Tras el análisis desde la perspectiva ciber que hicimos de la Estrategia Española de Seguridad ha habido un tema que ha salido en múltiples conversaciones con cierta recurrencia. Me refiero al hecho de que la nueva legislación para la protección de las infraestructuras críticas está enfocada en las amenazas de origen terrorista o para hablar con exactitud «ataques deliberados de todo tipo» (artículo 1 de la Ley 8/2011).
Como dijimos en su momento, esto no es suficiente para proteger las infraestructuras críticas en línea con lo establecido en la Estrategia Española de Seguridad, puesto que habrían quedado fuera del ámbito de protección todas aquellas amenazas que NO supusieran un ataque deliberado, es decir, las amenazas de origen ambiental (terremotos, inundaciones, incendios, tsunamis, erupciones volcánicas…) o las no-intencionadas de origen humano (errores u omisiones, accidentes industriales…).
Por tanto, nos podríamos preguntar, ¿estamos protegidos frente a esas amenazas? Bueno, pues en principio, deberíamos decir que sí, puesto que existe toda una regulación desde el año 1985 bajo el paraguas de lo que se denomina Protección Civil, que comienza con la Ley 2/1985 [pdf]. Sin duda, a todos nos suena lo de la protección civil, pero quizás no veáis la relación con lo que estamos hablando.
Para entender la relación, basta con leer los fundamentos de la mencionada ley para ver que la protección civil se identifica «doctrinalmente como protección física de las personas y de los bienes, en situación de grave riesgo colectivo, calamidad pública o catástrofe extraordinaria, en la que la seguridad y la vida de las personas pueden peligrar y sucumbir masivamente». De hecho, sucesos como Los Alfaques en España (1978) o Flixborough en Inglaterra (1real974) son los que están detrás del nacimiento de una nueva concepción de la protección civil derivado del desarrollo tecnológico de los 70 y los mencionados accidentes industriales y sus consecuencias.
Por finalizar con la explicación, podríamos decir que la protección civil tiene distintas fases: Previsión, prevención, planificación, intervención y rehabilitación, es decir, cubre desde antes de que pase nada, hasta cuando pasa y finalmente cuando se recupera la normalidad después de que haya pasado.
Si seguimos analizando la legislación en esta materia, nos encontramos con el Real Decreto 407/1992 [pdf] por el que se aprueba al Norma Básica de Protección Civil (directrices esenciales para la elaboración de los planes de protección), y que nos da una orientación muy clara sobre los eventos frente a los que se trata de proteger al hablar de los planes especiales. En concreto, en su artículo 6, se recogen los siguientes riesgos que requieren un tratamiento especial:
- Emergencias nucleares
- Situaciones bélicas
- Inundaciones
- Sismos
- Químicos
- Transportes de mercancias peligrosas
- Incendios forestales
- Volcánicos
Finalmente, nos encontramos con el Real Decreto 393/2007 [pdf] por el que se aprueba la Norma Básica de Autoprotección de los centros, establecimientos y dependencias dedicados a actividades que puedan dar origen a situaciones de emergencia que persigue «la adopción de medidas destinadas a la prevención y control de riesgos en su origen, así como a la actuación inicial en situaciones de emergencia que pudieran presentarse», básicamente, mediante la definición, implantación y mantenimiento de un Plan de Autoprotección. Dicho plan se define como «el documento que establece el marco orgánico y funcional previsto para un centro […] con el objeto de prevenir y controlar los riesgos sobre las personas y los bienes y dar respuesta adecuada a las posibles situaciones de emergencia […]».
Por tanto, a modo de conclusión, las recientes normas no incluyen la protección frente a amenazas distintas a las intencionadas, considerando que se encuentran cubiertas por la normativa existente en materia de protección civil, lo cual es distinto a si estamos protegidos frente a ese otro tipo de amenazas. ¿Y por qué decimos esto? Pues, porque la protección civil se viene aplicando desde los años 80 con un enfoque eminentemente del mundo «físico» y, aunque los conceptos aplican de igual manera al mundo de las nuevas tecnologías (riesgos, activos, amenazas, etc.) nos encontramos con que no existen planes, exigidos por Ley, para proteger los servidores corporativos, aunque dichos sistemas podrían ser utilizados para lanzar un ataque de denegación de servicio contra otros sistemas o podrían causar el mal funcionamiento de cualquiera de las instalaciones consideradas en el RD 393/2007 como necesitadas de un plan de autoprotección.
Es decir, la protección civil no está considerando las amenazas telemáticas como uno de los vectores que pueden causar un «grave riesgo colectivo, calamidad pública o catástrofe extraordinaria», por eso, en nuestra opinión, NO estamos adecuadamente protegidos, aunque nos parece muy interesante que la Protección Civil pueda evolucionar para incluir este vector de amenazas telemáticas según lo está pidiendo, por otra parte, la Estrategia de Seguridad Nacional.
Puedes seguirnos en twitter.com/enplusone