Según la mitología griega, Sísifo, rey de Éfira, la actual Corinto, engañó a la muerte y escapó astutamente del Hades. Ello le valió la ira de los dioses  y el castigo en el infierno; dónde fue obligado a empujar  una gran roca hasta la cima de una montaña,  que continuamente una vez arriba, se deslizaba hacia abajo y vuelta a empezar. Y así, eternamente.

Aunque  el mito griego trata de reflejar  un símbolo de la condición humana y la aceptación de nuestro destino ante los dioses; Albert Camus, en su alegoría de Sísifo propone que la alegría silenciosa de Sísifo es una actitud desafiante que hace precisamente que su destino le pertenezca. Su tarea es su roca; la nuestra, la protección de las infraestructuras críticas.

Lo que no cuenta la leyenda es el comportamiento de Sísifo durante su condena, su voluntad, su deseo, ni las elecciones a cada paso del camino, ni lo que sentía, ni lo que aprendía centímetro a centímetro durante el duro ascenso. No cuenta si conocía cada irregularidad del terreno, cada defecto, si sabía cómo empujar en cada momento y sí vislumbraba la grandeza de su tarea a pesar del esfuerzo y la desesperación (la falta de ayuda y presupuesto). No es difícil especular que tras cada vuelta de ciclo, Sísifo incrementaba la eficiencia y eficacia con la que  avanzaba empujando la roca por la empinada cuesta: aprendía y mejoraba su conocimiento del terreno, de la fuerza a aplicar, de los  tiempos de descanso y, sobre todo, de los riesgos y piedrecillas del camino en cada recoveco que le podían hacer tropezar.
Hoy en día, la seguridad de los sistemas de información y en especial la protección de las infraestructuras críticas representa para los Responsables de Seguridad (y enlace) una tarea igualmente ingente y a veces desesperante. Se ven condenados a repetir una y otra vez, trabajos que aparentemente  se traducen en un gran coste y poca utilidad  para la organización; bien porque nunca pasa nada o bien porque somos malos maestros de ceremonias.

No nos engañemos, los responsables de seguridad sabemos que la seguridad debe ser transparente, y para eso, requiere de su integración en todos los procesos de negocio; y sobre todo, la revisión continua de los riesgos y de las medidas y controles; afinando y optimizando los siempre escasos recursos. Para conseguirlo, al igual que Sísifo, debemos aprender de cada vuelta de ciclo, de cada recodo del camino, de cada obstáculo; felizmente, contamos con una ayuda que no tenía Sísifo: la capacidad de compararse y comunicarse con otros en su misma situación. Este punto será crucial en los nuevos tiempos que se avecinan dónde la confianza y la colaboración marcarán la diferencia en un entorno repleto de interdependencias.

Por tanto, la protección de las infraestructuras críticas requiere una atención especial ya que hablamos de una seguridad holística que contemple todos los sabores de seguridad con los  riesgos específicos a cada momento.  En este contexto, es de especial importancia todo lo relacionado con los mecanismos de seguimiento de implantación de medidas de seguridad, así como, las métricas de eficacia y eficiencia que se utilicen, sin el menoscabo de otros mecanismos de control como los llevados a cabo por las áreas de auditoría interna y/o cumplimiento. Por este motivo, además del  propio sistema de gestión,  la propia gestión de las medidas de seguridad, deben cubrir todos los aspectos en que son necesarias: la prevención y detección, la protección y defensa, las alertas y auditorias, la medición y mejora continua,  y la coordinación y respuesta.

Figura 1 Elementos del Ciclo de Mejora Continua de la Seguridad
 

Afortunadamente, a diferencia de Sísifo, nosotros contamos con la oportunidad de  lograr las sinergias de todos las partes implicadas e interesadas que se encuentran en similares circunstancias. En consecuencia, debemos aprovecharla de forma honesta, clara, sin ambigüedades y sin reticencias. Debemos desarrollar la capacidad de coordinarnos y responder a las situaciones de peligro en la que los operadores críticos, las  organizaciones afectadas y las fuerzas y cuerpos de seguridad del estado  sean capaces de proveer una respuesta, rápida, efectiva y proporcionada a la amenaza; y, sobre todo, retroalimentarse y aprender de la misma partiendo de la aportación de nuestra reflexión interior y autoconocimiento,  pasando por el aprendizaje y la prevención mediante la simulación. La mejora continua ya es en sí misma una tarea ardua y dura; al añadir la necesidad de coordinación y respuesta con agentes externos a nuestra organización, la complejidad aumenta exponencialmente; sobre todo, si entendemos la protección de las infraestructuras críticas desde la perspectiva de la defensa nacional.

Sin duda, el camino es largo, laborioso, fatigoso y tendremos que recomenzar una y otra vez; pero Sísifo, como símbolo de la condición humana, nos enseña que aunque vivimos en un mundo lleno de limitaciones y tenemos una vida inherentemente emplazada, nuestro deseo de libertad y superación nos impulsa a romper sus límites, a mejorar nuestra condición y nuestra tarea. 

La mejora continua de la seguridad debe ayudarnos a triunfar, al menos un poco, sobre la entropía  y limitar el desorden y sus desmañas. Así estaremos en condiciones de aprender primero, y responder después, de forma efectiva y eficiente cuando caiga el cielo sobre nuestras cabezas. Sin duda,  Sísifo encaraba tarea desalentadora; pero al menos contaba con la esencia de humanidad, que aún sin esperanza (ni presupuesto), le motivaba a allanar el futuro, e impulsaba su deseo y voluntad de combatir.