Red Seguridad 107

98 red seguridad cuarto trimestre 2024 monográfico entidades esenciales En el diccionario de la Real Acade- mia Española de la Lengua, el término “crítico/a” se refiere a un hecho que es de suma importancia o gravedad, que es decisivo e importante. Una infraestruc- tura crítica, en consecuencia, es aquel activo, sistema o red que resulta esen- cial para un país y cuya indisponibilidad, interrupción o destrucción supondría un problema grave para el buen funciona- miento de la sociedad en la que vivimos y trabajamos. Estas infraestructuras, que pueden ser físicas o virtuales/digitales, son instrumentales para el bienestar común, por lo que su alteración (en cualquiera de las formas que veremos a continuación) pone en jaque lo que que- remos y debemos ser como comunidad, país o región del mundo. En estos momentos tan delicados que vivimos (con guerras en varios rincones del planeta, una notable inseguridad res- pecto a si las informaciones que leemos son ciertas o no y tragedias producidas por desastres naturales –e infraestructu- ra deficientes– en nuestro propio país) es preciso preguntarse acerca de la ro- bustez de las infraestructuras CRÍTICAS (permítanseme las mayúsculas) de un país y si es posible alterar la moral, es- tabilidad y estado general de una socie- dad a través de la manipulación de, por ejemplo, el suministro de energía eléc- trica, su red de transportes o el mismo sistema financiero sobre el que reside, en buena parte, el tejido empresarial. La respuesta, lamentablemente, es afirma- tiva. Y no solo porque es técnicamente posible, sino también económicamente viable, especialmente en el plano digital de estas infraestructuras, que están ínti- mamente conectadas tecnológicamente y “a tres clics de distancia” de cualquier grupo criminal y/o nación-Estado que pretenda traer disrupción e inestabilidad a una región concreta del mundo. Las infraestructuras críticas de un país son varias, y regulaciones como la Direc- tiva NIS2 (la segunda versión de la direc- tiva europea sobre seguridad de las re- des y sistemas de información o Security of Network and Information Systems , en inglés) amplían los sectores afectados e incluyen dimensiones como aquellas empresas relativas a la salud, energía, agua, infraestructuras digitales y provee- dores de servicios tecnológicos…, que se añaden a los sectores ya existentes, como son los sistemas financieros o la red de transportes. En definitiva, se refie- ren a las entiades que conforman la ma- lla, la red, sobre la que transita el “alma” de una sociedad y que resulta imperati- va para su buen funcionamiento. Cabe preguntarse si disponemos de los medios técnicos y operativos para garantizar que los tres ángulos principa- les de cualquier sociedad tecnológica (identidades, datos, aplicaciones) y que son imperativos para cuestiones como la ciberseguridad, gestión del riesgo, auditoría, monitorización, cumplimiento normativo, etcétera, son suficientemen- te sólidos en todas y cada una de las dimensiones de esas infraestructuras críticas… Y la respuesta es no. No de manera suficiente. Las preguntas funda- mentales acerca de quién tiene acceso a qué datos, durante cuánto tiempo, con qué tipo de trazabilidad, con qué pro- fundidad en cuanto a privilegios y dere- chos de uso, etcétera, no se hacen con una aproximación consistente en todas esas industrias y, por desgracia, abren la puerta a aquellos que quieren alterar nuestro bienestar. Marco de confianza Por ello, cuestiones profundas como un marco de confianza digital (como el que propone ISACA con su acrónimo en inglés DTEF, Digital Trust Ecosystem Fra- mework ) supone, a mi entender, un sal- to cualitativo y cuantitativo en la com- prensión de todas esas interacciones, relaciones y comunicaciones entre pro- veedores y consumidores (nótese que no indico “clientes” sino todos aquellos que consumimos servicios digitales, in- Infraestructuras críticas, “CRÍTICAS” R amsés G allego ISACA Hall of Fame y presidente del capítulo de Barcelona