Si te lo cuento tendría que matarte… ¡Cuántas veces hemos oído esta frase en boca de personajes de películas de espías o, incluso, en alguna entrevista al propio presidente de EEUU! A pesar de la connotación, normalmente jocosa, que suele dársele, estas pocas palabras encierran toda una filosofía en la que se entremezclan la necesidad de compartir con la de conocer; y ambas, a su vez, con la de proteger nuestro bien más preciado: la información.
Más allá del glamur de Hollywood o de la dura realidad que supone la labor de los hombres y las mujeres que trabajan en los servicios de inteligencia de todo el mundo, este controvertido tema ha bajado casi de golpe hasta el mismo corazón de los mortales. La designación de muchas empresas y entidades públicas como operador crítico ha supuesto que caiga sobre ellas todo el peso de la ley en lo que a materia de «información clasificada» se refiere. Ahora podríamos cambiar la frase inicial por otra que sentencia: «si lo cuentas, tendrás que matarte….».
Tal vez nos hemos puesto demasiado serios y puede que la cosa no sea tan grave como parece sonar. Lo cierto es que con un poco de conocimiento, algo de responsabilidad y bastante buena voluntad podremos manejar este asunto tal y como la ley, nuestra responsabilidad empresarial o el mismo patriotismo nos requieren. Así que vamos a plantear algunos conceptos y trataremos de encontrar respuestas a ciertas dudas que nos podrían surgir.
Clasificaciones oficiales
Antes de empezar, un tema que hay que dejar claro es el de la realidad de las clasificaciones. No debemos confundir la clasificación «oficial» con la particular que cada persona o empresa desee poner en cualquiera de sus documentos.
Esto es algo más serio. La clasificación que determina el Estado afecta a todos los ciudadanos obligados a cumplir las leyes y normativas en vigor. Sin embargo, en las empresas cada uno es libre de poner la clasificación de «confidencial», «secreto» o «secretísimo» en cualquiera de sus documentos. Pero debe quedar claro que esa clasificación, y las obligaciones inherentes a ella, solo afectan a las personas o empleados sobre quienes se puede ejercer el mando y control, no afectando a resto de la gente.
Por ello, aunque queda muy bien poner el sello con las clasificaciones oficiales, cada vez es más común que se utilice, a nivel nacional e internacional, la clasificación «informal» del llamado «protocolo del semáforo», usando como niveles de clasificación los colores del mismo y alguno más como el blanco para poder abarcar mas posibilidades. Por ello, hablaremos aquí solamente de clasificaciones oficiales.
Uno de los detalles que aquí más sorprende al empezar esta lidia es la antigüedad de algunas normas que la rigen -como la Ley sobre Secretos Oficiales de 1968, modificada en parte en 1978- y que aún así continúan perfectamente vigentes y han sido completadas por diversas resoluciones, normas y orientaciones redactadas por el Centro Nacional de Inteligencia (CNI) y que se integran en la normativa de la protección de las infraestructuras críticas (PCI) como un conjunto bastante bien estructurado.
Información
Empezaremos con algo tan sencillo y, por desgracia, controvertido como el porqué de todo este embrollo, la necesidad de complicar los sistemas de trabajo y las comunicaciones, de tener que invertir -no mucho, la verdad- en medios y procedimientos que nos permitan un cierto control de la información y de evitar que aviesos ojos no autorizados se posen sobre ella. Al respecto, no hay que olvidar que nos estamos refiriendo a infraestructuras críticas de enorme importancia que pueden ser objetivos de actos malintencionados, especialmente terroristas, que debemos prevenir. No todo el mundo es consciente de la importancia que tiene la información, hasta la más simple y aparentemente inofensiva, para un enemigo que se empapa de todo lo que cae en su mano para preparar sus acciones con el mayor conocimiento posible. También hemos de tener en cuenta que no todas las personas entienden que haya que ponerse el casco al conducir una moto o el cinturón de seguridad en el coche y que tales conductas no afectan solo al inconsciente de turno, sino que sus consecuencias pueden perjudicar al resto de la sociedad. Por eso, el Estado, en un intento de ejercer sus responsabilidades, concienciar e imponer cierta cordura si fuese necesario, decide incluir en la normativa PIC de infraestructuras críticas la obligatoriedad de utilizar ciertos controles con la información más sensible. No siempre ha ocurrido así. Y un buen ejemplo de ello es el caso de la normativa de seguridad en puertos marítimos, que, en su Real Decreto 1617 de 2007 sobre medidas para la mejora de la protección de los puertos y del transporte marítimo, repite hasta la saciedad la importancia de mantener la confidencialidad de la información de seguridad, incluso de las inspecciones y ejercicios, pero sin llegar a exigirla de forma oficial.
Por ello, los resultados han dejado que desear en este aspecto y en muchos casos la normativa no ha sido suficientemente bien tenida en cuenta hasta que, por fin, se han tomado las riendas con firmeza y se han sumado a la iniciativa de la PIC de infraestructuras críticas, impulsando la implantación de las clasificaciones de seguridad de la información con excelentes resultados. Así, no nos queda otra que plantearnos los, a veces, difusos límites entre libertad y seguridad o entre transparencia y protección de la información y de infraestructuras críticas.
Uno de los más claros ejemplos que suele darse con algunos operadores es que se encuentran cogidos entre diferentes normativas nacionales, europeas o internacionales. Tal es el caso de la Directiva 2003/4/CE sobre la obligatoriedad de proporcionar toda la información detallada que se solicite con la excusa de que pudiera afectar a temas medioambientales y ser utilizada para exigir detalles que afectarían gravemente a sistemas de seguridad de alguna infraestructura crítica.
Eso sí, los que la exigiesen obviarían que en el artículo 4 de dicha directiva se especifican una serie de excepciones que van totalmente en consonancia con la protección de las infraestructuras críticas y su “confidencialidad dispuesta por la ley”.
Normativa
También podríamos hacer ré e aquí a la profusa normativa e _ sobre reservas que, en materia de seguridad, contempla el sistema de contratación pública o a los temas que pueden afectar a los contratos laborales en el sector público o privado cuestión de habilitaciones de seguridad y compromisos de confidencialidad exigibles en algunos casos. Estos temas son complejos y requerirían algo más de espacio que el reservado al presente artículo, pero queda claro que la clasificación oficial de nuestros planes es un buen escudo ante exigencias no siempre bienintencionadas.
Otro tema más prosaico es el que se nos pide -o exige- que hagamos para implementar esta protección. En este ya caso, y ya desde los primeros pasos de la normativa PIC de infraestructuras críticas, nos encontramos con las típicas dicótomas entre qué es lo bueno y lo mejor o, en todo caso, lo más conveniente. Para resolver estas cuestiones, no hay mejor maestro que hacer camino al andar e ir modificando y adaptando las normas según las experiencias resultantes de enfrentarnos a la cruda realidad de nuestra sociedad y su capacidad y cultura de seguridad.
La ley 8/2011, ya perfectamente conocida en implantada en el mundo de la PIC de infraestructuras críticas, en su artículo 15 nos empieza avisando de que se velará por la «confidencialidad» necesaria – que, obviamente, no es sinónimo de clasificación como «confidencial»- de los datos y planes de seguridad, abarcando explícitamente los sistemas, las comunicaciones y la información en sí, aunque sin detallar niveles de la misma.
Así mismo, en el Real Decreto 704/2011 que desarrolla la Ley PIC de infraestructuras críticas se nos vuelve a hacer la misma advertencia, esta vez centrándose directamente en los planes derivados de sistema PIC – Planes de Seguridad del Operador (PSO), Planes de Protección Específicos (PPE) y Planes de Apoyo Operativo (PAO)-, aunque tampoco especifica ningún nivel en concreto.
Es en la resolución de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad, sobre los contenidos mínimos de los planes, en la que se establece para los PSO y PPE una clasificación con un nivel de «confidencial». Pero que no cunda el pánico. En seguida se observó que, para empezar en un mundo aún no muy bien preparado para ello, era hueso muy duro de roer, y en menos de 15 días se emitió otra resolución similar que rebajaba la clasificación a nivel de «difusión limitada», más acorde con las posibilidades reales de los operadores en estos momentos. Por supuesto en la revisión de los contenidos mínimos reflejados en la resolución del 8 de septiembre de 2015 se mantiene este nivel de clasificación para ambos planes.
Distintas clasificaciones
No obstante, hay un par de puntos que convendría comentar. El primero de ellos es que, aunque las resoluciones nos hablen de de la clasificación de los PSO y PPE, puede haber otros planes o documentos determinados o relativos a este proceso que pudieran necesitar una clasificación superior -por ejemplo, de «confidencialidad»- y que deban ser manejados y custodiados por el operador, por lo que, en ese caso, se haría necesaria la habilitación de alguna persona e instalación de acuerdo con ese nivel. Este tema debería ponerse sobre la mesa a su debido tiempo, cuando las circunstancias así lo requieran.
El otro punto, y relacionado en parte con el primero, es que, aunque un documento tenga determinada clasificación oficial, cualquier organismo o empresa puede estimar necesario aumentar el nivel de protección en su entorno particular, entre las personas o entidades que de él dependan, y clasificarlo internamente en otro nivel.
Haciendo esto, como en el caso de las clasificaciones particulares que se comentaba al principio, se entendería que la nueva clasificación solo afectase para su cumplimiento a quienes dependiesen de él, y así se les hubiese comunicado y, en cualquier caso, sin que se le pudieran atribuir las responsabilidades legales que conlleva la clasificación oficial, más allá de las disciplinarias internas de la institución o empresa que haya establecido el cambio.
Aunque sea el momento ahora de adentrarnos en los requisitos procedimentales, físicos, informáticos y de las personas que son necesarios para el cumplimiento de la normativa en estas materias, solo comentar que no son un arco de iglesia que, al menos en lo que se refiere a la «difusión limitada», pueden ser perfectamente asumidos por cualquier operador sin mayor problema ni quebranto de sus arcas. Se supone que una explicación más exhaustiva de estos requisitos se debiera desarrollar en la preceptiva formación que ha de impartirse a las personas que tengan que manejar este tipo de información.
Más responsables y seguros
Como conclusión, cabría resaltar que esta clasificación de nivel de seguridad aplicada a los planes y documentos, lejos de ser un mero estorbo, constituye una gran defensa de nuestros legítimos intereses de seguridad y contribuye a hacernos mas fuertes y a disminuir en parte nuestro gasto. Estoy seguro de que en cuanto nos vayamos amoldando a estas normas de clasificación, nos iremos sintiendo más cómodos y el casco o el cinturón de seguridad nos parecerán cada vez más livianos y acabaremos no entendiendo cómo antiguamente podíamos circular sin dichos elementos con el riesgo de matarnos. Nos sentiremos más responsables y seguros.
Y no olvidemos que toda persona que acceda a cualquier documentación clasificada como de «difusión limitada» debe cumplir los dos requisitos fundamentales para ello: tener la necesidad de conocer y haber sido instruida convenientemente en el manejo de la información de este nivel. Si no los cumple, mantengámosla apartada de nuestros papeles o archivos informáticos. Es nuestra obligación.
Socio fundador de Global Technology