Seguritecnia 385

42 SEGURITECNIA Abril 2012 Gestión integral de la Seguridad Visiones dispares Por ello, la aplicación de esta norma- tiva (entre otras muchas) se enfrenta en un primer momento a esta primera ba- rrera. Conseguir aunar la visión del Es- tado –que está al servicio de los ciuda- danos– y la de los proveedores en una misma dirección. Actualmente, el 80 por ciento de las infraestructuras críticas está en manos del sector privado. La norma- tiva obliga (y hace responsables) a los proveedores determinados como críti- cos a que implanten las medidas de se- guridad oportunas para que dichas infra- estructuras y los servicios que se prestan a través de las mismas no se vean afec- tados por ataques deliberados u otras amenazas que puedan poner en peligro la vida de las personas y la merma de ta- les servicios. En una segunda lectura, aunque no está establecido directamente en la nor- mativa, se deja entrever que el Estado no asumirá las indemnizaciones que los ciu- dadanos tengan que percibir en caso de que se vea afectada su integridad (por ejemplo, ante atentados terroristas), en caso de que se demuestre que el pro- veedor no ha aplicado las medidas de seguridad establecidas de una manera correcta. ¿Qué es un proveedor crítico? Según la definición de la normativa, ope- radores críticos serán “las entidades u or- ganismos responsables de las inversio- nes o del funcionamiento diario de una instalación, red, sistema o equipo físico o de tecnología de la información de- signada como infraestructura crítica con arreglo a la presente Ley”. ¿Qué es una infraestructura crítica? Según la definición de la normativa, son infraestructuras críticas “las infraestructu- ras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. Dentro de esta definición, nos encon- tramos una de las ideas clave de toda la normativa: “cuyo funcionamiento es in- dispensable y no permite soluciones al- U na de las obligaciones princi- pales del Estado es proporcio- nar servicios esenciales a los ciudadanos. Pero, ¿qué ocurre cuando se ponen dichos servicios en manos del sector privado? ¿Hasta qué punto puede obligar a dichos proveedores a que estos servicios estén protegidos adecuadamente y disponibles? La reciente normativa sobre Protec- ción de Infraestructuras Críticas (Ley 8/2011, de 28 de abril, por la que se es- tablecen medidas para la protección de las infraestructuras críticas y Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas) es un buen punto de partida para analizar este pro- ceso de ida y vuelta. En un primer mo- mento, el Estado se compromete a pro- porcionar a sus ciudadanos una serie de servicios. En un segundo momento, pone, a través de concursos públicos, di- chos servicios en manos del sector pri- vado. Y en un tercero, el Estado impone normas para controlar tales servicios. Si bien la labor de control del Estado sobre dichos servicios es innegable, no es más cierto que los objetivos del éste y de los proveedores son dispares. Según una definición del director del Centro Nacio- nal para la Protección de Infraestructuras Críticas (CNPIC), Fernando Sánchez Gó- mez, dada en el marco del III Encuentro de Seguridad Integral, “la empresa es Es- paña, el negocio son los ciudadanos y la continuidad consiste en que esos ciuda- danos sigan percibiendo unos servicios considerados esenciales”. Sin embargo, la óptica de las empresas no se corresponde en mucha ocasiones con esta visión. Para las compañías, la mayor preocupación (y más en estos tiempos que corren) es que su cuenta de resultados sea favorable y que sus inversores estén satisfechos. El coste de proteger infraestructuras críticas Juan Carlos González / Director de Seguridad, Lead auditor en BS25999 e ISO 27001