Seguritecnia 366

58 SEGURITECNIA Julio - Agosto 2010 una brecha entre la gestión funcional y tecnológica de la seguridad de estos entornos. En este sentido deben proporcio- narse mecanismos de cer tificación, tanto para las administraciones públi- cas como para propietarios y terceros, que permitan, por un lado, establecer y evaluar niveles de seguridad, y, por otro, minimizar el impacto y el tiempo de respuesta a incidentes potencial- mente dañinos. En este escenario re- sulta imprescindible la sincronización entre los diversos centros de control de emergencias y las Fuerzas de Se- guridad. Igualmente, es necesario mi- nimizar el efecto cascada en la interre- lación entre CI de sectores interdepen- dientes. Por ello, se debe abordar la protección integral de las CI mediante una metodología completa, basada en nuevos paradigmas de protección, de- tección, comunicación y simulación. Uno de los principales debates abier- tos es la definición de Infraestructura Crítica (CI). El Artículo 2 de la Directiva 2008/114/CE de la Unión Europea [1] la define “como el elemento o sistema que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad y el bienestar social y económico de la po- blación y cuya perturbación o destruc- ción afectaría gravemente a un Estado al no poder mantener esas funciones”. En su artículo 3, posibilita el que cada Estado identifique las CI potenciales. Esta def inición, aunque bastante acotada, deja un amplio margen para la categorización y la polémica: ¿qué es y qué no es una infraestructura crí- tica? ¿Qué criterios se utilizan en la ca- talogación? ¿Serán consensuados in- ternacionalmente debido a las interde- pendencias? En nuestro caso europeo, la Directiva establece en su artículo 3.2 unos criterios horizontales que, como se indica en el artículo 2, apartado b), serán la base para la catalogación de las infraestructuras críticas, en conjun- ción con otros criterios sectoriales es- pecíficos que puedan aplicarse y los umbrales concretos de aplicación para cada criterio que establezca el Estado miembro. Sin ir más lejos, en nuestro país ya se han puesto en marcha di- versas iniciativas como la creación, me- diante Acuerdo del Consejo de Minis- tros de noviembre de 2007, del Centro Nacional de Protección de Infraestruc- turas Críticas (CNPIC), encargado de ser el coordinador de las actividades rela- El problema En los últimos años, las Tecnologías de la Información y Comunicación (TIC) se han ido incorporando a todos los sectores productivos de la sociedad, y lo han hecho a un ritmo que ha per- mitido mejorar la eficiencia y eficacia de los procesos a corto plazo, pero se han descuidado las consecuencias y riesgos que puede conllevar la intro- ducción de estas tecnologías sin las medidas de protección adecuadas. A esto hay que añadir que los nuevos sis- temas deben coexistir e interconec- tarse con otros elementos de control ya existentes, muy especializados y ba- sados en sistemas propietarios, para los que prácticamente no existen ele- mentos de protección. El traslado de las medidas de seguridad, aplicadas en entornos TI a estos sectores, resulta in- suficiente, siendo necesario analizar, desarrollar y establecer nuevos siste- mas de seguridad y de protección in- tegral. En estos momentos, ni para las In- fraestructuras Críticas (CI) en general ni para las Infraestructuras Críticas de la Información (CII) en particular exis- ten modelos conceptuales e integrales de protección, habiéndose generado Un enfoque metodológico para la protección de las Infraestructuras Críticas José Fernando Carvajal Vión Gestor de proyectos de Seguridad de Indra Sistemas de Seguridad Carlos F. Molina García Responsable técnico de proyectos de Seguridad de Indra La protección integral de las infraestructuras críticas, cubriendo el dominio físico y lógico, requiere una conceptua- lización de sus elementos integrantes: sistemas de control, sistemas de TI y procedimientos de gestión. El modelado de las infraestructuras y de las relaciones e interoperabilidades que se establecen entre las mismas permitirá siste- matizar la detección de vulnerabilidades y facilitará el establecimiento de los niveles de protección. La protección de las infraestructuras críticas debe afrontarse de forma colaborativa y coordinada entre los sectores públicos y privados de la sociedad, centrándose en la importancia y características de la información a transmitir, asegurando una respuesta consensuada y compartida en consonancia con la dinamicidad de los riesgos.