Con el desarrollo económico y la interdependencia productiva, la protección de infraestructuras críticas no podía continuar circunscribiéndose a los bienes demaniales y servicios públicos en sentido estricto, tal y como han venido siendo definidos por el derecho administrativo hasta el momento, y así es como la nueva orden de ciberseguridad de infraestructuras críticas aprobada recientemente por el presidente Obama establece específicos deberes de compartición de información entre los sectores públicos y privado de EEUU. Visto que la ciberseguridad como objetivo nacional no puede circunscribirse a los elementos tradicionalmente considerados como de dominio público, se ponen de manifiesto los elementos y principios rectores que debe revestir el planeamiento de una estrategia de seguridad de infraestructuras holística e integral.
Según Isaac, en caso de contingencias la inmediatez en el flujo de información es crítico para la contención de las amenazas; siendo elocuente a tal efecto que los nuevos borradores de reglamentación comunitaria de protección de datos establezcan deberes reforzados de notificación temprana de incidentes de seguridad a la autoridad pública.
Conocíamos hace algunas semanas la aprobación del presidente Obama de la orden de ciberseguridad de infraestructuras críticas que preceptúa deberes de colaboración público-privada en la compartición de información relevante para la salvaguarda de intereses estratégicos nacionales. Como novedad destacable del plan, cabe mencionar los reforzados deberes de transmisión de alertas de ciberseguridad y cooperación entre los sectores públicos y privados que se establecen en el citado texto. Y es que la orden da cuenta de una situación que en el mundo de la ciberseguridad ya hace tiempo que venía constatándose, y es que las fronteras entre lo público y lo privado en la protección de infraestructuras críticas cada vez resultan más difusas. Cuando se habla de ataques intencionales a la base productiva y económica de un determinado estado, qué duda cabe que no solamente son únicamente ubicaciones físicas y canales de comunicación físicos lo que debe protegerse. Qué duda cabe que el suministro de agua embotellada sea un elemento tan esencial para el mantenimiento de la vida en casos de emergencia o catástrofe natural. El sector privado de la distribución alimentaria es en ese sentido un interés nacional tan estratégico como cualquier otro.
Con el desarrollo económico la interconexión entre ambas esferas pública y privada ha devenido inextricable. Luego, la elaboración de un plan de seguridad estratégico de alcance nacional que no contemplase la inclusión dinámica de ambos sectores y los deberes de compartir determinada información entre ambos hubiera sido incompleto e ineficaz desde un buen principio. Los sistemas de pago se ven rodeados de las mismas necesidades. La interrupción de la posibilidad de efectuar transacciones dinerarias paralizaría completamente la vida económica de una región, con el consiguiente coste indirecto para la salubridad de la población. El mantenimiento y redundancia de los asientos bancarios es esencial para mantener la confianza en la divisa. En cuanto a riesgos epidemiológicos relacionados con la contaminación animal, vegetal o ambiental qué duda cabe que es el sector empresarial privado quien primero advertirá los síntomas, y debe facilitar alarma temprana a la autoridad pública para evitar la propagación de efectos adversos en la cadena alimentaria? Tanto más cabe decir de estos mismos factores en cuanto a la exposición a posibles elementos de bioterrorismo y el correcto funcionamiento de la distribución de contrafármacos, en manos de operadores privados.
En todos estos casos la inmediatez en el flujo de información es crítico para la contención de las amenazas, y está claro que el hiperreforzamiento de una unidad localizada sin la consiguiente imbricación con el próximo eslabón de la cadena de vulnerabilidades puede frustrar todo el cometido.
A modo de aviso para navegantes, valga tener presente cómo los nuevos borradores de reglamentación comunitaria establecen deberes reforzados de notificación temprana de incidentes de seguridad a la autoridad pública, e instituyen el deber de designar interlocutores cualificados en empresas de más de 250 trabajadores. La seguridad de la información en el sector privado y la seguridad nacional están íntimamente relacionadas, como no cabe dejar de constatar en cada momento. En este caso constatamos un efecto adicional: la convergencia. No escapa a nadie que la ratio legis de los diferentes cuerpos normativos que rigen la seguridad de la información tienen en origen finalidades distintas. La serie ISO 20000 tiene como finalidad la adecuada gestión de los procesos de gestión de servicio de IT, la serie 27000 tiene como finalidad la regulación de los sistemas de gestión de seguridad de la información, la serie 31000 gestión de riesgos, la serie ISO 22301 aborda la continuidad de negocio, y por su parte la normativa sobre protección de datos pretende asegurar preeminentemente derechos de privacidad y confidencialidad a los ciudadanos. Pero puestas todas ellas en común, se complementan, se superponen e interseccionan en algunos puntos, y finalmente convergen hacia una unidad total de sentido; cual es la pervivencia de los principios clásicos de confidencialidad, integridad y disponibilidad de la información, que vertebran todo el entramado normativo.
Isaac Grauer, Asociado Senior Information Technology. ECIJA
