InfoSecMan Blog

Como algunos de vosotros sabéis, procuro pasar algunos fines de semana en una casita en las montañas de Boal (Asturias), donde surgen algunas de las ideas que luego aparecen aquí o en mi vida profesional y personal.

Escribo este texto precisamente desde ese lugar tras llevar más de 90 horas sin suministro eléctrico, con un bolígrafo, sobre un cuaderno cuadriculado y a la luz de una vela, toda una novedad para mí (afortunadamente) ya que en algún caso he sufrido cortes de suministro en la ciudad, pero nunca más allá de las 2 o 3 horas en el peor de los casos. (Evidentemente, he transcrito el texto al medio electrónico tan pronto he llegado a un lugar con “luz”).

Mi pregunta o reflexión en este caso es: En pleno año 2009 (Siglo XXI), ¿es admisible que una compañía de suministro eléctrico deje sin servicio a varios miles de clientes (según las noticias en los medios de comunicación) durante casi 4 días? ¿Dónde están los planes de continuidad de negocio?, ¿La respuesta a incidentes?, ¿la comunicación con los medios y sus clientes?

Deste este espacio llevo ya un tiempo hablando de la necesidad de asegurar las infraestructuras críticas y los sistemas industriales, áreas estas del mercado que por el momento no están recibiendo el tratamiento adecuado en nuestor país.

En Estados Unidos, por ejemplo, existen normativas y legislación de obligado cumplimiento en este sentido como el “Critical Infrastructure Information Act” de 2002, o los estándares de Protección de Infraestructuras Críticas (CIP) del “North American Electric Reliability Council” (NERC), entre otros.

En España, hasta donde sé, no existe nada parecido (aún), nininguna iniciativa que se aproxime. Hacer algo es necesario. Debemos proteger nuestros sistemas industriales e infraestructuras críticas si no queremos afrontar problemas más graves que los existentes. Debemos aplicar los mismos principios de la seguridad que aplicamos a nuestros activos de información u otros sistemas de “propósito general”: Confiencialidad, Integridad y, evidentemente, Disponibilidad. Que no funcione un servidor de correo o se difunda su información por la explotación de alguna vulnerabilidad puede ser grave, pero que se deje sin suministro eléctrico o de agua a miles de personas (o millones en el peor de los casos)  o que una grúa de descarga de carbón deje caer 10 toneladas sobre unos trabajadores en lugar de sobre un camión, lo es mucho más. Debemos proteger la seguridad de nuestros datos y nuestra información, pero por encima de todo, la seguridad de las personas.

Estoy seguro que muchos de vosotros tenéis en mente muchos más supuestos de incluso mayor gravedad: redes nacionales de distribución, centrales de producción energética, etc. No, no es ciencia ficción. Es posible y puede ocurrir (y de hecho está ocurriendo aunque no se publicite demasiado). Otro tema a investigar, ¿verdad?.

Está claro que la naturaleza y sus caprichos suelen superar en muchos momentos los peores escenarios de continuidad de muchas compañías, pero mi pregunta es ¿existen al menos esos escenarios? ¿BS 25999 puede ser una base interesante para todas las compañías? ¿Que hay de una normativa o legislación de obligado cumplimiento para sistemas críticos o industriales?

Ya para finalizar, no quería perder esta oportunidad para “agradecer” a mi empresa suministradora, “E.ON España”, por dejarme más de 90 horas sin “luz” y darme la oportunidad de reflexionar sobre estos temas tan interesantes…