El autor comparte algunas lecciones aprendidas en instalaciones que visitó donde encontró bastantes errores en instalación, operación y mantenimiento de sistemas de seguridad electrónica.
por Ing. Germán Alexis Cortés H.*
Llevo más de 130 días desde mi fría y hermosa Bogotá, aprendiendo más que en cualquier otra época de mi vida. Realmente la situación de estar en cuarentena, aislado de la rutina laboral y con la amenaza de un virus que, aun no podemos derrotar fácilmente, ha creado un ambiente propicio para el recogimiento, meditación y desde luego aprendizaje de muchos aspectos que quizás no los hubiéramos aprendido, en otro momento. En mi caso, he leído, investigado y aprendido sobre tecnologías de todo tipo y reconozco que he adquirido, una que otra habilidad en culinaria. Mucho cine y música, para descansar.
Quiero referirme en esta ocasión, a las lecciones que nos da la vida, donde más nos duele: en el bolsillo; aprendidas mediante el trabajo realizado, en proyectos que, -para esta pandemia-, hubieran deseado que su inmueble, hubiera sido “inteligente” y adecuadamente diseñado. Aunque las lecciones ya las intuíamos, los propietarios de los sistemas, en muchas ocasiones hacen caso omiso a las recomendaciones dadas. Todo se puede resumir en tres (3) aspectos:
1. Las capacidades de las redes electrónicas, se llenaron fácilmente (en la mayoría de casos ya estaban llenas, antes de iniciar la Pandemia),
2. La flexibilidad de la infraestructura de comunicaciones, seguridad y control; pareció inexistente,
3. Los cubrimientos de los dispositivos y muchos de los conceptos básicos de seguridad, (redundancia, anillos concéntricos, verificación, análisis de riesgos, entre muchos otros); no se tuvieron en cuenta.
Y es que ahora, que todos regresamos a la etapa donde se establece la “nueva normalidad”, muchas industrias, empresas, comercios y hogares; desean mejorar sus sistemas de comunicaciones y seguridad; con el ánimo de estar mejor preparados en esa nueva rutina, en donde la tecnología estará siempre presente.
Realmente no hay muchas cosas nuevas; es decir, casi todo lo que nos ofrecen ahora, ya estaba inventado, solo que no le poníamos atención, o no valorábamos su uso. Pero ahora sí lo deseamos y le damos la importancia adecuada; recordemos que “nunca es tarde para aprender y mejorar”.
En los casos prácticos que escogí y describo a continuación, omito nombres de empresas y funcionarios, por confidencialidad, respeto y prudencia.
Caso 1
Clínica privada de 90 camas hospitalarias tuvo que transformar 20 consultorios de consulta externa y 30 camas de hospitalización normal en Unidades de Cuidado Intermedio (UCi) para atender enfermos de Covid-19. Se hicieron algunas remodelaciones y decidieron supervisar las UCi, mediante un sistema de video vigilancia, debido a que los centros de enfermería estaban un poco retirados. Nuestra labor fue hacer end-commissioning (recibir, probar, analizar y sugerir optimizaciones) del sistema.
Realmente un proyecto tan sencillo, se volvió complejo, cuando se destapó el cielo falso y quisieron acceder a las bandejas porta-cables de las redes de comunicaciones. El desorden imperaba, el polvo llevaba allí más de 15 años, los cables azules y grises, no se diferenciaban. El cementerio de insectos y otros, es para olvidar. Algunos soportes de la -incipiente malla portacable- sueltos, produjeron que la bandeja se descolgara en algunos puntos, pero al intentar mover y limpiar algunos conductores, para hacer espacio, ¡se cayó!. La clínica duró 3 días sin que su LAN básica funcionara. Las leyes de Murphy ayudaron: La única Fibra Óptica (en topología árbol y no en anillo), pasaba por allí y se trozó. Los Access Point que formaban las redes de WiFi, no tenían por donde comunicarse y hasta los visitantes y pacientes de otras zonas se quejaron fuertemente.
Un problema de cableado mal diseñado, mal instalado y una pésima infraestructura, se convirtieron en la causa de innumerables problemas y sobre costos enormes y absurdos. El personal médico estaba atrasado en varias acciones, debido a que la red inalámbrica no funcionaba y resultó que una vez reestablecida la red alambrada, nadie tenía patch cords para conectar sus computadores. Nadie sabía a quién llamar para el mantenimiento, hubo un grupo técnico que, al ver el problema, decidió irse y nunca volvió. Nunca se encontraron planos (ni en la clínica, ni el diseñador, ni el que instaló).
En el intento de arreglos, se dañaron otros circuitos eléctricos y accidentalmente un sprinkler se rompió generando una inundación en el momento más crítico, que generó más daños en las redes, y decenas de contradicciones más. El problema se solucionó 3 semanas después, pero solo para descubrir que no había espacio real para colocar cableado de 63 cámaras IP de alta resolución y 8 lectoras biométricas. Una nueva bandeja portacable no era prudente en el caos del cielo falso de las zonas a intervenir. La red de datos existente (con aparente buen ancho de banda), usaba switches de baja calidad y limitada velocidad, era imposible usar esa misma red, para las cámaras.
Se debían colocar 3 switches PoE con puertos de 1Gbps, pero tampoco existía un cuarto de telecomunicaciones cercano, ni un espacio que sirviera y fuera seguro; así que se decidió usar unos extensores de cableado UTP (Cat6A) en 8 cámaras y en otras doce cámaras decidieron pasar a fibra óptica. Se hizo todo en bancos de ductería EMT, de 1 y 2 pulgadas. Cuando por fin las cámaras estaban listas, se descubrió que el servidor donde se iban a monitorear, realmente no aguantaba dos tarjetas de red 1GBaseT y que el sistema operativo estaba desactualizado más de una década. Los sistemas de ciberseguridad de la clínica eran de “juguete” y para terminar rápido el caso y no hacerlos llorar más, el proyecto pasó de US$90K a US$330K, es decir casi cuatro veces más.
Lecciones aprendidas
a. Los espacios físicos para albergar las Redes Electrónicas de Comunicaciones y Seguridad, son MUY importantes en cualquier inmueble. Deben ser lo suficientemente espaciosos para albergar lo que se diseñe inicialmente, más las adiciones futuras, más el crecimiento a mediano plazo, más las situaciones desconocidas que se puedan presentar, después de todos esos cálculos, recuerde que la norma indica que en el peor de los casos las ducterías solo pueden usarse en un 40% de su capacidad máxima y si quiere aumente el porcentaje de tolerancia un poco más.
b. Debe ser firme y estricto en dejar los espacios físicos (horizontales, verticales, cuartos de interconexión, cuarto de control principal, entre otros), lo más holgados posibles. No se deje convencer de frases como: eso no se necesita, más adelante se agranda, no podemos sacrificar esa zona, en otros edificios eso cupo debajo de las escaleras, no sea exagerado, luego miramos de donde sacamos espacio…
c. Las bandejas porta-cables deben servir no solo de soporte al cableado, sino deben servir para ordenar el cableado, garantizarle protección y seguridad física, blindaje. Deben ser elementos no estructurales seguros, amplios y resistentes. Instaladas para toda la vida, no para el día de la entrega.
d. La capacidad (ancho de banda) de las redes de datos, debe ser muy grande, precisamente para que cuando se requiera una cantidad de datos extra, no se caiga toda la red. En condiciones rutinarias, debe operar a un 40% de su capacidad máxima.
e. Es imprescindible tener un contrato de mantenimiento de cada equipo existente y tener una base de datos actualizada, para saber cómo comunicarse, en caso de alguna falla.
f. Es muy importante tener una carpeta (física o digital) con los planos actualizados de todos los sistemas y el resto de documentación técnica, comercial y legal.
g. El software y los equipos de alta tecnología, se deben mantener actualizados, o al menos ser conscientes de su estado y sus vulnerabilidades.
h. No se pueden instalar sistemas de seguridad, inseguros. La seguridad informática es igual de importante.
¿Hay algo que no hayamos leído antes? ¿Entonces por qué lo seguimos haciendo? La idiosincrasia latina, de querer pasarse por encima las normas y recomendaciones, es nuestro peor defecto. Pero la solución es precisamente actuar de forma ética siempre.
Caso 2
Fábrica de productos textiles para camping, de mediano tamaño, en Bodega dentro del sector central de la ciudad. En situación normal, trabajan 24 horas continuas. 14 personas en cada turno y durante el día, 20 empleados más algunos visitantes. Poseen un sistema de alarma que realmente se usa muy poco, un sistema de control de acceso para control de asistencia y algunas cámaras de CCTV que se graban y ven desde la oficina del administrador.
El problema se comienza a presentar cuando en la ciudad decretan cuarentena obligatoria para todas las actividades de producción. El primer día de cuarentena, el propietario de la fábrica tuvo que quedarse como guardia de seguridad, porque nadie más asistió y no funcionó la activación del sistema de alarma. Al llamar a la empresa que realiza el monitoreo del panel, se le comunicó que el daño le correspondía solucionarlo a la empresa que le hacía mantenimiento al sistema. Tristemente se dieron cuenta que nadie le hacía mantenimiento desde el 2018 y que la última señal que se recibió en el centro de monitoreo de alarmas, tenía más de 20 días de antigüedad.
Se solicitó el apoyo de la empresa que suministró e instaló los equipos, pero ellos estaban con mucho trabajo acumulado y habían disminuido su capacidad de servicio por la cuarentena. El servicio técnico podría tardar cerca de 2 semanas. Decidieron comunicarse con un técnico profesional de seguridad electrónica que les recomendaron, quien asistió al otro día, pero no logró hacer mucho, porque nadie sabía la clave de instalador. Al día siguiente, el panel tuvo que ser reinicializado a los valores de fábrica, perdiendo toda la programación que tenía. Al reprogramarlo, algunas zonas no operaban como era acostumbrado. El problema se solucionó semanas después cuando un técnico de mantenimiento de la empresa de monitoreo de alarmas, logró descifrar el funcionamiento original. Pero al hacer la revisión presencial, se dio cuenta de numerosas fallas en los cubrimientos de sensores internos, de una instalación deficiente en otros y del pésimo estado del cableado, que estaba a la vista y “pegado” con silicona caliente en algunos puntos.
Faltaban varios sensores para algunas ventanas y techo de la bodega, que colindaba con casas y comercio del sector. Ante esta realidad, la empresa de monitoreo no quiso monitorear el sistema, hasta tanto no estuviera completo, seguro e instalado correctamente. Situación similar se presentó en el sistema de CCTV, en donde la video grabadora no correspondía a las calidades de las cámaras, se estaba grabando a una velocidad y calidad muy baja, con un disco duro bastante pequeño.
No existía backup de la información y las imágenes obtenidas eran realmente inútiles. El sistema de control de acceso para control de asistencia era un chiste. Muchos empleados conocían claves que se digitaban para cubrir la inasistencia o llegadas tarde de otros empleados. El gran resumen es que no tenían un sistema de seguridad acorde a los requerimientos. Pero sorpresivamente el propietario creía que era bueno.
En medio de la debacle económica, de sacrificar utilidades para pagar nómina y proteger a sus empleados; se agotaron los recursos y debió suspender los trabajos de actualización y reinstalación, simplemente por falta del recurso económico. Todo lo que el propietario pudo hacer, fue cambiar su operación de elementos de camping, a la fabricación de batas quirúrgicas y tapabocas. Para ello compró algunas máquinas y adecuó otras propias. Los empleados volvieron al trabajo en medio de las medidas de bioseguridad y aislamiento físico solicitado por las autoridades.
Un familiar del propietario seguía durmiendo en la bodega para dar sensación de tranquilidad y seguridad. Desafortunadamente la delincuencia, que siempre está al acecho, realizó un atraco y hurto calificado, que les arrebató varias maquinarias, productos terminados y dañaron algunos activos importantes. Para ese entonces, la alarma se encontraba desconectada, no existió reacción. Al ver las imágenes grabadas, se observan “bultos y sombras” que efectivamente hurtan los activos de la empresa, pero sin poder obtener siquiera una sola imagen para poder reconocer los delincuentes. Por el modo
de operación del robo, hubo varias manos internas cómplices, pero nunca se pudieron identificar.
Hace poco, supe que el propietario había decidido cerrar la fábrica, liquidar a sus casi 50 empleados y entregar la bodega. Nunca pudo reponerse del robo, no tenía póliza de seguro y los gastos necesarios arruinaron la operación.
Lecciones aprendidas:
i. El propietario sentía que había comprado un buen sistema de seguridad electrónica, que lo protegía; pero la realidad era diferente. Había comprado equipos y sistemas mal diseñados, mal integrados y de muy baja calidad. Incluso repetía varias veces que no había comprado los más baratos.
j. No se tenía un contrato de mantenimiento apropiado para los sistemas electrónicos.
k. NO existió un diseño profesional, ni un estudio de seguridad con análisis de riesgos.
l. Nunca se hacían estrictas pruebas de funcionamiento de los equipos actuando de manera autónoma e integrada.
m. El servicio de monitoreo de alarma, era absolutamente ineficiente.
n. La instalación de los sistemas no obedecía a la calidad necesaria para la empresa.
o. Los empleados (aparentes cómplices), se dieron cuenta de la oportunidad y se aprovecharon de quien les daba de comer.
p. NO existió un plan de contingencia y mucho menos de continuidad en el negocio o de reinvención; debidamente soportado.
q. La creencia de “eso no se necesita”, nunca está soportada en un estudio serio, sino en la capacidad económica.
r. Como la fábrica funcionaba 24h, se creyó que los sistemas de seguridad electrónicos sobraban, porque todo estaba supervisado por los mismos empleados.
s. Las fallas simples de un sistema de seguridad, generaron desconfianza, intranquilidad y stress en los propietarios y como una bola de nieve, el problema fue creciendo hasta que acabó por completo con la microempresa, afectando a más de 50 familias.
t. Incapacidad para tomar control de situaciones imprevistas; imposibilidad para ver y monitorear muchos aspectos en forma remota.
u. No se pueden instalar sistemas de seguridad, inseguros.
Nuevamente: ¿Hay algo que se hizo mal? ¿Por qué el usuario final estaba “engañado”? ¿Por qué vendemos sistemas inadecuados e instalamos mal?
Caso 3
Edificio Residencial de pocos Apartamentos. Por cuarentena e imposibilidad económica de sus propietarios, decidieron suspender el servicio de Guardias presenciales e instalar un sistema de video portero, control de acceso de personas y vehículos, alarma con pulsadores de emergencia y cerca perimetral; y un sistema de CCTV con acceso remoto desde la estación central de monitoreo de alarma.
La decisión se tomó muy rápido y se logró instalar de manera vertiginosa. El ahorro fue significativo para toda la comunidad. Sin embargo, a la primera situación de emergencia, nadie supo qué hacer. Todos los residentes se quedaron bloqueados, esperando que la estación de monitoreo de alarma reaccionara adecuadamente, actividad que nunca ocurrió. El listado de quejas, mal funcionamiento y decepciones es variado. Desde la imposibilidad de ver las cámaras en sus propios apartamentos, pasando por la imposibilidad de controlar todo de forma remota, hasta la ceguera del sistema al no identificar quién oprime un pulsador de emergencia o quién es el responsable de abrir una u otra puerta.
El resumen general de esta situación es que los copropietarios sienten un vacío enorme en la seguridad el edificio y sin que añoren la presencia de un humano en la recepción del edificio, se dan cuenta que los sistemas fueron adquiridos e instalados de manera incorrecta. Finalmente, no existe un procedimiento formal para cada situación y nadie ha sido capacitado para operar eficientemente en casos de emergencia. El único acierto es el grupo de WhatsApp entre toda la comunidad por donde torpemente todos intentan escribir cuando algo pasa, pero sin ningún tipo de orden o jerarquía.
Se dejaron convencer de una empresa con precios económicos. Se dejaron convencer que la integración propia entre los diversos subsistemas era un plus muy costoso (cuando en realidad debería ser parte del proyecto, sin costo alguno). Se dejaron convencer de los sistemas baratos que no identifican cada dispositivo usado o que no registran los eventos y situaciones que se presentan. Se dejaron convencer de que una cerca de alto voltaje es la mejor opción a nivel perimetral.
Se dejaron convencer que se debían colocar más cámaras de video vigilancia para que desde la estación de monitoreo los cuiden y protejas (acción que no es real, ni continua y solamente se podría producir en caso de una situación de alarma, que nadie responda y que va a producir una reacción inoportuna y tardía). Nadie hizo análisis de riesgos, ni estudios de seguridad. Nadie presentó diseños detallados. Nadie comprobó la forma de operación de todo el sistema. Únicamente se aprovecharon del desconocimiento y urgencia del edificio para vender todo lo que pudieron e instalar de manera rápida, sin estética, sin normatividad y sin ningún sentido de lógica.
Algunos meses después los residentes aún no se ponen de acuerdo, si se debe regresar al anterior esquema o si se debe re-invertir en mejores equipos. Lo cierto es que su gran aventura ha quedado olvidada y seguramente los ahorros no justifican el estado de inseguridad actual. Entonces para muchos la tecnología no cumplió el objetivo; sin embargo, el error estuvo en la ausencia de metodología eficiente y en la falta de ética del vendedor de elementos tecnológicos.
Lecciones aprendidas:
v. No se debe comprar lo más económico en seguridad.
w. Desconfíe de soluciones baratas que prometan mucho.
x. Jamás realice una compra de tecnología para seguridad, que no tenga los criterios de diseño, absolutamente claros y se compruebe su eficacia.
y. Si no conoce mucho de tecnología o duda de cuál es la mejor opción, contrate siempre a un asesor imparcial que lo guíe sin ningún tipo de interés comercial por marcas o empresas. El mismo puede ayudarle a supervisar la instalación y a probar con detalle la operación y funcionamiento esperado.
z. Prefiera soluciones integradas entre los diferentes subsistemas, de manera que se logre automatizar algunos procesos, haciendo que, sin la intervención de algún humano, los sistemas generen sinergias entre ellos y quede todo registrado. Revise muy bien las posibilidades de integración entre los subsistemas.
aa. Intente no caer en el juego de lo inalámbrico. Cuando las empresas de instalación le dicen que ya no se usa cable y que todo es mejor de manera inalámbrica. (Quien le asegure esto, no sabe de seguridad y probablemente le está cobrando algo similar, para ellos ahorrar trabajo y alimentar su pereza).
bb. Pruebe los servicios antes de comprarlos. Exija que le muestren su operación en un sitio similar al suyo.
cc. En seguridad, todo debe ser rastreable. Es decir, todos los eventos (rutinarios o de excepción), deben estar totalmente identificados y registrados. Se debe conocer que sucedió, quien lo hizo, a qué hora, en donde y como sucedió. Solo así, la herramienta se convierte en un instrumento para reconstruir los hechos y servir para una investigación que logre descubrir culpables o delincuentes. Por eso, debe probar los equipos que se desean comprar con anterioridad.
dd. Realice siempre un contrato de mantenimiento y actualización que le permita mejoras y ajustes a los sistemas adquiridos.
ee. Siempre piense que la parte tecnológica es solo una parte del rompecabezas de la seguridad integral. Se requiere la participación de humanos (internos y externos), normas y procedimientos detallados de operación, en unión con las barreras físicas del predio. Si alguna parte falla, su seguridad puede estar seriamente comprometida.
ff. Recuerde que en seguridad la redundancia aplica. Por lo tanto, siempre piense en varios círculos concéntricos de protección y no deje todo en manos de un solo equipo o subsistema.
gg. Recuerde que los equipos electrónicos son solo una buena herramienta, que requieren cuidado y mantenimiento permanente. Sin este servicio los sistemas pueden fallar, en el momento más inapropiado.
hh. Siempre solicite y almacene de forma ordenada y completa, todos los manuales de instalación, configuración, operación y manejo.
ii. Realice un video sencillo durante la capacitación técnica de operación y haga que las personas responsables lo vean de manera recurrente.
Existen otros casos que durante la pandemia nos dieron la oportunidad de darnos cuenta en general, que las redes electrónicas actuales, no están preparadas para las inconsistencias de operación que se presentan debido a los grandes cambios que nos afectan actualmente. Sin embargo, no podemos seguir diseñando, pensando en el Covid19, esto es transitorio. Pero si debemos aportar a nuestros sistemas, la suficiente flexibilidad y capacidad para albergar tecnologías nuevas y desconocidas actualmente, sin destruir lo actual.
* Ing. Germán Alexis Cortés H. - [email protected]
Deje su comentario