votar
accidente bp

Accidente de la Plataforma de BP

El día 20 de Abril de este año, un desgraciado accidente que se llevó la vida de 11 trabajadores se pudo haber evitado. Esto que pensarás suena a tópico dejará de serlo si reconstruyes las circunstancias en las que el accidente se produjo.

Estando este fin de semana en casa, en uno de los pocos momentos que tengo para escuchar la televisión, escuché por casualidad la declaración de uno de los supervivientes al accidente. Mike Williams, ex empleado de la plataforma y técnico jefe de los sistemas electrónicos, declaró en una audiencia sita en Nueva Orleans que el sistema de detección encargado de monitorizar las acumulaciones de gas o la existencia de fuego no se activó. Preguntado por qué, Mike contestó que el sistema se encontraba apagado y que era una práctica habitual porque los responsables de la plataforma no querían despertar a nadie a las 3 de la mañana por una falsa alarma. A partir de aquí pueden haber dos líneas argumentales principales:

- El sistema de detección fue ineficaz porque estaba apagado pero… ¿Por qué estaba apagado?. Un sistema que emite muchas falsas alarmas resulta del todo inútil de forma que o se sustituye, o se perfecciona o se termina apagando. Si el sistema había demostrado no ser eficaz estando en funcionamiento, el responsable del sistema debía haber hecho notar esta circunstancia y haberlo corregido a tiempo dado que, por lo demostrado, se trataba de un sistema crítico.

- El sistema de detección funcionaba adecuadamente pero esporádicamente saltaba una falsa alarma que molestaba a alguien que no debía (o que si debía pero no le hacía mucha gracia levantarse a las 3 de la mañana).

Pues bien, el impacto, arriba descrito ha sido terrible, las consecuencias no sólo en términos de vidas humanas sino también de flora y fauna marinas, aves, plantas, contaminación atmosférica y un largo etcétera aún a día de hoy colean y el problema sigue sin cerrarse.

En infraestructuras y servicios críticos, la seguridad no es una opción, los impactos de la no seguridad no son admisibles bajo ningún punto de vista y es por eso que crece mi preocupación cuando veo empresas y servicios en los que aún no se les ha pasado por la cabeza pensar en la seguridad de sus activos, algunos de ellos teniendo como actividad principal la seguridad de los demás.

Enlazando todo esto con mi quehacer diario resulta algo curioso que cuando se finaliza la implantación de un SGSI, los controles que se han introducido para monitorizar determinados activos generan alarmas que a su vez se convierten en críticas, tan peligroso o más es no tener seguridad como pensar que se tiene y que ésta no funcione, sentirse seguro no es estar seguro. Esto nos lleva a la gran importancia de comprobar el buen funcionamiento de los controles implantados para aparte de sentirnos seguros tras la implantación del SGSI, estarlo, y a una pregunta más, ¿deben los activos de información generados por los controles implantados durante la construcción del SGSI formar parte del análisis de riesgos en futuras iteraciones?.

Espero vuestras opiniones.

Saludos a tod@s