seguritecnia 423

94 SEGURITECNIA Septiembre 2015 Opinión que, habitualmente, las instalaciones clasificadas como infraestructura crí- tica suelen ser de gran tamaño y com- plejidad, lo que dificulta la elaboración de un análisis de riesgos. Valga de ejem- plo, que la primera de las tareas para lle- var a cabo el análisis, identificar y valo- rar los activos, supone un esfuerzo tan elevado, que en algunos casos se con- vierte en una tarea casi inabordable. En el caso de los ‘cisnes negros’, a principios del año 2013 ya publicamos un artículo, “ Los Cisnes Negros, ele- mento clave en la Protección de In- fraestructuras Críticas ”, en el que ex- poníamos el problema y nuestra visión al respecto, y que volvemos a poner de manifiesto. Lo primero es que no debe quedar ninguna duda de que cuando habla- mos de protección de infraestructu- ras críticas (PIC), estamos hablando de protegernos contra amenazas que, en la mayoría de los casos, son ‘cisnes negros’. Lo segundo es definir qué entende- mos por un ‘cisne negro’: entendemos como tal la ocurrencia de un hecho al- tamente improbable e imprevisto y que tiene un impacto muy elevado en el funcionamiento de una organización o de la misma sociedad. Si trasladamos esta definición al mundo del análisis de riesgos, estamos hablando de una amenaza con dos ca- racterísticas principales. La primera, una H an transcurrido casi cuatro años de la aprobación de la Ley 8/2011, por la que se es- tablecen medidas para la protección de las infraestructuras críticas, y uno de los principales retos a los que nos enfren- tamos, ya desde el primer momento, era y es la realización de los preceptivos análisis de riesgos, tal como establece el Real Decreto 704/2011, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas: “Los Planes de Seguridad del Opera- dor deberán establecer una metodo- logía de análisis de riesgos que garan- tice la continuidad de los servicios pro- porcionados por dicho operador y en la que se recojan los criterios de apli- cación de las diferentes medidas de seguridad que se implanten para ha- cer frente a las amenazas, tanto físicas como lógicas, identificadas sobre cada una de las tipologías de sus activos.” “Los Planes de Protección Específi- cos de las diferentes infraestructuras crí- ticas incluirán todas aquellas medidas que los respectivos operadores críticos consideren necesarias en función de los análisis de riesgos realizados respecto de las amenazas, en particular, las de origen terrorista, sobre sus activos, in- cluyendo los sistemas de información.” Problemas La realización de un análisis de riesgos al uso a la hora de proteger una infraes- tructura crítica plantea, entre otros, los siguientes problemas: 9 Envergadura del proyecto. 9 Los ‘cisnes negros’. 9 La subjetividad del operador crítico. Cuando hablamos de la envergadura del proyecto, nos estamos refiriendo a Ricardo Cañizares Sales / Director de Consultoría de Eulen Seguridad El análisis de riesgos en la protección de infraestructuras críticas Es necesario disponer de un modelo de medidas mínimas reguladas de aplicación a la protección de infraestructuras críticas