Los planes de contingencia para desastres o emergencias en las empresas, son llamados BCP Business Continuity Plans.

En el caso de Merrill Lynch, fue Paul Honey, director de contingencias globales de Merrill Lynch el encargado de buscar una solución factible y rápida. El equipo de Paul Honey había llevado a cabo previamente, durante dos días, (en mayo de 2001) un simulacro de desastre, en el que el evento sucedido era un huracán arrasando Nueva York.

Esto, aunque no causó las mismas consecuencias en términos de pérdida de vidas humanas, sí les ayudó a estar preparados frente al incidente.

Al conocerse el incidente deben ponerse en marcha todos los planes ya preparados de escenarios similares, reunir a un grupo de expertos en catástrofes o contingencias y activar los protocolos indicados. Comenzando por hacer una valoración exhaustiva de todos los sistemas y subsistemas de la empresa, su estado, su nivel de riesgo y poner en marcha el plan designado para cada uno, nombrando a un encargado especializado para cada subsistema. Estableciendo un centro de mando alternativo en un área colindante a la zona de la catástrofe.

Es decir: se debe tener preparado de antemano un análisis exhaustivo del flujo de información y procesos que se llevan a cabo en la empresa para ser capaces de identificar los subsistemas que la componen y así dividir el conglomerado en grupos identificables de procesos.

Hay que hacer un informe valorativo del riesgo que puede sufrir cada parte esencial de Merrill Lynch e intentar conseguir una solución para cada acontecimiento, con la mayor brevedad posible. Estos riesgos se deben clasificar por nivel de urgencia, teniendo en mente el objetivo final que es: tener Merrill Lynch en marcha antes de dos días.

Primero se establecen cadenas de llamada de emergencia (call trees) en los que se sabe la jerarquía en la que unos empleados llaman a otros. Se suele decir que no existen más de seis grados de separación entre los habitantes del mundo y menos de dos entre los de Nueva York. Entonces se crean listas de llamadas para asegurarse del paradero y estado de cada uno de los empleados.

Se consiguen las bases de datos de los empleados que ficharon en las torres esa mañana y se intenta localizarlos, llevando a cabo un registro de las bajas y localización de cada factor humano.

Se instalan dos puntos de trabajo temporales en dos campus universitarios colindantes, desde ahí, se lleva a cabo un inventario de todas las propiedades inmobiliarias de Merrill Lynch con sus características y recursos (tener todo lo necesario para desempeñar su trabajo y si no proporcionárselo) , para así ir instalando a cada grupo de empleados en un puesto de trabajo temporal. Al mismo tiempo se instalan líneas especiales de teléfono y se hacen públicas en los medios de comunicación para aquellos empleados rezagados que no saben cómo proceder y necesiten recibir instrucciones de dónde, cómo y cuándo van a seguir desempeñando su trabajo.

Se comprueba que las copias de seguridad y los servidores redundantes de la empresa están funcionando. Asumo que Merrill Lynch, al haberse preparado para el Y2K en el 2000 tendría servidores redundantes, y sobretodo que habrían revisado que sus líneas fueran de VoiP además de ser líneas con diversidad en su routing, así si cae una no nos quedamos sin todo el equipo y pueden ser reconducidas para desde un mismo número poder ser captadas en cualquier punto.

Tener un protocolo asignado a cada empleado o grupo de ellos sobre cómo trabajar desde casa o en situación de deslocalización es una buena idea, con el fin de no depender tanto de los headquarters.

Una vez se han establecido todos los protocolos, hay que tener en cuenta las divergencias y problemáticas particulares que pueden ir surgiendo y preocuparse de resolverlas por orden de urgencia. Si por ejemplo, los nuevos puntos temporales de trabajo carecen de ordenadores, debemos establecer conexiones con los servidores redundantes y ver cuál es el sistema para transmitir esta información y poner en funcionamiento los 2000 ordenadores necesarios para cubrir estos dos nuevos centros temporales de trabajo.

Para esto se utiliza un software que automáticamente va sincronizando y poniendo a punto cada ordenador. En este caso se utilizaron portátiles, simplemente por ser más sencilla su instalación física al ser una sola pieza y no varias.

Hoy en día con los sistemas “en la nube” es posible tener el equipo procesador de información, los centros de datos y otros componentes de hardware esenciales para la empresa, deslocalizados con respecto a los headquarters.

NIST National Institute of Standards and Technology - Disaster Recovery Plan http://www.au.af.mil/au/awc/awcgate/nist/sp800-34.pdf

Derek Slater - Business Continuity and Disaster Recovery Planning: The Basics http://www.csoonline.com/article/204450/business-continuity-and-disaster-recovery-planning-the-basics

Impact of 9/11 on Lehman Brothers, Merrill Lynch and American Express http://www.cio.com/article/31296/Impact_of_9_11_on_Lehman_Brothers_Merrill_Lynch_and_American_Express

Harold F. Tipton, Micki Krause - Information Security Management Handbook, Sixth Edition