La respuesta europea a una necesidad universal

Con cautela y cierto retraso, la Unión Europea se dota de una Agencia específica, la denominada ENISA (European Network and Information Security Agency), para tratar los temas de seguridad en las redes y sistemas de información europeos. Hoy no contamos más que con su definición y declaración de intenciones, pero es interesante analizar la humildad y pragmatismo de esta iniciativa. Esperemos que llegue a ser algo más que una mera comisión interministerial de carácter consultivo.
JORGE DÁVILA MURO
Director
Laboratorio de Criptografía LSIIS
–Facultad de Informática – UPM
jdavila@fi.upm.es

A fecha de hoy, más del 90% de las compañías de la Unión Europea tienen una conexión a Internet y la mayoría de ellas mantiene vivo un servidor Web. Además de esto, los ordenadores y las redes se han convertido en una parte esencial de la vida de los europeos ya que, en 2002, cerca de un 40% de los hogares europeos tenían su propia conexión a Internet y más de 2/3 de la población europea usa habitualmente teléfonos móviles. Si a esto le sumamos que las administraciones públicas evolucionan, con más o menos acierto y celeridad, hacia una “administración electrónica”, la seguridad informática se ha convertido ya en un tema esencial de muchas actividades económicas, en particular aquellas que deban realizarse en línea. Hasta la fecha no existe ningún organismo europeo autorizado para y encargado de reunir sistemáticamente datos sobre la seguridad real de las redes europeas y consecuentemente, no hay nadie que pueda hacer un análisis serio de cuáles son los fallos de seguridad que sufrimos. Tampoco hay a quien recurrir cuando la necesidad es la certificación de productos o procedimientos, lo que deja abierto el proceder anárquico de los estados miembros de la Unión.
Desde hace tiempo la Unión Europea, en su conjunto, es consciente de la responsabilidad colectiva que tiene en mejorar y promover la seguridad informática dentro de su soberanía. Lo cierto es que, entre los estados de la UE, no hay cooperación efectiva alguna en lo que a la seguridad de las redes y de la información se refiere. Otros organismos internacionales como la OCDE, en junio del pasado año, diseñó unas líneas maestras para conseguir la “Security of Information Systems and Networks: Towards a Culture of Security”, en analogía a lo que los norteamericanos también han hecho y ya hemos comentado en esta sección.
Con el despertar del año 2003, la Unión Europea ha decidido abandonar su letargo y poner en marcha una nueva agencia, bautizada como la European Network and Information Security Agency en unas circunstancias bastante curiosas. Reconociendo que las cosas cambian muy deprisa en los temas de seguridad, la nueva agencia operará durante un limitado periodo de tiempo, transcurrido el cual, se evaluará su eficiencia para determinar si continua existiendo o no. Esta nueva agencia nace con la intención de convertirse en un centro de experiencia reuniendo bajo su techo gente competente de todos los estados miembros. A la agencia se le exigen actuaciones eficientes y puntuales, para lo que se la dotará con suficientes recursos humanos y financieros, aunque se advierte que habrá de tener una “reasonable size”. Al igual que los contratos de aprendizaje que tan bien conocemos en este país, a la nueva agencia se le da un plazo de tres años para tener que pasar su primera evaluación de calidad y de ello dependerá su futuro.
El objetivo de la nueva agencia es crear en Europa una sensibilidad común sobre todos aquellos aspectos que conciernen a la seguridad en redes y sistemas de información, y se presenta como una agencia asistencial que ayudará a los estados miembros en su cruzada por la transformación de las tecnologías de la información en algo seguro. La nueva agencia será un centro experto y dará opiniones y apoyo concreto para armonizar todos aquellos procesos y procedimientos que puedan afectar a la seguridad. Además de asesorar, será la encargada de identificar cuáles son las necesidades relevantes de estandarización y certificación que puedan surgir durante su existencia.
La nueva a agencia nace con deseos de máxima independencia de cualesquiera presiones externas, y se somete a los requisitos de transparencia e intervención que son propios para la Comisión Europea y demás organismos de la Unión. Además de un comité de gestión, y un Director ejecutivo al frente del mismo, la nueva agencia incluye también un comité restringido de expertos dedicados a facilitar la cooperación y el intercambio de informaciones entre ella y las instituciones competentes en cada uno de los estados miembros. Curiosamente, esta nueva institución no actuará como consejera de cualquiera, sino que ya se especificará quién puede plantear cuestiones a la agencia y cómo serán tratadas éstas.
El comité de gestión de la agencia tendrá 15 Miembros: 6 propuestos por el Consejo Europeo, 6 por la Comisión, 2 representantes propuestos por el sector industrial y 1 representando a los usuarios o consumidores. Estos representantes permanecerán en el puesto dos años y medio y sólo podrán ser renovados en una ocasión. Por si fuese el caso de que el personal de la agencia no pudiese dar respuesta a algunas situaciones, en su constitución se reconoce que podrá establecer contratos temporales con grupos de trabajo de expertos en diferentes materias relacionadas con sus objetivos. Los procedimientos para elegir expertos y organizar los trabajos de los grupos que se formen serán parte de las reglas internas con las que se dote la nueva agencia a través de la iniciativa de su director ejecutivo. Sea como sea, tanto el comité de gestión, como el director ejecutivo, como los expertos externos que trabajen para ella, habrán de declarar, previamente, estar libres de cualquier relación directa o indirecta con intereses en el sector, y asumirán las responsabilidades legales de hacerlo en falso.
La Agencia empezará a existir el 1 de enero del 2004 y funcionará al menos durante cinco años, por lo que necesita de unos presupuestos suficientemente amplios, 36 millones de euros, como para dotarse de personal cualificado y para conseguir el equipamiento tecnológico necesario para realizar cómodamente sus funciones. El coste de esta agencia lo pagará la Comunidad Europea aunque se contempla la curiosa posibilidad de que también participe en su financiación terceros países que hayan pactado colaboraciones con ella. Esta agencia tendrán el máximo rango y personalidad legal posible en cada uno de los estados miembro y se beneficiará de los privilegios e inmunidades propios de las instituciones y funcionarios de la Comunidad Europea.
El anuncio de la nueva agencia reconoce que, como centro de experiencia, es vital dotarlo de un número suficiente de personal altamente cualificadas que, hoy en día, es escaso en Europa aun buscándolas en el sector público y privado. Lo que sí tiene muy claro la Comisión es que, para evitar el “poltroneo”, los contratos de ese personal nunca podrán exceder los cinco años.
Otro aspecto a reseñar de la constitución de la nueva agencia es que se dice, explícitamente, que en el primer proceso de evaluación se prestará especial atención a los efectos que pueda tener el hecho de que esta agencia no nazca dotada de autoridad con poderes para hacer cumplir la ley y que ello pueda tener efectos negativos sobre su futura efectividad. La Comisión se compromete a revisar sus estatutos fundacionales en el caso de que se detecte tal carencia.
La necesidad de esta nueva agencia era algo conocido por todos y proclamado a los cuatro vientos, por lo que la cauta respuesta de las instituciones europeas debe ser bienvenida; sin embargo, me resulta curioso que las respuesta sea tan tímida y que haya que considerarla más como una prueba que como una apuesta firme por este tipo de soluciones. No conozco las presiones telúricas que han permitido ver la luz a esta iniciativa, pero puedo ver el riesgo que tiene de quedarse en una mera comisión interministerial de carácter consultivo sin mayor impacto sobre la realidad que vivimos. A pesar de ello, es loable que en su propia constitución haya una limitación expresa del tiempo de pertenencia de sus miembros, ya que abre la posibilidad de que, algún día, puedan llegar a formarse buenos equipos
de trabajo que nos ayuden a todos a poner seguridad en las redes y en los sistemas de información sin caer en sistemas policiales, inquisitoriales y en la pérdida de la verdadera esencia de estas infraestructuras, que no es otra distinta que la del servicio a todos los ciudadanos europeos.


Documento en PDF
 

<volver