Seguritecnia 378

SEGURITECNIA Septiembre 2011 29 Protección de Infraestructuras Críticas "lógica") frente al de la Seguridad Pa- trimonial (la "física"), en este nuevo planteamiento de protección de IC? El papel de la seguridad lógica de las in- fraestructuras está cobrando cada vez más importancia, teniendo en cuenta que la gran mayoría de los servicios esenciales se proveen gracias al co- rrecto funcionamiento de sistemas tec- nológicos e industriales. En ambos ca- sos es necesario aplicar mecanismos de seguridad que minimicen el impacto de un posible incidente, sin que esto reper- cuta en el adecuado aprovisionamiento del servicio que proporcionan. No obstante, la seguridad física y la lógica no deben verse como términos contrapuestos y antagónicos, sino que es necesario asumir que ambos se ne- cesitan mutuamente. En este sentido, si bien existe una avanzada cultura de Se- guridad, la nueva normativa PIC plantea la necesidad de proveer una Seguridad Integral a las infraestructuras, de modo que todos los eslabones de la cadena sean igual de robustos, siendo este as- pecto uno de los grandes objetivos que se persigue desde el CNPIC. - ¿Qué sectores están más maduros para plantear este desafío? No se puede establecer un grado de madurez diferenciado sector por sector. El grado de concienciación de los ope- radores, sean éstos públicos o privados, también es variable pero, en general, se puede afirmar que las empresas y or- ganizaciones españolas tienen un alto grado de madurez en lo que respecta al ámbito PIC, en comparación con otros países. Los sectores más avanzados en el de- sarrollo de estrategias que pueden con- verger con el planteamiento efectuado por la normativa PIC (debido a la exis- El Sistema de Protección de Infraestruc- turas Críticas está compuesto por dife- rentes instituciones, órganos y empre- sas, procedentes tanto del sector pú- blico como del sector privado, y todos ellos con sus diferentes responsabilida- des en el correcto funcionamiento de los servicios esenciales que se ofrecen a los ciudadanos. En cualquier caso, a pesar del ingente trabajo realizado, nos encontramos aún en un estado incipiente de desarro- llo en el que es preciso impulsar el pro- ceso desde el ámbito político y desde los consejos de Dirección de las empre- sas. Deben aún constituirse a lo largo de 2012 la Comisión PIC y los Grupos de Trabajo Interdepartamental y sec- toriales que den contenido y estruc- tura al propio sistema; y deben mate- rializarse los diferentes planes, de ma- nera escalonada, durante 2011 y hasta 2014. Es decir, lo que se está viendo ac- tualmente es tan solo la 'punta del ice- berg' que debe llegar a ser el Sistema PIC y los planes derivados de éste. Esta- mos tan solo al principio de una aven- tura apasionante para la cual lo primero que se necesita es concienciación y co- laboración desinteresada y genuina de todas las partes. - El Plan Nacional de IC ya ha entrado en vigor, pero usted ha comentado que hay que reformarlo. ¿Nos podría explicar por qué y en qué? Como he dicho anteriormente, debe te- nerse en cuenta toda la legislación que ha sido aprobada sobre PIC desde 2007, así como el Plan Nacional Antiterrorista al cual está vinculado, y que fue modifi- cado el año pasado. - ¿Cómo ve el papel de la Seguridad de la Información o de Sistemas (la (CCN) para la gestión de información nacional clasificada. En este sentido, los requisitos fun- cionales para la manipulación de in- formación con distintos grados de clasificación hicieron necesario desa- rrollar dos plataformas tecnológicas diferenciadas: 1. Plataforma ARGOS, destinada a la gestión del Catálogo de Infraestruc- turas Estratégicas, y que permitirá la gestión de información clasificada como 'secreto'. 2. Plataforma PI3 (Plataforma de Inter- cambio de Información sobre Infra- estructuras), destinada a proveer un mecanismo de información directo y eficiente entre todos los agentes del Sistema PIC, mediante el estable- cimiento de herramientas colabora- tivas como, por ejemplo, una desti- nada al desarrollo de documentos tipo Wiki, foros de discusión, gestor documental, etc. La plataforma per- mitirá gestionar información clasifi- cada como 'difusión limitada'. El desarrollo de las mencionadas plataformas finalizó hace más de un año, si bien los requisitos necesarios para la acreditación de sistemas para la gestión de información nacional clasificada establecen que los aplica- tivos desarrollados deben estar certi- ficados según la normativa Common Criteria por un laboratorio indepen- diente. Actualmente, el proyecto se encuentra a la espera de recibir esta certificación por parte del laborato- rio, tras lo cual continuarán los trámi- tes necesarios para obtener la acredi- tación final por parte del CCN. De este modo, se pretende garanti- zar la ausencia de vulnerabilidades co- nocidas y el óptimo desarrollo y opti- mización de mecanismos de seguridad no solo respecto a software , sino tam- bién de las interconexiones entre distin- tos sistemas. - ¿Cómo están planificando el tercer pilar: el Sistema PIC? ¿En qué fase se encuentra, sus medidas correspon- dientes y los diversos planes? "El Estado español ha sido más ambicioso y ha tenido una visión más amplia, incluyendo doce sectores"