La protección de los servicios esenciales

La crisis del Coivd-19 nos ofrece la oportunidad de contrastar la bondad de nuestro entramado de protección y ver cómo mejora nuestra resiliencia

comienza a organizarse en grupos de cualquier índole para obtener ventajas de la suma de sus fuerzas, empieza también la preocupación por la protección de lo que el grupo considera más valioso: sus tierras, sus tesoros, su rey… A medida que las sociedades evolucionan, van cambiando los valores a proteger y los procedimientos para hacerlo, si bien no dejan de constituir una preocupación de primer orden para quien tuviera la responsabilidad de dar continuidad al grupo.

Modernamente, en ese núcleo vital de los Estados hay que incluir los de- nominados servicios esenciales, necesarios para el mantenimiento de las funciones sociales básicas. Estos se han convertido en objetivo predilecto de grupos desestabilizadores de todo tipo, lo que exige notables esfuerzos para garantizar su continuidad a causa de su enorme complejidad y de las interdependencias existentes. En consecuencia, durante mucho tiempo, cada Estado ha tratado de proteger sus centros de producción estratégicos mediante normas sectoriales y dispositivos inconexos, superados hoy por la realidad de amenazas emergentes globalizadas.

En nuestro entorno, la Unión Euro- pea decidió pasar a la acción a raíz de los atentados de Madrid de 2004. El propio Consejo Europeo realizó una Declaración sobre la lucha contra el terrorismo, en la que se comprometía a llevar a cabo políticas que reforzasen la protección de los ciudadanos, los ser- vicios esenciales y los sistemas de producción. A tal efecto, en octubre de 2004, la Comisión Europea elaboró di- versas Comunicaciones sobre terrorismo, una de las cuales se refiere a la protección de las infraestructuras críticas. Define estas últimas como aquellas “instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados miembros”. Es decir, se acomete la seguridad de los servicios esenciales a través de la protección de las infraestructuras de todo tipo, consideradas críticas, que les dan soporte.

El resultado final del trabajo de los diferentes órganos de la Unión Europea es la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Con ella se afronta de una forma ordenada y global (para todas las infraestructuras y para todos los Estados de la Unión) la protección efectiva de nuestros servicios esenciales. In- teresa señalar que la Directiva entiende por “protección”, todas las actividades destinadas a garantizar la funcionalidad, continuidad e integridad de las infraestructuras críticas con el fin de prevenir, paliar y neutralizar una amenaza, riesgo o vulnerabilidad.

Si bien es cierto que la Directiva hace referencia únicamente a los sectores de la energía y el transporte, con sus correspondientes subsectores, la norma de transposición, la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas (Ley PIC), va mucho más lejos y contempla los 12 sectores estratégicos conocidos. No obstante, es evidente que la Directiva no era más que el primer intento de abordar la cuestión a nivel de la Unión Europea y preveía su propia revisión a partir del 12 de enero de 2012. Sin embargo, a día de hoy, no se ha producido tal revisión.

En cambio, se ha abordado la protección de los servicios esenciales desde otra óptica: la de la seguridad de las re- des y sistemas de información. Estas úl- timas desempeñan un papel crucial en la sociedad, dependemos de su fiabilidad y seguridad para las actividades económicas y sociales, a lo que se suma que vienen padeciendo incidentes de seguridad de intensidad creciente por su magnitud, frecuencia y efectos. En definitiva, si la Directiva 2008/114 (Directiva PIC) buscaba la protección integral (física y ciber) de las infraestructuras que por su criticidad constituyen el soporte básico de los servicios esencia- les, la Directiva 1148/2016 (Directiva NIS) adopta medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, por cuanto dan soporte a servicios esenciales para la sociedad. Dos enfoques diferentes, un objetivo común: la continuidad de los servicios esenciales.

Al igual que ocurrió con la Ley PIC, que transpuso la Directiva PIC, el Real Decreto-Ley 12/2018 fue más lejos que la Directiva NIS en su transposición y extendió su ámbito de actuación a los mismos 12 sectores contemplados anteriormente. Se establece así un entramado de normas que, por dos caminos diferentes, se orientan a la protección de los servicios esenciales. Ahora bien, tanto el Sistema PIC, con un alto grado de implantación, como el modelo NIS, aun no completado en su totalidad, muestran algunas debilidades en su desarrollo que se deberían ir corrigiendo progresivamente. La actual crisis provocada por la pandemia del Coivd-19, junto a sus efectos devastadores, nos ofrece la oportunidad de contrastar la bondad de nuestro entramado de protección y ver hasta qué punto mejora nuestra resiliencia.

En este sentido, analizaremos ciertos aspectos básicos que evidencian la necesidad de modificar algunos planteamientos. Nos referimos, en primer lugar, al propio concepto de servicios esenciales, para seguir con el tipo de amenaza a considerar, la cuestión de la planificación, la identificación de los operadores esenciales y, finalmente, algunas reflexiones sobre la filosofía de la seguridad que debe impregnar el diseño de los modelos.

Concepto

No existe un listado de los servicios considerados esenciales para una sociedad. Serán todos aquellos que, como dice la Ley PIC, sean necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas.

Nuestro Sistema PIC dispone de un instrumento  para  identificarlos:  los Planes Estratégicos Sectoriales (PES), en cuyo desarrollo, además de identificar cuáles son los servicios esencia- les que se prestan desde cada sector, debe estudiarse su funcionamiento, sus vulnerabilidades, las consecuencias que tendría su inactividad y las estrategias necesarias para su mantenimiento. Siendo los PES documentos clasifica- dos, no disponemos de datos sobre estos trabajos de identificación, que es de suponer alcancen la suficiente amplitud y profundidad.

En cualquier caso, la actual crisis sanitaria ha puesto de manifiesto la dificultad para discriminar lo esencial de lo accesorio, porque en una situación de crisis global (afecta a todo el mundo y a todas las actividades) nada parece secundario. Así el Real Decreto 463/2020, por el que se declara el estado de alarma ocasionada por el Covid-19, con- templaba una serie de limitaciones generales para hacer frente a la pandemia e iba matizando, vía excepciones, las actividades que se consideraban esenciales y, en consecuencia, no sujetas a las limitaciones. Sucesivamente, los Decretos que desarrollaban el original, formulaban nuevas matizaciones.

Es decir, la idea de servicio esencial y su identificación concreta debe partir de un concepto general para situaciones de normalidad y ser capaz de adaptarse a las situaciones cambiantes de cada tipo de crisis, que obligarán a contemplar diferentes necesidades y a tener en cuenta los servicios que ineludiblemente deben mantenerse para cubrirlas.

Amenazas a considerar

Esta fue una de las cuestiones más ampliamente debatidas en el Libro Verde que sirvió de base para la elaboración del Programa Europeo para la Protección de Infraestructuras Críticas (PEPIC). Se trataba de dilucidar el tipo de amenaza al que se debería prestar atención, ofreciendo tres alternativas: (a) un planteamiento global frente a todos los peligros, (b) un planteamiento global con prioridad sobre el terrorismo y (c) un planteamiento centrado en la amenaza del terrorismo.

Finalmente, se estableció que la protección de las infraestructuras críticas ha de basarse en un enfoque global que tenga en cuenta todos los peligros, sin que ello suponga dejar de reconocer que la amenaza del terrorismo es una prioridad. Es decir, un planteamiento flexible que atienda a otro tipo de peligros tales como ataques intencionados o catástrofes naturales, pero con el terrorismo como prioridad.

Sin embargo, la Ley PIC, que transpone la Directiva PIC a nuestro ordenamiento jurídico, establece expresamente que las actuaciones necesarias para optimizar la seguridad de las infraestructuras se enmarcan principalmente en el ámbito de la protección contra agresiones deliberadas y, muy especialmente, contra ataques terroristas, resultando por ello lideradas por el Ministerio del Interior. No obstante, reconoce que la seguridad de las infraestructuras críticas exige contemplar actuaciones que vayan más allá de la mera protección material contra posibles agresiones o ataques, aun- que solo sea para implicar a otros órganos de la Administración General del Estado, de las demás administraciones públicas, de otros organismos públicos y del sector privado.

En España, la crisis del Covid-19 ha puesto de manifiesto cómo el desafío de una pandemia (no sabemos si originada por causas naturales, accidentales o deliberadas), ya previsto en nuestra Estrategia Nacional de Seguridad, ha llevado a un servicio esencial de primer orden como es la salud hasta el colapso en muchas fases de su evolución por no haber valorado suficiente- mente la amenaza y, en consecuencia, no haber previsto la actuación coordinada de todo el sector. En definitiva, no podemos limitarnos a considerar únicamente el problema derivado de un ataque deliberado, porque la protección de las infraestructuras o redes que dan soporte a los servicios esenciales no tiene más finalidad que asegurar su continuidad, sea cual sea la causa de la perturbación.

Planificación

Dada la complejidad de nuestro sis- tema administrativo, que dificulta, en la práctica, actuar con la agilidad y unidad de acción que requiere la gestión de una crisis, resulta muy conveniente prever mecanismos para coordinar la actuación de todos los órganos potencialmente implicados. Porque, cuando la perturbación surge por circunstancias distintas a una agresión deliberada o deban adoptarse decisiones técnicas específicas, es posible que no se cuente con el liderazgo del Ministerio del Interior para generar la respuesta y deban ser otros órganos menos operativos los responsables de garantizar la continuidad de los servicios.

La actual crisis provocada por el coronavirus puede servirnos de muestra para evaluar el funcionamiento combinado de los mecanismos que constituyen nuestro entramado de protección. En particular, y en este caso, el sector de la salud ha puesto en evidencia sus debilidades: un servicio esencial- mente público y fuertemente descentralizado, ha sido incapaz de atender las demandas exponencialmente crecientes derivadas de la propagación de la pandemia. No ha fallado la seguridad de ninguna de las infraestructuras críticas ni de las redes o sistemas que so- portan el servicio, ha fallado la continuidad del servicio mismo, incapaz de responder a las necesidades de la población, básicamente por falta de recursos que podían haber sido conseguidos en tiempo útil, al margen de una falta clamorosa de decisiones preventivas.

Tiempo habrá de analizar las causas del colapso, pero lo que ha quedado claro es la incapacidad de un sector para garantizar la prestación de un ser- vicio esencial en un momento determinado. Por una vez, el fallo no hay que buscarlo en el elemento humano, al menos entre los profesionales de la sanidad, auténticos héroes de nuestros días, sino en la falta de previsión de las administraciones para disponer los mecanismos de coordinación y de transferencia de responsabilidades adecuados tan pronto como se detectó en el horizonte la amenaza de la pandemia. Más aún, sabiendo que las pandemias constituyen una amenaza cierta para nuestra seguridad, esos mecanismos deben estar siempre preparados y dispuestos a aplicarse desde las primeras fases de alerta, porque ese es el momento de las decisiones eficaces.

Otros sectores estratégicos sí disponen de previsiones para hacer frente a sus crisis específicas (redundancias, re- des nodulares, reservas estratégicas…), pero, en cualquier caso, se pone de manifiesto la necesidad de que, más allá de los planes de seguridad de los operadores o de los planes de protección específicos de cada infraestructura crítica, los PES contengan previsiones frente a amenazas de cualquier naturaleza para garantizar la continuidad de los servicios esenciales que pres- ten, anticipando las medidas a adoptar en cada escenario considerado.

En definitiva, dado el carácter estratégico de los PES, después de anal- izar los riesgos inherentes a cada sector derivados de amenazas de cualquier naturaleza, la propuesta de medidas estratégicas debería incluir expresamente un plan de continuidad de los servicios que preste. Han de establecerse diferentes escenarios y fases para su aplicación, responsabilidades en cada fase y en cada escenario, mecanismos de transferencia de responsabilidades, apoyos mutuos entre operadores, órganos permanentes o circunstanciales de coordinación y apoyo técnico, así como un catálogo de re- cursos disponibles y de reservas, en su caso, para cubrir las necesidades de la población en los diferentes supuestos.

Es triste pensar, si no dramático, que ya existen previsiones legales en ese sentido. La Ley 36/2015, de Seguridad Nacional, prevé la contribución de re- cursos, tanto públicos como privados, para hacer frente a posibles riesgos o amenazas a la Seguridad Nacional y encomienda al Consejo de Seguridad Nacional, en coordinación con las comunidades autónomas, la organización de esta contribución. Para ello, se procederá a aprobar un catálogo de recursos humanos y de medios materiales de los sectores estratégicos de la nación que puedan ser puestos a disposición de las autoridades competentes en situaciones de interés para la Seguridad Nacional (a este respecto, la Ley Orgánica 4/1981, reguladora de los estados de alarma, excepción y sitio, concede aún más amplios poderes al Gobierno). La misma Ley de Seguridad Nacional le daba un plazo de un año para remitir al Congreso de los Diputados un proyecto de ley reguladora de la preparación y disposición de la contribución de recursos a la Seguridad Nacional. Nunca más se supo del proyecto…

Operadores esenciales

La Ley PIC se aplica a las infraestructuras críticas vinculadas a los 12 sectores estratégicos considerados; es decir, a los operadores críticos designados como tales siguiendo las previsiones de la propia ley. Por su parte, el Real Decreto-Ley NIS se aplica a quienes hayan sido declarados operadores de servicios esenciales o considerados proveedores de servicios digitales. Sin embargo, la continuidad de los servicios esenciales, aunque depende fundamentalmente de estos sujetos, necesita la aportación de otros actores secundarios (provee- dores y operadores) de menor criticidad, cuyo concurso debe asegurarse en determinadas fases de una crisis.

Hasta tal punto es así que el Real Decreto 463/2020, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el Covid-19, dispone, en su artículo 18, que los operadores críticos de ser- vicios esenciales previstos en la Ley PIC adoptarán las medidas necesarias para asegurar la prestación de los servicios esenciales que les son propios; pero ex- tiende la exigencia también a aquellas empresas y proveedores que, no teniendo la consideración de críticos, son esenciales para asegurar el abaste- cimiento de la población y los propios servicios esenciales. Seguidamente, la Orden INT/228/2020, de 15 de marzo, por la que se establecen criterios de aplicación del real decreto anterior, encomienda al CNPIC la función (respecto de ambos grupos de sujetos, evidente- mente, a falta de otros puntos de con- tacto con el segundo) de recabar información del personal vinculado con las tareas necesarias de mantenimiento de los servicios esenciales, emitir las correspondientes acreditaciones y comunicar los datos a las Fuerzas y Cuerpos de Seguridad para su consulta.

Conviene recordar en este punto, que la Ley 5/2014, de Seguridad Privada, establece (en el artículo 51) que determinados sujetos, por su especial vulnerabilidad o por generar riesgos a terceros, podrán ser obliga- dos a adoptar medidas de seguridad privada; en unos casos por imposición directa del reglamento (art. 51.2), y en otros, por decisión del Ministerio del Interior, ante circunstancias sobrevenidas (art. 51.3). En desarrollo de esta previsión, el borrador de Reglamento de Seguridad Privada, que no ha visto la luz más que para un breve trámite

de audiencia pública, creaba una categoría de sujetos, llamados operado- res estratégicos, que definía como “los proveedores de servicios esenciales de los sectores definidos como estratégicos en la normativa sobre protección de las infraestructuras críticas, identificados y designados como tales en el desarrollo de los respectivos Planes Estratégicos Sectoriales”.

Se trataba de tomar en consideración a aquellos operadores que, no teniendo la consideración de críticos, son indispensables para el mantenimiento de los propios servicios esenciales (su posición se entiende claramente en este momento).  Estos  sujetos  serían  oficial- mente designados tras el estudio del sector en el correspondiente PES, como un segundo escalón de responsabilidad, tras el de los operadores críticos. Así, los operadores estratégicos podrían ser requeridos en un momento determinado por las autoridades competentes para constituir, de acuerdo con el artículo 51.3 de la ley, medidas de seguridad privada como el correspondiente departamento de seguridad o a la designación de un responsable de enlace para la seguridad.

Todos conocemos hoy el papel clave que juegan los directores de seguridad de las empresas y organismos para comunicar el sector de la seguridad privada con las Fuerzas y Cuerpos de Seguridad. La importancia de este canal de comunicación se acrecienta en momentos de crisis, de forma que, en este preciso momento, no sería necesario cargar al CNPIC con tareas que pu- dieran exceder sus capacidades. Bastaría con utilizar otros recursos que ya deberían estar disponibles si se contara con una correcta planificación previa y un bloque normativo de seguridad homogéneo.

Filosofía de la seguridad

Hemos dicho que, tanto si protegemos las redes y los sistemas de la información como las infraestructuras críticas, nuestro objetivo es lograr la continuidad de los servicios esenciales a los que aquellas y estas dan soporte. Para ello, habrá que tener muy en cuenta las agresiones deliberadas, especialmente las que tienen su origen en cualquier variante de terrorismo, pero sin desatender cualquier otra amenaza que, en definitiva, pueda interrumpir o simple- mente perturbar el normal funciona- miento de esos servicios que consideramos esenciales para el mantenimiento de las funciones sociales básicas.

La normativa que regula la protección de las infraestructuras críticas pretende su seguridad integral, física y ciber, mientras que la normativa NIS se orienta fundamentalmente a la ciberseguridad, sin dejar de contemplar las medidas de seguridad física que pueden requerir algunas instalaciones. Pero insisto, una vez más, que el objetivo de ambas es lograr la continuidad del servicio. No tiene sentido entonces que ambas normativas creen instituciones diferentes y se inspiren en una diferente concepción de la seguridad: mientras que el Sistema PIC es lid- erado por el Ministerio del Interior, con una decidida vocación hacia la seguridad contra riesgos de origen antisocial, el bloque NIS está dirigido por el Ministerio de Economía o el de Industria, según corresponda, más inclinado a la seguridad contra riesgos de origen técnico.

Expertos tiene el Estado para orientar su política de seguridad y razones tendrá para haber escogido este camino. Lo que no es de recibo es que al regular la protección de las redes y sistemas de la información (en última instancia, la seguridad de los ser- vicios esenciales que se apoyan en el- los) cree instituciones nuevas, como el responsable de seguridad de la información, al margen del modelo establecido para los responsables de seguridad en la Ley de Seguridad Privada, que la Ley PIC había respetado escrupulosamente. Tal ocurre cuando en el proyecto de reglamento NIS hemos visto que no se regula su formación, nada se dice de la relación que debe unirle a la empresa en la que ejerce esa responsabilidad e incluso se le intenta situar por ley en una posición el- evada del organigrama de la empresa. En  este  sentido,  hemos  de  señalar que estas medidas se corresponden sospechosamente con las demandas de algunos grupos de profesionales relacionados con la seguridad de las redes y sistemas de la información.

Lo mismo cabría decir del complejo entramado de autoridades competentes y de equipos de respuesta a incidentes. Si por cualquier razón, ninguna de ellas descartable, nos tuviéramos que enfrentar a una crisis del tipo pérdida de los servicios digitales, los diferentes órganos implicados tendrían una verdadera dificultad para coordinarse. Sin duda alguna, alguien tendría que ponerse al frente de las operaciones, con la dificultad que hemos experimentado en la crisis del Covid-19 de recuperar los medios y mecanismos necesarios.

Como dice el Esquema Nacional de Seguridad, ésta hay que entenderla como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. Este principio excluye cualquier actuación puntual o tratamiento coyuntural. Obviamente, este proceso exige una dirección que asegure la unidad de acción de todos los implicados.

Hoy no existe ninguna duda de que la seguridad es un proceso continuo que abarca todas aquellas actuaciones de planificación, prevención, reacción, mitigación del daño y restitución del ser- vicio que resulten oportunas, sin hacer referencia a ninguna parcela concreta. Compartiendo el objetivo final, las diferentes áreas de seguridad, si existieran, están condenadas a compartir una misma dirección o, al menos, órganos de coordinación que unifiquen sus estrategias. Tras esta crisis habrá un nota- ble bagaje de lecciones aprendidas, una de las cuales esperemos que sea que no hay dos mundos paralelos, el físico y el virtual, y, por tanto, dos seguridades, sino un único mundo con una cuarta dimensión que hay que abordar en su con- junto y, en materia de seguridad, con una perspectiva única.  

César Álvarez Fernández

Coordinador de Proyectos de la Fundación Borredá