Ciberseguridad Industrial: Por sus hechos les conoceréis

Siempre se ha dicho que hay que predicar con el ejemplo. También se dice que una cosa es predicar y otra dar trigo. O ese gran resumen acerca de la educación infantil en el que caen muchos padres pillados en flagrante contradicción por sus hijos: ‘haz lo que digo, no lo que hago’.

Todos estos lugares comunes giran en torno a una idea central: es muy difícil resultar creíble cuando se pide a otras personas que, ante ciertas circunstancias, obren de forma manifiestamente distinta a lo que hacemos nosotros. Y claro, la ciberseguridad de infraestructuras críticas (II.CC. en lo sucesivo) no iba a ser de otra manera.

Se habla mucho (en ciertos ámbitos) de lo que hay que hacer para remediar el grave problema de seguridad que la convergencia tecnológica ha provocado en ciertas infraestructuras que proveen a la sociedad servicios esenciales. O mejor dicho, la no consideración de la seguridad como un elemento tan esencial, al menos, como la funcionalidad. Se elaboran planes, estrategias, hojas de ruta, guías de recomendaciones, de buenas prácticas, directivas, leyes y reglamentos.

Está muy bien.

Pero, ¿saben una cosa? Resulta que, aunque sea difícil distinguirlo porque se nos presenta tras muchas caras, detrás de un gran número de infraestructuras críticas está… la Administración. Sí, la Administración, en sus múltiples avatares: Ayuntamientos, Diputaciones, Consejerías, Ministerios, empresas públicas, medio-públicas y un poco públicas, Entes, Entidades, Agencias… bueno, ya me cogen. Pero tras esa multitud de encarnaciones, hay algo en común: todas ellas tienen la capacidad de contratar mediante un procedimiento regulado que incluye la publicación de Pliegos en las que se especifica las características del servicio, obra o suministro objeto del mismo.

Fantástico, podríamos pensar. Si la Administración interviene de forma directa o indirecta en la construcción o explotación de la mayoría de II.CC. problema resuelto. Sin duda, la Administración es la primera interesada en que las II.CC. nacionales gocen de un nivel adecuado de protección, por ejemplo, teniendo en cuenta la seguridad en el diseño de sus sistemas de control y redes de comunicaciones como un criterio esencial. Sin duda ya lo hacen, exigiéndolo en sus Pliegos. O, mejor todavía, seguro que existe normativa que obliga a justificar el cumplimiento de ciertas premisas básicas ya desde la fase de proyecto-construcción (donde se generan gran parte de los problemas de difícil solución, como ya hemos comentado en alguna ocasión).

Pues no.

Y no será por falta de mecanismos. Por ejemplo, todo proyecto de edificación u obra civil requiere como anejo un estudio geotécnico para investigar las propiedades del terreno y su aptitud para sostener las infraestructuras previstas. No es opcional. Del mismo modo, como nos preocupa mucho el medio ambiente, todo proyecto de obras debe incluir, forzosamente, un anejo de gestión de los residuos de la construcción. Y para asegurar que este anejo no se convierte en un trámite, se obliga a que en el presupuesto de las obras, como un capítulo independiente, se detalle el importe destinado a esta partida.

¿Saben? Para poner en marcha una instalación debemos justificar el cumplimiento de un buen número de reglamentos técnicos: baja tensión, almacenamiento de productos químicos, prevención de la contaminación atmosférica y un largo etcétera. No es optativo. Forma parte del proceso de legalización de las instalaciones y, si no se hace, no se inicia la actividad. Porque nos preocupa la seguridad de personas y cosas.

Del mismo modo, todos los proyectos deben incluir un estudio de seguridad y salud en el trabajo que justifique las medidas que se adoptarán para garantizar la integridad física de los trabajadores durante las obras.

Y sigamos. También deben contar con un estudio de impacto ambiental que, además, tiene su propio proceso administrativo para obtener la autorización.

Hay muchos ejemplos. En respuesta a la preocupación de la sociedad por ciertos asuntos el proceso proyecto-construcción-puesta en marcha-explotación ha ido incorporando toda una serie de documentos y procesos que garanticen que alguien se ha detenido a pensar en ellos.

Y no sólo eso. Para evitar excusas se les ha dotado de un presupuesto específico, lo que contribuye a hacer notoria la importancia que la Administración concede a tales asuntos. Cualquiera que haya estado en una obra sabe que todo lo que no está previsto en el presupuesto difícilmente se materializará durante la construcción (al menos a un coste razonable).

A estas alturas el lector ya sabrá a dónde quiero ir a parar. No creo que sea descabellado pensar que, si una infraestructura es crítica, debería exigirse que ya desde el proyecto se tenga en cuenta su protección. Además, de esta forma el personal que trabaja en proyectos y obras (que, admitámoslo, no tiene ni idea de qué estamos hablando) podrá por fin empezar a descubrir estas cosas.

Recuerdo, por ejemplo, la celeridad con que ciertas empresas del sector público añadieron en sus pliegos de construcción la obligación de destinar 1.000.000 de € a integración paisajística y energías renovables. Un millón de euros NO SUJETO A BAJA, por añadidura. ¿Por qué no un celo semejante en protección de II.CC.?

Y es que, como se dice, por sus hechos les conoceréis. O en una versión anglosajona un poco más terrenal: put your money where your mouth is.

¿Es que nadie piensa en los niños?

Comments

  1. Fantástica entrada, Óscar.

  2. Muy bien expresado Oscar, nada más que añadir “señoría”.

  3. Óscar Navarro says

    Cedo, pues, la palabra. ;)