En el diccionario de la Real Academia Española de la Lengua, el término «crítico/a» se refiere a un hecho que es de suma importancia o gravedad, que es decisivo e importante. Una infraestructura crítica, en consecuencia, es aquel activo, sistema o red que resulta esencial para un país y cuya indisponibilidad, interrupción o destrucción supondría un problema grave para el buen funcionamiento de la sociedad en la que vivimos y trabajamos. Estas infraestructuras, que pueden ser físicas o virtuales/digitales, son instrumentales para el bienestar común, por lo que su alteración (en cualquiera de las formas que veremos a continuación) pone en jaque lo que queremos y debemos ser como comunidad, país o región del mundo. En estos momentos tan delicados que vivimos (con guerras en varios rincones del planeta, una notable inseguridad respecto a si las informaciones que leemos son ciertas o no y tragedias producidas por desastres naturales –e infraestructura deficientes– en nuestro propio país) es preciso preguntarse acerca de la robustez de las infraestructuras CRÍTICAS (permítanseme las mayúsculas) de un país y si es posible alterar la moral, estabilidad y estado general de una sociedad a través de la manipulación de, por ejemplo, el suministro de energía eléctrica, su red de transportes o el mismo sistema financiero sobre el que reside, en buena parte, el tejido empresarial.
La respuesta, lamentablemente, es afirmativa. Y no solo porque es técnicamente posible, sino también económicamente viable, especialmente en el plano digital de estas infraestructuras, que están íntimamente conectadas tecnológicamente y «a tres clics de distancia» de cualquier grupo criminal y/o nación-Estado que pretenda traer disrupción e inestabilidad a una región concreta del mundo.
Marcos como el DTEF y la comprensión y cumplimiento de las regulaciones resultan instrumentales para el éxito
Las infraestructuras críticas de un país son varias, y regulaciones como la Directiva NIS2 (la segunda versión de la directiva europea sobre seguridad de las redes y sistemas de información o Security of Network and Information Systems, en inglés) amplían los sectores afectados e incluyen dimensiones como aquellas empresas relativas a la salud, energía, agua, infraestructuras digitales y proveedores de servicios tecnológicos…, que se añaden a los sectores ya existentes, como son los sistemas financieros o la red de transportes. En definitiva, se refieren a las entidades que conforman la malla, la red, sobre la que transita el «alma» de una sociedad y que resulta imperativa para su buen funcionamiento.
Cabe preguntarse si disponemos de los medios técnicos y operativos para garantizar que los tres ángulos principales de cualquier sociedad tecnológica (identidades, datos, aplicaciones) y que son imperativos para cuestiones como la ciberseguridad, gestión del riesgo, auditoría, monitorización, cumplimiento normativo, etcétera, son suficientemente sólidos en todas y cada una de las dimensiones de esas infraestructuras críticas… Y la respuesta es no. No de manera suficiente. Las preguntas fundamentales acerca de quién tiene acceso a qué datos, durante cuánto tiempo, con qué tipo de trazabilidad, con qué profundidad en cuanto a privilegios y derechos de uso, etcétera, no se hacen con una aproximación consistente en todas esas industrias y, por desgracia, abren la puerta a aquellos que quieren alterar nuestro bienestar.
Marco de confianza
Por ello, cuestiones profundas como un marco de confianza digital (como el que propone ISACA con su acrónimo en inglés DTEF, Digital Trust Ecosystem Framework) supone, a mi entender, un salto cualitativo y cuantitativo en la comprensión de todas esas interacciones, relaciones y comunicaciones entre proveedores y consumidores (nótese que no indico «clientes» sino todos aquellos que consumimos servicios digitales, incluyendo nuestra versión como ciudadanos) para aportar robustez y solidez al ecosistema digital. Aunque pueda parecer una aproximación «romántica», el hecho que supone abordar la construcción o funcionamiento de un sistema tecnológico desde el punto de vista de la transparencia, la ética, el aseguramiento de su operativa abordando la disciplina de gestión de identidad y control de accesos, el bastionado de una plataforma sin fisuras en sus aplicaciones, etcétera, representa una mejora inequívoca frente –con todos los respetos– al pequeño caos con el que se han puesto en marcha muchas, demasiadas, infraestructuras (públicas y privadas).
No siempre se tienen en cuenta, lamentablemente, aspectos de seguridad y ciberseguridad cuando se diseñan arquitecturas tecnológicas o infraestructuras físicas…, y las consecuencias pueden ser, como hemos visto recientemente en nuestra querida Comunitat Valenciana, trágicas. Resulta imperativo construir plataformas que sean redundantes (por ejemplo, en temas de comunicaciones digitales) o sistemas que faciliten su vuelta a la normalidad (orientados, en consecuencia, a la recuperación y continuidad) en un corto período de tiempo. ¿Se hace de manera habitual? Por desgracia, no.
¿Por qué? Porque se requiere tiempo y, sobre todo, inversión. Porque se precisa de la valentía en la dirección para planificar, diseñar y ejecutar sobre un concepto fundamental que es la resiliencia (cuya acepción en el diccionario indica que es la capacidad de perdurar, de resistir). Cabe decir en este punto que existe otra regulación –para el sistema financiero principalmente, aunque sus principios se pueden aplicar a cualquier industria– llamada DORA (Digital Operational Resiliency Act por sus siglas en inglés) que se orienta a la ciberresiliencia y que completa y complementa, de alguna manera, a la mencionada NIS2 y otras como el Reglamento General de Protección de Datos, una ley europea –que no directiva– y que entró en vigor hace más de seis años.
Ecosistema seguro para las infraestructuras críticas
Vivimos tiempos, en definitiva, en los que la sociedad es altamente dependiente de la tecnología, de sus proveedores (y sus errores, como escribí en un artículo recientemente), de la aversión al riesgo –o no– de su cadena de suministro y de una red empresarial tejida a base de conexiones, transacciones, interacciones digitales en plataformas absolutamente críticas (suministro de energía, alimentación, servicios digitales en la nube, etc.).
Solo el compromiso con la seguridad y la privacidad, la firme decisión de invertir para garantizar fiabilidad y la transparencia de los sistemas que dan forma a nuestra sociedad conseguirán ese ecosistema robusto, confiable y seguro. La formación de todos, desde jóvenes hasta mayores, empleados y ciudadanos, resulta de capital importancia. Marcos como el DTEF y la comprensión y cumplimiento de las regulaciones también resultan instrumentales para el éxito. ¿Es difícil? Sí. ¿Es imposible? No. Hablamos de sociedad, de país, de estabilidad, de seguridad, de confianza, de transparencia, de mitigación de riesgos, de reducción del factor de exposición. Hablamos de infraestructuras. «CRÍTICAS».
