar con una planificación de continuidad de negocios o BCP (Plan de Continuidad de Negocios) el cual debe tener consideradas las contingencias que pueden ocurrir. El llamado “what if’” (que pasa si?) requiere de una matriz de manejo de riesgos que lleve a los correspondientes planes de mitigación.
La seguridad integral requiere la unidad de pensamiento de todos los elementos y áreas que componen nuestra empresa para poder sobrellevar un eventual evento. Todos deben participar.
Para entender mejor lo anterior, les desarrollo un riesgo que toda empresa puede eventualmente sufrir y como ello nos obliga a tener una planificación que integre todos los componentes de la organización.
El ejemplo de riesgo a evaluar que expongo a continuación es un corte de energía por causas externas. Ante esta eventualidad y teniendo la necesidad de seguir operando; los BCP deberán indicar los equipos que tendrán redundancia, es decir, seguir funcionando con energía otorgada por sistemas de back up, tales como UPS y generadores.
La seguridad es una de las mayores afectadas en este tipo de riesgo. Dado que el 90 por ciento de los componentes de un sistema integral de seguridad son electrónicos, la caída de la fuente de energía afecta directamente. Si poseemos sistemas de ingreso electrónicos, cámaras, y alarmas de activación por apertura indebida o no registrada, el problema es mayor. El equipo de seguridad deberá desplegarse de acuerdo con un procedimiento previamente establecido, para asegurar la continuidad de la vigilancia y control, además de asegurarse que la operación de la empresa no se detenga.
Por ello, en la fase de planificación, debemos saber cuales sistemas deben ser sostenidos por un back up, es decir una fuente de energía secundaria o terciaria si es del caso.
Trabajando en base al concepto de seguridad integral, la planificación de ingeniería debe determinar las cargas que son críticas puesto deben seguir activas. Entre otros, debemos saber que sistemas seguirán operando, cuanto tiempo podemos sostener estos back ups para definir los niveles críticos que activarán la cadena logística para realimentar los generadores que sostendrán el sistema de emergencia hasta el restablecimiento del suministro energético normal.
El Manager de Seguridad tiene una misión fundamental en este tipo de riesgo. Debe adaptar la configuración de su recurso humano para poder suplir posibles fallas en los sistemas. Lo anterior debe ser entrenado y comprendido por todo el equipo que compone la seguridad de la Instalación.
Los sistemas de seguridad electrónicos tienden en general a resetear su funcionamiento, lo que debe ser monitoreado por la sala de control o SOC debiendo trabajar con los equipos de ingeniería electrónica para suplir algún defecto en ello.
Los detalles expuestos deben ser continuamente testeados y mantenidos con una regularidad que también debe ser incluida como parte de la planificación.
Como se puede apreciar en este esbozo de la problemática abordada en este artículo, la importancia de la seguridad vista desde una visión inserta como parte de la estructura funcional de la o las Instalaciones es primordial para una efectividad en la mitigación y respuesta ante eventos.
La matriz de manejo de riesgos de las infraestructuras críticas o de seguridad de alta complejidad requiere de la integración como he señalado de toda área integrante de la misma.
Existen variados modelos de gestión, disponibles en la web. Uno de ellos es el ESRM (Enterprise Security Risk Management) que es uno de los más completos del mercado.
Finalmente, les informo que este proceso de planificación, que requiere acuciosidad y experiencia para ser aplicado, es uno de los productos que Sciat Facere está en condiciones de ofrecerles.
Sciat Facere. Sabemos hacer.