seguritecnia 423

SEGURITECNIA Septiembre 2015 95 Opinión probabilidad de materialización muy baja, que no puede ser cuantificada y que en muchos casos puede que nunca se haya materializado anteriormente. La segunda, que en el caso de materiali- zarse, su impacto puede llegar a ser tan grande que podría causar una destruc- ción de carácter catastrófico. El reto al que nos enfrentamos es in- troducir los ‘cisnes negros’ en un análi- sis de riesgos al uso, algo bastante difícil. Por último, el tercer problema al que debemos hacer frente es la subjetividad del operador, que no tiene solución y que incluso se contempla en la vigente legislación sobre PIC, “…aquellas medi- das que los respectivos operadores críti- cos consideren necesarias…”. Una vez que hemos expuesto los tres problemas principales a los que hemos tenido que hacer frente durante los trabajos de soporte y consultoría pres- tados a diferentes operadores críticos, y basándonos en la experiencia acu- mulada en el campo de aplicación de la Ley 08/2011, estamos en condiciones de proponer una alternativa a la hora de establecer las medidas de protección que se deben aplicar a una infraestruc- tura crítica. Además, contamos con el bagaje de los más de 40 años en los que Eulen Seguridad, empresa decana del sec- tor de la Seguridad Privada, lleva pres- tando servicios de protección a infra- estructuras críticas –entre sus clien- tes se encuentran varios que han sido nombrados operadores de infraestruc- turas críticas y otros que son candida- tos a dicho nombramiento–. A todo lo anterior, hay que sumarle la visión y experiencia que posee la empresa, tanto en el campo de la seguridad fí- sica, como de la lógica, tratadas ambas desde un punto de vista integral. Medidas mínimas Nuestra propuesta es pasar a un mo- delo de medidas mínimas reguladas. Este modelo no es nuevo, hay muchos sectores productivos y ámbitos de apli- cación con legislación específica que lo utilizan, y su experiencia ha sido po- sitiva. A continuación, citaremos algu- nos ejemplos de su utilización, pero hay muchos otros. El primer ejemplo es la legislación de protección de datos de carácter perso- nal, que establece medidas de seguri- dad concretas y exigibles en base al ni- vel de clasificación de los ficheros y tra- tamientos. Otro ejemplo es el de la U.S. Nuclear Regulatory Commission, con guías como la Regulatory Guide 5.71 Cyber Security Pro- grams for Nuclear Facilities . Un ejemplo muy significativo y que aporta aproximaciones interesantes son las medidas de seguridad de aplicación gradual en función del nivel de ame- naza que aporta el Código Internacio- nal para la Protección de los Buques y de las Instalaciones Portuarias, Código PBIP (BOE núm. 202/2004). El Código PBIP establece claramente el conjunto de medidas de seguridad mínimas que se deben aplicar en cada momento en función del nivel de protección en vi- gor, y fija de quién es la responsabilidad de establecer este nivel de protección: “los gobiernos contratantes son respon- sables de determinar el nivel de protec- ción que se aplica en un momento de- terminado a los buques e instalaciones portuarias”. Como hemos indicado, este modelo de mínimos no es nuevo. Por ello, no po- demos dejar de citar al Manual Básico de Protección TI, ( IT Baseline Protection Ma- nual - IT-Grundschutz ) de la Bundesamt für Sicherheit in der Informationstechnik (BSI), todo un clásico en la seguridad in- formática, publicado en 1994. Existen otros muchos ejemplos de modelos de medidas mínimas, de aplica- ción a diferentes sectores y con diferen- tes aproximaciones a las denominadas seguridad física y seguridad lógica. En vista de nuestra experiencia y an- tecedentes, consideramos que es nece- sario disponer de un modelo de medi- das mínimas reguladas de aplicación a la PIC, que establezca medidas concretas a implantar en cada momento en fun- ción del tipo de instalación y del nivel de alerta, de acuerdo con lo que establece la actual legislación en la materia: “Cada Plan de Protección Específico deberá contemplar la adopción tanto de medidas permanentes de protección, so- bre la base de lo dispuesto en el párrafo anterior, como de medidas de seguridad temporales y graduadas, que vendrán en su caso determinadas por la activación del Plan Nacional de Protección de las In- fraestructuras Críticas, o bien como con- secuencia de las comunicaciones que las autoridades competentes puedan efec- tuar al operador crítico en relación con una amenaza concreta sobre una o varias infraestructuras por él gestionadas”. Una de las principales ventajas que aporta la utilización de este modelo es que la protección que se proporciona a todas las infraestructuras tiene un nivel mínimo garantizado, además de facilitar la implantación de medidas de seguri- dad por parte de los operadores. S