1 55 Table of Contents 57 92

Red Seguridad 87

El rol de la calificación para mejorar la protección de las infraestructuras críticas L a protección de las infraestructuras críticas ha sido, sin duda, uno de los aspectos que más atención han demandado en la última década. El incremento de la dependencia de la tecnología y el aumento de la conec- tividad nos ha llevado a ser conscien- tes de la necesidad de incorporar la seguridad al diseño de las soluciones tecnológicas que, hoy por hoy, ase- guran los suministros y los servicios esenciales para el funcionamiento de nuestra sociedad. Soy de la opinión de que para poder solucionar un problema hay que entenderlo perfectamente y conocer cuál es la causa raíz que lo origina. Es decir, para poder solventar el problema de la insuficiente protec- ción de las infraestructuras críticas hemos de ser capaces de entender por qué actualmente no es suficiente: –  ¿Es que a los gestores empresa- riales de las infraestructuras no les importa si están protegidas? Bien, creo que, dada la inversión que realizan, no es así. –  ¿Es que la tecnología no lo per- mite? Citando a Bruce Schneier, "si crees que la tecnología es la solución del problema [de la inse- guridad] es que, o no entiendes la tecnología o no entiendes el problema". Es decir, la tecnología no es el problema. Entonces, ¿por qué la Administración europea y, por supuesto, la españo- la han desarrollado iniciativas para asegurar la protección de las infraes- tructuras críticas? O dicho de otra manera, ¿por qué los operadores han subestimado el riesgo y, por tanto, han hecho necesaria la intervención de la Administración. La raíz del problema La causa raíz del problema es, en mi opinión, doble. Por un lado, lo que los economistas denominan el "conflicto entre el principal y el agente" o pro- blema de agencia. Según Wikipedia, este problema "designa un conjunto de situaciones que se originan cuan- do un actor económico (el principal) depende de la acción o de la natu- raleza o de la moral de otro actor (el agente) sobre el cual no tiene perfecta información". O dicho de otra forma, los intereses del agente no coinciden exactamente con los del principal, porque los agentes (que buscan la maximización de su propio beneficio) persiguen objetivos distintos de los propietarios (que pretenden la maxi- mización del valor de la empresa). Traducido al entorno que esta- mos analizando, los gestores de las infraestructuras (agentes), en su mayoría empresas privadas, persi- guen la maximización de su benefi- cio, mientras que la Administración (el principal), como concesionaria del servicio, persigue una mejora del servicio a largo plazo. Esta situa- ción hace que determinados riesgos (como, por ejemplo, el de amenaza intencional), que según el principal deberían ser acometidos cuando los enfocamos desde una perspectiva de maximización del beneficio, no supe- ran el umbral de riesgo aceptable de los agentes. En definitiva, los umbra- les de riesgo aceptables difieren. Para conseguir este alineamiento entre principal y agente, la mejor solución posible es lo que se denomi- nan modelos de gobernanza. La idea que persiguen estos modelos –de los cuales el mayor exponente lo encon- tramos en COBIT © 2019, publicado por ISACA (para los no familiarizados con este marco de gobierno)– es que los objetivos que se definan para la tecnología y la ciberseguridad estén alineados con unos objetivos empre- sariales que deriven directamente de las necesidades de las partes intere- sadas ( stakeholders ). Es decir, que si se hubieran implan- tado estos modelos de gobierno en las organizaciones, al haber evaluado las partes interesadas las necesidades (que es el primer paso), ineludible- mente se habrían tenido que tomar en consideración las necesidades del principal (que, sin duda, es una parte "muy" interesada) en cuanto al nivel de protección adecuado de las infraes- tructuras, con lo cual el desalineamien- to final no se habría producido. Pero estamos donde estamos y, por desgracia, la implantación de modelos de gobernanza basados en COBIT © 2019, aunque creciente, es todavía insuficiente. Y desde luego, mucho más si miramos al pasado, cuando ni siquiera existían estos modelos. Entonces, ¿no se puede hacer nada? Evidentemente, hay alternati- 56 red seguridad cuarto trimestre 2019 Antonio Ramos CEO de Leet Security opinión servicios esenciales monográfico

RkJQdWJsaXNoZXIy MzA3NDY=