Resumen ejecutivo Puesto que gran parte de las infraestructuras críticas de los Estados miembros se encuentran en manos del sector privado, la colaboración entre ese sector privado y las administraciones públicas para garantizar la seguridad y resistencia de las mismas se presenta como una solución natural. Esta colaboración público-privada (CPP) se ha desarrollado en muchos Estados miembros y en diferentes momentos, dependiendo del entorno, de la cultura y del marco jurídico. No cabe sorprenderse, por lo tanto, de que no exista una definición común de lo que se entiende por CPP. Esta diversidad constituye una ventaja cuando se trata de crear redes y sistemas resistentes, pero también se necesita una interrelación y un entendimiento común, especialmente cuando se adopta una perspectiva europea. La necesidad de esta perspectiva europea queda demostrada con la creación de la Colaboración Público-Privada Europea en materia de Resistencia (EP3R), que coopera con CPP nacionales para abordar a escala europeo el tema de la protección de las infraestructuras críticas de información (PICI). La necesidad de una perspectiva internacional viene confirmada, por otro lado, por la creciente sensibilización sobre la ciberseguridad y sobre la protección de las infraestructuras críticas. Ningún país está en condiciones de crear una estrategia PICI de manera aislada, ya que el ciberespacio no conoce fronteras. A escala europea, el problema está siendo abordado en estos momentos por un grupo de trabajo UE/EE.UU., que tiene como uno de los puntos de su temario la cuestión de las CPP. La presente Guía de buenas prácticas (GBP) de modelos cooperativos para una colaboración público-privada más eficaz se basa en una investigación documental que puso de manifiesto la existencia de un conjunto de características que permiten describir las CPP de una forma común a pesar de su diversidad. Se consolidaron los resultados de 30 cuestionarios y 15 entrevistas y se validaron en forma de taxonomía, que se presentó como documento de apoyo, resultando de todo ello cinco grandes componentes que daban respuesta a las preguntas: ¿Por qué?, ¿quién?, ¿cómo?, ¿qué? y ¿cuándo? referidas a la creación y mantenimiento de CPP. Los datos se obtuvieron de diversas entidades interesadas, tanto del sector público como del privado, pertenecientes a 20 países. El resultado no es una Guía prescriptiva, sino una Guía centrada en la claridad del objetivo y del enfoque, de forma que los interesados puedan elegir fácilmente aquellos aspectos que añadan valor a sus tareas de creación y gestión de CPP. La Guía se abre con una sección dedicada a definir los problemas que las CPP tratan de solucionar. Como ayuda al lector se presenta una lista de los problemas con los que las CPP existentes han tenido que enfrentarse al responder a la pregunta ¿por qué? A continuación se describen las buenas prácticas que se han observado al respecto. La Guía ofrece recomendaciones y observaciones y, cuando procede, incluye citas literales extraídas de las entrevistas. Nuestro análisis muestra que, a pesar de su profusión y aparente diversidad, las estrategias adoptadas para abordar los problemas de seguridad y resistencia de las redes y sistemas de comunicaciones electrónicas se resumen en tres grandes enfoques. Se denominan respectivamente CPP centradas en la prevención, CPP centradas en la respuesta y CPP marco, cuyas características se examinan en la sección 3. El análisis detallado de las entrevistas ha sacado a la luz algunos interesantes y útiles puntos de coincidencia en los enfoques adoptados. Por ejemplo, anteriormente se creía que muchos países imponían por ley la obligación de compartir la información confiada, debido al carácter obligatorio de la pertenencia a las CPP. En realidad, aunque la pertenencia sea obligatoria, la información confiada sólo se comparte de forma voluntaria, ya que no se puede obligar a los miembros a revelar información sensible si consideran que esto supone un riesgo para su reputación y no ven ventaja alguna al hacerlo. La Guía distingue claramente entre las «Observaciones» de este tipo y las eventuales «Recomendaciones» de buenas prácticas. En este contexto, un ejemplo de recomendación de buenas prácticas sería garantizar el anonimato de la información confiada. Al menos una CPP ha mencionado el requisito de no atribución de la información como la principal razón del éxito obtenido. Un segundo punto de coincidencia no inmediatamente obvio se refiere a las CPP multisectoriales. El ejemplo de buenas prácticas de muchas CPP parece indicar que, para optimizar el valor aportado a sus miembros, las comunidades deben ser homogéneas, lo cual no sería compatible con su composición multisectorial. En realidad, las CPP multisectoriales tienen subgrupos cuya composición sí es homogénea. Esta constatación refuerza la importancia de la recomendación de homogeneidad que se formula en la Guía. Un tercer ejemplo alude a la participación del organismo regulador, que en muchos países aparece como un obstáculo para compartir la información confiada, debido a potenciales conflictos de intereses. En algunos países, el regulador aparece como un miembro fundamental y ciertamente añade valor a las actividades de la CPP. No obstante, las CPP en las que participa el organismo regulador reconocen que hay un tiempo y un lugar para esta participación y que puede ser una barrera para compartir la información confiada. Las CPP que saben gestionar con éxito esta compleja relación demuestran ser notables ejemplos de buenas prácticas y manifiestan además otro importante punto de coincidencia. Los ejemplos anteriores evidencian cómo puede ayudar la Guía a las CPP, tanto actuales como futuras, a alcanzar un conocimiento común de aquellas características de una CPP eficaz que puedan emplearse para establecer y mejorar la cooperación a escala nacional y europea. La Guía complementa las buenas prácticas europeas presentando CPP de Estados Unidos, Canadá y Australia (en la sección 4). Se describe brevemente cada una de las CPP internacionales, asignándolas a alguno de los tres grandes enfoques identificados en la investigación realizada en Europa. Como colofón de esta sección se resumen en siete puntos las enseñanzas extraídas de las publicaciones de estas CPP, se enumeran los factores críticos que explican su éxito en la tarea de compartir la información y, por último, se describe una posible vía de cooperación internacional. La Guía contiene 36 recomendaciones, que se describen en la sección 2 y se enumeran para una fácil consulta en la sección 5. Las conclusiones generales del estudio son que la diversidad de enfoques de las CPP se sustenta en un conjunto básico de principios y que es el reconocimiento de estos principios comunes lo que franquea el paso hacia una cooperación más estrecha entre ellas en el futuro.