La protección de las infraestructuras críticas ha sido, sin duda, uno de los aspectos que más atención han demandado en la última década. El incremento de la dependencia de la tecnología y el aumento de la conectividad nos ha llevado a ser conscientes de la necesidad de incorporar la seguridad al diseño de las soluciones tecnológicas que, hoy por hoy, aseguran los suministros y los servicios esenciales para el funcionamiento de nuestra sociedad.
Soy de la opinión de que para poder solucionar un problema hay que entenderlo perfectamente y conocer cuál es la causa raíz que lo origina. Es decir, para poder solventar el problema de la insuficiente protección de las infraestructuras críticas hemos de ser capaces de entender por qué actualmente no es suficiente:
- ¿Es que a los gestores empresariales de las infraestructuras no les importa si están protegidas? Bien, creo que, dada la inversión que realizan, no es así.
- ¿Es que la tecnología no lo permite? Citando a Bruce Schneier, «si crees que la tecnología es la solución del problema [de la inseguridad] es que, o no entiendes la tecnología o no entiendes el problema». Es decir, la tecnología no es el problema.
Entonces, ¿por qué la Administración europea y, por supuesto, la española han desarrollado iniciativas para asegurar la protección de las infraestructuras críticas? O dicho de otra manera, ¿por qué los operadores han subestimado el riesgo y, por tanto, han hecho necesaria la intervención de la Administración?
La raíz del problema
La causa raíz del problema es, en mi opinión, doble. Por un lado, lo que los economistas denominan el «conflicto entre el principal y el agente» o problema de agencia. Según Wikipedia, este problema «designa un conjunto de situaciones que se originan cuando un actor económico (el principal) depende de la acción o de la naturaleza o de la moral de otro actor (el agente) sobre el cual no tiene perfecta información». O dicho de otra forma, los intereses del agente no coinciden exactamente con los del principal, porque los agentes (que buscan la maximización de su propio beneficio) persiguen objetivos distintos de los propietarios (que pretenden la maximización del valor de la empresa).
Traducido al entorno que estamos analizando, los gestores de las infraestructuras (agentes), en su mayoría empresas privadas, persiguen la maximización de su beneficio, mientras que la Administración (el principal), como concesionaria del servicio, persigue una mejora del servicio a largo plazo. Esta situación hace que determinados riesgos (como, por ejemplo, el de amenaza intencional), que según el principal deberían ser acometidos cuando los enfocamos desde una perspectiva de maximización del beneficio, no superan el umbral de riesgo aceptable de los agentes. En definitiva, los umbrales de riesgo aceptables difieren.
Para conseguir este alineamiento entre principal y agente, la mejor solución posible es lo que se denominan modelos de gobernanza. La idea que persiguen estos modelos –de los cuales el mayor exponente lo encontramos en COBIT©2019, publicado por ISACA (para los no familiarizados con este marco de gobierno)– es que los objetivos que se definan para la tecnología y la ciberseguridad estén alineados con unos objetivos empresariales que deriven directamente de las necesidades de las partes interesadas (stakeholders).
Es decir, que si se hubieran implantado estos modelos de gobierno en las organizaciones, al haber evaluado las partes interesadas las necesidades (que es el primer paso), ineludiblemente se habrían tenido que tomar en consideración las necesidades del principal (que, sin duda, es una parte «muy» interesada) en cuanto al nivel de protección adecuado de las infraestructuras, con lo cual el desalineamiento final no se habría producido.
Pero estamos donde estamos y, por desgracia, la implantación de modelos de gobernanza basados en COBIT©2019, aunque creciente, es todavía insuficiente. Y desde luego, mucho más si miramos al pasado, cuando ni siquiera existían estos modelos.
Entonces, ¿no se puede hacer nada? Evidentemente, hay alternativas. Existen mecanismos que, aunque no resuelven la causa raíz, sí que abordan el síntoma del desalineamiento. En este sentido, la Administración tiene dos estilos de actuación:
- El estilo anglosajón, basado en la responsabilidad (el famoso concepto del accountability).
- El estilo latino, con una legislación mucho más prescriptivo.
En esta línea se enmarca la legislación existente en materia de protección de infraestructuras críticas. Si como Administración quiero resolver estos dos problemas (conseguir que las infraestructuras estén más protegidas y hacer que el riesgo de ciberseguridad se considere en línea con mis objetivos) tengo que informar a los agentes de cuáles son mis expectativas.
La otra parte de la causa raíz es el hecho de que la ciberseguridad es lo que se denomina una externalidad (negativa, para ser más exactos) en el proceso de toma de decisiones. Las externalidades son aquellas actividades que afectan a otros sin que éstos paguen o sean compensados por ellas. Estas externalidades existen siempre que los costes (o beneficios) privados no son iguales a los costes (o beneficios) sociales. La consecuencia es que no se toman decisiones óptimas porque solo se tienen en cuenta los efectos privados y se ignoran los efectos sociales (efectos directos e indirectos).
De nuevo, traduciéndolo al entorno que estamos tratando, como las consecuencias de un nivel de seguridad insuficiente no tienen un efecto directo sobre el propio operador sino sobre terceros, éste no lo incorpora a su proceso de toma de decisión, generando con ello un nivel de seguridad insuficiente.
¿Cuáles son los mecanismos que ayudan a solventar este segundo componente de la causa raíz? Básicamente aquellos elementos que permiten incorporar el coste social a la toma de decisiones haciéndolo visible para el agente; es decir:
- sanciones por incumplimiento de legislación desarrollada al efecto, o
- asignación de responsabilidad (de nuevo, la accountability) vía jurisprudencia.
El papel de la calificación
Una vez analizadas las causas raíces y las soluciones-tipo a las mismas es cuándo se ve de manera clara que la calificación juega un papel crucial para solucionar el problema de contar con un nivel insuficiente de protección de las infraestructuras. El uso de un sistema de calificación permite:
- A la Administración, definir claramente cuál es su expectativa de protección de cada infraestructura.
- Al operador, integrar la ciberseguridad en su proceso de toma de decisiones en forma de lista de requisitos.
- A los proveedores de servicios y tecnología, conocer por adelantado las funcionalidades y características que deben incorporar a sus productos y servicios para satisfacer las necesidades de la demanda.
- Y al sistema en general, el hecho de disponer de varios niveles permite adecuar la necesidad de protección al riesgo potencial. Esta circunstancia es muy importante porque si reconocemos que existen impactos potenciales diferentes, si el umbral de riesgo aceptable es constante, cuanto mayor sea dicho impacto más necesario será incrementar el nivel de seguridad de manera equivalente. Por el contrario, si el nivel de seguridad (las medidas requeridas) fuera constante, a diferentes niveles de impacto potencial, el nivel de riesgo resultante también sería diferente, penalizando a las infraestructuras de menor impacto potencial al provocar que el nivel de riesgo resultante estuviera por debajo del umbral admisible.
Es decir, gracias a la transparencia que proporciona la calificación, todas las partes interesadas resuelven el problema de información imperfecta que caracterizaba previamente a la situación (tanto en el caso del problema de agencia como en el de la externalidad negativa).
Finalmente, el hecho de que el proceso de auditoría que genera la calificación final esté acreditado aporta garantías adicionales para todas las partes, ya que pueden confiar por defecto en el resultado del proceso.
En resumen, un esquema de certificación soportando a un sistema de calificación contribuye de manera evidente a que el mercado mejore su eficiencia y se autoajuste. Esto permite generar decisiones más adecuadas al impacto potencial que tendría un incidente sobre el conjunto de la sociedad.
