sector de la seguridad privada, empresas de seguridad, empresas de servicios, revista Seguritecnia, ciberseguridad
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
REPORTAJE

Crónica III Jornada sobre Protección de Infraestructuras Críticas

Hacia un modelo de seguridad integral 13/05/2015 - Bernardo Valadés, David Marchal y Enrique González
Tras la celebración de la III Jornada sobre Protección de Infraestructuras Críticas podríamos afirmar, sin temor a equivocarnos, que el sistema PIC goza de buena salud en nuestro país. Sin embargo, tal y como advirtió Fernando Sánchez, director del CNPIC, todavía queda un trecho para poner en práctica todo lo desarrollado hasta la fecha “y tener claro que el mundo de la seguridad va hacia un concepto integral”. Una visión compartida por los representantes de los operadores críticos en un evento que puso de relieve la importancia que juegan las nuevas tecnologías y la ciberseguridad para garantizar la prestación de servicios esenciales.

Éxito total. Sin duda, ese es el balance de la III Jornada sobre Protección de Infraestructuras Críticas celebrada a finales de febrero en la sede madrileña de Gas Natural Fenosa. Organizada por la Fundación Borredá, con la colaboración del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), el patrocinio de Deloitte, Eulen Seguridad, GMV, Hikvision, Magal S3, Tecosa, Symantec y S21sec y la colaboración de ASIS International, Continuam, Everis y Kaba, el encuentro reunió a más de 300 profesionales del sector, testigos de las intervenciones de una treintena de ponentes de primer nivel. Participaron también en la organización Seguritecnia y Red Seguridad.

Tras la bienvenida a los asistentes de Ana Borredá, presidenta de la Fundación Borredá y directora de Seguritecnia, José Luis Bolaños, director de Seguridad y Prevención de Riesgos de Gas Natural Fenosa y presidente del Consejo Técnico Asesor de nuestra publicación, se congratuló de la celebración del evento, fiel reflejo, señaló, “de lo que se está haciendo, tanto por parte de la Administración como del ámbito privado, para dotar a España de un modelo de protección de infraestructuras críticas que sea sólido y perdurable en el tiempo”.

El sistema PIC

A continuación tomó la palabra el director del CNPIC, Fernando Sánchez, encargado de abrir la jornada con una ponencia dedicada a evaluar la situación actual del sistema que persigue garantizar la prestación de los servicios esenciales al conjunto de la sociedad. Sobre el recorrido que ha tenido el mismo desde la aprobación de la Ley PIC en 2011, Sánchez hizo referencia a una serie de lecciones aprendidas, destacando en primer lugar, como hito más reciente, la elaboración de los primeros Planes Estratégicos Sectoriales (PES) –relativos a los sectores Energético (Electricidad, Gas y Petróleo), Nuclear y Financiero–.

Pero, lejos de ser conformista y acuñando una máxima de Santiago Ramón y Cajal, Sánchez insistió en que todo lo ideado hasta la fecha debe llevarse a la práctica. “Y no sólo a nivel nacional o sectorial, sino también desde un punto de vista local –organización– y activo –infraestructura–. Para ello están los Planes de Seguridad del Operador (PSO), los Planes de Protección Específicos (PPE) y los futuros Planes de Apoyo Operativos (PAO) –que son los que deberán ejecutar las Fuerzas y Cuerpos de Seguridad–. Con el objetivo de comprobar cómo están evolucionando los PSO y PPE, y cuáles son sus áreas de mejora, tras el verano crearemos unos grupos de trabajo sectoriales”, avanzó.

419_panel general PIC

Además, para garantizar una óptima implementación del sistema PIC, reclamó una “metodología homogénea”. Para lograrla, señaló como claves “la colaboración y el apoyo de las organizaciones involucradas, algo que se está obteniendo. Asimismo, es necesario negociar, validar legalmente con consenso, garantizar transparencia y flexibilidad con el fin de desenvolvernos cómodamente en el proceso… Y no menos relevante: lograr que se definan políticas de seguridad que cuenten con el compromiso de la alta dirección de las organizaciones. Hemos de prepararnos ante las amenazas y tener claro que el mundo de la seguridad va hacia un concepto integral”, advirtió. Respecto a esto último, el director del CNPIC resaltó que además de los riesgos físicos deben contemplarse los de carácter cibernético y personal. Una integralidad que, apuntó, “ya han logrado algunos operadores; otros lo intentan y el resto está encontrando algunas dificultades”.

En la hoja de ruta del sistema PIC, Sánchez hizo hincapié en la ciberseguridad, invitando a las compañías nacionales a desarrollar software propio y a las organizaciones a colaborar con el CERT de Seguridad e Industria. “Tenemos un acuerdo de confidencialidad con 43 empresas. Hemos conformado, pues, la primera comunidad de inteligencia cibernética del país y una de las más importantes de Europa. Y desde la Administración deseamos tener un trato directo con los operadores que forman parte de ella, ya que es vital disponer de información y compartirla”, razonó.

En la recta final de su intervención, Fernando Sánchez consideró fundamental una relación público-privada basada en la “confianza mutua”. “Lo que estamos haciendo es importante y se está logrando entre todos. Debemos sentirnos muy orgullosos de ello”, concluyó.

Operadores energéticos

Seguidamente tuvo lugar un panel moderado por el propio director del CNPIC y cuyo objetivo era conocer las actuaciones llevadas a cabo por los operadores para adecuarse al sistema PIC. El primero en intervenir fue José Juan Meaza, responsable de Seguridad Patrimonial de Bahía de Bizkaia Gas (BBG), empresa participada por Enagás y el Ente Vasco de la Energía y dedicada a la recepción, almacenamiento y regasificación de gas natural licuado.

Meaza explicó cómo se encontraba la compañía antes de la entrada en vigor de la Ley PIC –momento en el que BBG ya contaba con una serie de certificaciones, entre ellas la ISO 27001 relativa a la gestión de seguridad de la información–, su transición hacia la norma –mejorando los sistemas de seguridad física y participando en jornadas y ejercicios de ciberseguridad– y las iniciativas impulsadas para cumplir el marco legal, caso del desarrollo del PSO y el PPE, el cifrado de información confidencial, la creación de un comité de seguridad integral o el establecimiento de canales de comunicación con el CNPIC, Incibe, las Fuerzas y Cuerpos de Seguridad (FCS), la Autoridad Portuaria de Bilbao, etc.

Actualmente, BBG está inmersa “en la identificación de activos y riesgos –consolidando así el proceso de implantación de la ISO 27001– y en el diseño de campañas de sensibilización y de acciones formativas para toda la organización”, precisó.

Continuando con el sector energético, Carlos Pérez desveló de qué manera ha afectado a Acciona su designación como operador crítico. Tras referirse a los activos de la empresa –entre los que destaca el Centro de Control de Energías Renovables (CECOER), ubicado en Sarriguren (Navarra)–, el director de Seguridad de la división de Energía de la compañía bendijo tanto la Ley PIC como su correspondiente reglamento, puesto que su aprobación “ha contribuido a impulsar nuevas normas internas de seguridad y también para involucrar a la alta dirección. Bajo mi punto de vista, lo más importante del sistema PIC es que ensalza la seguridad integral y define que quien ha de conducirla debe ser el director de Seguridad. En nuestro caso, se trata de una cuestión que ha costado plasmar en el PSO, pero ha servido para abrir un nuevo camino y trabajar más estrechamente con el personal TIC. Igualmente, destacaría los futuros PAO, ya que favorecerán el trabajo conjunto con las Fuerzas y Cuerpos de Seguridad”, manifestó.

Y, al igual que el representante de BBG, Pérez ensalzó el apoyo recibido por parte del CNPIC. “Gracias a las guías de Contenidos Mínimos y de Buenas Prácticas ha sido más sencillo elaborar nuestro PSO”, detalló.

Por su parte, Joaquín Álvarez, coordinador del Proyecto PIC en Endesa, esclareció que, una vez informados los comités ejecutivo y de dirección sobre la necesidad de adecuarse al sistema PIC, en la compañía se procedió a renovar los planes de protección de sus infraestructuras críticas, actuación que se complementará “con una campaña de concienciación y formación dirigida tanto a las personas como a las unidades que están involucradas en ellas”.

Sobre cómo están enfocando en Endesa el desarrollo de los PPE –en cuya elaboración empezaron a trabajar a principios de año–, Álvarez concretó que “el director de una infraestructura ha de tener claro que éste es su plan. Y hay una serie de funciones que hemos determinado para los responsables de cada PPE: coordinar la elaboración del plan, mantenerlo actualizado y asegurar las medidas que se deberán aplicar diariamente en la infraestructura para velar por su adecuada protección”. “Obviamente, el grupo de apoyo que dirijo ayudará en la confección de los planes. Es importante que los directores sepan qué se va a hacer en la fase de elaboración y también en la de explotación”, añadió.

El turno lo cerró Rogelio Campos. El subdirector de Seguridad Corporativa Downstream de Repsol inició su alocución recordando: “el sistema PIC dice que has de garantizar un servicio esencial y proteger la instalación que lo hace posible. Sin duda, es un reto importante. Y para lograrlo, entre nuestras obligaciones se encuentra la de colaborar”.

Llegado el momento de integrarse en el nuevo marco, en la empresa apostaron por una consultora externa “para que nos dijese en qué nivel nos encontrábamos y qué desafíos era necesario acometer. A partir de ahí, impulsamos una política general de seguridad con una visión integral –incluyendo la continuidad de negocio–, establecimos un marco de gobierno con el visto bueno de la alta dirección y creamos una herramienta común de análisis de riesgos”.

Y en sintonía con el resto de ponentes, Campos no quiso olvidarse de la colaboración público-privada, enorgulleciéndose de las magníficas relaciones que Repsol mantiene “con el CNPIC, Incibe y las FCS; una relación directa, constante y continua”.

Sector financiero

Junto a los representantes del sector energético, en el panel tuvieron cabida profesionales de la seguridad que desempeñan su labor en el ámbito financiero. En el caso de Rafael Gassó, jefe del Servicio de Seguridad, Adquisiciones y Servicios Generales del Banco de España, uno de los primeros retos a los que se tuvo que enfrentar al llegar a la entidad fue el de desarrollar el PSO. Y dentro de éste, abordar tres desafíos que consideró “fundamentales”. “El primero, avanzar en materia de seguridad integral, algo que hemos conseguido gracias a la creación de organismos específicos. Luego tuvimos que designar un responsable de seguridad y enlace, y también un delegado por cada una de las infraestructuras críticas. Y por último, elegir metodologías de análisis de riesgos apropiadas, algo que no ha sido sencillo”.

Pero, a pesar de las dificultades, Gassó realizó una valoración positiva del sistema PIC. “La Administración nos ha ayudado a implementar e iniciar una vía que conduce a la seguridad integral y deseamos que continúe marcando las pautas para lograr el objetivo, al tiempo que sigue cumpliendo la misión de aglutinar y unificar”, sugirió.

En cuanto a José Carlos Moreno, director de Inteligencia y Análisis del Área Corporativa de Seguridad de Banco Santander, comenzó su intervención poniendo como ejemplo un atentado a una instalación que presta servicios esenciales. En concreto, el cometido por la banda terrorista ETA en 1982 contra una sede de Telefónica en Madrid y que causó unos daños valorados en más de 3.800 millones de las antiguas pesetas.

En la actualidad, según Moreno, “los niveles de seguridad de nuestras organizaciones son buenos. Pero es exigible un mayor nivel de convergencia. Cuando abordamos la elaboración del PSO, nos marcamos dos retos. Por un lado, hacer converger las diferentes políticas de seguridad de las divisiones del Grupo Santander: Tecnología y Operaciones, Seguridad Corporativa y Riesgos. Y por otro, que el proyecto tuviese la complicidad de la alta dirección. Finalmente, logramos ambos”.

Nuevos escenarios

Tras el análisis de la situación actual de las PIC, se plantearon los nuevos escenarios que, de hecho, ya se están configurando. En esa dirección, Antoni Peris Mingot, director general de Negocios Regulados de Gas Natural Fenosa, hizo un recorrido por la evolución del concepto de seguridad en las infraestructuras críticas en el sector energético y gasístico. “Antes se utilizaba un enfoque físico, con vigilancia a través de cámaras de circuito cerrado, alarmas de acceso y la convicción de que el ataque debía hacerse in situ en las propias instalaciones”, por lo que el hecho de estar aisladas en lugares poco accesibles “facilitaba su supervisión”, explicó. En estos momentos, en cambio, con la incorporación de las TIC a la gestión de estas instalaciones, se ha dado paso a una nueva área de protección adicional: la ciberseguridad. “El tema es muy complejo, puesto que ahora se puede atacar a distancia desde cualquier parte del mundo”, apuntó Peris Mingot. En Gas Natural Fenosa entendieron rápidamente que debían evolucionar en consecuencia, por lo que en 2012, con el impulso del comité de dirección, decidieron integrar en su estructura organizativa la ciberseguridad, para lo cual crearon la dirección de Security, que desde entonces se encarga de potenciar la seguridad de la empresa, independientemente de si los ataques provienen del mundo físico o del lógico.

419_general PIC

A partir de ahí, el directivo desarrolló cuáles han de ser las características básicas que ha de tener un plan de seguridad en un operador de infraestructuras críticas. En primer lugar, destacó, “es importante tener una visión de conjunto del problema”. A continuación, “es preciso poner en marcha un análisis integral de todos los riesgos, y realizar una evaluación continua de todos los sistemas de protección” para tener “una capacidad de respuesta inmediata”. Finalmente, hay que definir y desarrollar nuevos sistemas de protección integral que incluyan la parte física y de ciberseguridad. 

En este punto, Peris Mingot abundó en la opinión de que resulta fundamental la capacidad de reacción. “Hay que tener preparados planes de contingencia y actuación para que, en caso de no poder parar un ataque, sea posible reaccionar de forma rápida”. De hecho, explicó, Gas Natural Fenosa está preparada para hacer frente a cualquier incidente en todas sus instalaciones. “Tenemos unos centros de control y seguridad, cuya función es conocer qué pasa en tiempo real en las instalaciones para poder actuar en remoto en ellas. Esto se complementa con la vigilancia física, permanente y visual de las instalaciones, así como la incorporación de cámaras y sensores de apertura de puertas”, explicó. A ello se suma una tercera pata sobre la que la empresa está haciendo mucho hincapié: las telecomunicaciones, los centros de proceso de datos y los sistemas de información, que es donde se encuadra la ciberseguridad. Para ello han apostado por una metodología de trabajo con un planteamiento conjunto con especialistas en cada área, todo ello coordinado con una serie de organismos públicos y privados; y pusieron en marcha el Proyecto InCrit, con el que crearon un esquema de organización y de mecanismos de control para saber en qué estado se encontraban todas sus instalaciones. 

Posteriormente, intervino José Ignacio Carabias, jefe de Área del CNPIC, el cual habló sobre la situación actual del sistema PIC. Tras la finalización el año pasado de los planes estratégicos sectoriales energético, nuclear y financiero, ahora mismo se encuentran inmersos en el desarrollo de los correspondientes a transporte, dividido en cuatro subsectores (aéreo, ferroviario, por carretera y marítimo), y agua, con los cuales ya se ha iniciado “el análisis de riesgos para establecer recomendaciones”, según el directivo. A partir de verano comenzarán con el sector TIC, “muy importante y transversal, porque es sobre el que se apoyan el resto de sectores PIC”, en palabras de Carabias.

El representante del CNPIC explicó el estado en el que se encuentran los de transporte y agua. “Hasta el momento se ha trabajado en identificar los servicios esenciales de estos sectores, su funcionamiento general, así como sus infraestructuras estratégicas y sus principales operadores”, detalló. “Ahora estamos con el análisis de riesgos para identificar los activos que hay que proteger, amenazas estratégicas y las vulnerabilidades del sistema. Todo ello para realizar una gestión eficaz del riesgo y concluir con un diseño de medidas estratégicas”, desveló el directivo. 

Tras esta exposición, Carabias se detuvo en explicar a los asistentes la respuesta que está obteniendo el CNPIC por parte de los operadores de infraestructuras críticas. Para el directivo, estas compañías han hecho “un gran esfuerzo en la elaboración de unos planes que suponen establecer una coordinación efectiva entre todos los departamentos que tienen relación con la seguridad. Además, se ha conseguido que pongan en marcha políticas generales de seguridad que incluyen la integración de la parte física y la lógica”. Para ello, estas empresas han creado una serie de comités internos, en los que se han integrado esos distintos departamentos con reuniones periódicas, y se ha contado con el apoyo y el compromiso de la alta dirección. Paralelamente, “se han identificado los servicios críticos esenciales, se han establecidos estudios de impacto sobre consecuencias de interrupción del servicio, y se ha hecho un análisis de interdependencias con otras infraestructuras”, añadió Carabias.

Por último, el representante del CNPIC enumeró los tres aspectos más importantes que debe incluir cualquier plan de protección elaborado por los operadores. Por un lado, está el punto de vista organizativo, en tanto en cuanto las compañías deben designar delegados de seguridad como enlaces con las Fuerzas y Cuerpos de Seguridad (FCSE); de identificación de la infraestructura, con una relación detallada de los activos vitales y no vitales; y de análisis de riesgos, que deben recoger las amenazas integrales que afecten a sus infraestructuras. 

Para ver la jornada completa descargue el PDF adjunto.

Volver