En la actualidad, las condiciones están maduras para que las tecnologías emergentes realicen grandes cambios en base al valor que se otorga a lo que se debe proteger. En los últimos años, se ha llegado a asumir que cualquier solución vale, ya que cumple con la norma exigida para la protección de infraestructuras críticas. Pero ¿está seguro de que tiene toda la visión general de la cadena de valor en una infraestructura crítica? ¿Su instalación es “inteligente”? ¿Está lista para evolucionar al próximo nivel tecnológico? ¿Cuál es su estrategia frente a las nuevas aplicaciones y tecnologías? ¿Puede sacar provecho del Big Data? ¿Cómo transformará el 5G sus instalaciones? ¿Cuándo estará operativo su “modelo de convergencia”? Y, sobre todo… ¿quién es su socio en la transformación digital?
Todas estas preguntas están sobre la mesa en nuestra industria. Sin embargo, son tan útiles y perjudiciales como siempre lo han sido. Tienen la capacidad de describir ideas increíblemente complejas en una o dos palabras, aunque también tienen la capacidad de confundir otras increíblemente sencillas en igual medida.
Definición
Tras este preámbulo, y antes de continuar, repasemos qué es o cómo debiéramos entender una infraestructura crítica. Aunque sabido, no está de más recordarlo.
Dentro de las prioridades estratégicas de la seguridad nacional se encuentran las infraestructuras expuestas a una serie de amenazas. Para su protección se hace imprescindible, por un lado, catalogarlas; y por otro, diseñar un plan con medidas eficaces de prevención y protección contra las posibles amenazas hacia tales infraestructuras tanto desde el plano de la seguridad física como del de la seguridad de las tecnologías de la información y las comunicaciones.
A nivel europeo, la iniciativa surgió a raíz del 11-M. Tras instar el Consejo Europeo a la Comisión Europea a elaborar una estrategia global sobre protección de infraestructuras críticas, se adoptó una Comunicación sobre protección de las infraestructuras críticas en la lucha contra el terrorismo, con propuestas para mejorar la prevención, preparación y respuesta de Europa frente a atentados terroristas.
Posteriormente se elaboró una Directiva sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (Directiva 2008/114/CE), que entró en vigor el 12 de enero de 2009. Esta normativa establece, entre otras cosas, que la responsabilidad principal y última de proteger las infraestructuras críticas corresponde a los Estados miembros y a los operadores de estas. E insta a implementar una serie de iniciativas y actuaciones por parte de los Estados para su transposición a las legislaciones nacionales.
Las infraestructuras críticas, según se definen en la Ley 8/2011, son el conjunto de recursos, servicios, tecnologías de la información y redes que, en el caso de sufrir un ataque, causarían gran impacto en la seguridad, tanto física como económica, de los ciudadanos o en el buen funcionamiento del Gobierno de la nación. Este impacto se mide según tres criterios horizontales que determinan la criticidad de una infraestructura: el número potencial de víctimas, el impacto económico y el impacto público.
En España, el 28 de abril de 2011 se aprobó por las Cortes Generales la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas. Como hemos podido comprobar, realmente son críticas, y trascienden al ámbito empresarial. Pero ¿somos consciente de cómo debemos protegerlas? No se trata solo de crear soluciones novedosas y actuales para cumplir con los requisitos antes mencionados. Lo más importante es conocer lo que su instalación realmente requiere y cómo las nuevas tecnologías pueden ayudar a lograr esos objetivos.
Los requisitos de su instalación son suyos, y de nadie más. No todas las situaciones son iguales, y una estrategia única de control a través de cámaras podría ser o no una solución única para todos. A veces, las necesidades de una instalación son relativamente simples y las soluciones son fácilmente identificables y están disponibles. En otras ocasiones, las necesidades de seguridad de la propiedad pueden requerir una cantidad significativa de tiempo para evaluar y determinar si el uso de cámaras o de otros sistemas será una herramienta de prevención efectiva, cumpliendo además con sus especificaciones y asegurándose de cumplir con todos los códigos y requisitos reglamentarios pertinentes.
Eficiencia y efectividad
En el caso de una instalación crítica, nos debemos plantear aplicar los recursos necesarios en el momento adecuado, en la cantidad correcta y donde se necesiten. Solo así se podrán lograr los objetivos de control, protección y eficiencia.
¿Qué significa esto? ¿Cómo encaja este criterio con las necesidades de la organización? ¿Qué solución estamos buscando? ¿Cómo se logrará esto funcionalmente? Una vez que tenemos las respuestas a estas preguntas, alcanzaremos una expectativa en cuanto a lo que debemos hacer para lograr los objetivos reales. Pero asegúrese de que todos los que están alrededor de la mesa comprendan las necesidades reales. La evolución tecnológica nos ha traído un número significativo de nuevas soluciones, pero desde hace tiempo se hizo popular la frase de que “ninguna cadena es más fuerte que su eslabón más débil”, y es muy cierto.
Podemos hablar de conceptos como el Big Data, una cantidad de información de la que disponemos en bruto, pero nos falta cómo filtrarla para entenderla y gestionarla adecuadamente. Existen herramientas para la sinopsis de vídeo que permiten realizar búsquedas de detalles concretos sobre la base de datos almacenadas. Pero estos sistemas diferentes ¿se reconocen entre sí?, ¿pueden hablarse entre ellos?
Y es que la Inteligencia Artificial ha llegado para quedarse. Son innumerables las capacidades que puede aportar, desde las conocidas habitualmente para la seguridad hasta para áreas de marketing, gestión de empresa o prevención de riesgos laborales, entre otros. Esto no parece que sea aplicable a infraestructuras críticas, pero en la actualidad sí afecta a la inversión que se ha de abordar y a los KPI (Key Performance Indicator) que el conjunto de la inversión puede facilitar.
Y de nuevo nos surgen cuestiones: ¿hemos seleccionado el producto adecuado para que las capacidades de todos ellos se conjuguen conjuntamente? A veces, muy a menudo, un costo bajo hipnotiza, sin considerar otras cuestiones. La Inteligencia Artificial, además, nos traerá la integración con sistemas IoT (Internet de las Cosas, por sus siglas en inglés), que necesariamente deben hablarse entre sí.
Por otro lado, todos los estándares y legislaciones locales y europeas que durante años se han desarrollado, en ocasiones, no se tienen suficientemente en cuenta. Y traen como consecuencia vulnerabilidades que en los últimos tiempos se han confirmado, con el cese de producción de chips causantes de esta situación. Una situación que, tratándose de infraestructuras críticas, aumenta exponencialmente el riesgo y su importancia.
De una forma u otra, sabemos que el valor de un producto viene dado no solo de su coste, sino de la rentabilidad que nos da, la funcionalidad y la capacidad de integración continua con las nuevas tecnologías. Así pues, la planificación es una parte necesaria a la que se debe dedicar el tiempo necesario, evaluando requerimientos actuales y futuras, de manera que no sea solo un cumplimiento de normas, sino un conjunto de herramientas para los diferentes departamentos de una empresa que, al mismo tiempo, facilite la colaboración con las Fuerzas de Seguridad del Estado. Es nuestra responsabilidad crear un entorno de confort, seguro y fiable.