seguritecnia 447

22 SEGURITECNIA Noviembre 2017 Protección de Infraestructuras Críticas y Estratégicas 10º ANIVERSARIO DEL CNPIC mitados y en los que sólo se beneficiaba una parte. La colaboración público-pri- vada era una entelequia y se basaba úni- camente en un fuerte sistema sanciona- dor. Muchos responsables de seguridad de organizaciones y empresas contem- plaban solamente el aspecto de seguri- dad física de las instalaciones, mientras que la vasta mayoría de los responsables de TI no consideraba la ciberseguridad como un aspecto clave de sus responsa- bilidades. Y así podríamos seguir enume- rando circunstancias que anclaban en el pasado un sistema que se empezaba a enfrentar a amenazas mucho más evo- lucionadas, como se ha podido compro- bar en los últimos años. En 2017, el ecosistema de la seguridad ha cambiado notablemente en España tanto desde el punto de vista de las ad- ministraciones públicas como el de las empresas y el sector privado. Y aunque estamos aún de camino –y, por cierto, todavía queda mucho–, se puede decir que, a nivel internacional, nuestro país está liderando una sistemática de cómo afrontar los nuevos retos de seguridad a los que nos enfrentamos. El tránsito hacia ese océano azul al que aún se dirige nuestro modelo de seguridad no es, obviamente, un mérito atribuible en exclusiva a las políticas PIC, ni mucho menos. Prueba de ello es la aprobación, en un espacio de solo tres años, de normas y documentos tan am- biciosos y avanzados como la Estrategia beneficioso para sus organizaciones), generando así unas relaciones y unos lazos de confianza que han sido, y aún son, la base de todo el sistema PIC. La segunda línea de acción fue plasmar todo ello en una norma que marcara la hoja de ruta a seguir. Para tal fin, utiliza- mos la Ley 8/2011 y sus normas de de- sarrollo, que fueron las que verdadera- mente abrieron la puerta a las políticas que queríamos implantar. ¿Dónde nos encontramos? Hace una década, el panorama de la se- guridad española aún se hallaba en un océano rojo (4) en lo que a muchos con- ceptos se refiere, y de forma muy espe- cial en la relación de la autoridad pública con el sector privado de la seguridad. Imperaba un concepto de seguridad dis- gregada en silos o nichos de poder. La gestión de la información también se re- gía de la misma manera, por el sistema de silos y sin comunicación entre acto- res o con una de tipo jerárquico en la que los lazos de confianza eran muy li- dad de los servicios esenciales a la so- ciedad civil (dando por descontado la protección superior de la vida y la sa- lud de las personas); un bien que, por otra parte, se ajusta perfectamente a otro concepto básico que, en este caso, es un eje de las políticas de las entidades que tienen como actividad comercial la provisión de bienes y ser- vicios: la continuidad de negocio. Por eso, el grado de entendimiento en- tre el CNPIC y los que más tarde se- rían designados operadores críticos fue desde el inicio muy alto, dado que am- bas partes, desde diferentes perspecti- vas, coincidían en una premisa básica: la continuidad del servicio. Así, sobre este esquema se comenzó a trabajar en la arquitectura de un sis- tema de protección de las infraestruc- turas críticas nacionales que, por una parte, permitiera dar respuesta a los desafíos de seguridad nacional y ciu- dadana planteados y, por otra, se ali- neara con los intereses de los operado- res de servicios esenciales españoles. Pero, para ello, era necesario romper an- tes una serie de esquemas, muy asen- tados aún en el mundo de la seguridad de nuestro país, y plantear una serie de ideas innovadoras cuyo arraigo no es- taba ni mucho menos garantizado. Nuestra estrategia se basó en dos lí- neas de acción fundamentales: la pri- mera, ganar aliados entre los opera- dores de los servicios esenciales, de forma que nos apoyaran en la tarea que estábamos a punto de acometer. Para ello, no nos quedó más remedio que conocerlos a fondo (y dejar que ellos nos conocieran y que comproba- ran que lo que teníamos en mente era El concepto de servicio esencial fue el primero que se utilizó para justificar la existencia del centro, pero el término infraestructura crítica estaba demasiado arraigado como para obviarlo Líneas de acción sobre las que trabaja el CNPIC.