Seguritecnia 378

50 SEGURITECNIA Septiembre 2011 Protección de Infraestructuras Críticas E l normal funcionamiento de los servicios esenciales (agua, energía, transporte, etc.) pres- tados a la ciudadanía descansa sobre las denominadas infraestructuras críti- cas (IC). Sistemas complejos, de gestión tanto pública como privada, cuyo fun- cionamiento es indispensable y no per- mite soluciones alternativas. Estas in- fraestructuras dependen para su ges- tión, control y operación de sistemas de información, los cuales, a su vez, se encuentran en una situación de con- vergencia de entornos históricamente separados: los sistemas de TI y los siste- mas industriales de control de proceso. Sin duda, esta convergencia ha me- jorado el control y la gestión sobre las mismas, pero, simultáneamente, ha au- mentado el nivel de riesgo y las ame- nazas a las que se hayan expuestas. Por tanto, en un entorno cada vez más interdependiente y a veces hostil, re- sulta inadecuada la segregación de los distintos aspectos de la seguridad. Puesto que la destrucción, interrup- ción o perturbación de los servicios esenciales perjudica claramente a la sociedad, es necesario analizar, desa- rrollar y establecer nuevos sistemas de seguridad y protección integral para las infraestructuras críticas y los servi- cios esenciales que prestan. Para pro- teger estos servicios y sus dependen- cias, debemos revisar, y en algunos casos reformular, su seguridad, pres- tando mayor atención a la continuidad del servicio y dando mayor pondera- ción a algunos aspectos de los riesgos no considerados hasta este momento de baja probabilidad y alto impacto. Ya que todos nos vemos afectados –ciudadanos, organizaciones, empre- sas y Administración–, parece claro que la protección de estas infraestruc- turas es una tarea conjunta, en la que la colaboración público-privada debe jugar un papel relevante. En este sen- tido, la creación del Centro Nacional para la Protección de las Infraestruc- turas Críticas (CNPIC) y la reciente pu- blicación de la Ley 08/2011 de 28 de abril, por la que se establecen medi- das para la protección de las infraes- tructuras críticas, así como su desa- rrollo reglamentario mediante el RD 704/2011 de 20 de mayo, por el que se aprueba el Reglamento de medidas para la protección de las infraestructu- ras críticas, constituyen un fuerte res- paldo. Esta legislación tiene como ob- jeto establecer las estrategias y las es- tructuras organizativas adecuadas que permitan dirigir y coordinar las actua- ciones de los distintos órganos de las administraciones públicas en materia de protección de infraestructuras crí- ticas, previa identificación y designa- ción de las mismas, impulsando ade- más la colaboración e implicación de los organismos y empresas gestoras y propietarias (operadores críticos) de dichas infraestructuras, a fin de opti- mizar el grado de protección de éstas contra ataques deliberados de cual- quier índole que puedan afectar a la prestación de los servicios esenciales. Con esta visión, parece necesario re- pensar la seguridad existente aprove- chando las necesidades de las IC y apli- car un enfoque integral y dinámico en función del entorno cambiante en el que coexisten para asegurar la conti- nuidad y recuperación de los servicios esenciales que prestan a la sociedad. Partiendo del conocimiento previo en las organizaciones, parece lógico José Fernando Carvajal Vión Gerente de Proyectos de Seguridad en el Área de Ciberseguridad de Indra Sistemas y responsable de proyectos de I+D+i Solución integrada para la protección de infraestructuras críticas La protección de las infraestructuras críticas necesita un enfoque integral y dinámico, acorde con el entorno cam- biante en el que coexisten, que asegure la continuidad y recuperación de los servicios esenciales que prestan a la so- ciedad. Este enfoque holístico precisa de la conceptualización de los elementos integrantes: sistemas de tecnologías de la información (TI), de control, personas, procedimientos de gestión; la modelización y simulación de las propias in- fraestructuras; y las relaciones de interdependencia que mantienen. Todo ello con dos objetivos principales: por un lado, poder establecer niveles de protección adecuados a los riesgos y, por otro, poder simular y predecir la evolu- ción y comportamiento bajo situaciones cambiantes de riesgo para minimizar el daño. En un entorno cada vez más interdependiente y a veces hostil, resulta inadecuada la segregación de los distintos aspectos de la seguridad