1 90 Table of Contents 92 188

seguritecnia 447

Protección de Infraestructuras Críticas y Estratégicas SEGURITECNIA Noviembre 2017 91 en la que se hace referencia a la uti- lización de sistemas de seguridad de Grado 4 en las “denominadas infraes- tructuras críticas”. “Teniendo en cuenta que en el mercado no existen muchas soluciones de Grado 4, ¿qué sucedería si nos inspeccionasen? ¿Seríamos san- cionados?”, se preguntó un responsa- ble de Seguridad. El guante lo recogió el miembro del Comité Asesor y coordinador de Pro- yectos de la Fundación Borredá, quien argumentó que “en ausencia de los grados de seguridad más elevados, la Ley de Seguridad Privada de 2014, en su artículo 52 (Tipos de medidas), prevé la validación de los ya existentes hasta que estén disponibles los nue- vos. Por lo tanto, tal demanda no de- bería ser un problema y quedará de- finida en el esperado Reglamento de Seguridad Privada”. Continuando con la misma cuestión, los portavoces de los operadores críti- cos estuvieron de acuerdo en que, ac- tualmente, se comercializan multitud de soluciones tecnológicas de seguri- dad y que, por lo tanto, las mismas no representan un obstáculo; más bien, dado el amplio abanico existente, la di- ficultad estriba en saber elegir la más apropiada. Para tal fin, los responsa- bles de Seguridad delegan tanto la se- lección de los sistemas como su insta- lación a sus proveedores de confianza. Para finalizar, buena parte de los re- presentantes de los operadores críti- cos de ambos sectores afirmaron te- ner experiencias en programas eu- ropeos de I+D, pero, por lo general, relacionadas con su actividad y no con la seguridad. S hay que han internalizado una parte y externalizado otra. Una metodología que, desde el CNPIC, no es puesta en entredicho. “Al igual que sucede con los análi- sis de riesgos, no vemos ningún pro- blema en que los planes se elaboren de forma interna o externa o combi- nando ambas opciones. Lo importante es que, de cara a su estudio por parte del CNPIC, los operadores presenten un documento único”, apuntó Marta Prieto Fernández. Normativa y tecnología Después de una breve pausa para re- poner fuerzas e intercambiar impresio- nes de forma distendida, el desayuno de trabajo se reanudó con un bloque dedicado a una visión más específica de la seguridad. Tras el requerimiento de César Álvarez para que los respon- sables de Seguridad hablasen sobre las limitaciones que pueden suponer al- gunas normativas a la hora de desple- gar las medidas de seguridad adecua- das, los presentes, lejos de apuntar a una norma en concreto, se refirieron a los comités de empresa, que, sobre todo en los operadores críticos de ca- rácter público –aunque la situación también se registra en algún opera- dor privado–, suelen condicionar, por ejemplo, la utilización de las imágenes visualizadas y grabadas a través de los sistemas de CCTV. Respecto al empleo de soluciones tecnológicas, hubo quien mostró su contrariedad ante órdenes ministeria- les como la INT/316/2011 –sobre el fun- cionamiento de los sistemas de alarma en el ámbito de la seguridad privada–, bajo coincidieron en que el director de Seguridad de sus organizaciones des- empeña el papel que la Ley 8/2011 en- comienda al responsable de Seguridad y Enlace –esto es, el de interlocutor con la Administración–, y que, además, el mismo cuenta con el respaldo de la alta dirección. Igualmente, frente a lo experimen- tado en otros sectores, manifestaron que no existe ninguna disfunción o so- lapamiento entre el responsable de Se- guridad y Enlace y el director de Segu- ridad Informática o de Seguridad de la Información (CISO, por sus siglas en inglés), también encargado de tratar cuestiones –de ciberseguridad en su caso– con el CNPIC. Precisamente, dentro de las cuestio- nes relativas a la seguridad de la infor- mación, los presentes mostraron una buena disposición a la notificación de incidentes, si bien expresaron ciertas du- das o reticencias internas acerca de qué se debe notificar y dónde –aludiendo, en este sentido, a la idoneidad de habi- litar una ventanilla única–. En relación a dicha cuestión, Marta Prieto Fernández opinó que, a buen seguro, tales dudas se despejarán una vez concluya la trans- posición de la Directiva (UE) 2016/1148 – popularmente conocida como Directiva NIS–, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y los sistemas de información en la Unión Europea, a la legislación española. Para concluir el bloque dedicado al modelo PIC, y al preguntar César Ál- varez cómo habían encajado la con- fección de los Planes de Seguridad del Operador (PSO) y de Protección Espe- cíficos (PPE), hubo quien los calificó como “una losa”, aunque, lejos de refe- rirse a ellos negativamente, los dio por oportunos y muy convenientes para identificar todos los activos a proteger. Y en lo relativo a la elaboración de los diferentes planes, quedó claro que no existe un patrón común, ya que algu- nos operadores han optado por una gestación interna, otros han apostado por la externalización y también los Los operadores críticos del Espacio y de las TIC aseguran tener perfectamente asumida la integración de las seguridades física y lógica SECTOR ESPACIO

RkJQdWJsaXNoZXIy MTI4MzQz