Ecija Abogados
Como culmen a su mandato como Presidente de Estados Unidos, Barack Obama provocó una alarma generalizada en el planeta el mes de octubre pasado, cuando informó de que había firmado una orden ejecutiva en la que ordenaba coordinar esfuerzos a sus Agencias federales para predecir y detectar eventos meteorológicos del espacio, como destellos solares (breve e intensa erupción en la superficie del Sol que se asocia con manchas solares), partículas de energía solar (iones y electrones expulsados desde el Sol por esas erupciones) y ruidos geomagnéticos (afectación del campo magnético de la Tierra por la actividad solar), así como alertar a los ciudadanos, proteger la infraestructura crítica y recuperarse de los daños.
En efecto, el Sol emite continuamente partículas cargadas eléctricamente (protones, electrones y núcleos de helio), que constituyen el viento solar que, en ocasiones, se ve perturbado por la liberación explosiva en la atmósfera solar de millones de toneladas de estas partículas en pocas horas, dando lugar a una tormenta solar que se propaga por todo el sistema planetario. Así, una tormenta solar es una variación pronunciada del campo magnético terrestre debido a que porciones de la energía solar son transferidas a nuestra magnetosfera, habitualmente en conexión a grandes llamaradas solares que emiten materia en nuestra dirección.
Estos fenómenos ocurren con frecuencia y, aunque normalmente no llegan a producir efectos relevantes en nuestro planeta, pueden afectar a infraestructuras clave, como el Sistema de Posicionamiento Global (GPS), que alteraría satélites, circulación aérea, sistemas de comunicación y la distribución eléctrica; con lo que quedarían perturbadas simultáneamente la salud y la seguridad a nivel global.
Es ahora cuando está empezando a crecer la preocupación por este tema, debido a la extrema dependencia que tiene nuestra civilización actual de la tecnología basada en la electricidad (la llamada ciberelectroesfera), que gestiona nuestros servicios diarios, así como de la energía que la alimenta, debido a que la práctica totalidad de los suministros que requerimos diariamente dependen de ello: electricidad, agua, mantenimiento de centrales nucleares, alimentos, salud, transporte, comunicaciones, etc. Para comprobar hasta qué extremo esto es así, baste recordar que en marzo de 2016 un ataque cibernético cambió los niveles de las sustancias químicas del agua de una planta potabilizadora del Reino Unido poniendo en peligro una ciudad entera, aunque, afortunadamente, se detectó a tiempo y nadie enfermó.
Sin embargo, no sería la primera vez que un fenómeno meteorológico espacial provoca un impacto en la era moderna. En efecto, durante el llamado evento Carrington, una tormenta solar en 1859 inutilizó el telégrafo en Europa y Estados Unidos. Se calcula que, si ocurriera hoy en día, miles de transformadores quedarían destruidos, privando de suministro eléctrico a continentes enteros durante meses o, quizá, años. En 1967, en plena guerra fría, las consecuencias pudieron ser más graves, pues tres potentes erupciones solares dañaron los radares que Estados Unidos tenía para detectar misiles soviéticos, con lo que estuvo cerca de iniciar un ataque defensivo. Más recientemente, en 1989, un transformador eléctrico de New Jersey quedó inutilizado a causa de una eyección de plasma solar dejando sin energía eléctrica a seis millones de personas en Quebec (Canadá).
A nivel empresarial, esté fenómeno constituye un riesgo relevante a tener en cuenta, ya que todos los procesos productivos, administrativos, comerciales, de comunicación, etc. están altamente tecnificados, por lo que la falta de suministro eléctrico podría suponer una paralización imperiosa. Mayor efecto tendría aún si se trata de una empresa tecnológica, donde la práctica totalidad de su actividad estuviera inmersa en la tecnología.
Entonces, ¿qué acciones se pueden tomar para evitarlo? Si se trata de un colapso a nivel planetario, poco podríamos hacer, pero si la incidencia es más reducida, se pueden adoptar medidas técnicas y jurídicas para tratar de minimizar los efectos. Desde el punto de vista legal, la pionera en aprobar un plan de acción de protección civil para eventos de clima espacial y tormentas solares fue la Comunidad Autónoma de Extremadura en 2012, en la línea de las recomendaciones del Congreso de los Diputados sobre la necesidad de elaborar planes preventivos ante el riesgo de tormentas solares, al igual que otros países europeos como Reino Unido, Francia, Alemania, Holanda y Bélgica. Asimismo, la Comisión Europea tiene proyectadas medidas preventivas frente a las tormentas solares como la monitorización del clima espacial mediante el Global Disaster Alert and Coordination System.
La pionera en aprobar un plan de acción de protección civil para eventos de clima espacial y tormentas solares fue la Comunidad Autónoma de Extremadura
Sin embargo, estas recomendaciones están orientadas a ayudar a la supervivencia personal de los afectados, y no a asegurar la continuidad de negocio de las empresas. Para ello, es necesario acudir a las normas internacionales de la ISO (International Organization for Standardization), que son certificables mediante un proceso de auditoría en la que se evalúa el cumplimiento de los controles; y que permiten disponer de un plan de prevención en el que cada profesional y responsable de la empresa sepa exactamente lo que tiene que hacer para minimizar el impacto ante cualquier riesgo que amenace a la organización, como sin duda sería una situación de emergencia creada por una tormenta solar, así como calcular cuánto tiempo se tardaría en volver a una situación aceptable o, si es posible, normalizada.
Entre ellas hay que destacar la ISO 27001, que establece un estándar para implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) según el Ciclo de Deming –Plan, Do, Check, Act (PDCA)–, centrándose en datos de negocio, pues la información y las partes interesadas en el tratamiento de esa información (trabajadores, clientes, etc.) son los activos fundamentales de la organización que hay que proteger. Para ello, establece diez puntos que hay que cumplir con obligaciones de tipo organizativo o de gestión, y a su vez 114 controles para chequear dicho cumplimiento. Estos puntos a cumplir (en realidad, son siete, ya que los tres primeros son definiciones y referencias), son los siguientes: contexto de la organización, liderazgo, planificación, soporte, operación, evaluación de desempeño y mejora. También hay que tener en cuenta la ISO 27002, que establece el proceso de gestión de la ISO 27001, constituyendo una suerte de tutorial para implementar dicho estándar, sus normas y controles, y que, aunque no obliga a hacer la implementación exactamente como indica, resulta de utilidad.
Asimismo, ha de observarse la ISO 22301, que establece un estándar para la Gestión de Continuidad de Negocio (SGCN), organizando la realización de un análisis de riesgos y controles, pero en este caso se centra exclusivamente en que la continuidad de negocio esté más gestionada en caso de desastres u otros escenarios. Aunque los puntos de control son más genéricos, el análisis de riesgos es más duro porque exige un análisis de impacto en el negocio teniendo en cuenta los procesos nuevos y los cambios en la esfera de la seguridad y del negocio, exigiendo que se calcule el tiempo objetivo de recuperación a la situación anterior, así como el tiempo máximo tolerable de incidencia.