Red Seguridad 87

red seguridad cuarto trimestre 2019 57 vas. Existen mecanismos que, aunque no resuelven la causa raíz, sí que abordan el síntoma del desalineamien- to. En este sentido, la Administración tiene dos estilos de actuación: –  El estilo anglosajón, basado en la responsabilidad (el famoso con- cepto del accountability ). –  El estilo latino, con una legislación mucho más prescriptivo. En esta línea se enmarca la legis- lación existente en materia de pro- tección de infraestructuras críticas. Si como Administración quiero resol- ver estos dos problemas (conseguir que las infraestructuras estén más protegidas y hacer que el riesgo de ciberseguridad se considere en línea con mis objetivos) tengo que infor- mar a los agentes de cuáles son mis expectativas. La otra parte de la causa raíz es el hecho de que la ciberseguridad es lo que se denomina una externalidad (negativa, para ser más exactos) en el proceso de toma de decisiones. Las externalidades son aquellas activida- des que afectan a otros sin que éstos paguen o sean compensados por ellas. Estas externalidades existen siempre que los costes (o beneficios) privados no son iguales a los costes (o benefi- cios) sociales. La consecuencia es que no se toman decisiones óptimas por- que solo se tienen en cuenta los efec- tos privados y se ignoran los efectos sociales (efectos directos e indirectos). De nuevo, traduciéndolo al entor- no que estamos tratando, como las consecuencias de un nivel de segu- ridad insuficiente no tienen un efecto directo sobre el propio operador sino sobre terceros, éste no lo incorpora a su proceso de toma de decisión, generando con ello un nivel de segu- ridad insuficiente. ¿Cuáles son los mecanismos que ayudan a solventar este segun- do componente de la causa raíz? Básicamente aquellos elementos que permiten incorporar el coste social a la toma de decisiones haciéndolo visible para el agente; es decir: –  sanciones por incumplimiento de legislación desarrollada al efecto, o –  asignación de responsabilidad (de nuevo, la accountability ) vía juris- prudencia. El papel de la calificación Una vez analizadas las causas raíces y las soluciones-tipo a las mismas es cuándo se ve de manera clara que la calificación juega un papel crucial para solucionar el problema de contar con un nivel insuficiente de protección de las infraestructuras. El uso de un sistema de calificación permite: –  A la Administración, definir clara- mente cuál es su expectativa de protección de cada infraestructura. –  Al operador, integrar la cibersegu- ridad en su proceso de toma de decisiones en forma de lista de requisitos. –  A los proveedores de servicios y tecnología, conocer por adelantado las funcionalidades y características que deben incorporar a sus produc- tos y servicios para satisfacer las necesidades de la demanda. –  Y al sistema en general, el hecho de disponer de varios niveles permite adecuar la necesidad de protección al riesgo potencial. Esta circunstan- cia es muy importante porque si reconocemos que existen impactos potenciales diferentes, si el umbral de riesgo aceptable es constante, cuanto mayor sea dicho impacto más necesario será incrementar el nivel de seguridad de manera equivalente. Por el contrario, si el nivel de seguridad (las medidas requeridas) fuera constante, a dife- rentes niveles de impacto potencial, el nivel de riesgo resultante también sería diferente, penalizando a las infraestructuras de menor impacto potencial al provocar que el nivel de riesgo resultante estuviera por debajo del umbral admisible. Es decir, gracias a la transparencia que proporciona la calificación, todas las partes interesadas resuelven el problema de información imperfecta que caracterizaba previamente a la situación (tanto en el caso del pro- blema de agencia como en el de la externalidad negativa). Finalmente, el hecho de que el pro- ceso de auditoría que genera la cali- ficación final esté acreditado aporta garantías adicionales para todas las partes, ya que pueden confiar por defecto en el resultado del proceso. En resumen, un esquema de certi- ficación soportando a un sistema de calificación contribuye de manera evi- dente a que el mercado mejore su eficiencia y se autoajuste. Esto permi- te generar decisiones más adecua- das al impacto potencial que tendría un incidente sobre el conjunto de la sociedad. opinión servicios esenciales monográfico La calificación juega un papel crucial para solucionar el problema de contar con un nivel insuficiente de protección de las infraestructuras.