Infraestructuras Estratégicas: ¡¡¡casi me toca!!!

Todos los que estamos en el mundo de la Seguridad, en cualquiera de sus ámbitos, nos hemos reunido alguna vez con empresas y organizaciones cuya operativa se encuentra dentro de lo que se define como “estratégica” o “esencial” para las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas (Artículo 2 de la Ley 8/2011, de 28 de abril), y la paralización de ésta se ubica en esas situaciones de riesgo de escasa probabilidad de ocurrencia, pero de un impacto brutal.

Si comparamos el total de estas empresas con el número exacto de operadores críticos designados por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), que es un dato de dominio público, nos damos cuenta de que a los que se les va a exigir a corto plazo el cumplimiento de la legislación PIC son una minoría. ¿Y el resto? Pues el resto dice eso de “buff… casi me toca”. Todas esas son las que podríamos denominar “infraestructuras estratégicas” que, si bien no son críticas, están dentro de los 12 sectores estratégicos y su operativa está entre las que hemos presentado al principio.

Obviamente, por alguno hay que empezar, y la actual política de selección y aplicación de la Ley PIC (Protección de las Infraestructuras Críticas) es la punta del iceberg y no hace sino marcar la tendencia en el ámbito de la seguridad integral. Está claro que detrás de los 37 operadores críticos designados en la primera fase está el número 38 y el 39 y, tras los 54 de la segunda, está el número 55 y el 56 que, pese a ser completamente desconocidos, hubiera sido muy interesante conocer cuál fue su reacción, aunque en realidad puede que ni ellos mismos sepan que tuvieron la “suerte” de no ser designados como operador crítico. Aunque… ¿Suerte? ¿La de casi ser considerado crítico, o la de no haberlo sido?.

Cuando los responsables de las infraestructuras estratégicas, esos que saben o intuyen que estuvieron cerca, ven artículos dedicados a las infraestructuras críticas y dejan de leer porque no les aplica. Por eso el foco de este artículo es precisamente este grupo.

¡¡¡No se vayan, por favor!!! El esfuerzo, el trabajo y la inversión que están haciendo los operadores críticos es algo que no debe distar mucho de lo que ustedes ya están haciendo o pensando en hacer. Ustedes también son parte del ecosistema PIC, en el que conviven todos los actores de todos los ámbitos de la seguridad en la gestión integral:

Ecosistema PIC

Imagen 1: ecosistema PIC

 

Con todos estos actores, las infraestructuras estratégicas quedan fuera del ámbito de la vigilancia del o de los departamentos de seguridad de los gobiernos correspondientes, y no tienen una legislación como tal, pero cuanto más cerca estén de las críticas, mayor aplicabilidad verán en relación al desarrollo de planes y proyectos relacionados con la seguridad física y con la ciberseguridad, la seguridad como línea estratégica corporativa, la seguridad como departamento transversal dependiente de la dirección, la Seguridad como un deber y no como una opción.

Aplicacion práctica de un proyecto PIC

Imagen 2: Aplicación práctica de un proyecto PIC

 

La experiencia dicta que nadie se pone a hacer nada hasta que no se lo exijan, pero para aquellos que quieran conocer el nivel más operativo de un proyecto de seguridad Integral, vamos a tomar de referencia el ámbito PIC.

La imagen anterior presenta la ubicación y aplicación práctica de los servicios necesarios en este tipo de proyectos, así como los ámbitos involucrados en cada apartado, que están representados por las cajas de colores, según el código establecido en la Imagen 1.

Análisis Inicial

El primer paso consiste en analizar las necesidades en materia de protección de las infraestructuras estratégicas, con el fin de determinar de manera exacta la situación de partida y definir las necesidades concretas existentes de cara al cumplimiento de las exigencias vigentes.

Adecuación a las exigencias legales

Pese a no ser estrictamente exigencias legales, los operadores estratégicos deberían avanzar, a partir del análisis inicial, en adecuar sus infraestructuras a las necesidades identificadas en relación a su seguridad y protección:

  • Desarrollo del Plan de Seguridad del Operador: El primer hito sería elaborar un plan de seguridad del operador estratégico, preferiblemente siguiendo las indicaciones de la Resolución del 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador. Si ya hay una guía, ¿por qué no aprovecharla?.
  • Desarrollo de los Planes de Protección Específicos: El siguiente paso debería ser la elaboración del plan de protección específico de cada una de las infraestructuras estratégicas del operador. En definitiva: determinar las medidas de seguridad concretas que tanto a nivel físico se van a aplicar para proteger esas infraestructuras. Y de nuevo, la forma más sencilla es seguir las indicaciones de la Resolución del 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Protección Específicos… pero con la tranquilidad adicional de no tener detrás al “profesor” que corrige el examen.
  • Despliegue de Planes de Seguridad y Protección: A continuación habrá que desplegar los planes de seguridad y de protección específicos, desarrollando todos los protocolos y pautas de actuación previstas. De esta fase dependerá que el resultado final se convierta en una montaña de papeles o logremos disponer realmente de un mecanismo eficaz para proteger las infraestructuras estratégicas.
  • Implantación de medidas de seguridad: A la vez que se despliegan los planes habrá que ir implantando todas las medidas de seguridad tecnológicas previstas, tanto a nivel físico como a nivel “ciber”. Por lo tanto, será necesaria la participación conjunta de todas las áreas para ir aplicando con éxito los planes definidos.

Operación y mantenimiento de la seguridad

La finalización de la fase de adecuación no es el final, sino el principio. A partir de este momento comienza la hora de la verdad: aplicar todos los cambios realizados y asegurarse de que se aplican y mantienen de manera eficaz.

Dentro de esta fase de operación y mantenimiento de la seguridad es conveniente tener claras las necesidades de seguridad que van a tener estas infraestructuras esenciales y los ámbitos de actuación en los que habrá que trabajar:

  • Gestión de la seguridad: Será necesario un perfil especializado para la gestión de la seguridad, con capacidad para mantener la sistemática de gestión desarrollada.
  • Operación de seguridad: También será preciso contar con perfiles que se encarguen de las tareas de operación y mantenimiento de las tecnologías de seguridad (física y lógica) dispuestas en torno a las infraestructuras esenciales.
  • Despliegue de centros expertos: los operadores esenciales tienen la posibilidad de desplegar centros expertos para la integración de las diferentes funciones que desarrollan las figuras anteriores.

Aterrizando todos estos planteamientos, la mejor forma de entender las medidas de protección concretas que hay que considerar es recurrir a la guía de buenas prácticas para la elaboración del Plan de Seguridad del Operador, publicada por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), donde se presentan en tres bloques (organizativas, operacionales y técnicas), según la siguiente imagen:

Medidas de protección

Imagen 3: Medidas de protección

 

Nextel S.A. ofrece un completo catálogo de servicios que aportan soluciones en el ámbito de la gestión y la ciberseguridad para cada una de las fases del proyecto y por cada una de las medidas de seguridad consideradas, teniendo en cuenta que en aquellas medidas más alejadas de su núcleo de negocio, como son las más relacionadas con la seguridad física, tenemos establecidos acuerdos de colaboración con empresas líderes en el sector para poder ofrecer proyectos conjuntos de carácter integral.

El denominador común de estos servicios es la adaptación que permiten a las necesidades de los operadores y que todos han sido diseñados siguiendo los mejores modelos de referencia, a nivel normativo (ISO 38500, ISO 31000, ISO 27001, ISO 22301, ISO 20000, ISO 17021, ISO 9001, UNE 71505, ITIL, COSO, CobiT) y legal (Ley PIC, LOPD, LAECSP, ENS, ENI).

Para más información: http://www.nextel.es/infraestructuras_criticas/ le ofrecemos un análisis inicial gratuito.

Agustín Moyano, Product Manager de Nextel S.A.

Joseba Enjuto, Director de Consultoría de Nextel S.A.

Aparición en prensa:

Red Seguridad – 1º trimestre 2016 – Ver publicación

Share

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Captcha *