En las sociedades modernas hay todo un complejo sistema de infraestructuras que posibilitan el normal desenvolvimiento de los sectores productivos, de gestión y de la vida ciudadana en general. Estas infraestructuras suelen ser sumamente interdependientes entre sí, razón por la cual los problemas de seguridad que pueden desencadenarse en cascada a través del propio sistema tienen la posibilidad de ocasionar fallos inesperados y cada vez más graves en los servicios básicos para la población.

Va a hacer cuatro años que la Ley 8/2011 dio curso a la creación del concepto de infraestructuras críticas, creando medidas para su protección. Así, el artículo 2 las define como aquellas infraestructuras estratégicas (es decir, aquellas que proporcionan servicios esenciales) cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.

En este nuevo concepto se incluyen equipamientos y sistemas cuya destrucción tendría un efecto debilitador sobre la seguridad nacional, la vida económica nacional o la salud pública. El asunto se complica porque el sector privado es dueño de la mayoría de esas Infraestructuras Críticas correspondiendo a múltiples sectores y a diversas administraciones su tutela. De acuerdo con la página de son doce los sectores contemplados por la normativa española: 

• Administración
• Agua
• Alimentación
• Energía
• Espacio
• Industria Química
• Industria Nuclear
• Transporte
• Salud
• Instalaciones de Investigación
• Sistema Financiero y Tributario
• Tecnologías de la Información y las Comunicaciones (TIC)

La designación de un operador como crítico conlleva la obligación de éste de desarrollar una planificación donde se plasmen las políticas de seguridad, metodologías y análisis de riesgos que permitan la protección de unos activos que son especialmente importantes para la prestación de servicios esenciales para la sociedad.

Su importancia permitió que, hace unos meses, la Government Accountability Office norteamericana (GAO) hiciese público un informe sobre Protección de Infraestructuras Críticas. Estamos acostumbrados a los trabajos atrevidos de la GAO sobre áreas de gran interés ciudadano (ciberseguridad, riesgos bacteriológicos …) pero sin contenido financiero, lo que supone algo extraño para los ojos europeos. No debería serlo porque se supone que muchas oficinas y empleados realizaron millares de evaluaciones de la vulnerabilidad de esas infraestructuras, con importantes recursos.

Estas evaluaciones pueden identificar los factores que hacen de un activo o instalación susceptible a amenazas y peligros. La GAO pidió revisar cómo las entidades federales evaluaban las vulnerabilidades. El informe examina el grado en que el Departamento de Seguridad Nacional está en condiciones de (1) integrar esas evaluaciones de vulnerabilidad para identificar prioridades, (2) identificar duplicaciones y lagunas en su cobertura, y (3) gestionar con un enfoque integral y coordinado la evaluación de todo el gobierno. En definitiva, si hacen bien su trabajo. Otra sorpresa más de la difícil tarea de los perros guardianes del contribuyente norteamericano.