22 noviembre 2009

Proyecto eCID, ¿es la certificación la única vía?

Acabo de estar leyendo en el número de noviembre de la revista SIC el artículo publicado por J. Fernando Carvajal y Carlos F. Molina sobre el Proyecto eCID.

Para los que no lo hayáis leído todavía, se trata de un proyecto de investigación a nivel nacional orientado a la mejora en la protección de las infraestructuras críticas, de hecho, su nombre es el acrónimo de "enlightened Critical Infraestructures Defense" en el que participan 12 empresas, 4 organismos de investigación y también una asociación y en el que están representados los principales actores, junto con la Administración, de este asunto: las empresas que gestionan / administran dichas infraestructuras críticas. Podéis consultar toda la información que se vaya liberando sobre el proyecto en su propia página web (enlace aquí).

De todas formas, yo no quería entrar ahora en el tema de la protección de las infraestructuras críticas (aunque sabéis que lo hemos comentado brevemente con anterioridad); en lo que quería centrar mi comentario es en el enfoque de certificación del modelo que se ha establecido en el proyecto.

No es que no me guste la idea de la certificación, sino que creo que no es suficiente para solventar la problemática existente [eso sí, es un excelente punto de partida]. El inconveniente que le veo a la certificación es que es un modelo de absolutos: o cumples o no cumples. En este sentido, no permite situaciones de 'casi cumples' o 'cumples sobradamente'. Esta circunstancia que, podría parecer trivial, tiene en mi opinión importantes consecuencias en el comportamiento de las empresas que, enfrentadas a la decisión de invertir en medidas de seguridad no tienen incentivos (en referencia a este modelo, no a su estrategia en general) para invertir más allá de conseguir el nivel mínimo requerido por la certificación, lo cual nos lleva a que el mercado no ofrezca un óptimo a sus actores [siempre considerando que los usuarios de estas infraestructuras críticas desearan tener el mayor nivel de protección posible].

Quizás deberíamos intentar buscar otras vías para resolver este problema que, al final, no es más que un problema de asimetría de información (lo que los economistas, denominamos "mercados con información imperfecta") aderezado con un poco (bastante) de externalidades negativas.

En definitiva, que me surge la pregunta de: ¿hay otra vía diferente a la certificación que nos permita conseguir los objetivos del proyecto?

NOTA: Mi más sincera enhorabuena a Fernando y a Carlos por este proyecto y a los autores de la idea por el planteamiento que han realizado.


Tags Technorati: ,

No hay comentarios: