Víctor M. Hernández Segovia. Director Técnico de Seguridad. EULEN Seguridad
Mucho se ha hablado de la protección de Infraestructuras Críticas desde la entrada en vigor de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la Protección de las Infraestructuras Críticas hace ya algo más de 9 años. También en muchos foros se ha comentado sobre la capacidad de las organizaciones para recuperarse ante ataques y salir reforzado, es decir, de la resiliencia de las organizaciones y de su importancia en las Infraestructuras Críticas. Y actualmente también del COVID-19 y de cómo ha afectado, de su impacto en general en todas las organizaciones y en particular en las Infraestructuras Críticas.
Lo que está claro es que esta pandemia ha puesto a prueba la estrategia de seguridad integral que los operadores críticos definen en su Plan de Seguridad del Operador, y la implementación de dicha estrategia a través de sus Planes de Seguridad Específicos.
Gestionar la incertidumbre sobre la consecución de los objetivos de negocio, gestionar el riesgo, se puede hacer de dos formas: una es minimizando la probabilidad de materialización de una amenaza, y la otra es minimizando el impacto en caso de producirse. Hablamos en términos generales de medidas de tipo preventivo en el primer caso y de medidas de tipo reactivo en el segundo. Teniendo esto en cuenta y dado el momento en el que estamos se pueden hacer distintas reflexiones y plantear ciertas cuestiones sobre la idoneidad de los modelos de análisis de riesgos y la forma de calcular esa incertidumbre, y por otra sobre la eficacia de los Planes de Continuidad de Negocio.
Al hablar de una amenaza como ha sido el COVID-19, una amenaza de tipo enfermedad infecciosa o contagiosa, y de su análisis en las Infraestructuras Críticas, ¿qué operadores han planteado en sus análisis de riesgos este tipo de amenaza? Quizás algún operador sí, pero desde luego la enmarcarían en aquellas que tengan una baja probabilidad de materialización pero un gran impacto, y por tanto la estrategia sería intentar minimizarlo.
Seguramente sí se han planteado una amenaza de indisponibilidad del personal, interrupción de los suministros prestados por otros y necesarios para la prestación de sus servicios esenciales, pero igualmente, ante esta amenaza en concreto y por sus características, las medidas preventivas no serían lo suficientemente eficaces y por esto volvemos a la segunda estrategia de minimizar el impacto. Entonces, ¿han respondido los Planes de Continuidad y Planes de Contingencia a este impacto?
De una forma o de otra todos los operadores han podido poner a prueba sus planes, sus procedimientos y su resiliencia (algunos todavía estarán en ello). ¿Hasta qué punto cubren los planes actuales las consecuencias de la situación actual? ¿Han estado preparadas las organizaciones para asumir las condiciones de teletrabajo con garantías de seguridad? ¿Se consideraba en algún plan la indisponibilidad del personal en todos los niveles? ¿Existían definidos planes de comunicación externa e interna?
Para leer el artículo completo pincha aquí