Gestión de la seguridad en infraestructuras esenciales o críticas

En cada empresa existen instalaciones que pueden ser consideradas esenciales para la continuidad de la misma. La automatización de la activación de alertas permite que puedan enfocarse en las tareas de estrategia y dirección. Se explica el caso de control rutinario de presencia sobre las mismas.

En todas las empresas existen instalaciones que pueden ser consideradas esenciales para la continuidad de la misma. Sin estas instalaciones, la capacidad de producción se vería afectada grandemente, o incluso podría ser la causa de la extinción de la organización.

La consideración de infraestructura crítica, al menos en Europa, está más asociada a la defensa del País en el sentido de que su afectación en un desastre, sea natural o intencionado, tendría consecuencias directas en la organización o el funcionamiento de la sociedad. Incluso, en una situación bastante probable, un fallo en una infraestructura crítica puede afectar a otras infraestructuras críticas en proceso en cascada, incrementando el daño. Por ello se ha definido una clasificación sectorial y se han designado ciertas instalaciones como críticas, incluyendo desde la generación, transporte y almacenamiento de energía, a los transportes y telecomunicaciones, por citar algunos sectores.

Es lamentable, pero en la mayoría de casos el ser humano se mueve después de los desastres. En el caso de las infraestructuras críticas la legislación se empezó a mover rápido tras la evidencia de la vulnerabilidad de estas instalaciones. Los ejemplos son numerosos y van desde ciberataques contra plantas nucleares hasta atentados como el de la Estación de Atocha de Madrid.

El reto del Director de Seguridad
En este entorno actual, la vida de un responsable de Seguridad dista mucho de la plácida situación de hace pocos años: un incidente se manejaba de acuerdo a los procedimientos y había pocas variables en juego.

Ahora, cualquier incidente de cierta importancia tiene múltiples facetas: impacto en redes sociales, protección de datos, ciberseguridad, comunicación interna, gestión de los empleados, disponibilidad de los servicios, afectación a terceros o partes interesadas, cumplimiento regulatorio, obligaciones de informar a Contralorías o reguladores, impacto financiero, protección de la información confidencial, etc. y todo esto está ligado con temas absolutamente desconocidos hace años, como autentificación, plazos de recuperación, encriptación, disponibilidad, vocero, manejo de crisis, ransomware, etc.

Un nuevo superhéroe
Por tanto, el Director tiene que ser conocedor, de un enorme abanico de tecnologías que se integran entre sí mediante las tecnologías de información. Tanto las necesarias para desarrollar su actividad de autoprotección como para la gestión de emergencias y crisis. La realidad de tener que manejar e integrar en su vida diaria, y en la gestión de incidentes, todos los aspectos comentados anteriormente le convierten de alguna manera en un nuevo superhéroe que se ve abocado a enfrentarse a peligros para los que nunca se preparó, con herramientas generalmente caducas, frente a amenazas que evolucionan a cada minuto y generalmente con pocos recursos.

Afortunadamente, la evolución de estas tecnologías está bien representada en las ferias y los eventos, como los que organiza ALAS. Desde sistemas de monitoreo, videovigilancia a sistemas de comunicación. Estas herramientas vienen a apoyar la labor del director y a facilitar soluciones a problemas de manera más económica. Este es el caso que vamos a exponer, de una empresa energética que se tiene que enfrentar al monitoreo permanente de instalaciones esenciales y a las plantillas en las mismas, ubicadas en entornos distintos y distantes.

Caso práctico: monitoreo de personal e instalaciones
Una multinacional del sector energético, con instalaciones de almacenamiento de gas y de generación eléctrica y presencia en varios países latinoamericanos quiere controlar más de 70 instalaciones esenciales que tienen sólo la presencia de un vigilante custodiando. Para ello había implementado una norma de hacer llamada a cada hora para verificar que todo está normal. Este trabajo lo realizan 2 personas del centro de control, trabajando a tres turnos.

Mediante FACT24 se ha sustituido el trabajo de esas dos personas, que han pasado a otras tareas, por mensajes automáticos a los celulares de cada instalación. Cada hora, sin intervención de nadie, FACT24 envía un mensaje al smartphone a cada instalación. El mensaje Push se debe responder con un código y, si alguna instalación no responde, automáticamente el sistema inicia una llamada telefónica a los diferentes números al alcance de esa persona: celular y fijo. La llamada se debe responder también pulsando unos valores en el teclado para que el operador sepa que está bien: pulsar 1 significa todo bien, pulsar 0 que necesitaría ayuda. Si después de esos tres intentos no responde, el sistema inicia un escalado hacia los supervisores indicando que alguien no ha contestado.

Si el operador lo considera, puede iniciar una geolocalización del teléfono de la instalación para verificar si está en su ubicación, o por el contrario ha abandonado la misma. Este mismo protocolo de localización se usa para cuando diferentes empleados tienen que atender zonas en las que se produce un peligro (sismo, violencia, etc.) para localizarles y darles instrucciones. Especialmente útil tanto en Latam como en otras partes del mundo donde se están produciendo recientes ataques terroristas.

Además, para el control de las instalaciones se pueden incluir sistemas de IoT (Internet of Things) que pueden enviar correos electrónicos o SMS cuando detectan un problema. Para evitar que esos correos pasen inadvertidos se envían también a FACT24 que, tras filtrar si cumplen unos criterios (remitente, palabras clave, etc.) activa una alarma al equipo de intervención acelerando enormemente los tiempos de respuesta y reduciendo los daños.

Minimizar el factor humano.
En la actualidad, el alcance de estas soluciones permiten aliviar la presión sobre las personas que deben actuar y dirigir las crisis, permitiendo que puedan enfocarse en las tareas de estrategia y dirección y eliminando tareas recurrentes (llamadas, reportes) que les distraen y traen, a menudo, graves consecuencias.

La gestión de la alerta se puede automatizar y activarse mediante un botón que dispare decenas o cientos de avisos automáticos con respuesta de confirmación, incluyendo gestionar suplentes o realizar multiconferencias de crisis. Pero también se integran con sistemas de inteligencia, o dispositivos de IoT, para una activación sin intervención humana.

Con todo esto se busca minimizar el error humano, liberar la presión y permitir una trazabilidad de la ejecución que permita mejorar de manera continuada con cada ejercicio e, incluso, evidenciar ante las autoridades o aseguradoras el correcto manejo de la situación.
Para más información:
https://www.fact24.com/es/
laura.amador@f24.com
F24 Servicios de Comunicación, S.L.U.
Edif. Ática 5, planta 2
Avda. Europa, 26
28224 Pozuelo de Alarcón, (Madrid)