Yo te nombro Infraestructura Crítica

Artículo escrito por Francisco Esteban Lueje y Javier González Pascual.

“Bienvenido al club de las Infraestructuras críticas. Ud. junto a otras 36 operadoras más, ha sido designado por el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) como operador crítico de alguna de las más de 150 infraestructuras consideradas como “críticas” dentro de los 12 sectores que aseguran la prestación de servicios esenciales (Administración, Agua, Alimentación, Energía, Espacio, Industria Química, Industria Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y Tributario, Tecnologías de la Información y las Comunicaciones, y Transporte)”

Este podría haber sido el comunicado ofrecido en su nombramiento a los integrantes responsables de seguridad y altos directivos de los 37 operadores críticos designados por el CNPIC en su sesión constitutiva. La realidad es que muchos de los operadores designados eran conscientes de su nombramiento, pues habían sido partícipes y colaboradores para lograr un alto grado de consenso, como paso previo a la aprobación de los primeros planes.

Actualmente, en una primera fase se ha implantado en los sectores Energéticos y Financieros, para en fases posteriores extenderlo a los demás sectores afectados.

Aterricemos, ¿qué significa que una infraestructura sea crítica?

El sistema actual de infraestructuras debe, como mínimo, asegurar la prestación de aquellos servicios considerados esenciales. Pero no es la Administración Pública la que gestiona la mayor parte de estas. De ahí que surja la necesidad de que exista una colaboración público-privada que ponga en práctica nuevas estrategias y políticas que garanticen dichos servicios ante amenazas derivadas de posibles ataques deliberados, con origen tanto físico como cibernético.

Bueno, y formar parte de las Infraestructuras Críticas, ¿a qué me obliga?

La designación de un operador como crítico conlleva la obligación de éste de desarrollar una planificación donde se plasmen las políticas de seguridad, metodologías y análisis de riesgos que permitan la protección de unos activos que son especialmente importantes para la prestación de servicios esenciales para la sociedad.

Bien es verdad que la mayoría de operadores designados ya tienen mucho trabajo avanzado en esta materia y cuentan con departamentos de seguridad dirigidos por personal cualificado.

Y si no soy del Sector Energético o Financiero, ¿Cuándo llegará mi turno?

Si todo va según fechas, para la primavera de 2015 se pretende extender a más sectores con lo que comenzar a tomar medidas puede ser una gran idea de cara al próximo ejercicio.

¿Qué implicaciones tiene formar parte de este grupo?

Podrá contar en todo momento con el asesoramiento, experiencia y supervisión del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), a través de una nueva plataforma creada como canal de intercambio de información y buenas prácticas relevantes (HERMES).

Podrá a su vez estar en línea directa y exclusiva para tratar asuntos relacionados con la ciberseguridad con el CERT (Centro de Respuesta a Incidentes de Seguridad) de Seguridad e Industria que opera en León. El CERT proporciona por tanto un soporte especializado en materia de seguridad y prevención ante la detección de amenazas, y que, hablando en plata, actuará como “teléfono rojo” para los operadores críticos ante cualquier evento que afecte a la ciberseguridad.

Además formar parte de este club supone a su vez su inclusión automática en el Sistema de Protección de Infraestructuras Críticas, recibiendo una consideración especial por las Fuerzas y Cuerpos de Seguridad, quienes las integrarán en sus propios sistemas de planificación y en los servicios proporcionados para la seguridad pública.

Vale sí, pero ¿ese grupo a qué se dedica?

De momento se ha fijado un calendario de trabajo cuyo primer hito será que cada operadora designe un Responsable de Seguridad que sirva de “enlace” de comunicación oficial con el CNPIC.

A partir de ese momento, se abre la veda, legislación mediante, para que estos operadores críticos elaboren sus respectivos Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE).

Y como nadie nace sabiendo, además, para reforzar la concienciación sobre estos planes, se programarán ejercicios de seguridad y simulacros desde el CERT.

Hablas de una legislación mediante, ¿qué ley es esa?

De la Ley PIC. Esta Ley, aparecida en 2011 (BOE num 102), es la que regula las especiales obligaciones que deben asumir tanto las Administraciones Públicas como los operadores de las infraestructuras críticas y fija un calendario para que no se eternice la elaboración del PPE y del PSO.

PSO, PPE… ¿qué son?

El PSO es el Plan de Seguridad del Operador. Es el documento estratégico donde se recogerán las políticas generales de los operadores críticos. En él, habrá que detallar, además de las políticas de seguridad, la relación de servicios esenciales prestados, la metodología seguida para el análisis de riesgos (amenazas físicas y lógicas), su modelo de gestión y el criterio que se va a seguir para la aplicación de medidas de seguridad adecuadas.

El objetivo del PSO es poder llegar a garantizar la seguridad o la gestión del conjunto de instalaciones o sistemas de su propiedad.

Para poder elaborarlo se debe tener en cuenta varios aspectos, tales como, la identificación de los activos más importantes, la metodología de análisis de riesgos a seguir, la detección de posibles amenazas o vulnerabilidades, las repercusiones que se podrían tener en caso de que ocurra un incidente grave y, sobre todo, de qué medios técnicos, organizativos, de control o verificación se disponen para hacerlos frente.

No hay que olvidarse de incluir a su vez, aspectos formativos y de concienciación que se lleven a cabo para reforzar este plan de seguridad.

Y el PPE…

En lo que respecta al PPE, se trata del Plan de Protección Especifico, el cual engloba los documentos catalogados como operativos. En él se deben definir las medidas concretas tanto existentes, como las que se vayan a adoptar por los operadores críticos.

Para poder elaborarlo, habría que recopilar toda la información de la organización necesaria como pueden ser todos aquellos procedimientos que sirvan de coordinación, o establezcan procedimientos de aprobación, responsabilidades o delegaciones. Además, se debe partir de un conocimiento profundo de la infraestructura sobre la que se va a elaborar el plan como pueden ser, los activos/elementos detectados, la dependencia que hay entre ellos o a cuantos procesos dan soporte, para poder valorar el impacto que podría suponer.

Una vez extraídos estos datos, se podrá realizar el análisis de riesgos junto con la metodología marcada por nuestro PSO. Así, Obtendremos una criticidad por activo y podremos pasar a gestionar el riesgo de una forma más efectiva, es decir, conociendo los riesgos a los que estamos expuestos, podemos valorar nuestro apetito de riesgo y actuar en consecuencia. Esta actuación consistirá en definir las medidas de seguridad que necesitemos para poder cubrir el riesgo, ya sea en el ámbito Organizativo como en el Operacional o de protección.

Por último “solo” nos queda realizar el plan de acción para poder vertebrar una serie de acciones a llevar a cabo para cubrir los riesgos y poder así proteger de manera eficaz y eficiente nuestras infraestructuras críticas.

¿De qué plazos dispongo para realizar estas tareas?

La forma de actuar, sería que se fijase un calendario interno puesto que la Ley PIC ha establecido plazos para ello y son bastante ambiciosos, ya que se dispone de 6 meses para presentar el PSO, y si este es aprobado, 4 para presentar el PPE. Se espera que el CNPIC sea flexible ante la implantación gradual de las medidas de control que se establezcan, aceptando además, la adecuación de los planes de seguridad ya existentes.

Tengo hecho el PSO y el PPE, ¿esto es todo?

Se sabe que las infraestructuras cambian y las amenazas y los riesgos con ellas. Por ello estos planes de seguridad deberán actualizarse según se produzcan cambios en la actividad de las infraestructuras además de estar sujetos a revisiones periódicas con plazos establecidos de 2 años.

Vale, sí, pero te tengo que confesar algo: yo no soy Infraestructura Crítica

Aunque la Ley PIC vaya dirigida a estas grandes corporaciones propietarias de infraestructuras importantes para la nación, debido a las interdependencias existentes con pequeñas y medianas empresas en su manejo y gestión, hace que la ciberseguridad deba ser una preocupación compartida ya que pueda verse afectada su supervivencia por la ocurrencia de incidentes de ciberseguridad sobre las Infraestructuras Críticas.

Asimismo, aunque una infraestructura no haya sido designada cómo crítica por el CNPIC, es probable que el operador decida incluirla dentro de la aplicación de medidas, ya sea por robustecer su seguridad o por dar un valor añadido a los servicios provistos desde dicha infraestructura.

Finalmente, en esta crónica de lo que conlleva el nombramiento de una infraestructura crítica, acabamos con un panorama esperanzador, con la sensación de haber arrancado definitivamente, siendo conscientes de que el camino por recorrer es largo, pero seguros de cómo lograrlo.