La importancia de esta reunión, no reflejada suficientemente en los medios, deriva del hecho de ser la primera vez que se reúnen mas de un centenar de especialistas de ambos lados del Atlántico, así como de otros países del espacio económico europeo, para tratar de poner en marcha un proceso de cooperación trasatlántico en este importante dominio de la protección de las denominadas infraestructuras críticas.

En el transcurso de las dos jornadas los representantes de los diferentes países debatieron sobre cuatro temas principales:

• Intercambio de información referente a las disposiciones nacionales en materia de protección de las infraestructuras críticas;
• Interdependencia entre los diferentes sectores económicos;
• Experiencias y métodos de identificación de infraestructuras criticas;
• Buenas prácticas en materia de protección de las redes de información.

Esta primera reunión debería haberse celebrado hace ya tiempo dado que el programa europeo para la protección de las infraestructuras criticas, aprobado por la Comisión Europea en 2006, guía para las actividades de la UE relativas a este importante dominio, designa de forma explícita el desarrollo de una dimensión exterior como uno de los pilares principales.

La inquietud por la necesidad de proteger determinadas infraestructuras consideradas como críticas no es nueva; en la UE, al igual que en varios de sus Estados miembros, hace ya algunos años que se están poniendo en práctica algunas medidas para asegurar su protección. Las primeras decisiones se adoptaron en el Consejo Europeo del 2004, donde se propuso la creación de un Programa Europeo de protección de infraestructuras críticas (EPCIP) así como de una Red de información de alerta (CIWIN).

Con objeto de dar continuidad a dichas propuestas, siguiendo la línea normal de actuación en la UE, durante los años siguientes se desarrollaron una serie de reuniones y análisis que condujeron a la elaboración de un Libro Verde sobre el tema, que sirvió de referencia para la aprobación, en 2007, de varias disposiciones sobre los mencionados EPCIP y CIWIN y la posterior adopción de la Directiva Comunitaria 2008/114 (diciembre de 2008) relativa a la elaboración de un censo de las infraestructuras críticas europeas, así como a la evaluación de la necesidad de mejorar su protección.

¿Qué infraestructuras pueden considerarse críticas?

La sociedad moderna nos ofrece bienestar y comodidades pero a su vez nos ha hecho dependientes en gran medida del buen funcionamiento y la fiabilidad en la prestación de determinados elementos y servicios, algunos de primera necesidad, como el agua, la sanidad, la energía, etc., cuya no disponibilidad, a gran escala, aun por corto espacio de tiempo, podría dar lugar a consecuencias graves e imprevisibles.

Asimismo, la gran expansión de las denominadas tecnologías de la información y comunicaciones (TIC), que han invadido todos los aspectos de nuestras vidas, afectan también en este sector haciendo que tales infraestructuras sean más eficientes y, en cierto sentido, más inteligentes, pero a su vez más complejas, al estar interconectadas, y también más interdependientes no solamente entre ellas sino también de los sistemas de información y sus redes de comunicaciones, volviéndolas en consecuencia mucho más vulnerables.

Con objeto de poder definir sus debilidades, de las cuales derivar las exigencias de seguridad y protección frente a diferentes amenazas, conviene aproximar este concepto sobre el que pueden encontrarse diferentes acepciones que en los países de nuestro entorno convergen hacia una preocupación común: la protección de dichas infraestructuras.

Una definición muy generalizada hace referencia al conjunto de instalaciones, equipos y bienes, físicos y lógicos, de importancia crítica para el normal funcionamiento de la sociedad en general, cuyo fallo o parada en su funcionamiento, o degradación temporal de este, puede tener un impacto potencialmente dramático en la vida social y económica de un país.

La definición de la Unión Europea se aproxima mucho a esta al considerar como infraestructuras críticas a “aquellos elementos o sistemas indispensables para mantener las funciones vitales de la sociedad, la salud, la seguridad y el bienestar económico y social de los ciudadanos, cuya interrupción o destrucción pueden tener un impacto significativo en el eficaz funcionamiento de los gobiernos de los Estados por el hecho de fallos de dichas funciones”.

La propia UE añade una definición comunitaria de infraestructura crítica (denominada ICE; infraestructura crítica europea) como “aquella situada en los Estados Miembros cuya parada o destrucción podría causar un impacto considerable en al menos dos de ellos”.

De estas definiciones se deduce que el número de estas infraestructuras es muy elevado, abarcando asimismo sectores muy diversos. Sin ánimo de establecer categorías, ni de ser exhaustivos, podríamos englobarlos en tres grandes grupos: infraestructuras ligadas al suministro, donde se encuentran las instalaciones de producción, almacenamiento, transporte y distribución de energía eléctrica, aguas, gas, carburantes, etc., infraestructuras de transporte, aéreo, marítimo y terrestre, y finalmente aquellas infraestructuras que podríamos considerar terciarias, integradas por un importante número de servicios como sanidad, seguridad y defensa, banca, asistencia, telecomunicaciones, medios de comunicación, etc.

En todos estos grupos deben incluirse los elementos que aseguran su funcionamiento, como los recursos humanos y físicos, o sus procesos de producción, transporte, distribución, etc., sin olvidar a un componente derivado de la utilización de las TIC, de las que actualmente la mayor parte de las infraestructuras tienen una gran dependencia, motivo de gran preocupación ante el considerable aumento de ataques perpetrados por una nueva amenaza, la cibernética.

La protección de infraestructuras críticas demanda un enfoque integral

En repetidas ocasiones hemos manifestado que es preciso proceder a la revisión, o readaptación, del concepto de seguridad, orientada a un cambio de paradigma que represente una noción integral donde abarcar todos los aspectos: inteligencia, seguridad física, procedimientos, recursos humanos, etc., así como los activos intangibles y virtuales, incluyendo los sistemas de información.

En esta nueva visión del concepto de seguridad consecuencia de la gran capacidad de desestabilización de las nuevas amenazas, no solamente las terroristas, deben implicarse tanto las administraciones como el resto de organizaciones, públicas y privadas, lo cual no significa solamente cooperación sino también llevar a cabo y poner en práctica importantes esfuerzos de coordinación.

Y es precisamente este dominio de la protección de las infraestructuras críticas un ejemplo característico de esta necesidad de contemplar la seguridad mediante una estrategia no solamente integral, sino también global, que reúna y coordine las diferentes preocupaciones y medidas nacionales e internacionales, especialmente europeas.

Bajo este enfoque consideramos fundamental establecer mecanismos coordinados que faciliten avances en materia de identificación de las infraestructuras críticas, para poder definir otros aspectos como la delimitación de las zonas geográficas susceptibles de ser afectadas, evaluación de los riesgos (escala de gravedad, peligro de fallos en cascada, efecto en el tiempo), difusión de información y alerta, así como otros métodos y soluciones propios de la gestión de crisis, en todas sus fases de prevención, ante la ocurrencia del riesgo, alerta temprana, solución y recuperación de sus consecuencias, en caso de producirse un evento que afecte a la seguridad.

¿Es de responsabilidad pública o privada?

De lo anteriormente expuesto se deduce la existencia de un interés creciente por la protección de las infraestructuras críticas, caracterizado por una serie de medidas que muestran la voluntad de hacerlo, orientadas a garantizar la continuidad de los diferentes servicios considerados críticos. Pero de su análisis se colige también una insuficiencia tanto a nivel nacional como internacional, que demanda la implantación de una serie de criterios mínimos comunes, lo cual no es sencillo a nivel nacional y mucho menos en la UE pues la solución pasa por integrar las infraestructuras críticas de cada uno de los Estados miembros, con diferentes percepciones y normativas, circunstancia que aumenta la complejidad de la protección, ya de por si elevada dado que es en los propios Estados donde recae la responsabilidad de su protección.

En términos de seguridad no existe, o no debe admitirse, el concepto de “riesgo cero”, contemplando siempre la posibilidad de existencia de factores de riesgo, y no solamente de seguridad física. Es preciso considerar al resto de elementos, como las organizaciones y compañías, los propietarios de las infraestructuras, el personal que las gestiona y los procesos que permiten mantener sus actividades y servicios.

Pero las diferentes normativas no obligan a todas las partes involucradas, y en el caso de que estuvieran dispuestas a implicarse sería de forma voluntaria, sin obligación formal, lo que constituye una gran vulnerabilidad.

Para eliminar o reducir esta inseguridad, se estima necesaria la definición y aplicación de una normativa legal, cuya actual ausencia es destacable, que afecte a todos los responsables de la protección de las infraestructuras críticas, coordine las diferentes responsabilidades y obligue al cumplimiento de un conjunto mínimo de medidas de prevención y reacción, incluyendo entre ellas la inversión en seguridad.

Esta normativa debería ir acompañada de la puesta en práctica de otro tipo de soluciones, o bien de aquellas que complemente a las ya establecidas. Al tratarse de una estrategia de seguridad no solamente nacional sino también europea y transnacional, la protección de las infraestructuras críticas, así como la garantía de la fiabilidad de su funcionamiento, debe considerarse una prioridad que exige una fuerte implicación y cooperación del sector público y del privado, englobando en este último no solamente los grandes operadores.

La labor no es fácil, pues conlleva la definición e implementación de mecanismos y métodos que afectan a distintos Estados, cuya complejidad los hace costosos y de difícil puesta en práctica y operación.

En definitiva considero recomendable y urgente llevar a cabo una reflexión que conduzca a una asociación de lo público y lo privado en materia de protección de las infraestructuras críticas, procurando que en ella participen representantes de todos los sectores, compartiendo experiencias y prácticas, dado que la gran interdependencia en todos los ámbitos suscita que nadie puede tratar de remediar en solitario esta grave preocupación de la sociedad actual.