A fecha
de hoy, más del 90% de las compañías de la Unión
Europea tienen una conexión a Internet y la mayoría de ellas
mantiene vivo un servidor Web. Además de esto, los ordenadores
y las redes se han convertido en una parte esencial de la vida de los
europeos ya que, en 2002, cerca de un 40% de los hogares europeos tenían
su propia conexión a Internet y más de 2/3 de la población
europea usa habitualmente teléfonos móviles. Si a esto le
sumamos que las administraciones públicas evolucionan, con más
o menos acierto y celeridad, hacia una administración electrónica,
la seguridad informática se ha convertido ya en un tema esencial
de muchas actividades económicas, en particular aquellas que deban
realizarse en línea. Hasta la fecha no existe ningún organismo
europeo autorizado para y encargado de reunir sistemáticamente
datos sobre la seguridad real de las redes europeas y consecuentemente,
no hay nadie que pueda hacer un análisis serio de cuáles
son los fallos de seguridad que sufrimos. Tampoco hay a quien recurrir
cuando la necesidad es la certificación de productos o procedimientos,
lo que deja abierto el proceder anárquico de los estados miembros
de la Unión.
Desde hace tiempo la Unión Europea, en su conjunto, es consciente
de la responsabilidad colectiva que tiene en mejorar y promover la seguridad
informática dentro de su soberanía. Lo cierto es que, entre
los estados de la UE, no hay cooperación efectiva alguna en lo
que a la seguridad de las redes y de la información se refiere.
Otros organismos internacionales como la OCDE, en junio del pasado año,
diseñó unas líneas maestras para conseguir la Security
of Information Systems and Networks: Towards a Culture of Security,
en analogía a lo que los norteamericanos también han hecho
y ya hemos comentado en esta sección.
Con el despertar del año 2003, la Unión Europea ha decidido
abandonar su letargo y poner en marcha una nueva agencia, bautizada como
la European Network and Information Security Agency en unas circunstancias
bastante curiosas. Reconociendo que las cosas cambian muy deprisa en los
temas de seguridad, la nueva agencia operará durante un limitado
periodo de tiempo, transcurrido el cual, se evaluará su eficiencia
para determinar si continua existiendo o no. Esta nueva agencia nace con
la intención de convertirse en un centro de experiencia reuniendo
bajo su techo gente competente de todos los estados miembros. A la agencia
se le exigen actuaciones eficientes y puntuales, para lo que se la dotará
con suficientes recursos humanos y financieros, aunque se advierte que
habrá de tener una reasonable size. Al igual que los
contratos de aprendizaje que tan bien conocemos en este país, a
la nueva agencia se le da un plazo de tres años para tener que
pasar su primera evaluación de calidad y de ello dependerá
su futuro.
El objetivo de la nueva agencia es crear en Europa una sensibilidad común
sobre todos aquellos aspectos que conciernen a la seguridad en redes y
sistemas de información, y se presenta como una agencia asistencial
que ayudará a los estados miembros en su cruzada por la transformación
de las tecnologías de la información en algo seguro. La
nueva agencia será un centro experto y dará opiniones y
apoyo concreto para armonizar todos aquellos procesos y procedimientos
que puedan afectar a la seguridad. Además de asesorar, será
la encargada de identificar cuáles son las necesidades relevantes
de estandarización y certificación que puedan surgir durante
su existencia.
La nueva a agencia nace con deseos de máxima independencia de cualesquiera
presiones externas, y se somete a los requisitos de transparencia e intervención
que son propios para la Comisión Europea y demás organismos
de la Unión. Además de un comité de gestión,
y un Director ejecutivo al frente del mismo, la nueva agencia incluye
también un comité restringido de expertos dedicados a facilitar
la cooperación y el intercambio de informaciones entre ella y las
instituciones competentes en cada uno de los estados miembros. Curiosamente,
esta nueva institución no actuará como consejera de cualquiera,
sino que ya se especificará quién puede plantear cuestiones
a la agencia y cómo serán tratadas éstas.
El comité de gestión de la agencia tendrá 15 Miembros:
6 propuestos por el Consejo Europeo, 6 por la Comisión, 2 representantes
propuestos por el sector industrial y 1 representando a los usuarios o
consumidores. Estos representantes permanecerán en el puesto dos
años y medio y sólo podrán ser renovados en una ocasión.
Por si fuese el caso de que el personal de la agencia no pudiese dar respuesta
a algunas situaciones, en su constitución se reconoce que podrá
establecer contratos temporales con grupos de trabajo de expertos en diferentes
materias relacionadas con sus objetivos. Los procedimientos para elegir
expertos y organizar los trabajos de los grupos que se formen serán
parte de las reglas internas con las que se dote la nueva agencia a través
de la iniciativa de su director ejecutivo. Sea como sea, tanto el comité
de gestión, como el director ejecutivo, como los expertos externos
que trabajen para ella, habrán de declarar, previamente, estar
libres de cualquier relación directa o indirecta con intereses
en el sector, y asumirán las responsabilidades legales de hacerlo
en falso.
La Agencia empezará a existir el 1 de enero del 2004 y funcionará
al menos durante cinco años, por lo que necesita de unos presupuestos
suficientemente amplios, 36 millones de euros, como para dotarse de personal
cualificado y para conseguir el equipamiento tecnológico necesario
para realizar cómodamente sus funciones. El coste de esta agencia
lo pagará la Comunidad Europea aunque se contempla la curiosa posibilidad
de que también participe en su financiación terceros países
que hayan pactado colaboraciones con ella. Esta agencia tendrán
el máximo rango y personalidad legal posible en cada uno de los
estados miembro y se beneficiará de los privilegios e inmunidades
propios de las instituciones y funcionarios de la Comunidad Europea.
El anuncio de la nueva agencia reconoce que, como centro de experiencia,
es vital dotarlo de un número suficiente de personal altamente
cualificadas que, hoy en día, es escaso en Europa aun buscándolas
en el sector público y privado. Lo que sí tiene muy claro
la Comisión es que, para evitar el poltroneo, los contratos
de ese personal nunca podrán exceder los cinco años.
Otro aspecto a reseñar de la constitución de la nueva agencia
es que se dice, explícitamente, que en el primer proceso de evaluación
se prestará especial atención a los efectos que pueda tener
el hecho de que esta agencia no nazca dotada de autoridad con poderes
para hacer cumplir la ley y que ello pueda tener efectos negativos sobre
su futura efectividad. La Comisión se compromete a revisar sus
estatutos fundacionales en el caso de que se detecte tal carencia.
La necesidad de esta nueva agencia era algo conocido por todos y proclamado
a los cuatro vientos, por lo que la cauta respuesta de las instituciones
europeas debe ser bienvenida; sin embargo, me resulta curioso que las
respuesta sea tan tímida y que haya que considerarla más
como una prueba que como una apuesta firme por este tipo de soluciones.
No conozco las presiones telúricas que han permitido ver la luz
a esta iniciativa, pero puedo ver el riesgo que tiene de quedarse en una
mera comisión interministerial de carácter consultivo sin
mayor impacto sobre la realidad que vivimos. A pesar de ello, es loable
que en su propia constitución haya una limitación expresa
del tiempo de pertenencia de sus miembros, ya que abre la posibilidad
de que, algún día, puedan llegar a formarse buenos equipos
de trabajo que nos ayuden a todos a poner seguridad en las redes y en
los sistemas de información sin caer en sistemas policiales, inquisitoriales
y en la pérdida de la verdadera esencia de estas infraestructuras,
que no es otra distinta que la del servicio a todos los ciudadanos europeos.
|