Please Go to Settings and Configure Slideshow

28 Marzo 2016

Articulo

 

Qué hacer antes, durante y después de un atentado terrorista desde la óptica de la Continuidad de Negocio y la Resiliencia

 

 

Germán Vargas

DRP/BCP Manager en Claro


Ingeniero de Sistemas con Especializaciones en Administración Financiera, Auditoría y GIS. Con experiencia en gerenciamiento de áreas de TI de grandes compañías como ALPINA, IGAC y de Auditoría/Control Interno en BAVARIA, TIGO, AVANTEL y DIAN. Actualmente trabaja en CLARO como Business Continuity/Compliance Leader y dirige todos los procesos de continuidad y de implementación y de certificación en estándares internacionales para el Data Center Triara.

Los actos de terrorismo ocurridos en Francia contra el semanario Charlie Hebdo el 7 de enero del 2015; en París en noviembre del mismo año con un resultado de 130 muertos y más de 300 heridos; los sucesos de San Bernardino California y ahora los ataques realizados en Bruselas con más de 30 muertos y un número apreciable de heridos de múltiples nacionalidades, han conmocionado al mundo y mantienen encendidas las alarmas y en alerta, no sólo a los gobiernos e instituciones oficiales, sino también a las empresas y la ciudadanía en general.

La amenaza se cierne sobre toda Europa, oriente próximo y América y podría impactar eventos globales, con participación masiva de países que son objetivos prioritarios de terroristas, como próximamente el Campeonato Europeo de Fútbol de la UEFA - Eurocopa 2016 y los Juegos Olímpicos de Río de Janeiro, entre muchos otros.

 

Qué se entiende por Terrorismo:

 

Aún cuando no existe una definición de Terrorismo acogida por todos, una posible definición sería: Fenómeno de impacto global, caracterizado por la utilización ilegal o amenaza de violencia premeditada, encubierta y sorpresiva que, a partir de una motivación normalmente política, religiosa, racial o del crimen organizado, busca sembrar el terror para establecer un contexto de intimidación, provocar repercusiones psicológicas de amplio espectro, generar pánico, producir miedo con fines diversos como conquistar territorios, hacer publicidad a sus causas o mostrar fortaleza y poder a sus opositores.

En el 2006 los estados miembros de la ONU aprobaron la “Estrategia global de las Naciones Unidas contra el terrorismo” y reiteradamente condenan este fenómeno en todas sus formas y manifestaciones. Pero los ataques continúan con la evidente afectación de la paz y la seguridad internacional, y nos ponen en reflexión sobre nuestra materia de interés: la resiliencia y la continuidad del negocio de las organizaciones, pues no solo la infraestructura básica que soporta los servicios de energía eléctrica, petróleo y gas y el suministro de agua para consumo se encuentran amenazadas, sino que directamente la infraestructura de la información y las comunicaciones podría ser blanco de ataques o ciberataques con impactos significativos y repercusiones sobre la supervivencia de las compañías.

Es por ello que el terrorismo surge como una importante preocupación para los profesionales de las disciplinas de riesgos, seguridad, continuidad del negocio y en general los responsables de hacer nuestras organizaciones resilientes.

 

El Terrorismo, una amenaza real para la continuidad de negocio:

 

El Reporte de Horizon Scan del BCI, que clasifica anualmente las principales amenazas a la continuidad de negocio, demuestra como el Terrorismo viene escalando posiciones, es así como en la clasificación del 2015 asciende a la cuarta posición:

  1. Ciberataques
  2. Fallas en la data
  3. Interrupciones de la tecnología no planeadas.
  4. Actos de terrorismo
  5. Incidentes de seguridad
  6. Interrupción del suministro de red
  7. Interrupción de la cadena de suministro
  8. Afectaciones por clima y mal tiempo atmosférico
  9. Disponibilidad de talentos y personal experimentado clave.
  10. Incidentes de seguridad

Se resalta de estos resultados que, por segundo año consecutivo, los Ciberataques ocupan el primer lugar y esta modalidad de ataque ya está siendo usada por los terroristas.

 

Análisis de Riesgos y acciones en el “Antes”:

 

La amenaza del terrorismo debe ser tenida en cuenta en los análisis de riesgos de la continuidad y debe determinar cada día más acciones preventivas, que limiten la ocurrencia de este tipo de actos, iniciando con el ámbito de la persuasión a través de controles visibles que desmotiven o disuadan a los presuntos agresores y otras que permitan identificar tempranamente posibles vulnerabilidades. La premisa primordial de estos análisis y su gestión es que el primer objetivo debe ser salvaguardar vidas y en segundo lugar de importancia, proteger los activos críticos y la información para asegurar la pronta recuperación de los servicios y generar garantía de permanencia a la organización.

Es importante fortalecer la seguridad física para la continuidad del negocio y contemplar todos aquellos mecanismos para identificar, detectar, prevenir y analizar oportunamente cualquier potencial acto terrorista que genere riesgo. Se deben identificar los posibles actores que generan inseguridad a nivel local y nacional y tener claros los factores que pueden llegar a afectar la seguridad; para ello es necesario revisar históricamente atentados anteriores ocurridos y el modus operandi de las organizaciones criminales y terroristas.

Se requiere disponer de mecanismos fáciles de comunicación para que los empleados, proveedores, clientes y público en general puedan reportar información sobre hechos sospechosos y presuntas situaciones que puedan desencadenar acciones terroristas.

 

Planear el “Durante” y el “Después”:

 

También se deben planear las acciones en el durante y el después de un evento de terrorismo, para que no sean motivadas por las emociones y la reacción instintiva, si no que obedezcan al análisis, la lógica, y el uso correcto de la razón a fin de adoptar las medidas pertinentes, conducentes y oportunas.

Se deben determinar eventuales escenarios y prever perspectivas de ataques y posibles controles y acciones de respuesta. Es importante definir un set de pruebas y simulacros de este tipo de ataques, para evidenciar la efectividad de la seguridad física y anillos de seguridad implementados. Las buenas prácticas nos indican que para sedes críticas se deben instalar mínimo tres (3) anillos de seguridad.

Otras verificaciones y validaciones relacionadas que se ponen a prueba y que con frecuencia generan oportunidades de mejoramiento en el desarrollo de estos ejercicios, tienen que ver con el comportamiento del personal de la sedes, pero sobretodo con los grupos de seguridad, monitoreo y vigilancia, su capacidad de reacción, sus procedimientos y comportamiento. Con las pruebas y la evaluación de controles implementados, a menudo se ponen de manifiesto e identifican debilidades y vulnerabilidades no previstas.

Es importante contemplar cómo los valores, aspectos culturales y las emociones particulares de las personas influyen en la forma de actuar ante este tipo de eventos y de cómo se abordan acciones para la continuidad del negocio. Ante un ataque inminente, siempre es pertinente conservar la calma, en la medida que sea posible, y tomar refugio; no se recomienda enfrentarlo de manera personal directa ya que quienes lo cometen generalmente está entrenados militarmente y normalmente dispuestos al sacrificio. Estas acciones sólo corresponden a los equipos de seguridad y personal especializado y por ello es importante involucrarlos en los simulacros.

Especial atención merece la revisión del Manejo de la Crisis y los procedimientos y mecanismos de su comunicación. En la mayoría de eventos, los terroristas previamente han estudiado los comportamientos y rutinas de los relacionados con su objetivo militar y están muy informados de las respuestas que están dando los cuerpos de seguridad. Además, están enterados de cómo el mundo está percibiendo el acto terrorista a través de los mismos medios de comunicación, lo cual regularmente es uno de sus principales objetivos, así como la generación del miedo en las audiencias y la difusión y propaganda de sus “causas”.

En la ocurrencia de un evento terrorista, como la detonación de un artefacto explosivo, inmediatamente después del evento, se deben enfocar los esfuerzos para evaluar la naturaleza de los hechos y determinar la magnitud de los daños, su severidad, las pérdidas y su impacto en la operación y el negocio. Es definitivo, estimar el riesgo de otras posibles explosiones o ataques conexos, normalmente los terroristas colocan más de un artefacto en su objetivo.

Las acciones deben valorar el potencial para la eliminación, contención o expansión del evento, estimar si es probable que continúe y se amplíen efectos en cadena (por ejemplo la generación de incendios, escapes de gas, debilitamiento de las estructuras de los edificios, etc.), establecer impactos de los mismos y generar acciones para mitigar su severidad.

Los equipos de gestión de emergencias deben iniciar sus procedimientos y estimar si se debe mantener a las personas en el sitio más seguro o establecer el momento más apropiado para desalojar la sede afectada.

Un práctica a revisar son los puntos de encuentro, luego de realizada la evacuación de personal, en un evento de terrorismo no es una buena idea reagruparlo, por lo menos no en la cercanía donde ocurrieron los hechos, porque podría ser el blanco de nuevas acciones.

A continuación se debe gestionar la contención y extinción definitiva. Y según la valoración de la gravedad y el impacto de la acción terrorista determinar la activación de la Recuperación de Desastres y la Continuidad del Negocio.

Profesionales en contraterrorismo y múltiples entidades y organizaciones competentes pueden apoyar el proceso para establecer líneas claras de acción para prevenir y atender eventos y atentados de esta naturaleza, nos referimos a la policía, las unidades antiexplosivos, los bomberos, la defensa civil, los equipos de seguridad nacional, las entidades de socorro y los centros médicos, entre otros, por lo que se requiere una coordinación previa y una comunicación frecuente con ellos.

Es importante recabar la mayor cantidad de información posible, cuidando la cadena de custodia, para facilitar a las autoridades la investigación sobre lo acontecido.

Un análisis posterior de los hechos y la identificación de oportunidades de mejora, siempre ayudarán a su organización y a otras a enfrentar mejor este flagelo, y generar nuevas mejores prácticas complementarias de Continuidad y Resiliencia.

Estas recomendaciones, presentadas de manera imparcial, pretenden que las organizaciones sean menos vulnerables ante los ataques terroristas, tener mayor efectividad en la prevención de pérdidas humanas, reducir los tiempos de inactividad comercial de sus productos y servicios, atenuar los costos de reparación de daños y primordialmente imposibilitar la viabilidad de extinción de las empresas y sus negocios.

 

Clases de Organizaciones Terroristas y quiénes son sus objetivos militares:

 

La siguiente tabla, fruto de mis investigaciones, muestra una posible clasificación de Organizaciones Terroristas según su motivación y presenta sus objetivos y mecanismos de ataque:

 

 

Su organización puede estar dentro de los afectados:

 

Si bien es cierto, su organización puede no ser foco directo de amenazas y atentados terroristas, sí podría verse afectado por otro tipo de ataques: instituciones u otras compañías con cercanía geográfica a sus instalaciones, la infraestructura básica nacional, proveedores de los que depende de manera importante u otras compañías que están en su cadena de valor y afectan su negocio. O simplemente porque algún empleado, proveedor o cliente insatisfecho, no lo suficientemente equilibrado, atente contra la seguridad de las personas, activos y/o información de su organización. En cualquier circunstancia las compañías deben estar preparadas para enfrentar la amenaza real de un acto terrorista.

El objetivo de este artículo ha sido concienciar a cerca de la amenaza denominada “Actos de Terrorismo” y sus diversas formas, con el propósito de adelantar acciones de continuidad de negocio aplicables en el antes, el durante y el después de la ocurrencia de un evento de esta naturaleza y poder así fortalecer la resiliencia de las organizaciones y lograr lo fundamental: la protección de la vida humana.