Retos PIC para el año 2015

SEGURITECNIA

26.02.2015

 

 

FERNANDO SÁNCHEZ, DIRECTOR DEL CNPIC

Retos PIC para el año 2015

En los últimos años, no sólo los gobiernos sino también los ciudadanos cada vez más, hemos vivido y tomado conciencia de la necesidad de proteger las infraestructuras que soportan los servicios esenciales de las sociedades modernas debido, principalmente, a la gran dependencia que tenemos de ellas.

Esto ha sido así, causado tanto por la percepción que se origina tras las amenazas ligadas al terrorismo como por la vulnerabilidad ante posible ataques a las infraestructuras que soportan el “estado de bienestar” de las naciones.

En este sentido, España, en consonancia con los países de su entorno, no se ha quedado atrás y, bajo el concepto de Seguridad Nacional, ha convertido en prioritaria la protección de las infraestructuras críticas.

En nuestro país las agresiones contra las infraestructuras críticas se engloban dentro del ámbito de las deliberadas, en especial el terrorismo; es por ello por lo que las actuaciones son lideradas desde el Ministerio del Interior. Dicho esto, no se puede obviar que para conseguir tal protección se necesita la colaboración y el esfuerzo, y por tanto la implicación, tanto de las administraciones públicas como del sector privado. De todo ello, lo que resulta finalmente es un modelo de coordinación y cooperación recíproca, que se está abriendo paso en los países desarrollados de nuestro entorno bajo el concepto sobradamente conocido de la “cooperación público-privada”.

Hasta llegar al día de hoy, muchos han sido los avances en este sentido. Los hitos más significativos han sido:

·         La aprobación, en 2007, por la Secretaría de Estado de Seguridad del Ministerio del Interior, del Plan Nacional para la Protección de las Infraestructuras Críticas, elaborándose el primer Catálogo Nacional de Infraestructuras Estratégicas. Con posterioridad, mediante Consejo de Ministros, se adoptó un Acuerdo sobre Protección de Infraestructuras Críticas y se creó el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).

·         La promulgación, en 2011, de la Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas (conocida como ‘Ley PIC’). Y, posteriormente, la publicación del Real Decreto 704/2011, que contiene el reglamento que la desarrolla.

·         En 2011 y 2012, respectivamente, fueron publicadas por el CNPIC las Guías de Contenidos Mínimos y las Guías de Buenas Prácticas. De esta forma, se adelantó a los futuros operadores críticos la información necesaria de cara a la implantación de la ‘Ley PIC’. Además, durante el año 2012, se firmó el Convenio Marco de colaboración en materia de ciberseguridad entre la Secretaría de Estado de Seguridad y la de Telecomunicaciones y para la sociedad de la información del Ministerio de Industria, Energía y Turismo con el objetivo de afrontar las ciberamenazas. De esta manera, quedó marcado el camino y, por ende, los fines a conseguir: la seguridad integral de las infraestructuras críticas; garantizar la cooperación público-privada; y, como objetivo final y más importante, proteger a la sociedad y a los ciudadanos.

·         Durante 2013, año que constituyó el punto de inflexión en esta materia, se iniciaron los estudios tendentes a la elaboración de los primeros Planes Estratégicos Sectoriales (PES), constituyéndose para ello grupos de trabajo multidisciplinares bajo la coordinación del CNPIC. Concretamente fueron abordados el sector Energético (Electricidad, Gas, Petróleo), el Nuclear y el Financiero. Además, en este año, se inauguró el CERTSI (CERT de Seguridad e Industria) como herramienta de respuesta a incidentes de ciberseguridad en el marco del sector privado en general y de los operadores de servicios esenciales en particular.

A lo largo de 2014 se han finalizado y aprobado, por parte de la Comisión Nacional PIC, los cinco PES antes mencionados. Además, como consecuencia de lo anterior y por el mismo órgano de aprobación de los PES, fueron nombrados un total de 37 operadores críticos. También durante este año, mediante la Instrucción 15/2014 de la Secretaría de Estado de Seguridad, se creó la Oficina de Coordinación Cibernética (OCC), cuyo objetivo es conseguir una mayor eficiencia en la gestión de aquellos aspectos de la Estrategia de Ciberseguridad Nacional que se encuentran bajo la competencia del Ministerio del Interior, siendo además el punto natural de interlocución con el CERTSI en materia tecnológica.

Situación actual y retos

Sistema PIC

A principios del presente año, los operadores designados como críticos por la Comisión Nacional PIC han entregado los Planes de Seguridad del Operador (PSO), que están siendo analizados en el CNPIC y que serán aprobados en su caso, previo informe de este centro, por el secretario de Estado de Seguridad.

También en 2015, los operadores críticos deberán entregar el Plan de Protección Específico (PPE) por cada una de las instalaciones críticas que gestione. Además a finales de año también deben validarse y aprobarse losPlanes de Apoyo Operativo (PAO), que son los documentos operativos donde se han de plasmar las medidas concretas a poner en marcha por las administraciones públicas en apoyo de los operadores críticos para la mejor protección de las infraestructuras críticas. Estos serán diseñados para cada una de las infraestructuras críticas existentes en el territorio nacional por el Cuerpo policial estatal o, en su caso, autonómico competente, previo informe, respectivamente, de las delegaciones del Gobierno en las comunidades autónomas o de las comunidades autónomas que tengan competencias estatutariamente reconocidas para la protección de personas y bienes, así como para el mantenimiento del orden público.

A la vez que se trabaja con la hoja de ruta que se ha descrito en los sectores Energético, Nuclear y Financiero, se está realizando el mismo proceso o “camino” para los nuevos PES que tienen prevista su aprobación a mediados de este año. Concretamente serán cinco nuevos PES que corresponderán al sector de Transporte (Aéreo, Ferrocarril, Carretera y Marítimo) y al de Agua. También, en el segundo semestre del presente año, se iniciarán los trabajos para la elaboración del PES correspondiente al sector TIC, al ser este un sector vital e influyente de manera transversal en el resto de los sectores estratégicos.

En otro orden de cosas, aunque ineludiblemente unido al trabajo del CNPIC, con la publicación hace pocos meses de la nueva Ley 5/2014 de Seguridad Privada ha quedado de manifiesto la consideración de la seguridad privada como una actividad con entidad propia, pero integrante de la seguridad pública, siendo la tendencia la integración de las distintas seguridades en un concepto de seguridad integral.

Como se ha mencionado, en el año 2007 fue aprobado el Plan Nacional de Protección de Infraestructuras Críticas. Este plan nació con el objetivo de desarrollar y poner en marcha una serie de actuaciones para la protección de las infraestructuras estratégicas, con la idea principal de reducir la vulnerabilidad de éstas frente a los riesgos de carácter terrorista o actos criminales que pudieran perpetrarse contra ellas. Como quiera que las capacidades operativas y las medidas necesarias para asegurar la protección permanente de éstas están cambiando, debido a que el tipo de amenaza se está globalizando y tecnificando (amenazas de tipo físico y, sobre todo, de tipo lógico), se hace necesaria una actualización de este Plan adaptarlo a los cambios sociales, así como a las tendencias y amenazas emergentes, que se producirá en buena lógica a lo largo de 2015.

Ciberseguridad

En relación con la ciberseguridad, la creación de la OCC ha supuesto un hito importante en este ámbito al constituirse como órgano técnico de coordinación de la Secretaría de Estado de Seguridad, orgánicamente dependiente del CNPIC. Dicha Oficina está prestando a los operadores de servicios esenciales, tanto críticos como estratégicos, a través del CERTSI los siguientes servicios: respuesta a incidentes, detección proactiva, alerta temprana, sensorización, information gathering y participación en ciberjercicios.

Dentro de la materia ciber, la Estrategia de Ciberseguridad Nacional (ECSN), aprobada en el año 2013, también ha supuesto un avance importante en el ámbito de la ciberseguridad como documento que sirve de fundamento al Gobierno de España en materia de protección del ciberespacio, utilizándose como herramienta de implantación, de forma coherente y estructurada, de las acciones para la prevención, defensa, detección y respuesta frente a las ciberamenazas.

Dicho documento se ha constituido en un marco de referencia del modelo integrado basado en la implicación, coordinación y armonización de todos los actores y recursos del Estado, en la colaboración público-privada, y en la participación de la ciudadanía. Para ello, el Consejo Nacional de Ciberseguridad (CNCS) acordó proceder a marcar las directrices de desarrollo de la ECSN en los dos próximos años, mediante un Plan Nacional de Ciberseguridad (PNCS), que desarrolle a través de actuaciones concretas las líneas de acción previstas en la ECSN. Este Plan, aprobado a finales del pasado año, tiene como misión lograr que España haga un uso seguro de los sistemas de información y telecomunicaciones, mediante el cumplimiento de los objetivos recogidos en la ECSN, estando los mismos  directamente relacionados con las líneas de acción contempladas en la ECSN y desarrollándose a través de la elaboración de los planes derivados correspondientes.

Los planes mencionados deberán elaborarse en el plazo de seis meses desde la aprobación del PNCS, es decir, a principios de mayo del presente año. En este sentido, la Línea de Acción 3 del PNCS, cuyo contenido marca la elaboración del Plan de protección y resiliencia de los sistemas de información y telecomunicaciones que soportan las infraestructuras críticas, ha sido encargada a un grupo de trabajo presidido por el Ministerio del Interior, que en la actualidad se encuentra en pleno desarrollo.

Presencia internacional

Desde el punto de vista internacional, también se van a producir grandes acontecimientos en nuestro país en los que el CNPIC tendrá un peso significativo. Así, durante la segunda quincena de octubre, España organiza y será la anfitriona de la Conferencia Meridian 2015, evento que ha sido celebrado en una región distinta del mundo cada año (desde 2007). La primera de estas conferencias fue auspiciada por el Reino Unido en 2005, y las subsiguientes celebradas en Hungría, Suecia, Singapur, los Estados Unidos de América, Taiwán, Qatar, Alemania, Argentina y Japón. Su objetivo fundamental es establecer una relación de confianza y cooperación en materia de Protección de Infraestructuras Críticas de la Información (CIIP, acrónimo de Critical Information Infrastructure Protection) entre los países miembros, centrándose en el apoyo a la creación de las capacidades ciber de los decisores políticos, además de proporcionar una oportunidad para compartir las mejores prácticas de todo el mundo.

Además, en esta ocasión, la Conferencia Meridian coincidirá con el IX Encuentro Internacional sobre la Seguridad de la Información (ENISE). El noveno ENISE pretende revisar y profundizar en la evolución de amenazas cada vez más complejas y sofisticadas, así como identificar los aspectos más destacables relativos a la organización y coordinación de las estrategias y capacidades disponibles por parte de los diferentes agentes involucrados en la ciberseguridad.

 

 

Accesos directos:

Versión para imprimir Versión para imprimir | Mapa del sitio
© Amasplus Ingeniería SL