• Author / Uploaded
• Jorge Molano

Citation preview

Gestión de Crisis o Emergencias y Continuidad del Negocio Tabla de contenido 1. Gerenciamiento de Emergencias (“EM”, Emergency Management”) .................... 2 1.1.

Origen de la Gestión de Emergencias...................................................................................................2

1.2.

Estudios principales ..............................................................................................................................3

1.3.

Importancia ..........................................................................................................................................5

1.4.

Elementos del “EM” .............................................................................................................................7

1.5.

El “BC” (Business Continuity”) o Plan de Continuidad del Negocio .....................................................8

1.6.

Objetivos del “EM” ...............................................................................................................................8

2. Marco teórico de la planificación de Emergencias ................................................. 9 2.1.

Planificación Anticipada .......................................................................................................................9

2.2.

Propósitos del plan de emergencia ................................................................................................... 10

2.3.

Tipos de planes de emergencias........................................................................................................ 11

3. Desarrollo del plan de Emergencias ..................................................................... 13 3.1.

Formato del Plan ............................................................................................................................... 13

3.2.

Comando de emergencias ................................................................................................................. 16

3.3.

Relaciones externas ........................................................................................................................... 19

3.4.

Sistemas de alertas ............................................................................................................................ 23

3.5.

Evacuaciones ..................................................................................................................................... 24

3.6.

Apagado (“Shut Down”) y reinicio de equipos de emergencia ......................................................... 25

3.7.

Transporte ......................................................................................................................................... 26

3.8.

Entrenamiento, Simulacros y Ejercicios ............................................................................................ 26

4. Continuidad del negocio y Resiliencia .................................................................. 29 4.1.

“BCP” (Business Continuity Plan)....................................................................................................... 29

4.2.

“OR” (Organization Resilience) .......................................................................................................... 30

4.3.

Estándar ISO 22.301:2012 ................................................................................................................. 32

4.4.

ASIS/BSI BCM.01-2010....................................................................................................................... 45

5. Principales características de los desastres naturales .......................................... 46 6. Emergencias por Incendio.................................................................................... 51 6.1.

Tips de seguridad acerca del fuego ................................................................................................... 52

6.2.

Triángulo del fuego ............................................................................................................................ 53

6.3.

Elementos de protección ................................................................................................................... 54

6.4.

Formación de una brigada anti fuego en la empresa ........................................................................ 56

© Hernando D. Hernández, CPP

0

Gestión de Crisis o Emergencias y Continuidad del Negocio 7. Estructuras altas, “Security y Safety” ................................................................... 57 7.1.

Definición ........................................................................................................................................... 57

7.2.

Safety ................................................................................................................................................. 57

7.3.

Vulnerabilidades ................................................................................................................................ 58

7.4.

Contramedidas .................................................................................................................................. 59

7.5.

“SECURITY” ........................................................................................................................................ 60

8. Emergencias por disturbios civiles ....................................................................... 62 9. Emergencias por Huelgas ..................................................................................... 63 9.1.

Función de la vigilancia ...................................................................................................................... 63

9.2.

Planificación previo a la huelga ......................................................................................................... 64

9.3.

Operaciones durante la huelga ......................................................................................................... 67

9.4.

Evaluación posterior a la huelga........................................................................................................ 70

10.

Emergencias por bombas.................................................................................. 71

10.1.

Generalidades y terminología ....................................................................................................... 71

10.2.

Información necesaria sobre bombas ........................................................................................... 73

10.3.

Planificación de la seguridad en incidentes de bombas ................................................................ 75

10.4.

Tipos de incidentes de bombas ..................................................................................................... 76

10.5.

Emergencias por bombas - EXPLOSIONES ..................................................................................... 86

10.6.

Efectos explosivos.......................................................................................................................... 87

10.7.

Tipos especiales de bombas .......................................................................................................... 91

11.

Terrorismo ........................................................................................................ 94

11.1.

Definiciones ................................................................................................................................... 94

11.2.

Tipos y motivaciones ..................................................................................................................... 95

11.3.

Causas del terrorismo .................................................................................................................... 96

11.4.

Armas y apoyos.............................................................................................................................. 97

11.5.

Tendencias ..................................................................................................................................... 97

© Hernando D. Hernández, CPP

1

Gestión de Crisis o Emergencias y Continuidad del Negocio 1. Gerenciamiento de Emergencias (“EM”, Emergency Management”) 1.1. Origen de la Gestión de Emergencias La historia ha atestiguado muchos acontecimientos catastróficos, unos resultando de fuerzas de naturaleza y otros de la acción humana. Ellos han incluido sequías, hambres, inundaciones, fuegos (incendios), pandemias, erupciones volcánicas, terremotos, tsunamis, y otros desastres. Mientras los tipos de calamidades no se han cambiado mucho, los caminos de los cuales la gente se ha preparado para, ha respondido a, y se ha repuesto de emergencias han evolucionado con el tiempo. La dirección de emergencias formal en los países más desarrollados se formaliza a principios del Siglo XIX, con la asignación de fondos de carácter nacional o federal, como respuestas a desastres locales y de forma progresiva, el área publica, nacional y local y también el sector privado fueron cooperando, ante la necesidad de enfrentar fuegos(incendios), terremotos, e inundaciones. Muchos países en la “Guerra Fría”, establecieron programas de defensa civiles que incluyeron refugios públicos antiatómicos y para simulacros hasta en las escuelas llamados en inglés “duck and cover” sugiriendo la posición de un pato para cubrirse. Las nuevas amenazas terroristas globales y el incremento de los desastres naturales han provocado que, en muchos otros países menos desarrollados, también se atendiera esta realidad, a través de la consolidación de la mayor parte de las agencias y programas implicados en la dirección de emergencias. Asimismo, se está desarrollando la necesidad de contar con civiles y el sector privado en general, entrenados en atender las crisis y emergencias para coordinar esfuerzos con las organizaciones militares y policiales, quienes por formación, estructura y marco legal en la mayoría de os países, ya lo hacen. En USA en particular, desde los Programas de Defensa Civil y variadas Agencias a cargo de diferentes amenazas, en 1979, se establece la “FEMA” (Federal Emergency Management Agency) que consolidó agencias y programas a nivel Federal. Con la creación posterior del “DHS” (Department of Homeland Security), la FEMA pasó a integrarlo, con diferentes estructuras aún en evolución.

© Hernando D. Hernández, CPP

2

Gestión de Crisis o Emergencias y Continuidad del Negocio Dicho departamento posee un Sistema de advertencias nacionales (“HSAS”, Homeland Security Advisory System) y después del “11 S”, (nombre dado en el Sector de Seguridad y Emergencias, al Ataque Terrorista sobre el World Trade Center de New York, el 11 de Setiembre del Año 2001, donde fallecieron 2979 personas inocentes), también existe un Manual referido a ciberataques (“Cyber Threat Level Response Handbook”) y otras Directivas específicas, de la que destacamos: • Directiva 3, para las coordinaciones nacionales. •

Directiva 5, para incidentes domésticos, considerados como tales los ocurridos en las fronteras de USA.

•

Directiva 7, infraestructuras críticas.

ASIS International (www.asisonline.org) en sus Guías, también refiere a una Matriz de Respuesta, ante ataques terroristas, previendo acciones en 3 categorías (continuidad de las operaciones, personal y estructuras físicas) para cada uno de los siguientes 5 niveles de riesgo: RIESGO

COLOR

Bajo

verde

General

azul

Alto, no identificado

amarillo

Alto, con información de inteligencia

naranja

Ataque inminente o ya ocurrido

rojo

Programas de educación, certificaciones e información sobre preparación ante emergencias, pueden encontrarse en la página web de la “FEMA” (training.fema.gov).

1.2. Estudios principales Las actuales prácticas se basan en varios estándares y Guías desarrollados en diferentes países, por lo que no hay un único estándar internacional de referencia en la materia y muchas veces, similares conceptos, tienen nombres diferentes.

© Hernando D. Hernández, CPP

3

Gestión de Crisis o Emergencias y Continuidad del Negocio De otros países claves como referencia en la materia, destacamos: Australia.

La Dirección de Emergencia en Australia está a cargo del Attorney-General’s Department (AGD) donde se publican Manuales y Planes de Desastres. Canadá Desde el año 2003 existe el “Public Safety and Emergency Prepardeness Canada (PSEPC)”, y resultan muy esclarecedora la “Ley de Gestión de Emergencias” (www.publicsafety.gc.ca/index-eng.aspx) y el “Federal Emergency Response Plan” (www.publicsafety.gc.ca) Caribe. La Caribbean Disaster Emergency Response Agency (CDERA)agrupa a 16 Países de la región. Nueva Zelanda. El Ministerio de Defensa Civil y Dirección de Emergencia es quien dirige las Emergencias, y la temática se agrupa en la Ley “Civil Defence Emergency Management” (www.civildefence.govt.nz)

Reino Unido La responsabilidad de protección civil y emergencia recae en la Civil Contingencies Secretariat (CCS), (www.cabinetoffice.gov.uk/content/civil-contingencies) en UK Resilience (www.cabinetoffice.gov.uk/ukresilience), en British Civil Defense (www.britishcivildefense.org) destacándose el documento titulado” Business Continuity Management Toolkit” y el ‘Emergency Preparedness: Guidance on Part 1 of the Civil Contingencies ”.

USA Algunos conceptos y prácticas desarrollaron o adoptaron en USA para el uso por autoridades de dirección de emergencia estatales y locales también puede ser aplicado a la dirección de emergencias en otros países e incluso en el sector privado, porque no refieren solamente a una evacuaciones de comunidad en gran escala , ante huracanes o inundaciones , sino que los conceptos de planificación y consideraciones identificadas por ASIS Internacional, FEMA, y NFPA contienen estudios y experiencias de gran utilidad.

© Hernando D. Hernández, CPP

4

Gestión de Crisis o Emergencias y Continuidad del Negocio Destacamos en USA, los siguientes estudios que han sido realizados por la “FEMA”, complementados por otros relativos a ataques a edificios, surgidos como consecuencia de los atentados del “11 S”: •

“Reference Manual to Mitigate terrorist attacks against buildings”, FEMA 426 (2003)

•

“World Trade Center building performance study”, FEMA 403(2002).

•

“Fire safety investigation of the World Trade Center”, NIST National Institute of Standard and Technology (2004).

En Uruguay en particular, la Gestión de Emergencias se coordinan en el marco del Sistema Nacional de Emergencias (SINAE) (http://sinae.gub.uy/institucional/definicion-del-sinae/)

1.3. Importancia Las emergencias ocurren con demasiada regularidad, aunque las personas queremos creer que las cosas malas sólo les pasan a otros. Cuando una crisis o emergencia se inicia, muchas decisiones deben ser tomadas mientras el acontecimiento todavía se despliega y las dimensiones verdaderas de la situación son desconocidas. Mientras algunas decisiones afectarán la salud de la organización durante muchos años, otras pueden afectar su capacidad de sobrevivir. Una emergencia puede abrumar y sobrepasar a aquellos que no han hecho ninguna planificación o preparación. La planificación es esencial para asegurar la recuperación de interrupciones de la actividad empresarial y proteger la rentabilidad de la empresa. El inicio lógico para gestionar crisis y emergencias es el desarrollo de un Plan que INCLUYA: • Definir “emergencia" en términos relevantes a la organización considerada. • Establecer responsables para realizar tareas específicas antes, durante y después de una emergencia. • Establecer un método para usar recursos disponibles y para obtener recursos adicionales en el momento de una emergencia. • Proporcionar un medio para llevar las operaciones normales hacia y desde la modalidad emergencia.

© Hernando D. Hernández, CPP

5

Gestión de Crisis o Emergencias y Continuidad del Negocio Tanto las amenazas por eventos naturales, como la tendencia creciente al cybercrimen, violencia laboral o al terrorismo, han demostrado la necesidad de un gerenciamiento efectivo de las emergencias y un involucramiento en ello, también del sector privado. En gran medida, cada emergencia es específica pero también requiere de ciertas respuestas comunes, producto de los aciertos y errores de muchos involucrados en realidades dispares. El personal de respuesta de emergencia debería estar listo para funcionar en cualquier tipo de emergencia y su capacitación y entrenamiento deberían concentrarse en las situaciones más probables y en las características propias de cada sitio. Incluso con la planificación, es necesario improvisar y permanecer flexible cuando un desastre u otra emergencia golpean. Para la mayoría de las empresas comerciales, industriales, y gubernamentales, la necesidad de reanudar operaciones normales rápidamente es tan grande como la necesidad de controlar el daño potencial. La planificación antes de una emergencia es esencial. Durante una emergencia, habría que esperar la confusión y una interrupción de eslabones de comunicación. Las condiciones pueden hacerse caóticas. Un plan de emergencia debería permitir aquellos responsables de la recuperación, concentrarse en la solución de problemas principales. Debemos recordar entonces que, además de conocer los principios y respuestas que son comunes a todas las emergencias, se requiere conocimiento, equipamiento y entrenamiento específicos, para las amenazas más probables, que puedan afectar a la empresa considerada. Una adecuada y anticipada planificación, marca la diferencia, de las empresas que se pueden recuperar y retomar sus operaciones.

© Hernando D. Hernández, CPP

6

Gestión de Crisis o Emergencias y Continuidad del Negocio 1.4. Elementos del “EM” Los elementos o pasos del gerenciamiento de emergencias son: 1. Mitigación Son las actividades de largo aliento, que buscan reducir las pérdidas humanas y materiales, de desastres naturales o creados por el hombre, evitando o reduciendo su impacto, al crear comunidades más seguras. Buscan cortar el círculo vicioso de daño-reconstrucción y similar daño. También podría definirse como: •

Reducir la exposición, la probabilidad o las pérdidas potenciales por eventos peligrosos, enfocándose en “el dónde y cómo” ocurrirían.

•

Es la educación a la comunidad y las medidas concretas en la preparación para desastres.

2. Preparación Son las acciones anteriores al evento, para planificar, organizar, equipar y entrenar para las emergencias que no pudieran evitarse. 3. Respuesta Son las actividades inmediatas al evento, realizadas para salvar vidas humanas, atender sus necesidades básicas y sus propiedades. Es, asimismo: • •

Implementar los Planes de Emergencia o “EOP” (Emergency Operations Plans). Las investigaciones para determinar la causa y consecuencias del incidente, el apoyo a la seguridad y salud públicas y los esfuerzos por colaborar en la detención de culpables de eventuales delitos, para ponerlos a disposición de la Justicia.

4. Recuperación Son las acciones a corto y largo plazo, para llevar a la organización al nivel de operaciones anterior al incidente o a uno nuevo. Puede incluir Planes de Continuidad de Operaciones o del negocio, tareas de restauración, reconstrucción o recolocación a otras instalaciones.

© Hernando D. Hernández, CPP

7

Gestión de Crisis o Emergencias y Continuidad del Negocio 1.5. El “BC” (Business Continuity”) o Plan de Continuidad del Negocio Es la versión privada del “EM” a nivel público e incluye la “BIA” (Business Impact Analysis). Son todas las acciones privadas tomadas antes, durante y después de una emergencia, para minimizar los impactos negativos en las operaciones y dar respuestas oportunas para poder reasumir las funciones críticas del negocio y poder recuperarse si ocurre una emergencia. A nivel público, se constata en varios países, una creciente responsabilidad por analizar e informar de los impactos económicos, sobre los servicios afectados.

1.6. Objetivos del “EM” Son una aproximación en tres etapas básicas: •

Minimizar la probabilidad de la amenaza o emergencia (puede ser posible en amenazas humanas, pero no con las naturales).

•

Mitigar el impacto de las pérdidas o daños (es necesario educar al personal para minimizar las pérdidas de vidas o de la propiedad).

•

Recuperarse de la emergencia, retornando a las operaciones normales. (En ocasiones no permanecen idénticas).

© Hernando D. Hernández, CPP

8

Gestión de Crisis o Emergencias y Continuidad del Negocio 2. Marco teórico de la planificación de Emergencias Las decisiones que en las situaciones de crisis o emergencia, no se basen en una buena planificación previa, pueden afectar seriamente las vidas humanas y la continuidad de la empresa. La experiencia mundial comparada, indica que una buena planificación previa marca la diferencia y que una empresa puede o no recuperarse. El proceso de planificación es crítico y pese a ello , es generalmente poco comprendido. Muchas veces no hay Planes y si los hay, están “bien guardados” y olvidados o hasta desconocidos por los involucrados. La efectividad del Plan, depende que refleje las exigencias de la organización considerada y que todas las personas con responsabilidades en su implementación, entiendan sus responsabilidades y que estén entrenadas para cumplirlas en forma práctica. Los ejercicios mostrarán la eventual necesidad de revisiones, resignaciones o reentrenamientos necesarios y nuevas aprobaciones. Esta continuidad del proceso no termina, en tanto el Plan esté vigente(ASIS, 2005, 2009; FEMA,1993; NPFA, 2010)

2.1. Planificación Anticipada •

Es un componente esencial para que la respuesta a la emergencia sea efectiva.

•

Evita interrupciones y confusiones en los canales de comunicación.

•

Orienta a las personas que responden en primera instancia (“1 st Responders”) a enfocarse en los problemas más graves. Por ese motivo, resulta calve la capacitación y motivación de esos grupos, que son los primeros en estar en contacto con el incidente, y que en general son los vigilantes privados o personal de portería, los Bomberos y la Policía y en esa secuencia general de intervención.

•

Así mismo permiten que los “1 st Responders” dediquen sus esfuerzos a las situaciones imprevistas, porque para las previstas ya se han establecido procedimientos.

•

Permite prevenir y minimizar las pérdidas humanas y materiales.

•

Debe ser flexible

© Hernando D. Hernández, CPP

9

Gestión de Crisis o Emergencias y Continuidad del Negocio 2.2. Propósitos del plan de emergencia •

Resaltar el tipo de problemas que tendrán quienes deciden y actúan en las emergencias.

•

Considerar anticipadamente cómo debería actuarse durante el desarrollo de una emergencia.

1. Objetivos y su prioridad •

Proteger la vida (todos los que participan deben tener en cuenta que la vida humana es el principal objetivo a salvaguardar).

•

Proteger las propiedades.

•

Restaurar las operaciones normales (continuidad de las operaciones).

2. Beneficios •

Definir la emergencia en los términos relevantes para la organización.

•

Establecer un equipo interno con tareas especiales, para funcionar antes durante y después de la emergencia.

•

Establecer un método para gestionar los recursos disponibles y obtener otros adicionales.

•

Proveer medios para salir de la situación de emergencia y retomar las operaciones normales.

© Hernando D. Hernández, CPP

10

Gestión de Crisis o Emergencias y Continuidad del Negocio 2.3. Tipos de planes de emergencias •

“CEM” (Comprehensive Emergency Management.) En varios países, es el plan que se emplea a nivel de los gobiernos locales y la comunidad de emergencia.

•

“BC” (Business Continuity). Este plan es la versión privada del CEM e incluye un impacto de las pérdidas económicas en el negocio (“BIA, Business Impact Analisys”).

•

“COOP” (Continuity of Operations). Es un plan diferente empleado a nivel público, tal como ocurre en el Gobierno Federal de EEUU. El concepto también se emplea para los procedimientos implementados en las situaciones que requieran reubicar en forma temporaria o permanente a determinado personal y/o funciones.

a. Tipo de amenazas Las amenazas que inciden en el tipo de emergencias son: •

Personas en forma accidental (manejo de materiales peligrosos, seguridad de la información, etc.).

•

Personas en forma intencional (terrorismo, incendios provocados o “arson”, desórdenes civiles, secuestro, etc.).

•

Amenazas naturales (huracanes, terremotos, etc.).

Varios tipos de amenazas representan una variedad de contingencias para las cuales la planificación es apropiada. Los proyectos de emergencia no son queridos para cubrir situaciones dirigidas en el curso normal de operaciones comerciales o del gobierno. Por ejemplo, si un individuo clave está enfermo, durante vacaciones, o viajes, alguien más puede asumir las responsabilidades de aquella persona de acuerdo con los procedimientos de operaciones normales de la organización. Sin embargo, si la mayoría del Personal de una Empresa es incapaz de llegar a su lugar de trabajo, como consecuencia de una emergencia meteorológica, o si un huracán o tornado dañan seriamente una instalación, se trata de algo no rutinario, que requiere planificación (ASIS, 2005).

© Hernando D. Hernández, CPP

11

Gestión de Crisis o Emergencias y Continuidad del Negocio Las emergencias para las cuales es conveniente disponer de una planificación, son, entre otras, las siguientes: (FEMA, 1993; NFPA, 2010; OSHA, 2001): • Fuego o incendio • Explosiones • Cortes de agua • Cortes de energía • Fallos en los sistemas de computación • Fallos en las comunicaciones • Fugas de combustible • Incidentes con materiales peligrosos(“hazmat”) • Incidentes con momias • Desórdenes civiles • Ataque armado • Incidentes con barricadas o rehenes • Fenómenos meteorológicos graves (tornado, huracán, tempestad, inundación, etc) • Otros hechos naturales según la zona (terremoto, volcanes, etc) Esas amenazas, se pueden traducir en Planes, pero no todas las organizaciones necesitan todo tipo de Planes, ya que ello dependerá de las actividades de la organización de su “atractivo” a una organización criminal o terrorista o del tipo de instalaciones que posee. En general, resulta recomendable un enfoque genérico que considere todos los riesgos a través de un Plan de Emergencia básico con anexos más específicos por las diferentes amenazas. Muchos requisitos son comunes, independiente del tipo de amenaza y además resulta más adecuado para el entrenamiento previo y probablemente para la difusión, en tiempo y forma, a los interesados. La planificación de los incidentes provocados por las distintas amenazas, requieren un enfoque genérico llamado de “ALL HAZARDS” (cualquier amenaza). Un Plan de tipo genérico, aborda los riesgos de preparación y respuesta, pero los Planes específicos de continuidad del Negocio u operaciones, deben estar separados del Plan de Operaciones de seguridad de la Empresa (NFPA,2010; FEMA, 2010a) Las etapas en relación (contra cualquier amenaza) a un incidente son: • • • • •

Planificación Acciones previas Evento Respuesta Recuperación

El tipo de emergencia determina cuánto del plan es realizado antes o después del evento.

© Hernando D. Hernández, CPP

12

Gestión de Crisis o Emergencias y Continuidad del Negocio 3. Desarrollo del plan de Emergencias El desarrollo y la realización de un plan de enfrentarse con emergencias posibles es un proceso que insume tiempo y esfuerzo y la necesidad de la participación responsable por el equipo de dirección de la organización en la preparación de plan. La Dirección tiene que estar involucrada explícitamente en la identificación y la evaluación de los Activos claves de la Organización a ser protegidos y los diferentes Gerentes o Responsables de Áreas, son quienes mejora realizarán un análisis de riesgos inicial. El objetivo de un plan de emergencia es destacar los tipos de problemas que enfrentarán los responsables de decidir en los diferentes niveles y como forma de exigirles prevean, como reaccionar si una emergencia se concreta (ASIS,2005,2009; NFPA, 2010). 3.1. Formato del Plan El formato del Plan depende del tipo de organización y su política: Puede ser: • • •

Contra todo riesgo (contiene un plan genérico, con anexos diferentes para cada una de las amenazas) Específico para cada emergencia (es más difícil su actualización) Combinación de los dos anteriores.

La implementación del plan de emergencia, cualquiera sea su formato, incluye el entrenamiento, la coordinación e integración con los demás planes de operaciones de la empresa. 1. Principios claves •

Mantener la simpleza (contra cualquier amenaza) que en Seguridad y Emergencias se acostumbra a referirse como “Kis” o sea “Keep it Simple”

•

Entender las prioridades de emergencia.

•

Asignar responsabilidades.

•

Distribuir a todos los involucrados.

•

Realizar una auditoria anual y un mantenimiento del plan en tres instancias: − De manera regular − Después de cada emergencia o ejercicio − Cuando hay cambios en los responsables, procedimientos o distribución física de las instalaciones (“Layout”)

© Hernando D. Hernández, CPP

13

Gestión de Crisis o Emergencias y Continuidad del Negocio 2. Procedimiento o proceso •

Designar al responsable o Coordinador del plan (debe ser alguien capaz de negociar efectivamente con todas las gerencias y relacionarse con todos los niveles).

•

Comunicar formalmente por parte de la Gerencia General de la organización quien es el Coordinador, cuál es su autoridad y responsabilidades destacando explícitamente que contará con el apoyo de las máximas jerarquías.

•

Designar un Comité, con todos los representantes de los departamentos claves, para apoyar al coordinador.

•

Los departamentos incluyen: legal, personal, médico, transporte, relaciones públicas operaciones o ingeniería y seguridad.

•

No se debe crear una nueva organización con nuevo personal para manejar situaciones de emergencia.

•

Asegurar que el plan refleje los requerimientos de la organización.

•

Brindar entrenamiento a todos quienes tienen responsabilidades.

© Hernando D. Hernández, CPP

14

Gestión de Crisis o Emergencias y Continuidad del Negocio 3. Prioridades Deben prevenirse con anticipación para no malgastar recursos y aunque cada organización, puede tener sus prioridades, una lista sugerida y los principios a aplicar serían: PRIORIDADES

PRINCIPIOS A APLICAR

Proteger la vida





Evacuar a todas las personas no necesarias hacia un lugar seguro (“Evacuation and Shelter”) Proteger al personal que permanece en el área de riesgo. Rescatar a los heridos

 

Diseñar un entorno seguro (Safety) Entrenar a quienes deben enfrentar la situación.



Prevenir heridos

Reducir la exposición de los  ACTIVOS 

No concentrar innecesariamente materiales o equipo, (asegurando un back-up para las computadoras) Definir un área para reubicar los activos de valor



Asegurar un sistema de respuesta a la emergencia (personas, equipos o procedimientos) de manera oportuna, que tenga el apoyo suficiente

Retomar las operaciones  tan pronto como sea  posible 

Relocalizar grupos o funciones Reponer equipos o materiales necesarios. Revisar programas y planes en base a la información actualizada

Control de pérdidas

4. Supuestos del plan La planificación puede asumir ciertos hechos no probados (“Assumptions”) tal como los siguientes ejemplos: • •

Que brinden apoyo (“…existirán vehículos suficientes que obtendremos de…, etc.) O de limitación (“…solamente tendremos el 40% de los vehículos disponibles, o el grupo antibombas demora una hora en llegar a las instalaciones, o los Bomberos de la zona, que ya probamos, tardan en llegar …. etc.).

Planificar supuestos reduce la cantidad de incógnitas, pero también puede ser riesgoso, no considerar temas claves, porque el mensaje para todos es que en ese tema, no hay porque preocuparse. Por ese motivo la planificación de supuestos no debe ser arbitraria, sino basada en hechos previamente verificados.

© Hernando D. Hernández, CPP

15

Gestión de Crisis o Emergencias y Continuidad del Negocio 5. Componentes del Plan Un plan de emergencia tiene un orden lógico y aunque con algunos nombres u orden diferentes, resulta similar al empleado en las operaciones militares, donde se emplea las funciones de misión, comando y control, S1 personal, S2 información, S3 operaciones, S4 logística, S5 relaciones públicas, X detalles de coordinación. Los componentes básicos de un Plan de emergencias generalmente son: • • • • • • • • • • • • • •

Objetivos y prioridades Supuestos del plan Impactos Comando, gestión y control Procedimientos antes, durante y después del evento Coordinaciones exteriores Relaciones públicas y con los medios de comunicación Evacuación de emergencia y protección en el lugar Rescate de heridos Apoyo a las víctimas y sus familias Servicios médicos Entrenamiento y registro Restauración de las operaciones Anexos

3.2. Comando de emergencias Dentro de las tareas iniciales de comando, gestión y control, se debe establecer un Coordinador responsable (en general dependiente del Departamento de Seguridad o Ingenieros) titular y alterno para tomar las decisiones concretas para dirigir el incidente. Ese Gerente o “Comandante del Incidente” o “IC”, por sus siglas en inglés, está a cargo directo de gestionar la respuesta de la organización en el lugar de los hechos. Esa estructura es ampliable hasta considerar los Responsables principales en la dirección de su Incidente: • • • •

Comando Planificación Operaciones Logística

© Hernando D. Hernández, CPP

16

Gestión de Crisis o Emergencias y Continuidad del Negocio • • •

Finanzas y Administración Relaciones Publicas Seguridad y Salud Ocupacional

El “IC” puede disponer de una Organización mayor y estratégica que proporciona el apoyo necesario, para lo cual el “IC”, debe ser parte del equipo de gerenciamiento de crisis llamado generalmente “CMT” (Crisis Management Team) o “EMT” (Emergency Management Team). Algunas emergencias limitadas no requerirán la intervención del “CMT” y el Gerente o “Comandante del Incidente” dirigirá en exclusiva la respuesta sin coordinaciones con Organizaciones públicas de apoyo externo, pero otras crisis o emergencias mayores sí ameritarán la conformación de un “CMT”. Así mismo se debe establecer el lugar o puesto de comando donde funcionará el centro de operaciones de emergencias, llamado con diversos nombres “CMC” (Crisis Management Center), “EOC” (Emergency Operations Center), “COC” (Crisis Operations Center). Este lugar, debe permitir comunicación interoperable entre diferentes agencias por medio de una línea telefónica exclusiva y simultáneamente mediante comunicación inalámbrica.

1. Requerimientos del EOC: •

Espacio disponible para alojamiento y alimentación del personal y también para el equipamiento.

•

Fuente de energía autosuficiente.

•

Un lugar adecuado.

•

Capacidad de comunicaciones apropiadas. (Es clave en la eficacia de respuesta al evento y resulta importante disponer de una línea exclusiva con Bomberos o Policía, ya programada e incluso ver la posibilidad de ubicada separada de la oficina telefónica central de la instalación)

•

Asegurar que opere sin interferir las actividades diarias.

•

Asegurar que los decisores estén en un ambiente aislado de las condiciones meteorológicas, ruidos molestos y del acceso del personal y la prensa.

•

Prever un EOC alternativo ubicado a mayor distancia, con toda la infraestructura física necesaria y que puede ser fijo o móvil.

© Hernando D. Hernández, CPP

17

Gestión de Crisis o Emergencias y Continuidad del Negocio El concepto de gerenciamiento, es el mismo que se aplica en seguridad de la información o amenaza de bomba, donde se prevé que un equipo de emergencia llamado “TET” (Treat Emergency Team) o “CIRO” (Computer Incident Response Team) funcione en un centro de comando de operaciones llamado “ERV” (Emergency Rendez Vous Point). El CMT debe incluir los departamentos críticos según la emergencia y también representantes sindicales o hasta un representante religioso si fuera considerado apropiado en el caso. El CMT es responsable de supervisar, implementar y revisar el plan de emergencia, siendo sus tareas principales: •

Implementar el plan de contingencia.

•

Coordinar los recursos y las agencias externas.

•

Preparar las líneas de acción posibles para quienes tomen las decisiones.

•

Efectuar tareas de apoyo a las víctimas, familiares y otras de relaciones públicas incluyendo la prensa.

•

Reunir información referida a eventuales empleados violentos o respuesta a eventuales demandas terroristas, o del crimen organizado.

2. Sucesión de mando Hay que asegurar que el representante de la Gerencia General, o máxima Autoridad de la Organización considerada, esté siempre disponible, incluyendo quien se hace cargo de conducir la emergencia hasta tanto llegue el gerente “Seniors” o más antiguo. •

Se deben designar responsables alternos, quienes también recibir la información y efectuar los entrenamientos con anticipación.

•

Se debe preparar una lista de teléfonos de emergencia disponible para los gerentes claves y que sea controlada su distribución para el EOC u otros responsables.

•

Las opciones para la sucesión del mando pueden ser: − Que el CEO tome las decisiones. − Que se aplique la lista de sucesión para identificar la mayor jerarquía que se haga cargo. − Que tome decisiones el directorio de la empresa en base al “Quórum” requerido, se cubran las vacantes o se reduzca el número requerido. − Que decida un comité de emergencia cuando el marco legal lo permita.

© Hernando D. Hernández, CPP

18

Gestión de Crisis o Emergencias y Continuidad del Negocio En el caso de las organizaciones gubernamentales, el canal de mando es más claro y en las ONG, lo hace su personal clave. Debe asegurarse el liderazgo de la organización, con las siguientes medidas: •

El funcionamiento adecuado del directorio

•

Prever la sucesión de los puestos claves

•

Prever otro IOC alterno

•

Proteger los registros vitales de la organización

3. Plan de continuidad de las operaciones El desarrollo de este plan incluye: •

Detallar las áreas de operaciones.

•

Definir quién debe reportar y en qué condiciones y a quién, que debe estar disponible en forma permanente, aún en condiciones de desastre.

•

Comunicaciones necesarias para mantener las operaciones.

•

Implicar los archivos y registros que fueran necesarios.

•

Asegurar los recursos disponibles para evitar demoras, que pueden incluir la disponibilidad de líneas de crédito, u otra vía de apoyo financiero ágil y suficiente.

3.3. Relaciones externas Por cada Organización o Institución pública de apoyo como respuesta una emergencia, que pueda responder a incidentes de una instalación afectada, los planificadores deberían poder responder a las siguientes interrogantes: • ¿Dónde se ubica? • ¿Qué apoyo puede brindarnos? • ¿Bajo qué condiciones respondería? • ¿Cuánto tiempo demora en llegar y comenzar a responder? • ¿Qué información o apoyo necesitan de nuestra organización? • ¿Existe algún Acuerdo escrito entre nuestras Organizaciones previendo ese apoyo? • ¿Los representantes de Organización o Institución pública de apoyo, han visitado nuestra Organización y conocen nuestro Plan de Emergencia?

© Hernando D. Hernández, CPP

19

Gestión de Crisis o Emergencias y Continuidad del Negocio La función llamada generalmente “Laisson” incluye la coordinación externa con el personal de respuesta a la emergencia: 1. Policía Nacional y autoridad del área y Brigada de Explosivos del Ejército

2. Bomberos No se debe asumir que el personal de bomberos de la localidad estará disponible para la organización en una emergencia. En una fábrica, se deben entrenar el personal necesario para armar una brigada de fuego disponible en cualquier turno de trabajo. En una oficina de tipo administrativo es, también importante que el personal esté capacitado para captar la amenaza, informar a quien corresponda y evacuar las instalaciones. La finalidad de la brigada de fuego, un grupo que pueda combatir el fuego en la empresa, es porque el fuego es la mayor causa individual de destrucción de propiedades y que se encuentra presente en casi todas las situaciones de desastre.

Por ese motivo se debe: •

Coordinar visitas previas de bomberos y policías a las instalaciones para conocer el layout, donde están los materiales peligrosos y los activos de valor.

•

Definir personas de contacto y de ser posible, realizar un acuerdo por escrito que incluya los detalles del apoyo mutuo.

•

Hay que entrenar personal en apoyo o prever vigilantes privados, como refuerzo para brindar seguridad al personal, seguridad a los activos físicos y brazaletes o tarjetas, que permitan identificar y facilitar el control del personal.

El rol del departamento de seguridad para el control del fuego incluye: − − − −

Priorizar la vida y las propiedades. Limitar la extensión de los daños. Control de acceso y movimiento de personal y vehículos. Mantenimiento del orden, etc.

© Hernando D. Hernández, CPP

20

Gestión de Crisis o Emergencias y Continuidad del Negocio 3. Servicios médicos Se deben prever distintas posibilidades de apoyo médico: • • • • • • •

Comprobar disponibilidades reales del departamento médico propio. Otro personal propio disponible adecuadamente entrenado en Primeros Auxilios, etc. El empleo del hospital de la localidad (prever cantidad de camas disponibles, Transporte, Tratamientos, etc). Empleo de un hospital de campaña, similar a los empleados de una fuerza militar, con grandes carpas en el terreno. Apoyo de psicólogos para las víctimas, y el propio personal interviniente en primera instancia (“First Responders”) Grupo de expertos en explosivos, etc. Prever Puertas de entrada y salida más directas para las respuestas médicas y lugar y espacio para manipular camillas, sillas de rueda, etc.

Para ampliar sobre este tema, se adjunta en la sección Material de referencia del Aula Virtual, los documentos denominados: “Primeros auxilios en emergencias” y “TRIAGE”.

4. Los gerentes de la organización Planificar cómo, cuándo y qué se informará. 5. Personal Planificar cómo, cuándo y qué se informará al personal sindicalizado y al no sindicalizado. 6. Víctimas, supervivientes y sus familias Se debe designar un representante de la empresa como contacto, que tenga la autoridad necesaria para informar de los esfuerzos realizados por mejorar o resolver el incidente. Prever un lugar que permita el apoyo logístico (alimentación, transporte, descanso, el apoyo psicológico o religioso) y que se encuentre separado de la prensa. 7. Autoridades oficiales Planificar cómo, cuándo y quién informará.

© Hernando D. Hernández, CPP

21

Gestión de Crisis o Emergencias y Continuidad del Negocio 8. Relacionamiento con la comunidad •

Prensa Se debe asegurar una fuente única de información por parte de la empresa para evitar confusiones, pudiendo coincidir con el departamento de relaciones públicas. Se debe asegurar un titular y alterno que conozca los planes de emergencia, siempre comunicar a la prensa de los sucesos, excepto en un caso de secuestro, e incluir una breve declaración escrita y evitar el “no hay comentarios” (“NO Comments”).

Si los representantes de la prensa quedan con la impresión que la organización no está entregando la información adecuada, contactarán personas alejadas de la situación real y conduce a tergiversaciones y rumores, que podría afectar la imagen pública a largo plazo de la organización. Si es necesario limitar cierta información por motivos de seguridad, se debe explicar y pedir esa reserva. Los nombres de muertos y heridos deben ser entregados lo antes posible y la prensa entiende que los familiares deben ser informados antes que la información tome estado público. En una situación de disturbios o rehenes, es habitual que los autores estén monitoreando los medios de comunicación. Si la Gestión del incidente es de un lapso prolongado, es conveniente prever un lugar para reuniones informativas, prever recorridos de la escena del incidente, emisor tarjetas de acceso para los periodistas, etc. El manejo de esta u otra información sensitiva, debe estar incluido en el Plan. Es conveniente prepararse con expertos para las preguntas de la prensa, planificar una cobertura fotográfica de la escena del desastre que pueden emplearse en eventuales demandas legales o para el área de seguros. •

Grupos de protesta o activistas Deben considerarse en el plan.

•

Asociaciones de ayuda mutua (“Mutual Aid Associations”) Es una asociación de empresas privadas que prevean compartir personal y equipo, para enfrentar las situaciones de emergencia.

© Hernando D. Hernández, CPP

22

Gestión de Crisis o Emergencias y Continuidad del Negocio Los objetivos son: − Establecer una organización de emergencia que permita reducir los daños. − Asegurar la continuidad de las operaciones. − Ser parte del plan de emergencia de la comunidad, que, a su vez, debe ser para el Sistema Nacional de Emergencias existente. Los pasos para crear este tipo de asociación son: − Obtener asesoramiento de las organizaciones públicas para la organización de desastre. − Formar un grupo con representantes de las empresas privadas y una persona con experiencia. − Elegir los integrantes del comité y el Coordinador del mismo. − Formar comités que desarrollen planes y procedimientos, coordinando periódicas reuniones. Los planes de emergencia deben entonces, evidenciar los tres principios en el control de desastres que son: − Planes coordinados − Asociaciones de ayuda mutua recién detallada − Empleo eficaz, eficiente y transparente de los recursos de la comunidad o de otro origen.

3.4. Sistemas de alertas El Plan de emergencia debe proporcionar un método de advertencia a quienes están en la instalación cuando ocurre una emergencia.

© Hernando D. Hernández, CPP

23

Gestión de Crisis o Emergencias y Continuidad del Negocio Se debe proveer un método que alerte tan pronto como sea posible, conocido en inglés como ASAP (“As Soon As Possible”) que considere: •

Ruidos y distancias. El ruido ambiental y las distancias inciden y por ello se debe prever el empleo de altavoces y teléfonos existentes, campanas y sirenas exteriores, entre otros.

•

Comprobar efectividad de los Avisos fuera y dentro de las instalaciones.

•

Señales visuales (luces intermitentes, etc) o auditivas que permitan comunicar a personas con capacidades diferentes.

•

Revisar periódicamente el conocimiento del personal de cuales son los eventuales sistemas de alerta y revisar las condiciones de los equipos.

3.5. Evacuaciones No es suficiente hacer sonar una alarma y pedir a los ocupantes que se trasladen a la salida más cercana. Se deben prever puertas, rutas o puntos de reunión (“Assembly Points”) alternativos, al hacer ejercicios de práctica en forma regular. En la planificación se considera generalmente como corto plazo al lapso de 1 hora y durante dicho período, es habitual que los ya evacuados al exterior, se inquieten y busquen alguna forma de resolución personal o grupal al incidente, pero no prevista ni coordinada. La planificación de una evacuación debe considerar salidas rutas y Zonas de Reunión alternativas y todo ello sólo se aprende a través de la practica efectiva y no leyendo un documento. Una forma de hacerlo es bloquear la salida principal para un piso distinto o parte de un edificio u oficinas para un Ejercicio de simulacro. Puede colocarse un letrero que diga; “SALIDA BLOQUEADA DEBIDO AL FUEGO” o con una persona allí que lo diga personalmente e impida el paso. Para muchos, usar las escaleras o caminar las distancias reales hasta la Zona de Reunión, será una experiencia nueva.

© Hernando D. Hernández, CPP

24

Gestión de Crisis o Emergencias y Continuidad del Negocio Se debe recordar que las distancias de seguridad para proteger al personal son mayores para una emergencia de bomba, que para una de fuego. Los Planes de Emergencia también deben prever Refugios, por si la evacuación es inviable o no deseable, tal como ocurre con un derrame de material peligroso, un tornado o ante el ingreso de un Agresor con intenciones de asesinar o secuestrar a los ocupantes. Ese Refugio de ser posible, de be permitir disponer de elementos sanitarios, alimentos y agua, pero particularmente cobertura visual y edilicia. La Lista siguiente incluye, como ejemplo, alguno de esos elementos que deben considerarse al planificar una evacuación: • ¿Dónde están las salidas principales? • ¿Dónde están las salidas alternativas? • ¿Los empleados usaran las mismas salidas, a excepción de los incendios? • ¿Como se notificarán las emergencias que no sean motivadas por un incendio? • ¿Dónde se evacuarán los ocupantes en el corto plazo (menos de 1 hora)? • ¿Dónde se evacuarán los ocupantes en el largo plazo? • ¿Qué acciones se prevén para emergencias climáticas? • ¿Como se mantendrá informados a los evacuados del estado del incidente? • ¿Que se prevé si los vehículos de la Empresa y del personal, están inaccesibles? • Etc.

3.6. Apagado (“Shut Down”) y reinicio de equipos de emergencia El plan de Emergencia debe asigna responsabilidades específicas para el apagado de equipos. Si ciertos procesos o equipos no se apagan o finalizan debidamente, pueden aumentar los riesgos. Por ello se debe prever: •

El propio personal que conoce el proceso, es responsable de apagar el equipo y luego evacuar el área.

•

Se prevé un grupo mínimo para proteger aquellos equipos, que han sido definidos como prioritarios por los gerentes. (Es recomendable concentrarse en salvar algo que abarcar demasiado y perder todo)

© Hernando D. Hernández, CPP

25

Gestión de Crisis o Emergencias y Continuidad del Negocio •

Se debe disponer de una lista de equipos y procedimientos claves de restauración.

•

Un grupo de ingenieros o por lo menos un técnico, debe revisar el estado de la infraestructura, luego de la emergencia.

•

Se debe prever Procedimientos de Restauración de equipos con una lista de los considerados claves.

•

Se debe evaluar previamente el costo de adquisición o sustitución de equipos clave igual que el impacto producido por el lapso de ausencia de esos equipos, hasta restaurar las operaciones normales.

Un caso particular es el sector petroquímico donde no se debe abandonar la sala de control.

3.7. Transporte Los vehículos son necesarios para transportar personal o materiales, debiendo: •

Asignar un responsable y alterno para el control de los vehículos.

•

Planificar un apoyo externo de vehículos. En caso del empleo de los vehículos del personal, se debe prever el pago a los mismos por dicho servicio.

3.8. Entrenamiento, Simulacros y Ejercicios Todos las Organizaciones deben planear el entrenamiento inicial y reactualizaciones de los Planes de emergencia. El alcance del entrenamiento) depende en la naturaleza de las actividades, pero debe alcanzar a empleados, invitados que se repiten, contratistas y otras personas que tengan acceso frecuente a las instalaciones. No todas las partes de un Plan necesitan ser comprobadas en forma simultánea pero cada ejercicio realizado, debe evaluar varios aspectos coordinados.

© Hernando D. Hernández, CPP

26

Gestión de Crisis o Emergencias y Continuidad del Negocio Para validar el Plan, es necesario realizar una Prueba sin aviso y que incluya los controles de seguridad adecuados, que son ensayos para un suceso real, considerando la salud ocupacional de todos los involucrados, porque los ejercicios deben ser reales sin poner en riesgo a las personas. Las organizaciones externas involucradas, tales como Bomberos, Policía, Ejército, Autoridades locales, etc. deben ser involucradas en los ejercicios en que participan efectivamente, o disponer de una persona que vaya registrando los contactos externos que se harían en dichas situaciones. Algunas recomendaciones para realizar ejercicios de Emergencias, sería las siguientes: • Considere una secuencia lógica de la complejidad de ejercicio (papel, mesa de arena, interactiva, llena(plena)), según las necesidades de la organización. • Entrene a los entrenadores primero, y asegúrese que ellos entienden que los ejercicios no son competencias o juegos. • Considera los peores escenarios y también los más probables • Darse cuenta que la seguridad y el uso de la fuerza son factores de control principales. • Entender que un ejercicio puede ocuparse con una parte de un plan y no necesariamente del Plan completo. • Entrenar primero y luego ejercitar el Plan. • Desarrollar un escenario basado en una parte o todo el Plan, para poder comprobarlo. • Controlar las comunicaciones con los Organismos de apoyo externos al Plan. • Tener otro Plan específico, para enfrentar los eventuales incidentes reales durante el ejercicio. • Lograr que el ejercicio sea lo más real posible, dentro de los límites de seguridad. • Ejercitar con Responsables alternativos y rutas alternativas. • Ejercitar previsiones para personal y visitantes con capacidades diferentes.

Hay tres momentos en que se deben realizar entrenamientos: • Al inicio del plan. • En forma periódica. • O especial, tal como ocurre para manipular materiales peligrosos, (“HAZMAT”) Se debe mantener un chequeo continuo de revisión del plan que prevean evacuaciones y ejercicios completos a gran escala.

© Hernando D. Hernández, CPP

27

Gestión de Crisis o Emergencias y Continuidad del Negocio 1. Los principales tipos de entrenamiento son: •

Sesiones de orientación regulares.

•

“TABLE TOP”.

•

“WALK THROUGH DRILLS” El CMT, práctica sus funciones de emergencia.

•

“FUNCIONAL DRILLS”

Donde se chequea una función específica del plan, (como deben responder los médicos, etc.)

•

“EVACUATION DRILLS”

El personal practica la evacuación caminando por las propias rutas definidas en el plan.

•

“FULL SCALE EXERCISES”

Es el ejercicio completo más parecido a la situación real, que incluye a las agencias externas. (Bomberos, Policía, Brigada Antibombas del Ejército, etc)

Es un ejercicio que simula un escenario de emergencia donde el CMT se reúne en una sala de conferencias, para repasar sus responsabilidades y para analizar las eventuales respuestas.

2. Motivos por lo que realizar ejercicios: • • • •

Chequear que el plan funciona. Determina el nivel de entrenamiento y apresto o motivación para la respuesta (AWARENESS) Evaluar el sistema de comunicaciones. Ver las fallas en el procedimiento de evacuaciones, que es común a los diferentes planes.

© Hernando D. Hernández, CPP

28

Gestión de Crisis o Emergencias y Continuidad del Negocio 4. Continuidad del negocio y Resiliencia Como ya vimos, hay Planes para el Gerenciamiento de Emergencias (“CEM”), de Continuidad del Negocio (“BC”) empleado por el sector privado y de continuidad de las operaciones (“COOP”), empleado por el sector público, pero con conceptos de aplicación útiles también a los anteriores planes. Son planes separados a los de Emergencia, pero aclararemos algunos conceptos relacionados: 4.1. “BCP” (Business Continuity Plan) Es un esfuerzo comprensivo para priorizar los procesos claves del negocio, identificar amenazas significativas a las operaciones normales y planear estrategias de mitigación, para asegurar una respuesta de la organización efectiva y eficiente, durante y después de la crisis. El Plan de Continuidad del negocio depende del tipo y necesidades de la Empresa considerada y las estrategias pueden incluir la recuperación en el lugar, tercerizar algunas funciones o relocalizar las funciones críticas y el personal a uno o más sitios alternativos, ya sean propios o tercerizados. Cualquiera sea la estrategia elegida, el objetivo es reasumir las funciones críticas tan pronto como sea posible y restaurar las condiciones operativas previas a la situación de emergencia y si no es posible lo anterior, a un nuevo lugar o nivel de operaciones. Los test del “BCP” como vimos, o “BC” (“Business Continuity”) y los del “COOP”, son tan importantes como los practicados para los Planes de Emergencia y se deben hacer lo más reales posibles y en un entorno controlado. El “BC” debe detallar entre otros temas, los lugares alternativos, las comunicaciones y quienes, cuándo y cómo deberán reportarse, para conocer la situación y disponibilidad del personal. La siguiente Lista, no exhaustiva, incluye algunas preguntas claves para la Planificación de la Continuidad de las Operaciones: • ¿Cuáles son las funciones más críticas de mi organización? • ¿Qué se necesita para restaurar esas funciones? • ¿Qué condiciones necesita una reubicación?

© Hernando D. Hernández, CPP

29

Gestión de Crisis o Emergencias y Continuidad del Negocio • • • • •

¿Quién tendrá la autoridad para disponer la reubicación? ¿Qué personal o funciones sería reubicado? ¿Dónde sería la reubicación? ¿La carga de equipos básicos imprescindibles es almacenarle en contenedores portarles para un rápido despliegue? ¿La nueva instalación permitirá reuniones, comunicaciones, alojamiento, energía, alimentación, estacionamientos, instalaciones sanitarias, seguridad, etc.?

Debe considerar asimismo el manejo y archivo de los “registros vitales”, que son los documentos que asegurarían la supervivencia del negocio, tales como información de clientes, operaciones, ingeniería, procesos y políticas y datos del Personal para el pago de haberes, etc. Dichos registros deben de disponerse anticipadamente en las instalaciones alternativas, para evitar el fenómeno conocido como “amnesia organizacional”, muy habitual en situaciones de crisis.

El proceso de planificación de continuidad de las operaciones incluye el “BIA” (Business Impact Analysis). Este último identifica las funciones críticas del negocio, el impacto en el tiempo que podría tener la emergencia en esas funciones y otros elementos que pudieran ser afectados por depender de esas funciones y prioriza las estrategias de recuperación. Algunos autores entienden que el “BIA” es un análisis neutral al tipo de peligros (“hazard neutral”) porque le interesa trabajar sobre las consecuencias y no sobre las causas y otros autores incorporan las causas y peligros al análisis.

4.2. “OR” (Organization Resilience) Es un concepto importante tanto para el sector público como para el privado y es la capacidad de adaptación de la organización en un medio ambiente complejo y cambiante. También es la habilidad de resistencia, a los efectos del evento o la habilidad para retornar a un nivel de desempeño y en un lapso aceptable.

© Hernando D. Hernández, CPP

30

Gestión de Crisis o Emergencias y Continuidad del Negocio El sistema aplica el Modelo “PDCA” (PLAN, DO, CHECK, ACT): • “PLAN”, en la planificación, define y analiza el problema y sus causas. • “DO”, desarrolla e implementa la solución. • “CHECK”, confirma y ve diferencias con el plan. • “ACT”, acciones correctivas de mejora. También se refiere al modelo anterior como “APCI”: o (ASSESS, PROTECT, CONFIRM, IMPROVE) de analizar, proteger, confirmar y mejorar en forma continua. Las etapas del “OR” son: • Conocer la Organización. • Política y compromiso de la Gerencia. • Planificación (donde sugiere aplicar la norma ISO 31000 para analizar riesgos y hacer también un “BIA”) • Implementación (responsables, capacitación, comunicación, etc.) • Acciones de chequeo y correctivas. • Revisión de la Gerencia, para detectar oportunidades de mejora. • Asimismo puede emplearse el modelo de la “moña” o “BOW TIE”, para la prevención-incidente-recuperación.

Es una manera esquemática simple que no se puede emplear para analizar causas simultáneas, pero que permite analizar rutas de riesgo desde causas a consecuencias y se centra en la prevención y mitigación, tal como aparece en esta imagen.

ASIS International dispone de 2 Guías sobre el tema, que incluye un Modelo de maduración llamado “ORM” (Organizational Resilience Model) que permite coordinar actividades para gerenciar los riesgos operativos, en 6 fases: “Preawareness” Etapa en que la empresa sólo reacciona, pierde información y en la que debe trabajarse para reconocer la necesidad de un programa.

© Hernando D. Hernández, CPP

31

Gestión de Crisis o Emergencias y Continuidad del Negocio “Proyect approach”

Un líder inicia un Proyecto que incluye analizar los “gaps” o distancias que separan de la actual situación hasta alcanzar los objetivos del estándar.

“Program approach”

El Gerente de Proyecto expande hacia un programa, con selección de individuos claves para formular planes.

“System approach”

La Gerencia General entiende el tema y apoya, integra y se realizan Auditorías.

“Management approach”

Se alcanza la conformidad con los estándares de resiliencia.

“Holistic”

Los beneficios del modelo se extienden hacia el exterior de la empresa.

Este sistema puede emplearse para gerenciar la Empresa en coordinación con otros sistemas de gestión existentes (ej. ISO 9001, ISO 14001, ISO 28000, ISO 27001), etc.

4.3. Estándar ISO 22.301:2012 Las empresas y la sociedad en general afrontan riesgos geopolíticos, sociales, económicos, ambientales y tecnológicos, entre otros y esos riesgos se nos aparecen con una creciente complejidad por la globalización en un mundo cada vez más interdependiente y también por los cambios demográficos. Es improbable un desastre; pero somos muy vulnerables a ellos. No todos los eventos se pueden evitar, pero a través de la prevención se puede contribuir a que no se conviertan en una catástrofe. Ante un Incidente por fuego, por ejemplo, se debe llamar a los bomberos y el que no se pueda acceder al edificio, causa una interrupción, que tiene un impacto, por afectar la capacidad de operar el negocio.

© Hernando D. Hernández, CPP

32

Gestión de Crisis o Emergencias y Continuidad del Negocio Los principales factores que afectan a la continuidad de negocio son: 1. 2. 3. 4.

Dependencia creciente de la tecnología. Interdependencia de los proveedores. Un acto individual puede tener consecuencias planetarias. La competencia (feroz) no perdona interrupciones prolongadas o, simplemente, apreciables por los usuarios. 5. Cualquier obligación legal o regulación sectorial. Algunos de los impactos posibles son: − − − − − − − −

Pérdida de productividad Pérdida de ingresos directa Incremento de los costes de proceso Incremento en las reclamaciones de clientes Retraso en el suministro de productos/servicios Daño a la marca y la reputación Multas o penalizaciones Caída de valor de las acciones

Veamos conceptos más definidos acerca de la CONTINUIDAD DEL NEGOCIO y su GESTION El Sistema de Gestión de la Continuidad del Negocio (SGCN) se ha convertido en una exigencia para las empresas que compiten el día de hoy en los mercados globalizados. La tendencia mundial es que ya las empresas no sólo compitan entre sí: la competencia es entre cadenas de suministros. Una cadena de suministros, para mantenerse operando, no puede tener ningún eslabón débil; ninguno de sus componentes puede dejar de operar ya que si un elemento del todo dejara de funcionar se paraliza toda la serie, generando el caos. Cada miembro del sistema tiene que demostrar que es un proveedor confiable. Esto se logra teniendo en cada empresa un SGCN que proteja a los procesos esenciales que permiten originar los productos o servicios que desea el cliente. ¿Qué es entonces un SGCN? Es parte del sistema de gestión gerencial que establece, implementa, opera, evalúa, mantiene y mejora la continuidad del negocio. 'Un SGCN da confianza a terceros ya que ha identificado los procesos esenciales que soportan a los productos o servicios que se desean proteger de escenarios de amenazas, producto del análisis del riesgo" (Alexander, 2007).

© Hernando D. Hernández, CPP

33

Gestión de Crisis o Emergencias y Continuidad del Negocio Cada escenario de amenazas tiene una estrategia de continuidad que se materializa a través de planes de reanudación de operaciones que son ensayados regularmente. Una empresa con un SGCN ensayado periódicamente es muy difícil que deje de operar y no pueda suministrar sus productos o servicios. Continuidad de Negocio "Capacidad estratégica y táctica que tiene una Organización para planificar y responder a incidentes e interrupciones del negocio con el fin de continuar con las operaciones críticas del negocio dentro de un nivel de servicio aceptable y asumible por la Organización" Esto es: Se trata de priorizar, porque no es para operativa diaria en normalidad. Se trata de planificar y anticipar, evitando el tener que improvisar ante una contingencia, de manera que el modelo de gestión sirva para situaciones previstas e imprevistas.

Gestión de Continuidad de Negocio "Proceso de gestión holístico que identifica amenazas potenciales a las que se puede enfrentar la Organización y los impactos a las operaciones que dichas amenazas, caso de materializarse, puedan causar, y que proporciona un marco para construir resiliencia organizativa con capacidad de dar una respuesta eficaz que salvaguarde los intereses de sus grupos de interés, prestigio, marca y actividades de creación de valor fundamentales". Gestionar la recuperación o continuidad de actividades de negocio en el caso de producirse un acontecimiento de interrupción de negocio (anticipación). Gestionar la formación, ejercicios y revisiones de CN para procurar que los Planes de Continuidad de Negocio se mantengan al corriente y actualizados (preparación continua y constante). Reducir los riesgos a un nivel aceptable y desarrollar planes para restaurar las actividades del negocio si se interrumpen por un desastre. Plan de Continuidad de Negocio (BCP) "Conjunto de procedimientos e información documentados que se desarrolla, compila y mantiene preparado para su uso en caso de producirse un incidente, para permitir a una Organización seguir desempeñando sus actividades críticas a un nivel aceptable predefinido".

© Hernando D. Hernández, CPP

34

Gestión de Crisis o Emergencias y Continuidad del Negocio Esto es: • Necesidad de disponer de documentación con los procedimientos e información (proceso formal). • Mantener y actualizar para su uso cuando sea necesario. • Importancia de realizar pruebas para una correcta actualización del Plan.

¿QUÉ ES LA ISO 22301? − Un estándar de requisitos − Un estándar de Sistemas de Gestión − Describe lo que necesitas alcanzar para una buena práctica de continuidad de negocio − Norma certificable

¿CÓMO ENCAJA CON LA GESTIÓN EMPRESARIAL? Los negocios hoy en día son cada vez más dependientes de: − − − − − −

Globalización Cadena de suministro Externalización de servicios Producción a bajo coste Logística "Just in Time" Protección de la imagen de marca

Y además hoy están más afectados por: − Opinión pública y noticias permanentes − Redes sociales y otros medios online − Aumento de leyes y normas de regulación y control − Multas y penalizaciones por incumplimientos de contratos

© Hernando D. Hernández, CPP

35

Gestión de Crisis o Emergencias y Continuidad del Negocio Perfiles diferentes de las Empresas PERFIL

EMPRESAS DESPREVENIDAS Probabilidad ALTA

EMPRESAS INDIFERENTES Probabilidad BAJA

EMPRESAS TEMERARIAS Probabilidad ALTA

ACTIVIDADES IDENTIFICADAS CRÍTICAS DEL NEGOCIO RESPUESTA ANTE CON CRISIS/DESASTRE ESTRATEGIAS

NO IDENTIFICADAS

NO IDENTIFICADAS

NO IDENTIFICADAS

CON ESTRATEGIAS

SIN ESTRATEGIA

SIN ESTRATEGIA

CONOCIMIENTO E Conoce el “BCP” IMPLEMENTACION Y TIENE DEL “BCP” IMPLEMENTADAS MEDIDAS

Conoce el “BCP” Y TIENE IMPLEMENTADAS MEDIDAS

NO Conoce el “BCP”, ni TIENE IMPLEMENTADAS MEDIDAS

NO Conoce el “BCP”, ni TIENE IMPLEMENTADAS MEDIDAS

INCIDENTES

EMPRESAS PREPARADAS Probabilidad BAJA

¿PARA QUÉ EMPRESAS ES ADECUADA LA CONTINUIDAD DE NEGOCIO? − Entidades nacionales e internacionales − Cualquier tamaño − Cualquier sector ¿Por qué las compañías inician CN? − Requisitos regulatorios − Requisitos legales o estatutarios − Requisitos de clientes − Requisitos de la competencia − Experiencia directa de un incidente grave/crisis − Experiencia indirecta de un incidente grave/crisis − Compromisos y existencia de sistemas de gestión

BENEFICIOS DE LA IMPLEMENTACIÓN DE LA CONTINUIDAD DE NEGOCIO Es una herramienta eficaz para incrementar la solvencia y la estabilidad del sistema y la solidez del tejido empresarial, ya que: − Incrementa la confianza mutua entre empresas − Garantiza el cumplimiento de los compromisos adquiridos con Clientes, Inversores y accionistas, Administración e instituciones

© Hernando D. Hernández, CPP

36

Gestión de Crisis o Emergencias y Continuidad del Negocio − Mayor estabilidad en las operaciones entre empresas disminuyendo los riesgos asociados a proveedores − Reduce la exposición al riesgo. − Reduce la probabilidad de un desastre. − Minimiza las pérdidas económicas. − Resiliencia proactiva − Ventaja competitiva − Ahorro económico − Cumplimiento marco legal y normativo vigente − Mejora continua de los procesos de la organización − Aumento de la motivación de los empleados Las grandes empresas empiezan a imponer también criterios de continuidad con sus proveedores, para garantizar niveles de servicio acordes a sus expectativas de negocio.

FACTORES CRÍTICOS DE ÉXITO − Uso de estándares internacionales como ISO 22301 − Formación orientada al conocimiento de la continuidad del negocio y los riesgos a los que se enfrentan − El éxito es directamente proporcional a la capacidad de planificación y anticipación − La importancia de conocer lo que cuesta un desastre: antes, durante y después − La necesidad de priorizar la gestión de recursos limitados en situaciones de excepción

NATURALEZA de la ISO 22301:2012 El nuevo estándar ISO 22301:2012 tiene por nombre "Seguridad de la Sociedad: Sistemas de Continuidad del Negocio". Este modelo aparece como producto de una evolución de lineamientos, buenas prácticas y estándares en continuidad del negocio.

© Hernando D. Hernández, CPP

37

Gestión de Crisis o Emergencias y Continuidad del Negocio Se constata una evolución de lineamientos, de los que destacamos: − El lineamiento más antiguo es el NFPA 1600, publicado en 1995, el cual estableció una serie de conjuntos de criterios para la gestión de desastres, emergencias y programas de continuidad para las organizaciones. − En 1997 el Disaster Recovery Institute International (DRIl), publicó las 'Prácticas Profesionales para la Gestión del Negocio". − En el año 2002, el Business Continuity Institute publicó los lineamientos de "Buenas Prácticas para la Continuidad del Negocio". − En 2003, se publica el lineamiento PAS 56. Esta guía estableció el-proceso, principios y terminología de un sistema de gestión de continuidad del negocio y describió las actividades y resultados involucrados en el establecimiento de un proceso de gestión de continuidad del negocio. Desarrolló una serie de recomendaciones para las buenas prácticas para la anticipación a incidentes, y respuesta y técnicas para la evaluación. − En 2006, se publicó el lineamiento BS 25999-1, el cual describió de manera concreta el ciclo de vida de la continuidad del negocio. Su enfoque representó las opciones continuas del programa de continuidad del negocio en la organización. − En el año 2007, se publicó el estándar BS 25999-2:2007, el primer estándar internacional certificable y auditable. Fue elaborado con el objetivo de definirlos requisitos para un enfoque de sistemas de gestión para la gestión de la continuidad del negocio basado en buenas prácticas, para su uso por organizaciones grandes, medianas y pequeñas que operan en los sectores industrial, comercial, público y de beneficencia. − En el mismo año se publicó el ISO/PAS 22399, el cual generó los lineamientos genéricos para una organización interesada en desarrollar un sistema de gestión con criterios para el desempeño de preparación ante incidentes y continuidad operacional. − En el año 2008, se publicó el lineamiento ISO/IEC 24762 que desarrolló gulas para la provisión de información y comunicación frente a la recuperación de desastres. Ese mismo año, se publicó el BS 25777, un código de buenas prácticas sobre gestión de la continuidad. Una norma que, emparentada con la BS 25999 sobre continuidad de negocio, definió un código de buenas prácticas sobre continuidad centrado en las infraestructuras TIC de las organizaciones. − En el año 2010, se publicó el "ASIS/BSI Business Continuity Management Standard." Este lineamiento, basado en el BS 25999 (parte 1 y 2), especifica los requerimientos para un sistema de gestión de continuidad del negocio, para permitir a las organizaciones identificar, desarrollar e implementar políticas, objetivos, capacidades, procesos y programas para poder atender eventos alteradores que pudieran paralizar a la organización.

© Hernando D. Hernández, CPP

38

Gestión de Crisis o Emergencias y Continuidad del Negocio − En 2011, se publicó el PAS 200, "Gestión de Crisis - Lineamientos y Buena Práctica". Es un lineamiento diseñado para ayudar a las empresas a tomar pasos prácticos para mejorar su habilidad de manejar crisis. También en el año 2011, se publicó el lineamiento ISO/ IEC 27031, el cual describe los conceptos y principios de tecnología de información y comunicación (ICT) para preparar a una organización para la continuidad del negocio. Es aplicable a todo tipo de empresa. − Finalmente, en el año 2012, la Organización Internacional para la Normalización (ISO) publicó el estándar "Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos". Este estándar certificable y auditable capta los principales conceptos de los demás lineamientos publicados desde 1995. El estándar, ISO 22301:2012 "Seguridad de la Sociedad: Sistemas de Continuidad del Negocio-Requisitos aplica el ciclo Plan-Do-Check- Act (PDCA por sus siglas en inglés) para la planificación, establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y la mejora continua de su efectividad. El modelo ha sido creado con consistencia con otros estándares de gestión, tales como: ISO 9001:2008, ISO 27001:2005, ISO 20000-1:2011, ISO 14001:2004 y con el ISO 28000:2007. El ciclo PDCA aplicado al proceso de continuidad del negocio, puede resumirse haciendo referencia a algunas Claúsulas de su contenido y de la siguiente manera: ESTABLECIMIENTO DE LAS CLAÚSULAS (4,5 6 y 7) − CONTEXTO DE LA ORGANIZACIÓN − LIDERAZGO − PLANEAMIENTO − SOPORTE IMPLEMENTACIÓN y OPERACIÓN (cláusula 8) − PLANEAMIENTO OPERATIVO Y CONTROL − BUSINESS IMPACT ANALYSIS − EVALUACION DE RIESGOS − ESTRATEGIAS DE CONTINUIDAD − PROCEDIMIENTOS DE CONTINUIDAD − EJERCICIOS Y PRUEBAS

© Hernando D. Hernández, CPP

39

Gestión de Crisis o Emergencias y Continuidad del Negocio IMPLEMENTACIÓN y OPERACIÓN (cláusula 9) − MONITOREO Y MEDICIÓN − ANALISIS Y EVALUACIÓN − AUDITORIA − REVISIÓN MANTENIMIENTO Y MEJORA (Cláusula 10) − NO CONFORMIDAD Y ACCION CORRECTIVA − MEJORA CONTINUA

El nuevo modelo exige cierta documentación obligatoria, que una empresa de acuerdo a su alcance debe desarrollar y es la siguiente: 1. Lista de requisitos legales, normativos y de otra índole. 2. Alcance del SGCN. 3. Política de la continuidad del negocio. 4. Objetivos de la continuidad del negocio. 5. Evidencia de competencias del personal. 6. Registros de comunicación con las partes interesadas. 7. Análisis del impacto en el negocio. 8. Evaluación de riesgos, incluido un perfil del riesgo. 9. Estructura de respuesta a incidentes. 10. Planes de continuidad del negocio. 11. Procedimientos de recuperación. 12. Resultados de acciones preventivas. 13. Resultados de supervisión y medición. 14. Resultados de la auditoría interna. 15. Resultados de la revisión por parte de la dirección. 16. Resultados de acciones correctivas. El modelo tiene una serie de cláusulas adicionales que a continuación se detallan: CLÁUSULA 4: CONTEXTO DE LA ORGANIZACIÓN Esta cláusula introduce los requerimientos necesarios para establecer el contexto del SGCN tal como debe aplicar a los requerimientos y necesidades de la organización dentro de un alcance determinado. La cláusula también requiere que la organización determine su apetito al riesgo, así como los aspectos legales y regulatorios que apliquen a la organización.

© Hernando D. Hernández, CPP

40

Gestión de Crisis o Emergencias y Continuidad del Negocio CLÁUSULA 5: LIDERAZGO Esta cláusula hace un buen resumen de las exigencias a la alta gerencia de la empresa, en relación a su rol en el SGCN. Hay nuevos requerimientos para la alta gerencia, tales como: 1. ASEGURARSE QUE EL SGCN ES COMPATIBLE CON LA DIRECCIÓN ESTRATÉGICA DE LA ORGANIZACIÓN. 2. INTEGRACIÓN DE LOS REQUERIMIENTOS DEL SGCN EN LOS PROCESOS DE NEGOCIOS. 3. COMUNICAR LA IMPORTANCIA DE UNA EFICAZ GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO.

CLÁUSULA 6: PLANEACIÓN Esta cláusula requiere que la organización claramente defina los objetivos de continuidad del negocio y desarrolle proyectos para alcanzarlos. Estos objetivos deben estar relacionados a la política de continuidad del negocio y deben ser conmensurables. Al establecer los objetivos se debe considerar el nivel mínimo de productos y servicios que serían aceptables para que la organización pueda alcanzar sus objetivos globales de negocio. CLÁUSULA 7: SOPORTE La cláusula 7 detalla el soporte requerido para establecer, implementar y mantener un eficaz SGCN. Esto cubre los recursos requeridos, las competencias humanas, toma de conciencia y comunicaciones con partes interesadas, así como requerimientos para la gestión documentaria. Esta sección, al cubrir toma de conciencia, es bastante específica ya que exige que todas las personas bajo el control de la organización estén conscientes de la política de continuidad del negocio, entender su contribución al logro de eficacia del SGCN y las implicancias de no tener conformidad con sus requerimientos. También, las personas deben conocer su rol en un momento de alteración. La mayor adición en la cláusula 7 es el tema de comunicaciones. Este es un punto importantísimo al gestionar cualquier alteración en la organización.

© Hernando D. Hernández, CPP

41

Gestión de Crisis o Emergencias y Continuidad del Negocio CLÁUSULA 8: OPERACIÓN Para aclarar este tema, se adjunta en la sección Material de referencia del Aula Virtual, documento denominado: “ISO 22.301:2012, Definiciones”. Cláusula 8.1 La cláusula planificación operacional y control es nueva. Esta cláusula requiere que la organización asegure la existencia de procesos que hayan sido desarrollados para gestionar que los riesgos al SGCN estén correctamente implementados. Cláusula 8.2.2 El Business Impact Analysis, introduce un nuevo término: «esquemas de tiempo priorizados". Este término se relaciona con el conocido Recovery Time Objective (RTO) y define el orden y los tiempos; para la recuperación de actividades críticas que soportan los productos y servicios claves. El término Maximum Tolerable Period of Disruption (MTPD), el cual es definido en la sección 3 del estándar, no es usado textualmente en la norma, pero en la cláusula 8.2.2 (c) plantea que la «organización debe establecer esquemas de tiempo priorizados para reanudar operaciones que apoyan los productos/servicios claves, en un nivel específico aceptable, tomando en consideración el tiempo en el cual, los impactos, de no reanudar operaciones se convertirían en inaceptables". Como se puede apreciar, el concepto del MTPD sigue vigente:

Cláusula 8.2.3 La evaluación del riesgo le presta atención de que ciertos aspectos "financieros y obligaciones gubernamentales" requieren de comunicación, a distintos niveles de detalle, de los riesgos que pudieran alterar las actividades priorizadas.

© Hernando D. Hernández, CPP

42

Gestión de Crisis o Emergencias y Continuidad del Negocio Cláusula 84.2 La estructura para respuesta a incidentes ha expandido sus requerimientos; específicamente la necesidad para "identificar impactos de amenazas que justifican la iniciación de una respuesta formal y la necesidad de utilizar la salvaguarda de vidas humanas como primera prioridad, al establecer comunicados internos y/o externos". Cláusula 8.4.5 Recuperación es un nuevo requerimiento. El estándar plantea que la "organización debe tener procedimientos documentados para poder restablecer y retomar las actividades del negocio de medidas temporales creadas para soportar los requerimientos normales de la organización". Cuando una organización desea iniciar la implantación del modelo ISO 22301:2012 siempre se genera la interrogante de ¿por dónde empezar? ¿Será conveniente iniciar con el Business Impact Analysis? ¿O con la estructura para responder a incidentes? En fin, hay una serie de opciones disponibles y la manera adecuada es ir de lo general a lo particular. A nivel mundial, con las nuevas reglas de los mercados internacionales, las empresas tienen la obligación de poder demostrar que son proveedores confiables. Ante la presencia de cualquier evento alterador, de tener un SGCN implementado las empresas pueden, dentro de un tiempo estimado, reanudar sus operaciones y continuar ofreciendo sus productos y servicios. Un SGCN es la indicación que los proveedores son confiables. El estándar ISO 22301:2012 engloba las distintas metodologías y buenas prácticas en continuidad del negocio generadas en los últimos casi 20 años.

© Hernando D. Hernández, CPP

43

Gestión de Crisis o Emergencias y Continuidad del Negocio

CONCLUSIONES • Desafío global • Gestionar el negocio de forma diferente • Crecimiento demanda y preocupación en materia de continuidad de negocio • Amplio margen de mejora: implementación, formación y concientización • Políticas públicas e iniciativas sectoriales y privadas: contribuir a impulsar estrategias concretas y ajustadas a las necesidades de las empresas

© Hernando D. Hernández, CPP

44

Gestión de Crisis o Emergencias y Continuidad del Negocio • • •

Marco de referencia adecuado y sólido Hay que conocer el riesgo para poder gestionarlo Ante una emergencia, no hay tiempo para experimentar

4.4. ASIS/BSI BCM.01-2010 Se anexa, por considerarlo un documento claro y vigente, el ASIS/BSI BCM.01-2010 “Sistemas de Gestión de la Continuidad del Negocio: requisitos con orientación para su uso.”, el cual podrá ver y/o descargar desde la sección Material de referencia.

© Hernando D. Hernández, CPP

45

Gestión de Crisis o Emergencias y Continuidad del Negocio 5. Principales características de los desastres naturales Los desastres naturales son uno de los mayores riesgos que enfrentamos las sociedades modernas tal cual lo expresa la medición efectuada por el Foro Económico Mundial del año 2018:

© Hernando D. Hernández, CPP

46

Gestión de Crisis o Emergencias y Continuidad del Negocio Los desastres naturales y las características que, a nivel comparado, se consideran principales son las siguientes: Causado por

Causado por el clima

Incendio forestal

si

Huracán

si

Inundación

si

Tornado

Tormentas de invierno

Terremoto

Erupción volcánica

si

si

no

No

Observaciones  Es una de las fuerzas más destructivas de la naturaleza  Son vientos mayores a 74 millas por hora (MPH)  Es predecible, por lo que se puede preparar anticipadamente el cuidado del material crítico y la evacuación del personal  Vientos mayores a 20 MPH con un ancho aproximado a 1 milla y un largo de 30 millas.  Requieren un refugio subterráneo.  Las señales básicas son: - De precaución (a partir de la existencia de la posibilidad). - De advertencia, cuando es posible verlo Las tres más típicas son:  Nevada (en 12 horas se acumula 4 pulgadas de nieve o 6 pulgadas en 24 horas).  Ventisca de nieve (vientos mayores a 45 mph y una temperatura menor a 10F).  Temporal eléctrico. (Vientos mayores a 50 millas por hora)  No es predecible y en tan solo 5 minutos se pueden crear grandes daños.  Se recomienda: - Si está dentro de una instalación, quedarse en el centro, lejos de las aberturas y debajo de un mueble. - Si está fuera, debe ubicarse lejos de los edificios y los cables. - Se debe planificar la posibilidad de no recibir asistencia exterior por un largo lapso.  Se pueden prever medidas de prevención que eviten la severidad:  Protección de los caños de agua.  Fijar muebles o equipo para evitar la caída.  Prever vidrios especiales. Etc.

Resultan claves los antecedentes sísmicos del área.

© Hernando D. Hernández, CPP

47

Gestión de Crisis o Emergencias y Continuidad del Negocio Obviamente, cada región o país, posee sus particularidades históricas en cuanto a desastres naturales, aunque para todos, han pasado a considerarse más probables en las últimas décadas, por el incremento acaecido por el cambio climático y otras razones globales. EJEMPLOS DE ALERTAS NACIONALES

© Hernando D. Hernández, CPP

48

Gestión de Crisis o Emergencias y Continuidad del Negocio

© Hernando D. Hernández, CPP

49

Gestión de Crisis o Emergencias y Continuidad del Negocio ZONAS TIPICAS DE TORNADOS

© Hernando D. Hernández, CPP

50

Gestión de Crisis o Emergencias y Continuidad del Negocio

6. Emergencias por Incendio Pese a ser múltiples las ocasiones en que se puede constatar un sabotaje, los motivos más comunes son: • Personal propio o tercerizado. • Durante el lapso de una negociación. • Como una acción dentro de los disturbios civiles. • Provocado por una asociación criminal.

© Hernando D. Hernández, CPP

51

Gestión de Crisis o Emergencias y Continuidad del Negocio El incendio provocado (Arson) es uno de los posibles métodos de sabotaje. Los otros son: • Explosión. • Sabotaje eléctrico. • Sabotaje mecánico. • Químico. • Psicológico. Los motivos más comunes, por lo que se puede provocar un incendio en forma deliberada son: • • • •

Es un método efectivo de sabotaje que permite destruir la evidencia. Tratarse de un piro maníaco. Es una táctica empleada para cometer otro crimen simultáneamente. Puede permitir una satisfacción personal o una ganancia económica.

6.1. Tips de seguridad acerca del fuego •

El incendio provocado es el método de sabotaje más común.

•

La prevención se basa en reducir las vulnerabilidades de los activos físicos y en un control de acceso eficaz. El control del fuego tiene dos prioridades, primero controlar las fuentes, segundo controlar los materiales.

•

El fuego es el mayor destructor individual de la propiedad.

•

Las principales habilidades para contrarrestarlo son dar una respuesta rápida y evitar la escalada.

•

La principal defensa, a nivel privado, son los acuerdos de apoyo mutuo, que se hayan realizado con anticipación, entre las empresas.

•

La mayoría de los incendios se producen por ignorancia y falta de cuidado, por lo que es imprescindible el entrenamiento previéndose sobre todo un origen eléctrico y el control de las colillas de cigarrillos.

© Hernando D. Hernández, CPP

52

Gestión de Crisis o Emergencias y Continuidad del Negocio •

La mayoría de las muertes en un incendio no las provocan las llamas, sino los gases, en la conocida “muerte silenciosa” por el efecto del monóxido de carbono (Co2)

•

El humo contiene gases no quemados, que nos provocan una pérdida de la visión, luego de 2 minutos de exposición directa y que puede aumentar su efecto tóxico, si los materiales quemados son de poliuretano, etc.

•

La secuencia de afectación sería: 1° los gases y el humo, luego el calor, después el pánico y finalmente el fuego propiamente dicho.

•

No todos los edificios son anti fuego. Los que tienen más de 42 pisos deben poder resistir 3 hs. Siendo importante no abrir las “puertas calientes” ni usar los ascensores.

6.2. Triángulo del fuego Generalmente se menciona como tal, a cuales son las partes que lo constituyen y que son: •

Oxígeno

•

Combustible

•

Calor (no es necesario que exista llama)

Otros autores hablan de las “cuatro patas del fuego” o “la teoría del tetraedro” agregando a los tres anteriores la reacción química. Ésta puede ser: •

Que el líquido se transforma en un gas llamado Vaporización (lo líquidos inflamables no necesitan).

•

Que un sólido se transforme en gas llamado pirolisis”.

© Hernando D. Hernández, CPP

53

Gestión de Crisis o Emergencias y Continuidad del Negocio Podemos relacionar al triángulo de fuego con sus etapas y las estrategias de combate:

Etapas

Estrategias

Oxígeno

Incipiente

Sofocación (quitar el oxígeno) con Co2 o espuma o Halón

Combustible

Combustión (humo)

Dilución (Agregar agua)

calor

Fuego y calor (“Free Burning”)

Enfriar

Triángulo de fuego

6.3. Elementos de protección

•

Materiales no inflamables. (“Fire loading”) es la cantidad de material combustible que existe en una instalación.

•

Puertas de emergencias. mantenerla abierta hasta que sea necesario cerrarla para evitar la propagación.

•

Cajas fuertes anti fuego.

•

Extinguidores.

Los tipos más comunes de extinguidores son: tipo

Símbolo

Combustible

Uso

A

Triángulo verde

Común

Agua

B

Cuadrado rojo

Líquidos inflamables

Co2 , químico seco

electricidad

No agua ni otros conductores. Halógenos por las computadoras no se deberían emplear más, ya que el dióxido de carbono afecta el oxígeno de las personas.

metales

Polvo seco. No agua

C

D K/E

Círculo azul

Estrella amarilla

Aceites, químicos

© Hernando D. Hernández, CPP

54

Gestión de Crisis o Emergencias y Continuidad del Negocio 1. “SPRINKLER”. Está constituida por cañerías de agua, que mejoran dos tercios la posibilidad de evitar la muerte y fallan solo el 4%. Las fallas más comunes son: • •

•

Malas condiciones del equipo o su mantenimiento. Daño provocado al sprinkler por la explosión o fuego. (Hecho constatado en el atentado de las Torres Gemelas del “11S” en EEUU) La cercanía de la persona, al fuego que igual la mate.

Los componentes del Sprinkler son: • • • •

Sistema de activación por fuego (se derrite un metal, etc.) Una alarma. Una válvula. Suministro de agua.

Los tipos más comunes de sprinkler son: − Red húmeda − Red seca − “Pre Action”

Existe agua en forma permanente dentro de una cañería. (“Stand Pipe”) pero sólo es útil con adecuada capacitación. El suministro de agua, depende de una válvula que se abre por la presión del aire. El suministro depende de una alarma y el final es cíclico. Se acciona con un termostato y se detiene cuando baja la temperatura provocando menor daño por el agua.

© Hernando D. Hernández, CPP

55

Gestión de Crisis o Emergencias y Continuidad del Negocio 2. Sensores

Los sensores de alarma anti fuego, en general funcionan entre 130 y 165 grados Fahrenheit, siendo los principales tipos los siguientes: Tipo

Para

Detecta

Ionización

Fuego rápido

Humo. Detecta partículas en el aire.

Fotoeléctrico

Fuego lento

Termal IR infrarrojo

Espacios confinados combustibles

Humo. Detecta el porcentaje de oscuridad por el corte de un haz de luz. Detecta cambios de temperatura. fuego

6.4. Formación de una brigada anti fuego en la empresa Prioridad de tareas. Resulta clave que el personal de vigilancia tenga claro el orden de prioridad de sus tareas, estas son: • • • • •

Aviso a los Bomberos. Aviso al Personal que evacua las instalaciones. Aviso a la brigada interna. Revisión de los elementos de protección disponibles. Apoyo al control del fuego.

Si el personal presente en la instalación no pudiera evacuar la misma, debe: • • • •

Alejarse del fuego, preferentemente a una habitación que tenga puerta de salida. Abrir las ventanas y poner señales de aviso de la emergencia con los materiales que disponga. Quitar los materiales inflamables de su entorno. Acostarse o quedarse lo más cerca del piso para mejorar la respiración.

Para ampliar sobre este tema, se adjunta en la sección Material de referencia del Aula Virtual, documento denominado: “Prevención de incendios”.

© Hernando D. Hernández, CPP

56

Gestión de Crisis o Emergencias y Continuidad del Negocio 7. Estructuras altas, “Security y Safety”

Generalidades 7.1. Definición Una estructura o edificio se considera de gran altura, cuando la misma excede la altura de los equipos anti fuego disponible, hasta 10 pisos. Cabe destacar que muchos países o regiones, no disponen, en tiempo y forma, de dichos medios (escaleras que permitan acceso para trabajos en altura, etc), por lo que el análisis de riesgo deben considerarlo muy especialmente. Por ello, el enfrentamiento en un eventual incendio, debe realizarse principalmente desde dentro. El riesgo varía según sea: • Tamaño del edificio. •

Cantidad de ocupantes.

•

Valor simbólico.

La mayor cantidad de ocupantes dificulta prevenir, evacuar y necesita mejor planificación porque no todos pueden Salir simultáneamente.

7.2. Safety a. Amenazas Las amenazas más críticas, si consideramos el terrorismo o crimen organizado, son: • • •

Fuego. Explosión. Contaminación por sistemas de aire y agua.

© Hernando D. Hernández, CPP

57

Gestión de Crisis o Emergencias y Continuidad del Negocio b. Factores que afectan la vida •

•

Rápida aplicación de adecuadas medidas (relacionadas al numeral anterior, tales como extinguidor, remoción, remplazo o filtro de los sistemas) se consideran críticos los primeros 4 minutos en la respuesta. Detención temprana de los peligros (“hazard”).

•

Comunicaciones.

•

Rutas de escape.

7.3. Vulnerabilidades 1. Fuego Es muy vulnerable por la cantidad de materiales existentes, por los gases que en general van en dirección hacia arriba, los combustibles hacia abajo y el fuego, que lo hace en todas direcciones. El colapso total o parcial de la estructura puede aumentar la cantidad de heridos y muertos. 2. Sistema aire Puede tener contaminantes, químicos, biológicos o el propio humo, que distribuyan. En el sistema de agua, la contaminación se vicia desde el punto o válvula. 3. Comunicaciones La rotura de un cable o de la central, puede afectar todas las comunicaciones, por lo que debe preverse alarmas independientes por piso. A pesar de los detectores de explosión o control de paquetes, el empleo de un coche bomba en un área urbana es posible. El análisis de riesgo incluye las siguientes preguntas: •

¿Es el edificio o sus ocupantes un objetivo?

•

¿Hay algún edificio cercano que lo sea?

•

¿Hay contramedidas de seguridad?

Un intruso puede accionar una alarma manual, para hacer una falsa emergencia de incendio y producir daños a las personas o a la propiedad, pero salvo que se compruebe, se debe priorizar las medidas de Safety (ejemplo la apertura automática de una puerta). Es lo que se considera el “dilema Security-Satety”.

© Hernando D. Hernández, CPP

58

Gestión de Crisis o Emergencias y Continuidad del Negocio 7.4. Contramedidas Se deben cumplir los códigos vigentes en el área. La primera prioridad es contar con detectores que permitan alerta temprana y que sean distribuidos (uno por piso mínimo) para permitir identificar el lugar de la emergencia. Se emplean: detectores de humo en espacios abiertos de calor, en espacios confinados, bombas de agua “Sprinkler” con alarmas que transportan el agua verticalmente y aplicación automática y son un aspecto esencial en la protección anti fuego en las altas estructuras. Los agentes empleados son: el agua, el más común, químicos para las cocinas, ductos, y halón o sus reemplazantes más modernos, para áreas de electricidad y computación. Para prevenir el humo, se debe limitar la cantidad de materiales sintéticos e inflamables en el edificio. Para combatir la extensión de humo, fuego, gases por los sistemas de calor, ventilación y aire acondicionado (“HVAC”, Heating, Ventilating And Air Conditionning) se puede apagarlos o aislar el área o poner ventiladores, aunque muchas veces se dispone de un sistema automático para presurizar escaleras y secar el horno. Las contramedidas consideradas más útiles son: • Disponer de un PC único para el sistema. •

Hacer supervisión de alarmas.

•

Disponer de un sensor de agua en cada piso.

•

Plan de seguridad único por edificio.

•

Alarmas en puntos críticos verticales.

•

Ataque al fuego interno.

Los planes de emergencia pueden incluir: • Carteles por rutas de escape. •

Operación del sistema.

•

Responsabilidades (con personas discapacitadas, etc.)

•

Contactos.

•

Ejercicios anuales de práctica (“fire drills”)

© Hernando D. Hernández, CPP

59

Gestión de Crisis o Emergencias y Continuidad del Negocio 7.5. “SECURITY” Hay consideraciones especiales de seguridad para un edificio de altura. Diferencias con una casa habitación • Hay más ocupantes y más propiedades para dañar o robar. •

Hay más anonimato y más vías de escape.

•

Mayor posibilidad de crímenes, siendo más difícil las técnicas que apoyan a un análisis de Riesco de crímenes, (“crime pattern analysis”) que analiza la incidencia de los crímenes por barrio, edificio (diseño, ocupantes) y medidas de seguridad disponibles.

•

El activo no protegido de un vecino u ocupante puede atraer y afectar la seguridad de toda la edificación, lo que requiere coordinación previa y buenos controles de acceso.

En los edificios, la actividad es variable en días y horarios y desde el punto de vista de la seguridad, hay diferentes tipos de edificios y de espacios interiores, que determinan el modo de operación: Modo de operación según el tipo de edificio

Tipo de espacios interiores

Tareas

Abierto

Áreas comunes (Lobbies, accesos, etc,)

 Ocupantes de cada lugar define acceso  Portero sólo da orientación general y procedimientos para los servicios

Cerrado

Áreas privadas o alquiladas

Control de acceso exige identificación

Híbrido (parte del área es cerrada y otra es abierta)

Área de mantenimiento, comunicaciones, etc.

 

Identificas y aislar áreas sensitivas Control de accesos con medidas variables

© Hernando D. Hernández, CPP

60

Gestión de Crisis o Emergencias y Continuidad del Negocio En referencia al sistema híbrido, se destaca:

. El riesgo del ascensor de servicio es su acceso a todos los pisos. Conviene programarlo para que no se detenga en el piso sensitivo y no permitir acceso desde el garaje. 1. Puede también preverse que en emergencias se dirija a un piso designado para las tareas de combate a incendios y rescate (“Designated Level”) en dos fases: • Fase I. Se dirige a ese piso. • Fase II. El ascensor queda a disposición para la emergencia, con llave especial controlada por la vigilancia. Hay dos factores de seguridad: •

Exigencias del código de la zona. Generalmente es necesario que las puertas se abran en caso de fallas o emergencias (“fail safe”) y algunos autorizan a un retraso entre 15 y 30 minutos para evacuar, debiendo disponerse de cámaras, alarmas y comunicaciones apropiadas.

•

Si el movimiento entre pisos está o no autorizado.

2. Áreas de mantenimiento Son críticas y debo controlar accesos. 3. Sistemas de circulación de aire El riesgo por ataques químicos, lo minimizo con sistemas purificadores de aire con tapa con alarma a 90°. 4. Sistemas de telecomunicaciones Conviene disponer de 2 líneas telefónicas a 2 centrales diferentes y las conexiones seguras. 5. Contramedidas de seguridad. Son las detalladas en todo el módulo, destacándose en las áreas de recepción que para el control de acceso a un área VIP, se puede optar por: •

Controlar el piso superior y el inferior al sensitivo.

•

Tener dos puntos de control previos a la oficina, donde la propia secretaria no sea quien pueda abrir, sino el personal de seguridad asignado.

© Hernando D. Hernández, CPP

61

Gestión de Crisis o Emergencias y Continuidad del Negocio 8. Emergencias por disturbios civiles En cualquier establecimiento comercial un evento insignificante, puede extenderse rápidamente y convertirse en un disturbio que altere el orden o incluso puede haber sido planificado por algún grupo, con intereses diversos. Durante una manifestación o disturbio civil, pueden llegar a bloquearse las rutas de acceso al personal de la empresa, por lo que se le debe informar rutas alternas para el acceso y aclarar hasta dónde la empresa quiere proteger los activos físicos, dado que en ocasiones la prioridad de la defensa de la vida, puede determinar la conveniencia de actuar pasivamente. Algunos procedimientos eventuales a emplear pueden ser: • • • • •

Emplear vigilantes en el perímetro como observadores. Quitar la identificación de la empresa de los vehículos. Señalar claramente el perímetro. Recibir asesoramiento del departamento legal. Instruir al personal para evitar discusiones con los manifestantes y mantenerse alejado de las ventanas.

© Hernando D. Hernández, CPP

62

Gestión de Crisis o Emergencias y Continuidad del Negocio 9. Emergencias por Huelgas Internacionalmente se considera una huelga, como el rechazo coordinado del personal a continuar trabajando, para forzar a un empleador a cumplir ciertas demandas. Sin una contención adecuada, la tensión puede escalar hasta grados de violencia espontánea o premeditada y provocar daños humanos y físicos. En periodos de negociaciones, debe aprovecharse para efectuar una adecuada planificación, porque una Huelga basada en una supuesta práctica laboral injusta de un Empleador, tienen 2 características: • Pueden suceder de repente, sin aviso. • No permiten un adecuado Planeamiento, a menos que se tengan preparados Planes de Contingencia. La mala utilización e implementación de las Actividades de Seguridad durante una Huelga, pueden incrementar los grados de violencia en el ambiente y asimismo finalizar en una demanda. Un Plan de Emergencias ante una Huelga, implica una protección profesional que se debe coordinar efectivamente con el resto de la organización como preparación para 3 fases diferentes: 1. Planeamiento antes de la huelga 2. Operación durante la huelga 3. Inteligencia posterior a la huelga 9.1. Función de la vigilancia • • • • •

Prevenir heridos y daños a la propiedad. Preservar el área laboral para el retorno a las actividades normales. Mantenimiento del orden. Debe de mantener una posición neutral. Nunca efectuar una actividad de vigilancia sobre una reunión sindical.

La vigilancia puede resultar efectiva si: •

Hay un plan adecuado.

•

Hay un despliegue efectivo.

•

Hay una respuesta rápida y mesurada.

© Hernando D. Hernández, CPP

63

Gestión de Crisis o Emergencias y Continuidad del Negocio 9.2. Planificación previo a la huelga 1. (“CROSS FUNCTIONAL TEAM”) Es importante que se prevea la formación de un equipo multidisciplinario, que incluya el departamento de seguridad, recursos humanos, gerenciamiento de riesgo, relaciones públicas y todos los departamentos que tengan personal afiliado al sindicato. Dicho equipo debe monitorear: • • •

Sabotajes. Bajas en la productividad. El ambiente previo a la finalización de un convenio laboral.

Los pequeños sabotajes y la merma de producción, son señales de eventuales futuros problemas.

2. Definiciones políticas Resulta clave que la empresa tenga previamente una definición política sobre los siguientes temas: •

Canal de mando. Quiénes tomaran las decisiones durante la huelga.

•

Continuación de las operaciones normales. Este punto es decidido por el gerente senior en base a un análisis de conveniencia, que puede podría resumirse como sigue, dependiendo de cómo se encuentre el Sindicato y la empresa:

El Sindicato

Conviene continuar las operaciones:

La empresa

Tiene madurez y apoyo

Tiene poco apoyo, su posición es discutible legalmente o su actividad es mano de obra intensiva

No

Sin liderazgo

Lo contrario de lo anterior o tiene gran producción en stock

Es posible, pero si el sindicato logra apoyo, puede existir más violencia y por un lapso mayor.

© Hernando D. Hernández, CPP

64

Gestión de Crisis o Emergencias y Continuidad del Negocio •

Eventual Declaración de “LOCK OUT” (La empresa no permite el ingreso de los huelguistas). Si se continuará, recibiendo materiales. Si se prevén demandas criminales y arrestos por la policía (lo aconsejable es no acordar amnistías para quienes cometen crímenes) y tampoco influenciar a la policía para efectuar detenciones. Si se documentará la huelga (fotos, videos, grabaciones).

• • •

Quien se encarga de las comunicaciones externas de la empresa, debe: •

Estar en contacto permanente.

•

Disponer de una lista de domicilios y teléfonos de contacto (gerentes, personal huelguista y no huelguista, policía, bomberos, prensa, etc.).

4. Entrenamiento •

Al personal que no adhiere a la huelga, se le debe capacitar sobre las amenazas que probablemente reciba y los conflictos que tendrá con los huelguistas.

•

A los supervisores se les debe capacitar sobre los procesos críticos de la empresa, el apagado de emergencia de las maquinarias (Shout Down) y de seguridad laboral (Safety).

5. Comunicaciones •

Se debe tener un sistema de comunicaciones duplicado.

•

Debe considerarse que la escucha de las conversaciones en una frecuencia de la empresa o en banda ciudadana es legal y aunque interceptar una comunicación de un celular es ilegal, puede ser común en una huelga.

© Hernando D. Hernández, CPP

65

Gestión de Crisis o Emergencias y Continuidad del Negocio 6. Control de acceso La capacidad de impedir el acceso, es el arma principal de los huelguistas. Por ello se debe prever: • • •

Cambio de cilindro de cerraduras al inicio de la huelga. Chequeo de tarjetas de acceso para asegurar la no autorización a los huelguistas. Revisar los sensores de alarma antes y durante la huelga.

Entre otros temas se deben prever: •

Medicamentos

•

Limpieza

•

Combustible

7. Alojamiento Para asegurar la continuidad de las comunicaciones se debe prever un alojamiento para los gerentes que sea seguro.

El transporte del personal no huelguista, debe realizarse reuniendo a varios en un solo vehículo (“Pool Car Basis”) porque presenta varias ventajas: •

El personal está más protegido.

•

Más cantidad de testigos.

•

Menos cantidad de vehículos, reducen el riesgo al atravesar el piquete de los huelguistas.

© Hernando D. Hernández, CPP

66

Gestión de Crisis o Emergencias y Continuidad del Negocio 9.3. Operaciones durante la huelga 1. Control de acceso •

La cantidad de entradas debe ser “las mínimas posibles según las operaciones”.

•

Si la zona está controlada exteriormente por la policía, los desórdenes al tráfico de la vía pública puede inducir a la policía a participar.

•

Los eventuales piquetes, deben mantenerse fuera de las instalaciones porque realizado dentro de la propiedad privada es ilegal. En este caso, se debe documentar, por posibles demandas y pedir apoyo a la Justicia y a la Policía.

•

Se debe prever una entrada exclusiva, para el personal subcontratado no afectado a la operación clave.

•

Por el ingreso anterior, no está autorizado el ingreso al personal subcontratado que sí esté afectado a las operaciones clave, el personal que está trabajando o el de mantenimiento de rutina.

2. Métodos de acceso •

El acceso más rápido y directo al lugar de trabajo debe detallarse en un plano.

•

Se debe informar por escrito al personal que continúa trabajando sobre la puerta y ruta de acceso y la zona de estacionamientos de vehículos.

3. Lock Out • • •

Es legal, para continuar las operaciones y para proteger la propiedad de los actos de violencia. La empresa debe informar al sindicato, que los huelguistas no deben ingresar. Si se permitiera a los huelguistas continuar con las operaciones y cesar el Lock Out, la gerencia debe controlar que se dirijan directamente al área de trabajo, permanecen allí aceptar las órdenes de trabajo. Si ello no ocurriera exactamente así, se cortan todas las operaciones.

© Hernando D. Hernández, CPP

67

Gestión de Crisis o Emergencias y Continuidad del Negocio 4. Materiales Se debe prever: •

Retiro de la basura.

•

Brindar seguridad al ingreso y egreso de materiales, pudiendo ser en un punto intermedio de recepción, desde donde se distribuyen varios vehículos para facilitar las tareas de seguridad.

5. Canal de mando Del Gerente General o su representante, dependen dos áreas que tienen una comunicación permanente:

Centro de Planificación

Centro de Seguridad (Está en dependencia directa de la máxima jerarquía y es el único que da órdenes a los vigilantes durante la huelga)

Gerente presente

CSO presente

Define estrategia

Define tareas de seguridad (control movimientos, instalaciones, fuego, etc.)

Coordinación exterior de empresa (Laisson)

la

Dispone de un departamento medico

de

acceso,

Coordinación con la policía, debiendo efectuar una denuncia previo a pedir el apoyo Dispone de personal de primeros auxilios

6. Policía •

Es el contacto exterior principal y es clave conocer cuál sería su posición ante casos de violencia en una huelga.

•

El control policial es efectivo, si se planifica una respuesta suficiente a los hechos de violencia, hay una obligación firme de que se cumpla con la ley, deteniendo a los eventuales crímenes.

•

No se deben aceptar amnistías ante los crímenes, porque los arrestos pueden ser claves para prevenir mayor violencia.

•

En caso de intervención, se prevé tres escuadras, de un máximo de 30 policías cada una, con dos escuadras adelante y una en reserva.

© Hernando D. Hernández, CPP

68

Gestión de Crisis o Emergencias y Continuidad del Negocio •

Se debe prever una zona libre (Buffer Zone) de 65 a 100 mts. entre el límite de la propiedad y la zona donde están los materiales o vehículos.

•

El “Baffer Zone” tiene tres objetivos: − Separa la responsabilidad, de la policía hasta el límite y la vigilancia privada desde el límite incluido. − El segundo objetivo del “Baffer Zone”, es identificar el movimiento de personas. − Lograr mantener los activos a una mayor distancia, con el piquete.

Picket Line: Control de la Policía Perímetro de la propiedad privada The Buffer Zone (Zona de amortiguación o intermedia): Control Fuerza de Seguridad

7. Documentación Se debe, documentar solo los actos ilegales (amenazas o uso de violencia, prohibir ingreso, dañar instalaciones. etc.) Se prevé un vehículo a cargo de un supervisor, estacionado cerca de la zona de los incidentes con el equipo necesario. La documentación útil como prueba de crímenes, en defensa de una eventual demanda judicial.

8. Emergencias Hay una mayor probabilidad a situaciones de emergencia porque: •

Tensión o violencia existente

•

Personal no experto realizando tareas

Se debe realizar recorrida con sus supervisores, revisión de las alarmas, protección anti fuego, grupo de rescate, ambulancia y equipos contando con el hospital de la localidad.

© Hernando D. Hernández, CPP

69

Gestión de Crisis o Emergencias y Continuidad del Negocio 9. Vigilancia •

Se debe mantener un horario extendido, superponiendo los turnos en las horas picos y en base al personal de vigilancia que habitualmente cumple funciones.

•

Los Supervisores deber realizar recorridas para detectar situaciones de violencia o crímenes e informar a la policía.

•

Se debe registrar el detalle de los incidentes, para ser empleados como evidencia.

10. Proceso de retorno •

Debe ser progresivo, según el apoyo que recibieron los huelguistas.

•

Se deben reducir los puestos de vigilancia perimetral y aumentar el control interno de manera no visible, ni provocativa.

•

Una vez finalizada la huelga, se retoma la estructura de vigilancia habitual.

9.4. Evaluación posterior a la huelga •

Se debe informar el fin de la huelga, a la policía y en forma inmediata.

•

No se debe permitir amenazas o represalias contra el personal que no adhirió, a la huelga en cuyo caso se debe realizar una rápida investigación.

•

Se debe realizar una vigilancia especial, sin uniforme y en particular los primeros días posteriores por eventuales sabotajes.

•

El departamento de seguridad debe realizar la autocrítica de su actuación (“Hot Wash”) particularmente, cómo se respondió frente a los incidentes, cual es la situación del equipo, para evitar reincidencias y corregir los procedimientos.

© Hernando D. Hernández, CPP

70

Gestión de Crisis o Emergencias y Continuidad del Negocio 10.

Emergencias por bombas

10.1.

Generalidades y terminología

En la historia de las bombas, se destacan dos momentos: • En el año 800 aprox. se descubre y empieza a utilizar en China el sulfuro o nitrato de potasio y el Charcoal como primer tipo de bombas. •

En el año 1866 Nobel desarrolla la Dinamita, por cuyo nombre se designara a los primeros guerrilleros irlandeses como “Dinamitadores”.

Definición de bomba: Es un equipo incendiario o explosivo, capaz de causar daños o heridas con explosivos o componentes militares, comerciales o improvisados. Los medios más comunes de aplicación son: • Transporte manual. •

Transporte en vehículo.

•

Ataque suicida.

•

Disparado por un arma.

•

Por correo (“Mail Bomb”).

El nombre generalmente empleado y más correcto es “IED” que significa “Improvised Explosive Device”. Según la definición de la NATO, son equipos que contienen material químico, puede ser destructor, letal, venenoso, pirotécnico, y/o incendiario, con la finalidad de: destruir, incapacitar, amenazar o distraer. Las bombas transportadas por personas se denominan PBIED y las empleadas en vehículos como VBIED. Un tips de seguridad, es que las bombas son el arma principal del terrorismo y pueden llegar a ser común para las organizaciones criminales.

© Hernando D. Hernández, CPP

71

Gestión de Crisis o Emergencias y Continuidad del Negocio Otros términos comúnmente empleados son: • “HAAX” que es una falsa bomba. •

“SECONDARY HAZARD”, que no son directamente materiales peligrosos (“HAZMAT”) pero pueden serlo por una explosión (tuberías de agua, oxígeno comprimido, tanques de combustibles, etc.)

•

“SHELTER IN PLACE”, cuando existe una amenaza afuera, y el personal permanece dentro de la instalación.

•

“ASSAMBLY AREAS” es una zona de reunión más segura que protege del clima y brinda entretenimientos.

•

“SPECIAL ITEM REMOVED”, son aquellos ítems especiales para retirar tales como información, equipo y muestras para laboratorio.

•

“SHUTDOWN”, son los procedimientos especiales de apagado de maquinaria de una emergencia en el que se destaca el sector petroquímico (donde no se debe abandonar la sala de control) y el de refinerías (donde se crea un centro de operaciones tipo Bunker).

•

“ERV” (Emergency Rendez Vous Point), centro de comando que reúne: − − − − − −

Gerente senior Líder del equipo de emergencia TET El “Chief Warden” (responsable del cuidado de las instalaciones) Ingeniero de las instalaciones Testigo del incidente Planos que incluyan los “SECONDARY HAZARD”

Para ampliar sobre este tema, se adjunta en la sección Material de referencia del Aula Virtual, documento denominado: “Búsqueda de Explosivos”.

© Hernando D. Hernández, CPP

72

Gestión de Crisis o Emergencias y Continuidad del Negocio 10.2.

Información necesaria sobre bombas

Con cierta similitud al “triángulo del robo” que prevé motivo, deseo y oportunidad para que se concrete, los elementos necesarios de una bomba son: •

Motivo Puede ser: − Criminal − Político − O personal (empleado desconforme, violencia doméstica, enfermo mental, etc.) Identificar el motivo permite prever los objetivos (destrucción física o robo de valores, amenaza o asesinato, etc.)

•

Material Los materiales necesarios para crear una bomba son: − − − −

•

Iniciador Carga explosiva o incendiaria Mecanismo de engaño Seguro

Conocimiento Si el objetivo es amenazar, no se requiere gran conocimiento pero si tiene otro objetivo mayor, el éxito depende de conocer las medidas de seguridad, el layout, y las actividades, etc. El conocimiento necesario lo puede obtener de: − Haber trabajado en otro sector de actividad (fuerzas armadas, policía, construcción, pirotécnica, etc.) − De una organización terrorista − Por internet

•

Oportunidad Aquí es donde incide la seguridad, con medidas de control de acceso etc.

© Hernando D. Hernández, CPP

73

Gestión de Crisis o Emergencias y Continuidad del Negocio 1. Análisis del atacante Para comprender la situación, resulta necesario analizar cuáles son las ventajas y desventajas que para el atacante tendría el empleo de una bomba. Ventajas

Desventajas

Ocasiona un daño grande con un equipo pequeño que puede estar fuera de la empresa y con un gasto relativamente menor Es anónimo

Puede explotarle a él mismo

Puede obtener una gran publicidad

Puede ser identificado y ser procesado por la evidencia de los componentes de la bomba

Puede no funcionar Puede ser detectado antes o durante la explosión

2. Información necesaria Basado en los elementos de la bomba que vimos, la información que sería necesaria obtener es: •

Cuáles son los posibles perpetradores y sus objetivos (personas, lugares, etc.)

•

Qué disponibilidad de material explosivo puede existir.

•

Cómo es el diseño y el nivel de acceso a las instalaciones.

Las posibles fuentes de información son: •

La empresa (archivos, antecedentes, etc.)

•

Laisson (obteniendo información de inteligencia)

•

De fuentes abiertas.

3. Principios de seguridad de bombas •

Diseño adecuado de las instalaciones (que reduzca la posibilidad de construir una bomba o aumenten en detectarla o reducir sus efectos).

•

Prevenir el ingreso (efectivo control de acceso personas, paquetes y mails.)

•

Detección temprana, que se basa en la capacitación.

•

Respuesta adecuada.

© Hernando D. Hernández, CPP

74

Gestión de Crisis o Emergencias y Continuidad del Negocio 10.3.

Planificación de la seguridad en incidentes de bombas

Un Plan de gerenciamiento de incidente de bombas (“Bomb Incident Management Plan”) incluye varias consideraciones, entre ella destacamos: • •

• •

Toda empresa debe tener un plan contra incidentes de bombas y ser coordinado con los otros planes de la empresa. El plan debe incluir la política y los procedimientos y la información necesaria para capacitar al personal y debe estar dirigido a Gerentes, Supervisores de seguridad, y responsables del cuidado de la instalación “Chief Warden” Chief Fire” responsable del cuidado de la instalación o de incidentes. El plan es para limitar la habilidad del enemigo y prever la respuesta apropiada y de acuerdo a la cultura de la empresa. El plan se debe basar en: − El gerente general reconoce la necesidad del plan. − Un equipo multidisciplinario (TET Threat Evaluation Team) evalúa todas las amenazas y no solo las provocadas por bombas. El análisis de riesgo (Risk Assessment) incluye la posibilidad (“P”) y la criticidad (“K”). La “P” puede verse afectada por cambios en el perfil de la empresa o en las contramedidas vigentes y la “K” además de depender del valor de los activos, puede variar con los efectos posibles de las bombas. − Se analiza la vulnerabilidad o exposición de la empresa (lugar, personal, relaciones, etc.) − Se analizan las actuales medidas de seguridad y las contramedidas, teniendo claro que cada riesgo tiene varias contramedidas posibles y cada contramedida puede incidir en varios riesgos.

Las medidas que ayudan a la seguridad de bombas son: • Control de acceso eficaz. • Equipos de detección. Seguridad para los activos de valor (teniéndolos a una distancia adecuada (“Stand Off”) y con una protección en profundidad. • Entrenando a gerentes, supervisores y personal, particularmente con que se debe reportar los materiales fuera de lugar.

© Hernando D. Hernández, CPP

75

Gestión de Crisis o Emergencias y Continuidad del Negocio Consecuencias El ingreso de una bomba a las instalaciones, puede provocar tres consecuencias principales: • Preocupación de todos los que se encuentran en la instalación. • Daños humanos y materiales ocasionados por una posible explosión. • Efectos que provocan la propia evacuación (afecta las operaciones normales de la empresa y puede ocasionar accidentes al personal).

10.4.

Tipos de incidentes de bombas

Hay 5 tipos principales: • Objeto peligroso • Amenaza de bomba • Paquete peligroso • Bomba • Escena posterior 1. Objeto abandonado Las principales consideraciones son: • • • •

El objeto abandonado o no identificado es el incidente más probable. No se considera sospechoso hasta ser evaluado (registro de las cámaras de CCTV, etc.) La posibilidad de detección aumenta, si el personal está capacitado y tiene la voluntad de informar. Las opciones básicas de respuesta son: − Si se comprobó que es un objeto seguro, se lo saca del área. − Si se cree que puede ser peligroso no se debe tocar. La excepción puede ser que parezca un objeto perdido o basura y que no pueda ver dentro sin equipo o no disponga de rayos X. − Si se considera que es un objeto peligroso porque parece una bomba o no se puede declarar seguro, se debe disponer la evacuación inmediata y poner a disposición a los testigos, al personal preparado para emergencias. Es importante subrayar que la definición o declaración, si estamos ante una bomba real o falsa, no la pueden realizar los gerentes sino solo el escuadrón de bombas. (“Bomb Squad”) o investigadores forenses públicos o privados (“Forensic Investigators”)

© Hernando D. Hernández, CPP

76

Gestión de Crisis o Emergencias y Continuidad del Negocio •

Las etapas o principios a seguir ante un incidente de este tipo son las llamadas “5 R”: − Recibe

Todo el personal debe observar elementos fuera de lugar.

− Registra

Se deben registrar los detalles del incidente, tales como la actividad previa en el área, dónde y cómo se constató, la forma, el olor y si presenta cables el paquete.

− Reporta

Quien lo reporta debe hacerlo al personal de vigilancia o a cargo del personal de la empresa debiendo el supervisor, a su vez, transmitir la información a un gerente relevante.

− Revisación

se define si existe o no un peligro en base a:  Cómo llego el objeto  Registros de CCTV  Versión de los testigos  Información obtenida por el “Laisson”  Uso de rayos X

− Respuesta

La que varía, si se confirmó que es un objeto seguro, donde se trata como un material extraviado, o si finalmente se constata que es peligroso, en cuyo caso se evacúa y se aplican los procedimientos de emergencia.

2. Amenaza de bomba • •

No se debe disponer una evacuación basada en el instinto porque baja la confianza en los gerentes. Si conviene evacuar, cuando la amenaza de bomba es más específica, el enemigo demuestra, un mayor conocimiento y parece ser más creíble.

© Hernando D. Hernández, CPP

77

Gestión de Crisis o Emergencias y Continuidad del Negocio •

La respuesta efectiva por parte del TET también considera las”5R” − Recibe

Se reconoce la amenaza que es útil para futuras Capacitaciones.

− Registra

Se obtiene la información generalmente por vía telefónica utilizando un “Chek List” que debe ser detallado, tratando de no colgar el teléfono para su eventual rastreo. Esta información se envía al TET, pero no se comenta al personal.

− Reporta

Al coordinador de la amenaza quien:  Efectúa un análisis inicial y decide si evacúa  Se comunica con el TET

− Reúne

Información y testigos.

− Revisa

Este punto incluye tanto la evaluación previa de las necesidades de entrenamiento para implementar este plan, como la revisión que hace en oportunidad de recibir una amenaza concreta. Esta revisión es más difícil, porque a diferencia de un caso por fuego, el riesgo no es evidente y depende de la credibilidad de la amenaza.

− El tiempo disponible para la evaluación es la hora fijada por la amenaza (“DEAD LINE”) menos el tiempo necesario que dure la evacuación con un margen de seguridad. DEAD LINE - (tiempo disponible) = DEAD LINE - (minutos para evacuar + minutos de seguridad) − En base a la fórmula anterior, si no hay tiempo, el coordinador ordena la evacuación, y si no hubiera (“DEAD Line) se coordina la evaluación de la amenaza. ASAP (tan pronto como sea posible).

© Hernando D. Hernández, CPP

78

Gestión de Crisis o Emergencias y Continuidad del Negocio •

“TET” Dependiendo del entorno, podría ser conveniente que toda empresa prevea un TET basado en un pequeño grupo con una secretaria donde un líder pueda tomar las decisiones. El TET debe: − Debe tratar de identificar el motivo y tratar de reducir las posibilidades de concretar un asesinato, por quien amenaza. − Si es necesario prevenir a alguna persona, amenazado en particular. − Avisar a los gerentes de la empresa (seguridad, recursos humanos, instalaciones, etc.) al sindicato, personal tercerizado o inquilino y de existir al gerente regional. − Registrar las opiniones del propio grupo. Las opiniones de los integrantes del grupo deben registrarse para: − Justificar las acciones. − Base de entrenamiento. − Apoyo a futuras investigaciones.

Respuestas Las opciones del TET dependen de la credibilidad de la amenaza: Amenaza creíble

Amenaza no creíble

Informa a la policía

Se continúa trabajando normalmente

Dispone la evacuación

Se informa a la policía y se apoyan las investigaciones

Informo a los servicios de emergencia (escuadrón de bombas, etc.) Implementa los planes de seguridad de las instalaciones, el BCP Prevé cuándo y cómo será la reocupación de la empresa

Se informa al personal

Registran los detalles

Registra

Se registran los detalles

© Hernando D. Hernández, CPP

79

Gestión de Crisis o Emergencias y Continuidad del Negocio 3. Paquete peligroso “Hazardous Mail O Mail Bomb” Se consideran paquetes peligrosos a las bombas o a los materiales de tipo: •

Venenosos

•

Ácidos

•

Químicos

•

Biológicos

•

Corto punzantes (“Sharps” o “Needlies and Blades”)

Los materiales venenosos y ácidos en general se usan para pocos objetivos, mientras que los químicos y biológicos, para objetivos numerosos y también se llaman incidentes de pólvora blanca, (“White Powder Incidents”). A pesar de que toda empresa tiene la posibilidad de recibir este tipo de incidentes, una encuesta de ASIS International revela que, aún en EEUU el 50% de las empresas no capacitan a su personal para esta amenaza. El atacante dispone de varias ventajas: • • •

Puede enviar a un objetivo específico (nombre, puesto, etc.) Se puede camuflar el contenido con diferentes formas, tamaños y cantidad de envoltorios. Es anónimo.

Etapas o principios: •

Identificación. Se basa en buscar indicios: − Componentes de la bomba (batería, cable, carga pesada, pérdida de líquido, sobre madera, cerrada, atada, etc.) − Intención de que la eventual víctima manipule antes el paquete. (Confidencial, etc.) − Errores en el remitente.

© Hernando D. Hernández, CPP

80

Gestión de Crisis o Emergencias y Continuidad del Negocio •

Investigación. Se basa en: − Efectuar preguntas adecuadas (¿es un paquete esperado, el remitente o el destinatario son correctos? Etc.). − Disponer de detectores y personal capacitado para su empleo. Algunas consideraciones son: − Spray transparente para emplear sobre papel. − Detectores de metal, no conviene que sean manuales. − Para explosivos no conviene utilizar Spray, sino retirar una muestra para análisis químico. − Es recomendable emplear equipo de rayos X antes del área de revisación del paquete.

•

Respuesta. Se debe basar en procedimientos que incluyan: − Cómo y a quien reportar − Cómo investigar − Cómo definir si es peligroso o seguro − Cómo aislar el paquete − Cómo evacuar al personal

•

Si el paquete vino por un correo normal, se puede mover porque ya lo hicieron. En caso contrario, se debe disponer la evacuación porque la distancia es la mejor protección a un paquete peligroso.

•

La consideración de seguridad implica asumir la peor posibilidad, esto es, suponer que existe una bomba en el lugar.

•

Una guía de actuación sencilla será recalcar qué se debe y no hacer en este caso:

© Hernando D. Hernández, CPP

81

Gestión de Crisis o Emergencias y Continuidad del Negocio SI

NO

Reunir información

Abrir

Informar al gerente

Mojar

Informar a la policía

Dejar bajo llave

Informar al escuadrón de bombas

Invitar a observarlo

Informar a los vecinos, etc.

Trasladar personal a la zona

Crear una zona de aislación para en el caso que se continúen las operaciones y una zona de emergencia Búsqueda Cómo y quién realiza la búsqueda de un paquete peligroso es muy importante por lo que detallaremos el grupo de búsqueda, el coordinador, los tipos y técnicas de búsqueda. Se debe efectuar la búsqueda si: •

Hay una creencia razonable de que existe una bomba y tiempo suficiente antes del “Dead Line”

•

Se concretó la evacuación y pasó el “Dead Line” sin incidentes.

•

Antes de reuniones o visitas importantes.

Coordinador de la búsqueda Un coordinador en el COC “Crisis Operation Center”, decide las áreas de prioridad de búsqueda y duración de la misma, para lo que mantiene una comunicación con el supervisor del grupo de búsqueda. Grupo de búsqueda Está formado por personas que trabajan en el lugar y cada 3 ó 4 tienen un supervisor para asegurar: • • •

Que el personal tiene conocimiento. Cumple las órdenes. No utilizará radio ni celulares (que pueden accionar una bomba).

© Hernando D. Hernández, CPP

82

Gestión de Crisis o Emergencias y Continuidad del Negocio No se debe arriesgar innecesariamente al grupo de búsqueda, debiendo capacitarlos con ejercicios, con diferentes tipos de bombas, pero que no incluyan bombas falsas reales porque pueden ser ilegales, o pueden ser encontradas por personas ajenas al grupo después del entrenamiento. Se debe prever un paquete de emergencia, por piso o área y que incluya: • • • •

Procedimientos Plano, papel y lápiz Linterna espejo y guantes Cinta para marcar las áreas

Tipo de búsqueda •

Por los ocupantes del área (cada uno revisa su área) y se define quién revisa las áreas comunes.

•

“Warden”. El vigilante o responsable del cuidado de la empresa, pregunta a los ocupantes de la empresa, o a quienes tienen acceso a shopping, museo etc.

•

Grupo de búsqueda. Un grupo especial que requiere capacitación.

•

De alto riesgo. Es un escuadrón de bombas u otros expertos públicos.

Técnicas de búsqueda Para buscar un paquete peligroso se recomienda: •

Trabajar en grupos de dos personas.

•

Dejar una habitación libre entre dos grupos de trabajo, como seguridad o para evitar ruidos.

•

En las áreas especiales se pide ayuda a quienes las conocen.

•

Antes de ingresar se observan las filmaciones de CCTV o se observa o escucha fuera del lugar, lo que puede descartar algunas áreas.

© Hernando D. Hernández, CPP

83

Gestión de Crisis o Emergencias y Continuidad del Negocio •

Se asignan responsabilidades, dividiendo el área de búsqueda en algunas de las siguientes formas: − Por altura que tienen tres zonas: Hasta la cintura De la cintura a la cabeza Sobre la cabeza − Uno revisa las paredes y otro el centro de la habitación.

•

Se debe revisar todo objeto y lugar especialmente vehículos, personas y espacios abiertos y emplear detectores, sólo con personal calificado.

•

Al finalizar la búsqueda, hay dos posibilidades: − Si no encontraron nada, marca la zona como revisada e informa, al supervisor, quien a su vez marca la zona. − Si encuentran un paquete peligroso deben: No manipularlo Informar al supervisor Reunir información (detalles, fotos, etc.) Ser testigos del escuadrón de bombas

•

El coordinador en el COC decide si se continúan las operaciones o se efectúa una evacuación considerando las rutas alternas y zonas de reunión por los “Secondary Hazard”.

“White Powder Incidents” Merece una mención especial este tipo de incidentes, que emplean materiales químicos o biológicos tal como ha ocurrido en el año 2001 con “Antrax” en EEUU y que podrían concretarse en otros países y por motivos diversos. El mayor riesgo existe, si se contaminara un sistema de circulación de aire. Todos los presentes en un área, se deben efectuar exámenes médicos y limpiar el área.

© Hernando D. Hernández, CPP

84

Gestión de Crisis o Emergencias y Continuidad del Negocio Las dificultades de respuesta se dan, porque generalmente comienza a actuar una vez que se constata su presencia luego de una apertura. Por ese motivo el objetivo de una respuesta es: •

Tratar de que el material no siga distribuyéndose.

•

Identificar el personal afectado para su tratamiento.

Las medidas de prevención básica son: •

Ubicar las zonas de control de paquetes, alejada de los sistemas de circulación de aire.

•

Disponer de una bolsa o caja que permita aislar el paquete peligroso.

Las acciones con el personal contaminado son: •

Sacarlo del área y evitar su contacto con el resto del personal.

•

Alojarlo en una habitación que incluya alimentación, baños y contacto telefónico con el escuadrón de bombas.

•

Retirar muestras, previo al lavado de manos.

•

Brindarle apoyo sicológico, etc.

© Hernando D. Hernández, CPP

85

Gestión de Crisis o Emergencias y Continuidad del Negocio 10.5.

Emergencias por bombas - EXPLOSIONES

Este tipo de incidentes requiere un mínimo de conocimiento teórico sobre las explosiones, sus efectos y algunos tipos especiales de bombas para poder comprender las barreras y el diseño sugeridos a las instalaciones. 1. Tipos de explosiones TIPO

COMENTARIOS

Mecánica

Por calor o presión en forma gradual, se rompe una estructura cerrada y provoca:  temperatura alta  gas  ruido

Química

Un sólido o líquido, rompe una estructura débil y genera rápidamente un gas que provoca:  encendido de un combustible  fragmentos

Nuclear

La fisión o fusión de un átomo, provoca una gran presión teniendo efectos muy destructivos tales como los recordados en la GM2 (1kg = 20: de TNT)

La protección contra una bomba se puede hacer de dos maneras: •

Manteniendo distancia.

•

Protegiendo a las personas (“Cover”).

Si la bomba está a una distancia considerable, se debe evaluar si el personal: •

Permanece en el área (“Shelter In Place”) ubicado lejos de las aberturas y dejando que sólo los expertos manipulen la bomba.

•

Evacue el área. En este caso las áreas de reunión deben estar a un mínimo de 300mts. Tratando de evitar la línea recta a la bomba y con las personas, también lejos de las aberturas y detrás de algún material que le brinde cobertura.

© Hernando D. Hernández, CPP

86

Gestión de Crisis o Emergencias y Continuidad del Negocio Los explosivos en general tienen tres tipos de materiales: • • •

Iniciador. Carga intermedia, que ayuda al iniciador. Carga principal que en general es insensible y puede ser incendiaria, explosivo o mezcla de ambos.

Los explosivos se clasifican de acuerdo a la velocidad de detonación (VoD) que es la velocidad que se convierten a gas en una distancia lineal en bajos y altos, a saber:

Logran

BAJOS

ALTOS

Empujar

Romper o mover pesos grandes

Velocidad de Hasta 15000 pies por Más de 15.000 pies por segundo detonación (VoD) segundo Iniciador (golpe, fricción Detonador Necesita o calor)  Pólvora negra (0,5) o  Dinamita (TNT) sea la mitad del TNT Es el explosivo estándar considerándose su valor como 1 y teniendo un VoD de 22.000 pies/seg. Ejemplos  Pólvora sin humo  C4 o explosivo plástico  Nitro celulosa

10.6.

 Nitroglicerina (1,5%) o sea 50% más de velocidad que el TNT

Efectos explosivos

Los efectos explosivos primarios son: • BLAST •

Fragmentación

•

El Calor por fuego o incendiario con un acelerante

“BLAST”: es la rápida expansión de un gas que le permite matar personas o destruir estructuras.

© Hernando D. Hernández, CPP

87

Gestión de Crisis o Emergencias y Continuidad del Negocio 1. Tiene dos fases: •

Primera, una fase positiva, con una onda de aumento rápido de presión (Peak Incidents) incluye una presión progresiva.

•

Segunda, una fase negativa, con una onda en dirección contraria, luego de haber encontrado un obstáculo.

2. El tipo de onda depende de: •

El tipo de explosivo o método de detonación. Aquí se destaca el concepto “Brisance” que es la rapidez de alcanzar la máxima presión y que puede ser un brisance explosivo, ya que su rapidez rompe todo lo que está cercano.

•

Lugar La onda es mayor si está cercana a superficies que reflejan la luz o reflectivas pudiendo causar “Secundary Hazard”

•

El tipo de empaque. La dirección forma y velocidad de la explosión, dependerá del material y la forma de confinamiento.

3. Distancia para minimizar las ondas de presión de una bomba La mejor protección es la distancia, lo que puede observarse en la distancia necesaria a tomar ante un kg de TNT:

Presión k Pascal

A 5 metros

A 15 metros

100

8

4. Daños al ser humano La presión de la onda explosiva medida en k Pascal incide en los daños al ser humano:

Presión k Pascal

Efectos

1300

Alto riesgo de vida

700

Riesgo de vida

200

Daño a los pulmones

30

Daño a los oídos

© Hernando D. Hernández, CPP

88

Gestión de Crisis o Emergencias y Continuidad del Negocio Sin considerar los efectos de fragmentación y con las conversiones aproximadas, las bombas de TNT, producen daños a los tímpanos, pulmones o alto riesgo de vida, en función de los kilogramos de explosivo y la distancia, a saber:

KG de TNT

Distancia en mts en que DAÑA TÍMPANOS

Distancia en mts en que DAÑA PULMONES

Distancia en mts en que hay ALTO RIESGO DE VIDA

2

8

3

1,2

5

10,6

4

1,7

10

13,4

5

2,2

25

18

6,8

3

Si calculamos un coche bomba con ANFO (nitrato de amonio y fuel oil) las posibilidades de muerte serían (Morrison, Williams, 2004): Distancia en metros

Bomba de 10 kg

Bomba de 20 kg

Bomba de 50 kg

Bomba de 100 kg

Bomba de 200 kg

5

100 %

100 %

100 %

100 %

100 %

10

28 %

34 %

49 %

97%

100 %

20

7%

8%

12 %

24 %

49 %

50

1%

1,4 %

2%

4%

8%

100

0,04%

0,07 %

0,13%

0,25 %

0,5 %

Fragmentación a. La fragmentación depende de: •

El diseño de la bomba (incluye clavos, etc.)

•

Las estructuras u objetos cercanos

© Hernando D. Hernández, CPP

89

Gestión de Crisis o Emergencias y Continuidad del Negocio b. Fórmula de Fragmentación El daño se puede observar en la forma de la fragmentación de bomba o cálculo de penetración del fragmento: Penetración = K MVn A Donde: K = el coeficiente que depende del material del objeto golpeado. M = masa del fragmento V = Velocidad de choque del fragmento n = Exponencial, que es 1 para madera, acero y concreto y 0 para Materiales blandos, plástico y material tipo cera. A = área de choque de los fragmentos. c. La ONU clasifica los efectos explosivos Hazard Clasifications como de 6 tipos: 1 - BLAST 2 - FRAGMENTACIÓN 3 - FUEGO 4 al 6 - EFECTOS MENORES por diseño o empaque Por otra parte dicha organización internacional en su “Orange Book” recomienda cómo hacer el transporte de materiales compatibles.

© Hernando D. Hernández, CPP

90

Gestión de Crisis o Emergencias y Continuidad del Negocio 10.7.

Tipos especiales de bombas

Veamos algunos tipos especiales, con sus consideraciones y contramedidas: Tipo

Consideraciones Se emplea como amenaza, el atacante o alguna víctima que fue obligada a actuar de esa forma.

Bomba suicida

Es difícil de identificar, por los cambios repentinos de momentos y objetivos.

Vehículo bomba

Que no siempre son bombas suicidadas y presentan para el atacante varias ventajas:  Trae la bomba preparada  Reduce el lapso en el área  Puede romper una barrera  Puede aprovechar un estacionamiento público.  Puede emplear gran cantidad de explosivos

Contramedidas

La mejor respuesta es la evacuación o evitar que el atacante se aproxime.

 Empleo de barreras que obliguen a la detención forzada del vehículo o dos barreras para realizar una inspección aislada, con el área suficiente para que maniobren y se retiren los vehículos rechazados en base a un registro previo de vehículos y choferes  Controlar el ingreso al estacionamiento público y alejarlo de los Activos Críticos.

“VBIED”

En este tipo que generalmente no es un ataque suicida, se deja la bomba debajo del asiento de un vehículo

Extremar las medidas de seguridad de vehículos en estacionados en garajes o vía pública inspeccionándolos antes de ser usados

Ataque de vehículos en transito

Es un ataque típico contra una personalidad Vip, previsto en la seguridad ejecutiva.

Capacitar a los choferes, plan seguro de viaje, que incluya cambio de rutas, identificar eventos anormales.

1. Diseño de edificios nuevos o reconstruidos Algunas consideraciones de importancia son: •

Se consideran estructuras críticas o vitales aquellos sistemas o bienes físicos o virtuales cuya incapacidad o destrucción pueda afectar la seguridad, salud o economía nacionales.

© Hernando D. Hernández, CPP

91

Gestión de Crisis o Emergencias y Continuidad del Negocio •

Se debe emplear medidas de “CPTED” y que los activos críticos no estén pared contigua a un área pública.

•

La protección de las aberturas contra los efectos de fragmentación de una bomba, dependen de: − La posibilidad de la existencia o el tamaño de una bomba. − La cercanía de los activos de valor. − El tipo de ventana.

•

Se deben controlar el área de basureros: − Ubicarlos en dirección opuesta al personal. − Tener cuidado previo a su manipulación. − Reducir su cantidad en las áreas públicas.

•

Que las zonas de control de acceso estén alejados del control de activos y que se realice un efectivo control de paquetes.

2. Barreras especiales anti bombas Dado que los vehículos bombas son la forma más peligrosa de colocar una bomba, si en el análisis de riesgo surge esa posibilidad, se deben emplear barreras especiales de las que destacamos: Tipo de barreras

Consideraciones

Cerca

La cerca con cables de ¾ de pulgadas no evita la penetración de un vehículo de ¾ toneladas pero lo puede llegar a detener.

Concreto

Los hay de dos tipos básicos . Bolardos. Que son cuadrado o cilindros de 4 pies o un tetraedro de 4 pies de altura y 3 de base

“New Yersey Bounce”

Son los empleados en las rutas

Neumáticos

De 7 pies de diámetro que se entierran hasta la mitad.

“RAIL ROADS”

Rieles enterrados separados a 4 pies de distancia, en un ángulo de 30 a 45°.

Hidráulicos

Platos, Bolardos o cuñas de rápido despliegue

© Hernando D. Hernández, CPP

92

Gestión de Crisis o Emergencias y Continuidad del Negocio Resulta útil la Clasificación dada por el Departamento de Defensa de EEUU, a las barreras de vehículos bombas, según puedan detener a un vehículo de ¾ toneladas a determinadas millas por hora de velocidad y con 15000 “Pounds” (libras) de explosivos en 3 tipos: Tipo

Velocidad en millas/hora K4

30

K8

40

K12

50

3. Protección contra vehículos bomba Para la protección contra vehículos bomba, se sugiere ampliar sobre este tema, en la sección Material de referencia del Aula Virtual, documento denominado: “Barreras Vehiculares”.

© Hernando D. Hernández, CPP

93

Gestión de Crisis o Emergencias y Continuidad del Negocio 11.

Terrorismo

11.1.

Definiciones

A nivel de las Naciones Unidas, la Asamblea General aprobó la Estrategia Global de las Naciones Unidas contra el Terrorismo el 8 de septiembre de 2006. Esa Estrategia es un instrumento único para intensificar las iniciativas nacionales, regionales e internacionales de lucha contra el terrorismo. https://www.un.org/counterterrorism/ctitf/es/un-global-counter-terrorism-strategy A nivel de USA, el código de regulaciones Federales de USA, lo define como el uso ilegal de la violencia para intimidar o ejercer cohesión contra un Gobierno o población por objetivos políticos o sociales. El FBI, a su vez lo clasifica en doméstico o Internacional. •

•

Terrorismo doméstico, son actos peligrosos para la vida humana que violan leyes criminales para intimidar a la población o influenciar en políticas del gobierno, empleando armas de destrucción masiva (“WMD”), asesinatos o secuestros y dentro del territorio de USA. Terrorismo internacional, es similar al anterior, pero fuera de las fronteras de USA o que las trasciende por los medios empleados, las personas intimidades o por el lugar en que actúan.

En Uruguay, también existe una Estrategia Nacional en la materia, dado fundamentalmente por los Decretos Reservado del Poder Ejecutivo 180/77 y el 44/18, donde se prevén acciones de coordinación entre organismos públicos, en defensa de las áreas consideradas Criticas. Asimismo si en un área privada, la puesta en ejecución de su propio Plan de Emergencia , acciona el “911” , allí se accionan Protocolos iniciales de intervención policial que , de existir heridos ,pueden derivar en el Servicio de Atención Medica Extra hospitalaria (teléfono 105) y ante indicios de una actividad terrorista , una comunicación al Centro Nacional de Coordinación Antiterrorista(“CENACOT”)quien puede disponer la coordinación de los medios humanos y materiales para enfrentar la amenaza.

© Hernando D. Hernández, CPP

94

Gestión de Crisis o Emergencias y Continuidad del Negocio 11.2.

Tipos y motivaciones

El terrorismo ha sido una práctica histórica en diferentes regiones y por diferentes grupos: • Aprox. 100 DC. Judíos “Zealots” contra la ocupación de los romanos. •

Aprox. 700 DC.

Los “Thuggees” de la India.

•

Aprox. 1100 DC.

Los “Asesinos” musulmanes.

•

Aprox. 1700 DC.

Los revolucionarios franceses, etc. con el “reino del terror”

Pero desde los Teóricos como el ruso “Dostoevsky” considerado el padre del terror político, o la base ideológica marxista que reforzó el concepto de “lucha de clases, o la inclusión de los nuevos fanatismos, mucho ha cambiado en el fenómeno terrorista. Podríamos hacer una generalización entre el tipo de terrorismo histórico y el nuevo, comparando motivaciones, tipo de ataques, objetivos, estructura y tipo de violencia empleada, siendo un punto de inflexión el “11S” y resumirlo en el cuadro siguiente:

Tipo de Terrorismo

Motivación

Histórico

 Tradicional  Política  Lucha por la libertad, una etnia, venganza

Nuevo

 Fanatismo religioso  Profecía apocalíptica  Supremacía racial  “apóstoles del odio”

Tipo de Ataques

Objetivo

Tipo de violencia

Estructura

Planificados

 Moderados  A símbolos

Globales amorfos

 Reclutan  Medios de por comunicación internet. masivos  Noticias que ofrecen  Líderes carismático shock, tragedias, s pánico, etc. “Infotainment”  Más Nacos, 2002” cerrada

Previsible

 Moderada  Asesinato  “Didáctica”  Uso de avión de pasajeros  Ántrax  Camiones bomba, Ataques suicidas

© Hernando D. Hernández, CPP

95

Gestión de Crisis o Emergencias y Continuidad del Negocio 11.3.

Causas del terrorismo

El shock y pánico buscados por los terroristas, hace frecuente el empleo de víctimas inocentes. Los análisis más frecuentes de las causas, tienen los siguientes enfoques: 1. Multicausal El empleo de la violencia por: •

Revolución política (ideología, crítica, tradición, etc).

•

Pobreza e inequidad.

•

Existencia de grupo revolucionario.

•

Gobierno débil, inepto, dividido o sin comunicación política.

•

Política.

Un análisis marxista de la realidad, prioriza factores subjetivos y objetivos para una revolución, que pueden tener también condiciones previas y precipitantes: • • •

Precondiciones, puede ser la permisibilidad (disponibilidad de armas, falta de seguridad, vías de escape, urbanización, etc.) O situaciones más directas, como la pérdida de un país (Palestina) Situaciones precipitantes que inicien la violencia.

2. Organizacional Como estrategia elegida racionalmente por un grupo, que en general poseen un liderazgo fuerte (FARC de Colombia, Osama Bin Laden, Abu Nidel, etc.)

3. Sicológico Analiza el tipo de reclutamiento (por “hermandad”, justicia, religión) y las actitudes, motivaciones, creencias y tipo de personalidad de sus integrantes.

© Hernando D. Hernández, CPP

96

Gestión de Crisis o Emergencias y Continuidad del Negocio 11.4.

Armas y apoyos

a. Armas convencionales Sea en forma directa o por países que los apoyan, muchos grupos terroristas acceden a armas convencionales. En general son más chicas, livianas, exactas y destructivas, por las mejoras en los materiales empleados. Ejemplos pueden ser las municiones guiadas (“PGM” precisión guided munitions) o sistemas antiaéreos que los puede llevar un combatiente individual (“MANPADS”, Man Portable Air Defence System). Los “PGM” tienen un rango efectivo hasta 3.5 km y pueden penetrar 2 metros de concreto.

b. QBRN (armas químicas, biológicas, radiactivas o nucleares). Son una posibilidad real de empleo por parte de grupos terroristas como armas de destrucción masiva. Desde el año 2003, existe una iniciativa de USA para controlar la proliferación de materiales y tecnologías (“PSI” Proliferation Security Iniciatives) empleando contramedidas diplomáticas, de inteligencia y operacionales.

c. “Ciber Weapons” La vulnerabilidad de las infraestructuras críticas a los ciberataques ha increscendo tanto para el sector público como para el privado, en particular los sistemas con muchos usuarios (Universidades, etc.).

11.5.

Tendencias

Las actividades principales del terrorismo seguirán siendo el empleo de bombas y secuestros, con una tendencia a la baja en la cantidad de incidentes, pero con mayor cantidad de víctimas. Ataques simultáneos y asimétricos seguirán siendo habituales y el incremento de las causas religiosas diferentes.

© Hernando D. Hernández, CPP

97