Cabecera Home
Revista Seguritecnia Edición impresa
Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Ricardo Cañizares, Director de Consultoría de Eulen Seguridad

Protección de infraestructuras críticas 10 cuestiones que necesitan respuesta

Hace ya más de cinco años que entró en vigor la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Ley PIC). Durante este tiempo, los diferentes actores involucrados han trabajado para incrementar la seguridad y la resiliencia de las infraestructuras críticas para dar cumplimiento a lo establecido en ella.

En este sentido, Eulen Seguridad, la empresa decana del sector de la Seguridad Privada, está considerada un aliado estratégico y fiable a la hora de garantizar la seguridad de una organización y, por lo tanto, de la continuidad de sus operaciones. Ha sido uno de los actores que ha colaborado y está colaborando con diferentes operadores críticos, de distintos sectores estratégicos, para dar respuesta a los retos que supone garantizar la seguridad en este tipo de infraestructuras.

Fruto de esta experiencia, consideramos que existen una serie de cuestiones a las que hay que dar respuesta a la hora de enfrentarnos al reto que supone la protección de infraestructuras críticas. A continuación, expondré diez de ellas; no son todas, hay algunas más, pero considero que son las más importantes. También opino que es importante reseñar que el orden de exposición no refleja su orden de importancia y que la intención no es dar respuesta a estas preguntas, sino únicamente ponerlas encima de la mesa para que tengamos en cuenta la necesidad de reflexionar sobre ellas antes de abordar cualquier proyecto de protección de infraestructuras críticas.

1.Seguridad integral

La Ley PIC y la legislación que la ha desarrollado han establecido la obligatoriedad de adoptar el paradigma de la seguridad integral por parte de los operadores críticos:

“Los Planes de Protección Específicos son los documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.”

“El Plan de Seguridad del Operador definirá la política general del operador para garantizar la seguridad integral del conjunto de instalaciones o sistemas de su propiedad o gestión.”

La cuestión a la que tenemos que responder es: ¿Qué entendemos por seguridad integral, qué modelo organizativo implantamos para gestionarla? No existe una respuesta única a esta cuestión y es la primera decisión a tomar.

2. Análisis de riesgos

Otra de las primeras cuestiones a las que debemos responder cuando abordamos la protección de infraestructuras críticas es: ¿Cómo vamos a realizar el análisis de riesgos, que metodología vamos a utilizar?

La realización de los análisis de riesgos está regulada por el Real Decreto 704/2011, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas, que señala:

“Los Planes de Seguridad del Operador deberán establecer una metodología de análisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador y en la que se recojan los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas identificadas sobre cada una de las tipologías de sus activos.”

“Los Planes de Protección Específicos de las diferentes infraestructuras críticas incluirán todas aquellas medidas que los respectivos operadores críticos consideren necesarias en función de los análisis de riesgos realizados respecto de las amenazas, en particular, las de origen terrorista, sobre sus activos, incluyendo los sistemas de información.”

Para dar respuesta a esta cuestión hay que tener en cuenta que la realización de un análisis de riesgos al uso, a la hora de proteger una infraestructura crítica, plantea entre otros los siguientes problemas: envergadura del proyecto, los cisnes negros y la subjetividad del operador crítico.

3. Medidas de seguridad

Una vez realizado el correspondiente análisis de riesgos, la siguiente cuestión a responder es: ¿Qué medidas de seguridad implantamos? La respuesta no es sencilla y tiene que conjugar criterios como la proporcionalidad, no matar moscas a cañonazos, y el equilibrio, cómo compaginar la seguridad con la eficacia y la eficiencia en la prestación del servicio esencial.

4. Ciberseguridad

Aunque a priori parezca fácil dar respuesta a la cuestión ¿cómo hacemos frente a los retos que supone abordar la ciberseguridad de las infraestructuras críticas?, no lo es.

En el campo de la protección de las infraestructuras críticas nos vamos a encontrar con sistemas de control industrial que fueron diseñados e implantados sin tener en cuenta requisitos de ciberseguridad. Hasta hace muy poco tiempo, la ciberseguridad no era algo que preocupara y a lo que se prestara atención en el mundo de la industria. Esta situación ya ha cambiado, pero como la duración del ciclo de vida de los sistemas de control industrial es muy grande (fácilmente pueden alcanzar los veinte años), tendremos que convivir con ellos mucho tiempo.

Lo anterior, junto con otros factores, hace que no se pueda abordar la ciberseguridad de los sistemas de control industrial con los mismos criterios que aplicamos a la hora de proteger los sistemas de gestión.

Accede al contenido completo de este artículo en este enlace.

Volver