La alarma de evacuación total sonó en la Torre Mayor en el día 30 de Agosto del 2007 alrededor de las 11:00 de la mañana.
La alarma de evacuación total sonó en la Torre Mayor en el día 30 de Agosto del 2007 alrededor de las 11:00 de la mañana. Carlos Pitanga, Presidente de BSI en México inmediatamente interrumpió una llamada telefónica, se levantó y se dirigió a la entrada de la oficina – “Contamos todos los empleados y visitantes, estábamos ofreciendo una capacitación en Seguridad de Información para un grupo de clientes en este día. La recepcionista hizo el enlace del conmutador a su celular y empezamos a bajar las escaleras del edificio. Encontramos un gran número de personas en las escaleras a lo largo de los 41 pisos que tuvimos que bajar, tardamos cerca de 25 minutos en el trayecto hacia la salida. Observamos que algunas personas de otras empresas demostraron indicios de pánico, pero los demás de alguna forma intentaron mantener la situación bajo control. Identificamos personas que no tenían la debida capacitación y consciencia de la gravedad del problema y sus riesgos: algunos tomaban café, otros revisaban sus e-mails en aparatos de telefonía, las personas de la limpieza llevaban cubetas, trapos, etc. Salimos del edificio con algunas dificultades y nos dirigimos hacia nuestro punto de encuentro cerca del monumento de la Diana Cazadora. Contamos otra vez nuestros empleados y visitantes, todos estábamos ahí, algunos un poco cansados por el ejercicio no voluntario.”
Fue la primera vez que BSI México aplicó su plan de evacuación. Carlos hizo una reflexión sobre el proceso y las directrices definidas en el plan de gestión de incidentes y de continuidad del negocio, las inversiones y reuniones sobre como incrementar la resiliencia de la organización hechas en los últimos años, las reglas restrictas del grupo BSI para la continuidad del negocio y consideró que las acciones tomadas basadas en la norma BS 25999 fueron claves para que BSI, independiente de su tamaño en México, pueda estar preparada para las adversidades de nuestra vida cotidiana.
“Esperamos información sobre la posibilidad de regreso a las instalaciones por un par de horas, pero dada a la indisponibilidad y falta de previsión, decidí dar seguimiento a las acciones del plan y fuimos para nuestras casas en este día. La evacuación fue determinada por una amenaza (confirmada) de bomba. Hicimos la comunicación interna a nuestro corporativo. La indisponibilidad de nuestra oficina corporativa en México no impactó fuertemente nuestra operación, estábamos preparados” – complementó Carlos – “Nuestros sistemas siguieron funcionando y seguimos conectados, en particular para las actividades vinculadas a la entrega de los servicios a nuestros clientes. El personal clave seguía trabajando y conectados a través de la facilidad de home office. La oficina de Monterrey fue un apoyo clave. El curso que estamos impartiendo sufrió retrasos, pero fue posible dar continuidad al mismo en el día siguiente, en otras instalaciones y completarlo de forma satisfactoria”.
BSI México había incrementado su resiliencia a la discontinuidad a través de la aplicación de un modelo de gestión basado en la norma BS 25999, norma de su propia creación. La BS 25999 es la actualización de la especificación pública BSI PAS 56 creada en 2003.
En los últimos años BSI había evaluado sus riesgos operativos, su modelo de negocios y muchas acciones habían sido tomadas para reducir los riesgos y disminuir el impacto a su negocio en caso de un incidente. Algunas de estas acciones fueron implementadas de forma local y otras, fueron implementadas en el corporativo en Londres. La indisponibilidad de acceso a la oficina corporativa en México fue uno de los riesgos contemplados en el análisis del impacto al negocio (Business Impact Analisys – BIA). Estrategias de prevención fueron determinadas basadas en el riesgo-costo-beneficio e incluyó, entre muchas otras acciones, la dispersión de su operación y el establecimiento de una oficina adicional en territorio nacional.
Su equipo operativo (auditores/instructores) ahora opera desde 9 diferentes estados de la republica, todos conectados a través de una estructura de home office. Sistemas de protección de datos y back-up fueron mejorados, las facilidades y funciones del sistema de telefonía fue utilizado, funciones críticas fueron identificadas, la red de proveedores calificados fue ampliada en diferentes partes del país, sus principales partes interesadas fueron identificadas, incluyendo clientes claves.
Manejando para su casa, Carlos reflexionó sobre la situación vivida en este día preocupado con la bomba y otras acciones de terrorismo que empezamos a vivir en México. Pensaba en su familia, y en los empleados de la empresa. Por otro lado, tenía un poco de tranquilidad en saber el grado de preparación que tenía, confirmado por la efectividad del plan y de las inversiones hechas. Todavía pensaba en como BSI podría mejorar sus estrategias y planes de contingencia – “seguramente el plan necesita de actualización”, pensaba Carlos, “es un documento vivo que debe ser analizado a cada incidente relevante y sus respectivas lecciones aprendidas”. En un punto él ya estaba seguro: “vamos ampliar nuestra oficina en Monterrey incrementando la capacidad para funcionar al 100% como nuestro corporativo en México por un periodo más largo de tiempo. Además, buscaremos un local que no sea un target de acciones de esta naturaleza”, concluyó. Carlos sabía que tendría una auditoría de continuidad del negocio a ser realizada por su corporativo en los siguientes meses, en función de la naturaleza del incidente vivido.
