Infraestructuras críticas “in the cloud”
No habíamos terminado de leer la Ley por la que se establecen medidas para la protección de infraestructuras críticas, publicada en el BOE de 29 de abril, y de pronto, en el BOE de 21 de mayo, nos desayunamos con una deliciosa pieza, ciertamente necesaria para poder empezar a cumplir con la Ley; a saber: el Real Decreto por el que se aprueba el Reglamento de protección de las infraestructuras críticas. El de la protección de infraestructuras críticas –que, por resumir, diremos que son aquellas infraestructuras estratégicas que así determine el CNPIC– es uno de los terrenos en los que más cuerpo va a tomar la seguridad de la información y la protección de los sistemas tecnológicos usados para su tratamiento en los países “avanzados”. (No sabría decir si esto es ciber; sí desde luego, que muchos servicios críticos son, en sí, sistemas de información tecnológicos).
 |
Las infraestructuras estratégicas, y el subconjunto de las críticas, están prácticamente en manos privadas. Y eso no es todo. Además, esas manos privadas tienen un rasgo común: que son de sociedades multinacionales cotizadas, y están, por tanto, en el campo de batalla de los grandes grupos de inversión. Una de las obsesiones del modelo de gestión orientado a “dar valor al accionista” es la reducción de costes; y, para ello, los “decisores”, además de sanear plantillas, externalizan todo lo que pillan, sea estratégico o crítico. Dicho de otro modo: la gestión y operación de muchas infraestructuras críticas está externalizada, y los “externalizadores” son empresas transnacionales que, además de formar parte –en no pocos casos– de sectores estratégicos, deslocalizan (a “la nube”, si fuera necesario) por razones de eficiencia en costes. La globalización, hasta la fecha, va por ahí. Por eso, aunque en la Directiva de 2008/114 se dijo (y no podía ser de otra manera) que la responsabilidad principal y última de proteger las infraestructuras críticas europeas es de los Estados miembros y de los operadores de las mismas, la realidad del mercado se resiste a un “reduccionismo” semejante. Malo no sería –si es que no se ha valorado lo que aquí se dice– que estos matices se tuvieran muy en cuenta a la hora de evolucionar los planes Estratégicos Sectoriales, los Planes de Seguridad del Operador y los Planes de Protección Específicos. Aunque quizá no haga falta, porque todo operador crítico que se precie ya ha analizado los riesgos asociados con la externalización. Eso sí, no por la protección de las infraestructuras críticas, sino por otras razones |
||
 |
||