Seguritecnia 385

SEGURITECNIA Abril 2012 43 Gestión integral de la Seguridad ternativas”. La mayor parte de los exper- tos en la materia relacionan la protección de las infraestructuras críticas con lo que, en el mundo empresarial, se denomina continuidad del negocio. Ahora bien, una de las premisas princi- pales de la continuidad del negocio es la que su propio nombre encierra: dar con- tinuidad al negocio. Dentro de este con- cepto hay dos vías principales: proteger el proceso y dar servicio de manera alter- nativa en caso de grave afectación o la merma del mismo. Por lo tanto, si una infraestructura es denominada como crítica, pero se de- muestra que el proveedor tiene una pro- bada y sólida manera de dar servicio al- ternativo, ¿debería seguir siendo consi- derada como crítica? ¿Puede el Estado imponer medidas de seguridad por en- cima de lo que los planes de recupera- ción de desastre del proveedor estable- cen? No hay que olvidar que la continui- dad del negocio de las empresas tiene un punto límite de inversión establecido en función del factor inversión-gasto. Es decir, si cuesta más dar el servicio alter- nativo (por ejemplo, diseñar un centro alternativo completo) que la interrupción provocada por un desastre, la compañía no va a realizar una inversión que vaya en contra de sus intereses económicos. ¿Cuáles son las infraestructuras que pueden ser designadas como críticas? La normativa incluye un Anexo que de- fine los sectores estratégicos en los que se pueden encontrar las infraestructu- ras críticas y los ministerios u organismos a los que afectarían en su normal fun- cionamiento en caso de interrupción o “caída” de las mismas. Las infraestructuras críticas están re- cogidas en un Catálogo Nacional de In- fraestructuras Críticas, que no es un do- cumento estático sino que es, según la definición, “la información completa, actualizada, contrastada e informática- mente sistematizada relativa a las carac- terísticas específicas de cada una de las infraestructuras estratégicas existentes en el territorio nacional”. Esta informa- ción será alimentada por el CNPIC, será actualizada como máximo anualmente y se considera secreta. El responsable úl- timo del Catálogo es el Ministerio del In- terior, el cual tiene la competencia para determinar una infraestructura como crí- tica e incluirla en el listado. En este punto, debemos hacer una re- flexión crítica en cuanto al ámbito de aplicación territorial de la norma. Según la definición para que una infraestruc- tura se considere dentro del sistema, de- berá estar en territorio nacional. ¿Qué ocurrirá entonces cuando un proveedor considere la posibilidad de instalar dicha infraestructura fuera del territorio nacio- nal? La norma contempla la posibilidad de determinar infraestructuras críticas europeas cuando afecten a varios esta- dos europeos, pero no considera la posi- bilidad (al menos no directamente en su texto) de que dicha infraestructura esté instalada fuera de territorio europeo. ¿Qué implicaciones tiene ser un pro- veedor crítico? En principio, los proveedores críticos lo serán en tanto en cuanto sean designa- dos como tales. En el momento de su designación, el proveedor deberá dise- ñar un Plan de Protección, compuesto por los planes específicos para cada una de las infraestructuras críticas que estén bajo su ámbito. Aquí debemos hacer una reflexión so- bre qué implicaciones tiene el ser desig- nado como proveedor crítico. No olvi- demos que todo dependerá del tipo de clientes que tenga dicho proveedor. Hay sectores cuyos proveedores críticos son muy estables, pensemos en los de Agua o Energía. Pero, ¿qué ocurre cuando tras- ladamos esto, por ejemplo, al ámbito de las Telecomunicaciones? En ese sector la concesión de contratos es mucho más dinámica que en los primeros, por lo que habrá compañías que al tener determi- nados clientes deberán afrontar una in- versión en seguridad que hará que dis- minuya su competitividad. También habrá que tener en cuenta que, siguiendo en el ámbito de las Tele- comunicaciones, gran parte de los ope- radores no cuentan con red propia, por lo que, en caso de que el operador prin- cipal de la red no asuma los costes de in- versión de seguridad en la red, el ope- rador que quiera optar a un determi- nado contrato público deberá asumir gran parte de dicha inversión. ¿Asumirá el Estado la inversión que su- pone la aplicación de esta normativa? En conclusión, ésta es la pregunta clave. En los últimos años se han proporcio- nado subvenciones (Plan Avanza, Innoe- mpresa) para la implantación de siste- mas normalizados que doten de mayor seguridad a las empresas (ISO 27000) en su parte lógica. Pero no se ha incluido en estas subvenciones partidas económicas para continuidad de negocio o para in- crementar la seguridad física en la lucha contra ataques deliberados. La primera impresión que esta norma- tiva deja en el ambiente es que el Estado quiere trasladar el coste de la seguridad de los ciudadanos a manos de los pro- veedores de servicios. Conclusiones Si bien cualquier iniciativa para que la pro- tección de los ciudadanos se incremente es positiva y ésta debe ser –y es– una res- ponsabilidad del Estado, el hecho de que el coste lo sufran los proveedores deja bastante en entredicho esta cuestión. Por otro lado, la normativa, como he- mos visto, deja muchas lagunas, como el tema del ámbito territorial o la diferen- cia entre sectores. Estamos seguros que estas normas serán desarrolladas y con- cretadas, pero en el momento actual son complicadas de implantar. Siempre se dijo aquello del desconocimiento de la Ley no exime de su cumplimiento, pero, ¿eso se aplica también cuando las leyes son tan complejas de cumplir? S