10 febrero 2008

La seguridad en Infraestructuras Críticas

No sé muy bien cómo todavía, el otro día se me ocurrió pensar que esto de las infraestructuras críticas del país no es un tema muy diferente de lo que son las infraestructuras críticas en el ámbito empresarial. Me explico: Es tan sencillo como asimilar el país a una gran organización/empresa. Estamos acostumbrados a realizar estudios de impacto (BIA por sus siglas en inglés - Business Impact Analysis) a la hora de preparar planes de contingencias o planes de continuidad de negocio, sin embargo, ¿estamos haciendo lo mismo para las infraestructuras críticas?

Hacer este símil, por una parte, me ayuda a crearme un esquema mental de cómo se podría afrontar este tema. Por otra parte, me da un miedo terrible pensando en las dificultades que existen normalmente en las empresas para abordar la elaboración de este tipo de planes. Y esta reflexión, se hace aún más evidente cuando pienso en que muchas de esas infraestructuras estarán siendo gestionadas en outsourcing por terceros que:
  • No tendrán en el contrato (en su concepción más amplia) por el que gestionan dichas infraestructuras ninguna cláusula relativa a medidas de seguridad. Además de que muchas de estas infraestructuras se utilizarán para dar servicios en ámbitos liberalizados (transportes, comunicaciones, etc.)
  • Serán empresas con ánimo de lucro en las que las hipotéticas medidas de seguridad estarán consideradas como un gasto operativo que disminuye sus beneficios.
  • Posiblemente, no sepan que están gestionando una infraestructura crítica.
En fin, un panorama un poco "chungo" si nos ponemos a pensar en las posibles consecuencias. Ya que, aunque en el ámbito privado limitamos el análisis a la disponibilidad de los sistemas, en este caso tendríamos que analizar las criticidad desde múltiples perspectivas (se me viene a la mente aquella polémica hace años cuando alguien consideró un partido de fútbol como bien de interés social), incluyendo comunicaciones, transportes, energía, defensa, fabricación y distribución de bienes básicos... en fin, un análisis extremadamente complejo.

Además, si somos coherentes con nosotros mismos y mantenemos que la seguridad debe estar en la agenda del Consejo de Administración, ¿qué hemos de proponer?, ¿que la seguridad esté en la agenda del Consejo de Ministros? Supongo que sí (y si es un tema que lidera el mismísimo Presidente del Gobierno, pues mejor que mejor).

2 comentarios:

JR13Trader dijo...

Hola Antonio,

navegando por la red, tratando de informarme de otra cosa relacionada con la seguridad, he topado con tu web y he leído tu artículo. La verdad es que me ha interesado bastante, lo que pasa es que no se si he interpretado muy bien lo que quieres decir. es decir, cuando hablas de "seguridad de infraestructuras" y lo relacionas con ámbitos tan variados tales como: "comunicaciones, defensa, etc..", dices que posiblemente ésto lo "custodian" terceras empresas que a tu parecer a lo peor no están bien preparadas y que además el gobierno no tiene (o no mucho) control. Te refieres a los "datos" que se manejan? De ésto no se encarga de supervisarlo el Ministerio del Interior? Perdona al igual no he entendido bien tu exposición. Te agradecería que me lo aclararas. Un saludo!

Antonio Ramos dijo...

Hola, Walker. Lo que quería decir es que los gobiernos tienen que articular medidas para poder asegurar que el nivel de seguridad de las infraestructuras que se definan como críticas son las que dichos gobiernos consideren necesarios y no dejarlo en manos de los gestores privados que se guían por principios de negocio.

Los datos serán responsabilidad de cada gestor. En este caso, los gobiernos nacionales deben, IMHO, establecer niveles mínimos de seguridad a través de la regulación correspondiente (leyes, reales decretos, o en cada país, lo que corresponda)

Espero haberte aclarado mi idea, sino te invito a seguir comentado.

Gracias!