SEGURIDAD Y DEFENSA

Así, después de tres días de intensas negociaciones y cuatro años de discusiones, la Eurocámara y los Estados miembros aprobaron el pasado 8 de diciembre un acuerdo sobre el texto de la primera normativa para el desarrollo, comercialización y uso de la inteligencia artificial en los países de la Unión. Las instituciones europeas cierran un acuerdo provisional tras superar sus diferencias en torno a la vigilancia biométrica y la regulación de los modelos funcionales como ChatGPT.
 

Según la Secretaria de Estado española de Digitalización e Inteligencia Artificial, Carme Artigas: “Es un logro histórico y un enorme hito hacia el futuro. Hemos conseguido mantener un equilibrio extremadamente delicado: impulsar la innovación y la adopción de la inteligencia artificial en toda Europa respetando plenamente los derechos fundamentales de nuestros ciudadanos”.
 

Según destaca Bruselas, esta ley “pretende garantizar que los sistemas de IA comercializados y utilizados en la UE sean seguros y respeten los derechos fundamentales y los valores de la UE”, siempre teniendo en cuenta que busca a su vez “estimular la inversión y la innovación en IA en Europa”.
 

Está previsto que el Parlamento Europeo vote sobre la ley a principios de 2024. Tras su publicación definitiva se abrirá un plazo de dos años para su aplicación plena, aunque se podrá adelantar la entrada en vigor de algunos puntos, asegura el Consejo Europeo. La ley en su totalidad no entrará en vigor hasta al menos 2025 o 2026.
 

Inteligencia artificial, ética y derechos
 

Los objetivos fundamentales de la Ley “AI Act”, como se la conoce en inglés, además de ser una legislación “vanguardista y responsable que impone estándares globales”, trata de establecer un marco que fomente el desarrollo de una inteligencia artificial ética y confiable, colocando a las personas en el epicentro y asegurando que la tecnología sea empleada en beneficio de la sociedad.
 

La regulación aborda cuestiones éticas cruciales, como la privacidad, la seguridad y la transparencia en las aplicaciones inteligentes.
 

El debate crucial se centró en las aplicaciones de IA que serán prohibidas debido a su amenaza para la democracia  y los derechos individuales. Esto abarca sistemas de categorización y restricciones de la vigilancia biométrica basados en características sensibles, como raza, religión, creencias políticas u orientación sexual.
 

El Parlamento Europeo ha conseguido incluir restricciones importantes a las aplicaciones de esta impredecible tecnología, aunque los Estados miembros también han logrado preservar su derecho a usarla en asuntos de seguridad nacional y persecución del crimen.
 

Finalmente, la ley prohibirá los sistemas que supongan “riesgos inaceptables” para los derechos fundamentales de los ciudadanos, pero los Estados podrán utilizar sistemas de vigilancia biométrica en espacios públicos para identificar a víctimas de secuestros o tráfico sexual y en caso de amenaza terrorista.
 

La Unión Europea, la Ley IA-Act y la seguridad
 

Todas las partes han intervenido en la nueva normativa de la UE: los gobiernos que quieren más libertad y la Eurocámara que quiere más protecciones. Así, manteniendo su enfoque basado en el riesgo, la regulación impone restricciones significativas a determinados sistemas, exigiendo salvaguardias de los derechos humanos antes de su entrada al mercado. Esto incluye la obligación de reportar evaluaciones de modelos, realizar pruebas contradictorias, garantizar la ciberseguridad y reportar sobre la eficiencia energética, entre otras medidas.
 

Igualmente, se veta todo sistema que limite el libre albedrío de las personas o que sirva para controlar el comportamiento de trabajadores o ciudadanos, como la que sirve para el reconocimiento de emociones en el trabajo a través del comportamiento no verbal.
 

El texto final recoge, aseguran los eurodiputados, sus principales líneas rojas, al confirmar que quedarán prohibidos varios sistemas de vigilancia biométrica que consideraban inaceptables.
 

La utilización de biometría en espacios públicos estará sujeta a restricciones y requerirá autorización judicial previa. La recopilación indiscriminada de imágenes faciales de Internet o cámaras de vigilancia para bases de datos de reconocimiento facial también será prohibida.
 

Por otro lado, aunque se permitirán los sistemas de vigilancia biométrica en tiempo real en espacios públicos, solo podrán ser empleados por las fuerzas del orden y estarán muy limitados y rodeados de estrictas salvaguardias: se requerirá una autorización judicial y la lista de motivos que lo autoricen será muy restrictiva.
 

En este sentido, España anunció hace meses la elaboración de una Guía de Buenas Prácticas para ayudar a las empresas a cumplir con la regulación. Este paso es esencial para mantener la aspiración de ser un referente europeo en IA ética.
 

Además, este es un momento crucial en la definición del futuro de la AESIA, la primera agencia europea para la supervisión ética de la IA.
 

Sistema de clasificación basado en el riesgo
 

La nueva Ley IA-Act de la UE mantiene su enfoque basado en el riesgo, tanto para la seguridad como para garantizar los derechos fundamentales de los ciudadanos. En el punto más elevado de la pirámide se encuentra un número muy limitado de aplicaciones de IA que se prohibirán de forma terminante.
 

Según el potencial de riesgo de la inteligencia artificial y teniendo en cuenta para qué fines se utiliza y cómo esto podría afectar a la población, la Comisión Europea ha propuesto la creación de un sistema de riesgos basado en cuatro niveles:
 

• Riesgo mínimo. Sistemas de inteligencia artificial que cumplen los requisitos legales vigentes siempre y cuando no necesiten obligaciones legales adicionales. La mayoría de los modelos de inteligencia artificial entran en esta categoría.
• Alto Riesgo. Se trata de sistemas de inteligencia artificial que puede afectar negativamente a la seguridad de las personas o la violación de los Derechos Humanos Fundamentales. Según señala la normativa se «considerarán de alto riesgo cuando estén sujetos a una evaluación de la conformidad por parte de terceros en virtud de dicha legislación sectorial».
• Riesgo Inaceptable. En esta categoría, entraría la prohibición de identificación biométrica remota en tiempo real en espacios públicos, el uso de técnicas subliminales, reconocimiento de emociones en el lugar de trabajo, raspado no dirigido de Internet. En conclusión, se consideran riesgos inaceptables aquellas actividades que vayan en contra de la defensa de los derechos humanos de la Unión Europea.
• Riesgo específico de transparencia. Los fabricantes y proveedores deberán dejar claro a los usuarios cuando estos estén interactuando con una inteligencia artificial. Es decir, no se permite hacer pasar información creada por una inteligencia artificial como si se tratase de una persona o una fuente de información real.
   

Aunque la ley de inteligencia artificial de la Unión Europea destaca estas cuatro categorías de riesgos, también reconoce y tienen en cuenta la existencia de los riesgos sistémicos, en los que se incluyen los grandes modelos de la IA generativa.
 

Claves para entender la ley de inteligencia artificial IA-Act
 

La inteligencia artificial se ha convertido en una herramienta diaria para algunos usuarios a través de la plataforma ChatGPT y Bard y este marco regulatorio, sin precedentes a nivel mundial, no solo tiene como propósito impulsar la tecnología que está transformando de manera sustancial nuestra sociedad y economía, sino que también se nutre de la cultura humanística y de seguridad europea, en la que el respeto a los derechos humanos ocupa un lugar destacado.
 

El inicial objetivo se materializó con la publicación de la Estrategia Europea sobre la Inteligencia Artificial en 2018, un documento que ha marcado la hoja de ruta en el tema.
 

Posteriormente, en 2021, la Comisión Europea propuso un innovador marco regulatorio en materia de inteligencia artificial con el fin de fomentar su desarrollo y su adopción en todo el mercado único europeo.
 

Así, entre los principales objetivos del proyecto de ley de inteligencia artificial de la Comisión Europea, propone la creación de un sistema revisado de gobernanza en el que los propios Estados miembros sean los que se encarguen de vigilar el mercado y hacer que se controlen las nuevas normas en materia de inteligencia artificial.
 

El proyecto de ley de la inteligencia artificial limita el uso de la identificación biométrica remota en tiempo real. Es decir, el reconocimiento facial mediante CCTV en espacios públicos, incluso con fines policiales siempre y cuando no se trate de uno de los 16 delitos específicos recogidos en el documento. Estos delitos se centran en el terrorismo, la trata de seres humanos, la explotación sexual infantil, el tráfico ilegal de armamento, el asesinato, las lesiones corporales graves, el tráfico ilegal de órganos o de materiales nucleares o radioactivos, los crímenes de la competencia de la Corte Penal Internacional, la incautación ilícita de aeronaves, la violación, los delitos contra el medio ambiente, el robo organizado o a mano armada y la participación en organizaciones criminales.
 

A modo de conclusiones
 

La Unión Europea va a ser la primera región del mundo que regule la inteligencia artificial (IA-Act) de una manera integral, con seguridad y protegiendo los derechos fundamentales, pero sin frenar su desarrollo. No obstante, el camino no será fácil ni exento de polémica porque habrá retos importantes como: “quién vigilará a los vigilantes” en el uso de sistemas de vigilancia e identificación biométrica. Las fuerzas del orden podrán usarla en espacios públicos previa autorización judicial no retroactiva para prevenir amenazas de terrorismo, tráfico de personas, explotación sexual, asesinato, secuestro, violación, robo a mano armada, participación en organización criminal y delito ambiental.
 

En cualquier caso, este es un paso de gigante en el que la propia IA opina: Un equipo de TVE ha preguntado a Bard, la IA de Google: "¿Qué te parece el acuerdo alcanzado por la Unión Europea sobre inteligencia artificial?", y la respuesta de Bard ha sido: "En general, creo que el acuerdo alcanzado por la Unión Europea sobre inteligencia artificial es un paso positivo en la dirección correcta. Es importante que la IA se desarrolle y utilice de manera responsable y ética, y este acuerdo proporciona un marco para hacerlo".
 

Finalmente, indicar que la nueva Ley Europea de Inteligencia Artificial (IA-Act), no estará en pleno vigor antes de tres años, y no hay previsiones de cómo será esa inteligencia artificial por esas fechas, por lo que el regulador deberá ir caminando con velocidad para tratar de ir al paso de la tecnología y disponer de un mecanismo que le permita evolucionar con rapidez.
 

Europa marca el camino y la seguridad en este campo.

Estos nuevos requisitos, junto con la expansión exponencial de la digitalización, los nuevos dispositivos de Internet de las Cosas (IoT) y las aplicaciones de la Inteligencia Artificial (IA), están ampliando los límites de la red a la vez que aumentan las vulnerabilidades y el riesgo de ciberataques.
 

Nuevos riesgos y amenazas
 

Estamos ante la necesidad de una revisión de la realidad de nuestras seguridades por un incremento de nuevas amenazas al desarrollo de la vida social y sus infraestructuras estratégicas y críticas, principalmente por un aumento de la ciberdelincuencia y otras consecuencias derivadas de los conflictos armados como los existentes en Ucrania y la Franja de Gaza e Israel. A esto se suman los fenómenos meteorológicos severos y los desastres naturales derivados del cambio climático.
 

En este sentido, los ciberataques contra instituciones públicas aumentaron un 95 por ciento solo en la última mitad de 2022 y, para 2025, se estima que el 30 por ciento de las  infraestructuras críticas experimentarán una brecha de seguridad.
 

El incremento de los riesgos y amenazas y la significación de las vulnerabilidades pone de manifiesto, de nuevo, que gobiernos y entidades públicas y privadas deben mejorar su capacidad para prevenir y proteger contra los riesgos y  reaccionar ante las amenazas.
 

No hacer nada ya no es una opción. Continuar confiando en sistemas no actualizados u obsoletos, y redes y tecnologías de las comunicaciones aisladas, al tiempo que los riesgos continúan multiplicándose, no es un enfoque viable, y ya no se puede confiar en estrategias anteriores para construir la seguridad y resiliencia que el Siglo XXI impone.
 

Cabe destacar algunas consideraciones y desafíos especiales para las redes y tecnologías para la protección de la información y de las comunicaciones, así como aplicar nuevas formas de pensar sobre las vulnerabilidades que, con el desarrollo de la digitalización, están más expuestas a riesgos y amenazas que pueden propagarse rápidamente.
 

La digitalización también estrecha la conexión entre los riesgos físicos y cibernéticos. La convergencia entre TI y las tecnologías operativas (OT) crea nuevas vulnerabilidades y oportunidades para ataques.
 

Nuevas exigencias de seguridad y resiliencia
 

El desarrollo de iniciativas de digitalización aumenta la agilidad operativa, la eficiencia y la productividad, pero han de revisarse y plantearse nuevas seguridades para proteger a los ciudadanos y las operaciones públicas y privadas, y se ha de fortalecer su resiliencia para que puedan garantizar la continuidad del funcionamiento en cualquier circunstancia.
 

Las organizaciones son un objetivo potencial para los ataques y, por tanto, se requiere una atención renovada al riesgo, la resiliencia y la seguridad para:
 

• Garantizar la continuidad de los servicios críticos y estratégicos y proteger los datos e información confidenciales.
• Minimizar los costes de seguridad, implementando la protección adecuada para cada tipo de riesgo ciber o físico a los que se enfrentan.
• Reducir las pérdidas económicas y de prestigio debidas a ataques cibernéticos y físicos.
• Mantener la reputación y la confianza ante los ciudadanos.
• Proteger a los ciudadanos brindándoles información importante relacionada con la salud y la seguridad (prevención y protección).

En este sentido, los sistemas de notificaciones masivas pueden alertar rápidamente a las personas sobre los procesos a implementar ante emergencias, para que puedan tomar las medidas necesarias y realizar las acciones apropiadas basadas en su seguridad y las de los suyos.
 

Una red institucional y empresarial segura y resiliente admite comunicaciones y acciones de misión crítica, así como IoT, tecnologías de seguridad física y cibernética, que son esenciales para operaciones confiables.
 

Para incrementar la seguridad y protección en edificios y espacios públicos se requiere una red multiservicio segura para soportar las aplicaciones y procesos necesarios para proteger contra riesgos y amenazas y mantener la disponibilidad y continuidad del servicio en todo momento, con aumento de la confiabilidad.
 

Cada organización, pública o privada, debe desarrollar, con enfoque holístico, estratégico y táctico, procesos estandarizados para la seguridad y la resiliencia adaptados a su perfil personalizado de riesgo, ubicación, objetivos, etc.
 

Para aumentar la seguridad y la resiliencia, teniendo en cuenta la evolución de las inseguridades se han de perfilar y elegir las soluciones adecuadas reevaluando los riesgos cibernéticos y físicos, áreas de exposición y posibles consecuencias, así como las diferentes opciones para prevenir, proteger y reaccionar ante ataques en cada caso, comenzando por una auditoría para evaluar los riesgos y el potencial de pérdida para cada vulnerabilidad identificada.
 

Para contrarrestar la amenaza que cambia rápidamente el panorama, es importante reevaluar periódicamente los riesgos y monitorear continuamente los riesgos cibernéticos y físicos con los recursos también para las nuevas vulnerabilidades.
 

Nuevas tecnologías y procedimientos
 

Como ya hemos comentado, el rápido desarrollo de la digitalización traerá beneficios, además de nuevos riesgos y vulnerabilidades, en un mundo y una sociedad globalmente digitalizada, en los que las personas, los objetos, los sistemas y los procesos están conectados.
 

Esta especial conexión facilita el aprovechamiento de la tecnología IoT y, la información que proporciona, automatiza los flujos de trabajo para aumentar la eficiencia y acelerar las respuestas para que organizaciones y ciudadanos utilicen datos precisos y en tiempo real para poder, tanto aumentar su visibilidad, como tomar decisiones informadas.
 

Sin embargo, es preciso repetir que las tecnologías también introducen un nuevo conjunto de riesgos físicos y cibernéticos que deben abordarse, puesto que pueden utilizarse a favor y en contra de las organizaciones.
 

Podemos tomar como ejemplo la inteligencia artificial (IA). La IA ayuda a prevenir, proteger y acelerar las respuestas ante amenazas cibernéticas y físicas, pero también pone de manifiesto vulnerabilidades para malas acciones, como descifrar contraseñas de sistemas o la propia manipulación de datos.
 

El aprovechamiento de la innovación e integración de servicios y tecnología para la mitigación de riesgos de procesos y personas reducirá los peligros hacia la mejora continua con las mismas soluciones avanzadas que ayudan a proteger a los ciudadanos, infraestructuras y espacios públicos seguros, a base de soluciones flexibles y compatibles desde las primeras etapas de diseño.
 

Fortalecer la seguridad y la resiliencia es objetivo prioritario de instituciones y organizaciones públicas y privadas, siguiendo el enfoque y proceso holístico recomendado, y las nuevas oportunidades para aprovechar las soluciones de redes y comunicaciones son esenciales para permitir una toma de decisiones más eficiente, efectiva y colaborativa, protegiendo y garantizando la seguridad ciudadana.
 

Las discrepancias en las posiciones respecto al enfrentamiento entre Israel y el grupo palestino Hamás impidieron ningún tipo de acuerdo. Los participantes coincidieron en la necesidad de reactivar una solución política que pasa por la coexistencia de dos estados (en línea con las resoluciones de la ONU), proteger a la población civil y asegurar el envío de ayuda humanitaria a la Franja de Gaza de forma continuada, evitando, en todo caso, la amenaza de ampliar el conflicto árabe-israelí.
 

En síntesis, de nuevo estamos ante una amenaza a la seguridad global, con conflictos armados, incremento de la violencia, del crimen organizado y de las acciones de radicales independientes, con las graves consecuencias que provocan sus impactos (crisis humanitarias, refugiados, carencia de bienes básicos, miseria, desesperación, etc.).
 

La guerra entre Israel y Hamás reaviva el fantasma de la yihad en Europa. Así, a la hora en que se escribe esta crónica, apenas han pasado 48 horas desde que un tunecino matara a tiros en Bruselas a dos suecos aficionados al fútbol. También se han producido más de 70 amenazas de bomba y evacuaciones de grupos de viajeros en diez aeropuertos franceses, así como la evacuación y cierre temporal del Palacio de Versalles y del Museo del Louvre en París por equivalentes amenazas de bomba.
 

En sólo unos días, tras el comienzo de la violencia, se puso a circular de nuevo por Europa el espectro de la Yihad. Sin embargo, transcurrido ya más de medio mes de renovada tensión bélica en Oriente Medio, y pese a que el doble asesinato lo ha reivindicado Isis, nadie puede sostener aún que ese estallido esté implicando un renacimiento de ese movimiento o de Al Qaeda.
 

No obstante, la UE teme que el conflicto entre Israel y Hamás provoque una escalada regional pues, siempre que se han desarrollado conflictos en Oriente Medio en los que Occidente ha intervenido, se han sucedido después ataques terroristas en Europa o América.
 

Los Ministros de Interior de la Unión Europea han debatido sobre las acciones que se deben implementar tras los atentados y amenazas terroristas acaecidas en Europa en solo una semana, y prometen mayor cooperación ante la amenaza terrorista.
 

España no ha aumentado su nivel de alerta antiterrorista -que se mantiene en el nivel 4 desde el año 2015-, aunque sí ha reforzado la seguridad en entornos significativos e infraestructuras críticas, y ordenado medidas complementarias de seguridad dentro del nivel 4 que implican implantar una serie de acciones estrictas de refuerzo de los dispositivos de seguridad y de las capacidades de control y seguimiento por parte de todos los organismos implicados en garantizar la seguridad.
 

Así, el Ministerio del Interior intensifica las medidas por conflicto en Oriente Medio, “Se refuerzan las medidas de protección en legaciones diplomáticas y las actividades de los países con mayor nivel de amenaza, a raíz del ataque terrorista de Hamás a Israel y las operaciones de respuesta de Israel ante esa agresión”.
 

Entre otras actuaciones, se activan determinadas unidades especiales, se refuerzan los dispositivos de protección, se incrementan las medidas de vigilancia sobre las infraestructuras críticas, se coordinan las actuaciones de cibervigilancia y se realizan evaluaciones periódicas sobre todas estas medidas. Especial hincapié se hace sobre medidas de carácter complementario referidas a la utilización de las nuevas tecnologías informáticas.
 

En este sentido, nuevas exigencias y retos de seguridad se ponen de manifiesto, y el aumento de riesgos y amenazas no tradicionales, especialmente el terrorismo internacional y los ciberataques, han tenido como objetivos principales tanto a los individuos como a las infraestructuras esenciales, incrementando la vulnerabilidad de éstas y produciendo graves perturbaciones en el normal funcionamiento de la sociedad.
 

Por todo ello, la Gestión Integral del Riesgo es el principal objetivo pues, según la Estrategia de Seguridad Nacional, “Los ciberdelitos y ciberespionaje, el hacktivismo, y la vulnerabilidad en infraestructuras críticas y servicios, son los riesgos principales a los que se enfrenta España”. Si tenemos en cuenta que pone éstos al mismo nivel que el terrorismo y las crisis migratorias, se hace patente que la seguridad en infraestructuras críticas es algo a tener en muy en cuenta ante una amenaza terrorista.
 

Seguridad Global, Integral e Integrada
 

Hay que destacar que el nivel 4 sobre 5, además de que implica una serie de medidas especiales pone de manifiesto la necesidad de aplicar y gestionar el concepto de seguridad global, que se viene configurado como una prioridad fundamental para España y, retos como la lucha contra el terrorismo y contra la delincuencia organizada o la agresión a la ciberseguridad resultan primordiales dentro de nuestra política interior y exterior.
 

Hemos de aplicar herramientas de gestión del riesgo y activar el enfoque de una seguridad, integral e integrada que permitan el abordaje de todos los aspectos que afectan al ámbito de la prevención y protección, y que deben contar, al menos, con las siguientes características:
 

• Estudio, análisis y evaluación de los riesgos, amenazas y vulnerabilidades.
• Gestión integral de los medios y medidas de prevención y protección.
• Aplicación automática de los planes de contingencia y continuidad de funcionamiento.
• Generación de tareas, informes y notificaciones automáticas de incidencias.
• Disposición de indicadores que permitan analizar y medir el desempeño y la eficacia de los servicios de seguridad.
• Herramientas de análisis que permitan escrutar el comportamiento y la eficacia de los sistemas de seguridad.
• Planes de Formación específicos, acordes a la instalación, actividad y medidas de seguridad a manejar.
• Acceso a información relevante sobre programación de servicios y planes de acción general de las instalaciones.
   

Nuevas bases. Planes de Seguridad
 

En España se viene estableciendo planes de seguridad, generales y sectoriales que pueden considerarse modelos de éxito para garantizar la seguridad, principalmente en infraestructuras críticas y estratégicas, tanto en el ámbito público como en el privado.
 

Modelos basados en la colaboración público-privada, con los que las organizaciones y sus directivos de seguridad son conscientes de que la prevención y la protección garantizan los servicios esenciales para la sociedad, sus usuarios, clientes, intermediarios y colaboradores, así como el funcionamiento de todas las actividades y operaciones con plenas garantías y confianza.
 

Las infraestructuras en general, y las críticas y estratégicas en particular, necesitan herramientas de gestión que sean transversales en relación a la protección de las instalaciones, teniendo en cuenta las principales áreas afectadas por la seguridad, sobre todo a nivel de indicadores críticos.
 

En este sentido, la evolución de los sistemas de seguridad y sus nuevas aplicaciones, son una especial base para garantizar la continuidad del funcionamiento ante la amenaza terrorista, así como la convergencia entre las Fuerzas y Cuerpos de Seguridad y las empresas de seguridad privada.
 

Esta convergencia entre distintos entes/ámbitos está avanzando en un nuevo modelo, más allá de la colaboración, hacia una integración operativa público-privada, que permite tomar una mayor conciencia y corresponsabilidad en las decisiones a adoptar.
 

Sectores de Infraestructuras Críticas. Áreas prioritarias
 

La Seguridad Nacional y las Infraestructuras Críticas pueden considerarse un objetivo global muy especial para el terrorismo, y la prevención y la protección se ha de abordar a nivel institucional, siguiendo políticas nacionales, además de un enfoque internacional.
 

Por definición, las infraestructuras críticas son vitales para el funcionamiento de la sociedad. Sin suministros confiables de energía o transporte o el seguro funcionamiento de sus estructuras esenciales (sanitarias, financieras, suministros, etc.), nuestra forma de vida actual no sería posible.
 

Contra la amenaza terrorista hemos de pensar en global, pero hemos de actuar en local, en nuestra dimensión ciudadana, pues la fragilidad y las vulnerabilidades se ponen de manifiesto y, para abordar la seguridad de las Infraestructuras Críticas y Estratégicas, resulta imprescindible disponer de una visión integral del entorno, interno y externo, que tenga en cuenta todos los aspectos de la actividad y sus objetivos, con una perspectiva panorámica, identificando todos los riesgos, amenazas y vulnerabilidades de la organización ante cualquier amenaza, especialmente la que puede planear en tiempos convulsos.
 

En definitiva, se trata de establecer una metodología que permita transformar los datos en información y éstos en inteligencia. Aunque, en un contexto global, estas herramientas sean una pequeña parte de la seguridad, en el singular campo de las Infraestructuras Críticas, sin duda ayuda de forma significativa a afrontar las amenazas previsibles, identificadas dentro de un campo de probabilidades ya estudiado.
 

Por todo ello, es fundamental disponer de métodos de análisis para su procesamiento, a fin de poder transformar el conjunto de los datos en inteligencia que permita conocer tendencias, tomar decisiones y optimizar recursos acordes con esa escala de cinco niveles, complementarios y asociados a los niveles de alerta del Plan de Prevención y Protección Antiterrorista.
 

La Protección de Infraestructuras Críticas. Nuevo marco europeo de cooperación

La guerra de Ucrania y sus actuales amenazas, sabotajes y consecuencias está provocando un nuevo planteamiento de Seguridad Global y de Protección de Infraestructuras Críticas, principalmente en el ámbito de la Unión Europea.

Ante las constantes nuevas exigencias y retos, las organizaciones públicas y privadas han de asumir la por hoy irreversible circunstancia de que frente a las infraestructuras críticas deben ir por delante y, para ello, alinear e integrar los sistemas y planes de seguridad física y lógica, incluido la ciberseguridad, necesarios para proteger sus actividades frente a los riesgos y las amenazas en evolución permanente, así como cumplir con las nuevas regulaciones que las distintas instituciones, nacionales e internacionales, están implementando para proteger la seguridad global de tan esenciales elementos estructurales.

En junio 2022 se celebró en Madrid la XXX Cumbre de la Alianza Atlántica (OTAN) con la presencia de 40 líderes internacionales. Durante este encuentro de alto nivel se aprobó el nuevo “Concepto Estratégico de la OTAN”, un documento clave que define los desafíos de la organización internacional para la próxima década, y que finalizó con un acuerdo para reforzar las capacidades de la Alianza.

Para estar a la altura de estos nuevos objetivos, hemos de redefinir las políticas de seguridad, crear una nueva cultura de seguridad integral e integrada, establecer los mecanismos de control y gestión de la seguridad física y lógica, monitorear el sistema de seguridad y, sobre todo, hacer hincapié en la resiliencia.

Nuevos retos y exigencias que también para la Seguridad Pública y Privada y su especial integración operativa se ponen de manifiesto y requieren de una revisión y actualización de medios tecnológicos y medidas organizativas de las que disponen para dar respuesta a estos nuevos riesgos y amenazas.

El Programa Europeo para la Protección de las Infraestructuras Críticas (PEPIC), que se estableció en 2006 sobre la base de la Comunicación de la Comisión, es el principal vehículo de la UE para garantizar su salvaguarda y resiliencia.

Con las nuevas directivas, la Comisión busca reforzar la capacidad de los estados miembros para proteger y recuperar sus infraestructuras y servicios críticos nacionales y, progresivamente, avanzar en la armonización de los recursos y planes europeos. Para ello, aumenta las obligaciones de los integrantes para elaborar estrategias, llevar a cabo análisis de riesgos e identificar y supervisar las entidades críticas, entre otras.

Catálogo de Infraestructuras y Sectores Estratégicos y Críticos

Por definición, las infraestructuras críticas son vitales para el funcionamiento de la sociedad. Sin suministros confiables de energía o transporte o el seguro funcionamiento de sus estructuras esenciales (sanitarias, financieras, suministros, etc.), nuestra forma de vida actual no sería posible. Por esta razón, la UE y sus Comisiones se han dedicado durante mucho tiempo a fomentar la protección y resiliencia de las infraestructuras críticas frente a todo tipo de riesgos naturales o provocados por el hombre.

Así, se han determinado cuáles eran los Sectores Estratégicos y Críticos, como las infraestructuras relacionadas con Servicios Esenciales: Sector Energético (Eléctrico, hidrocarburos, gas); Sector Tecnologías Información (Telefonía, radio, televisión); Sector Transportes (Aeropuertos, puertos, FFCC, carreteras); Sector Hídrico. Agua (Depósitos, embalses, estaciones, tratamiento); Sector Salud (Biológico, asistencia hospitalaria, vacunas); Sector Alimentación (Producción, almacenamiento y distribución); Sector Finanzas (Entidades bancarias, valores e inversiones).

Así mismo, las infraestructuras sensibles relacionadas con la seguridad de especial atención, como son: Sector Nuclear (Producción y almacenamiento de residuos); Sector Químico (sustancias químicas, armas y explosivos); Sector Instalaciones de Investigación (materiales químicos, biológicos, etc.); Sector Espacio (Cecom, telecomunicaciones); Sector Administración (Altas Instituciones del Estado, Defensa, Interior, Servicios Emergencia, Patrimonio Nacional).

Sectores, localización y seguridad

Hoy la inseguridad y la violencia están globalizadas y reflejan una organización social también en crisis, que involucra a individuos y a instituciones. Cabe decir que los ciudadanos han perdido los referentes para hallar las soluciones a los problemas más comunes, entre otras razones, porque la seguridad se difumina al no estar globalizada ni suficientemente organizada.

Hemos de pensar en global como ciudadanos del mundo pero, hemos de actuar en local, en nuestra dimensión ciudadana pues la fragilidad y las vulnerabilidades se han puesto de manifiesto y, para abordar la seguridad de las Infraestructuras Críticas y Estratégicas, resulta imprescindible disponer de una visión integral del entorno, interno y externo, que tenga en cuenta todos los aspectos de la actividad y sus objetivos con una perspectiva panorámica, identificando todos los riesgos, amenazas y vulnerabilidades de la organización.

En cuanto a qué seguridades se ha de contemplar, cabe destacar que debe existir un único sistema de seguridad y protección integral en cada organización en la que queden comprendidas:

• La seguridad física de edificios e instalaciones.
• La seguridad de las infraestructuras y suministros.
• La seguridad corporativa y protección de personas y bienes.
• La seguridad de la información y privacidad.
• La seguridad lógica y del software y la ciberseguridad.
• La seguridad contra el fraude operacional y el interno.
• La seguridad laboral, prevención y medio ambiente.
• La seguridad jurídica y de cumplimiento normativo.
•  

Así, las medidas a adoptar y los medios a disponer estarán directamente relacionados con:

• El peligro evidente para las personas.
• El peligro inmediato o importante para la actividad.
• La gravedad de las consecuencias.
• La influencia social o política del impacto.
• Las posibilidades de repetición.
•  

Seguridad Global, integral e integrada

Hemos de redefinir la Seguridad pues los desafíos que sugiere el nuevo contexto global de riesgos y amenazas requieren soluciones innovadoras, que incorporen a la inteligencia y la tecnología como bases de una estrategia de seguridad necesaria para operar en las organizaciones y la sociedad en su conjunto.

En especial, hemos de analizar el posible impacto en lo que se refiere a los riesgos y amenazas en las infraestructuras críticas, y reestudiar las complejidades de la toma de decisiones y liderazgo de la seguridad global como tarea imprescindible para un futuro esperable de la prevención y la protección.

Solo la puesta en marcha de una seguridad global, integral e integrada puede garantizar una protección eficiente frente a amenazas globales, y eso supone tener en cuenta los aspectos geoestratégicos, humanos, legales, sociales, económicos y técnicos de todos los riesgos y amenazas que pueden afectar a las personas y bienes integrantes en la actividad de unos países aliados por el bien común y la seguridad conjunta.

Ante la gran variedad de riesgos inherentes a las Infraestructuras Críticas, su protección debe tener un enfoque basado en la seguridad integral, y ser abordada como una gestión de riesgos, implementando un modelo holístico de seguridad,  incorporando la cultura proactiva de prevención y protección.

Sin duda hoy hay que dar una respuesta con una Seguridad Única con mayúscula, integral e integrada, pública y privada.

En definitiva, hemos de fomentar una cultura de seguridad, identificando las oportunidades y debilidades de los diferentes actores que abarcan el espectro global, nacional y local de la seguridad pública y privada.

Todo ello sin olvidar que una moderna organización y dirección de seguridad debe estar estructurada actualmente en torno a valores y su liderazgo debe ser una consecuencia de la expresión de estos.

No podemos pretender tener organizaciones seguras y resilientes si las personas que forman parte de las mismas no lo son. Por ello, debemos trabajar en la resiliencia individual proactiva, aprovechando los recursos y experiencia de la que ya disponemos, aplicando los buenos resultados ya obtenidos con ellos y apoyándonos en los valores de los modelos de éxito ya implantados.

Planes y soluciones de seguridad

Todo el desarrollo se basa en el Esquema del Plan Nacional de PIC (Protección de Infraestructuras Críticas) y su desarrollo:

PES – Plan Estratégico Sectorial: instrumentos de estudio y planificación para todo el territorio nacional, que permitirán conocer, en cada uno de los sectores contemplados, cuáles son los servicios esenciales proporcionados a la sociedad, el funcionamiento de éstos, las vulnerabilidades del sistema, las consecuencias potenciales de su inactividad y las medidas estratégicas necesarias para su mantenimiento.

PSO – Plan de Seguridad del Operador: documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.

PPE – Planes de Protección Específicos: documentos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a implementar por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.

PAO – Plan de Apoyo Operativo: documentos donde se deben plasmar las medidas organizativas y operativas concretas a poner en marcha por las Administraciones Públicas para apoyo de los operadores críticos, para la mejor protección de sus infraestructuras.

Todo ello con un enfoque integral de seguridad física y seguridad lógica, con la misión fundamental de coordinar las actividades de los agentes implicados en la protección de las infraestructuras esenciales o críticas, tanto en el sector público, como en el privado, adoptando las medidas legislativas, normativas, buenas prácticas, planes generales y específicos de cada sector, en coordinación con las Fuerzas y Cuerpos de Seguridad y la cooperación internacional

En este sentido, el Ministerio de Interior en España ha renovado la Web del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) con mejoras en su accesibilidad y seguridad. Entre las principales novedades, ofrecerá el Nivel de Alerta de las Infraestructuras críticas (NAIC), una escala de cinco niveles complementarios y asociados a los niveles de alerta del Plan de Prevención y Protección Antiterrorista.

Con todo ello, y como recomendaciones finales, debemos potenciar una nueva cultura de seguridad con visión holística sobre la base de las amenazas complejas; incrementar los recursos de análisis y liberarlos de viejas patologías y rigideces; y desarrollar el esquema de gestión integral del riesgo y las seguridades, partiendo de esquemas básicos o decálogos para el desarrollo desde el pensamiento global y la actuación local.

Repasamos el conjunto de objetivos y asignaturas pendientes de nuestro anterior curso, porque creemos que ahora es el momento de replantearnos las prioridades y las estrategias relacionadas con ellos:

1. Los Riesgos y amenazas globales
2. La cultura de seguridad y concienciación ciudadana
3. La redefinición de la seguridad
4. Los nuevos retos y exigencias
5. La adecuación de normativa y legislación
6. Las nuevas soluciones innovadoras
7. Los nuevos líderes para la seguridad
8. La digitalización e inteligencia artificial (IA)
9. La colaboración público-privada
10. La formación especializada
11.  

No podemos comenzar sin recordar que, con los recientes incrementos de amenazas, y su complejidad, la falta de integración y unificación deja de ser un simple inconveniente, para convertirse en un grave problema, al aumentar los riesgos y las vulnerabilidades que pueden dificultar las respuestas coordinadas e integrales ante las contingencias derivadas de su materialización.

Hemos de insistir en que, ante el desafío que representan estas amenazas complejas, tenemos como mejor respuesta el planteamiento de una seguridad global y, en sus objetivos, su mejor valor añadido.

En este sentido, siendo imprescindible conocer los riesgos a los que están sometidos los sistemas de funcionamiento de las organizaciones, a fin de gestionarlos, están apareciendo distintas guías formales e informales, aproximaciones metodológicas y herramientas o plataformas de soporte, para tratar de objetivar el análisis y la evaluación, especialmente en tiempo real.

Las prioridades

Entre las que estimamos pueden ser prioridades para este nuevo curso hemos de subrayar:

- La cultura de seguridad y concienciación ciudadana. Recordamos aquí que, por Acuerdo del Consejo de Ministros, en mayo de 2021, se aprobó en España el Plan Integral de Cultura de Seguridad Nacional (Orden PCM/575/2021, de 8 de junio), a fin de servir de catalizador para la implantación progresiva de una cultura de seguridad inclusiva, participativa y colaborativa, todo ello con el fin de reforzar el Sistema de Seguridad Nacional, mejorar la coordinación y eficacia de la acción del Estado y la participación de la sociedad.

Para el desarrollo del Plan, se establecen cuatro ámbitos de actuación: Formación, Comunicación pública y divulgación, Relevancia en el exterior y Participación, en los que se fomentará la colaboración y cooperación público-privada entre las comunidades de referencia.

- Los nuevos retos y exigencias. Siendo conscientes de que en el mundo actual se están produciendo cambios profundos no eventuales, y que es necesario contribuir de una forma más eficaz y realista a la mejora de la seguridad global, hemos de colaborar para ayudar a instituciones y organizaciones a rediseñar nuevas estrategias adaptadas a un mundo globalizado que ha cambiado profundamente, en una Europa que tiene por delante la urgencia de terminar con la guerra en Ucrania, así como otras asignaturas pendientes, igualmente importantes, como la adopción de nuevas estrategias y medidas para poder gestionar, con tanta eficiencia como humanidad, las permanentes oleadas de inmigrantes que se juegan la vida  buscando su supervivencia y la de los suyos.

- La adecuación de normativa y legislación. Otra asignatura pendiente de larga duración, es la necesaria actualización de la legislación en materia de seguridad en todos sus aspectos y frentes, así como la dinamización de nuevas normativas de aplicación, principalmente, para el control y gestión de las seguridades.

En este sentido, como objetivo prioritario, se encuentra desde la Ley Orgánica 4/2015 de Seguridad Ciudadana, pasando por la Ley 5/2014 de Seguridad Privada y su falta de desarrollo reglamentario, hasta la posible adecuación a nuevo orden europeo de seguridad de la Ley 8/2011 de Protección de Infraestructuras Críticas, la Ley 7/2021 de Protección de Datos y el desarrollo de la legislación y normativa o Ley de Ciberseguridad de la UE.

- La formación especializada. Los nuevos retos y nuevas respuestas globales hacen urgente y precisa también una visión compartida, y la preparación adecuada de cada vez más profesionales ejecutivos y operativos, que han de acreditar una formación y capacitación especializada, no lineal, basada en estrategias y pensamientos exponenciales abiertos y flexibles que les convierta en los lideres de la seguridad que hoy precisamos.

La estrategia 2023-24

Hemos de crear una estrategia a medida para el nuevo curso y también para aprovechar la recta final del año para dar un impulso a los trabajos y cambios en marcha en el sector de las seguridades.

Septiembre no es un mes cualquiera. Para muchas de nuestras organizaciones este mes representa el inicio del año, de un nuevo curso donde se definen las estrategias y objetivos para el año siguiente y se revisan los presupuestos.

Así, como el curso empieza y el año se acaba, es urgente e importante revisar y replantear las estrategias a seguir:

- Las nuevas soluciones innovadoras. Caminar hacia los planteamientos de una seguridad global, requiere de propuestas viables y prácticas y, sobre todo, de mucho compromiso por parte de los especialistas de las distintas seguridades o disciplinas en las organizaciones, teniendo siempre en cuenta los numerosos riesgos y las amenazas que, como nuevos retos, aguardan hoy en día a cualquier organización.

En este sentido, la industria de las seguridades se encuentra en una posición única para identificar los potenciadores más importantes, los eventos disruptivos y los desarrollos derivados de las nuevas tendencias, exigencias y retos, que darán forma al nuevo panorama de la seguridad global.

Especialmente, 2023 está siendo un año en el que se está consolidando la importancia de la seguridad para proteger los diferentes ámbitos institucionales, industriales y comerciales, con innovadoras aplicaciones tecnológicas y sistemas de integración y monitorización global, priorizando en ámbitos como las infraestructuras críticas y estratégicas.

- Los nuevos líderes para la seguridad. Para esta nueva visión y misión de la seguridad integral e integrada, hace falta que, junto a la inteligencia operativa y la gestión global, los responsables de la seguridad corporativa aceleren el cambio de su habitual posición o postura funcional, especializada y experta, a una posición con visión global de la organización, que observe y analice la información de manera transversal, además de directa y, dentro de ella, lo que puede afectar de forma global y sostenible a la continuidad.

Estamos avanzando con mucho apoyo en los esbozos de desarrollo de la figura de un Director de Seguridad Global, con visión holística, multidisciplinar y con alta capacidad de gestión, reportando directamente a la Dirección General (CEO) y gestionando el riesgo global de la organización.

- La digitalización y la Inteligencia Artificial (IA). La transformación digital ha traído consigo un cambio a implementaciones en la nube y nuevos modelos de servicio que ha brindado oportunidades para gestionar el control en aplicaciones de seguridad, activos físicos y datos, así como, el uso de nuevos formatos, ha permitido una autenticación confiable y ágil.

La implementación en los últimos años de la Inteligencia artificial (IA) en aplicaciones sociales y de seguridad se ha infiltrado en multitud de dispositivos y seguirá poniendo a disposición una auténtica invasión de esa inteligencia artificial a todos los niveles, incluido el de la seguridad.

- La colaboración público-privada. La seguridad es y será el nuevo reto en los ámbitos públicos, ciudadanos y empresariales y sus responsables se hacen cada vez más importantes en todas las entidades, con la misión de prevenir los riesgos y amenazas, garantizar la gestión e intervención, minimizar los daños o pérdidas y garantizar la seguridad.

Así, es un hecho claro que, ante la gravedad de los nuevos riesgos y las amenazas que a diario se deben afrontar, es una necesidad y una especial obligación la colaboración a nivel operativo de la Seguridad Privada con la Seguridad Pública.

En este sentido, también el presente y futuro de la seguridad ciudadana, ofrece una serie de ventajas muy positivas debido a la existencia de proveedores con una alta especialización, profesionales responsables de los sectores públicos y privados, participantes e implicados en los proyectos, en claro acuerdo de colaboración entre especialistas públicos y privados.

Con todo ello, priorizando objetivos y replanteando estrategias podremos seguir poniendo en valor el gran trabajo y avances que en el modelo operativo de seguridad pública-privada se tiene en España.