Las asignaturas pendientes de las infraestructuras críticas
Pese a la extensa normativa sobre protección de infraestructuras críticas, España se enfrenta aún a importantes retos en esta materia, como la coordinación de responsabilidades, la actualización del catálogo de riesgos, las auditorías periódicas, los planes formativos y la gestión integral de la seguridad. Representantes de varias asociaciones y del Ministerio del Interior explican los grandes desafíos del sector.
Nuestro país cuenta con una extensa y continuada normativa sobre protección de infraestructuras críticas (PIC), pero adolece todavía de importantes carencias en este ámbito. Entre sus desafíos actuales, Eduard Zamora, Presidente de ADSI, la Asociación de Directivos de Seguridad Integral, se refiere a una “coordinación y definición clara de responsabilidades de los CISO (Chief Information Security Officer) y los CSO (Chief Security Officer) en los organigramas de cada operador crítico”. A su juicio, “debería clarificarse cómo se coordinan y reparten sus competencias para lograr la mejor gestión integral de los riesgos bajo su responsabilidad”.
Según apunta, es preciso acabar con las actuales ambigüedades y duplicidades de funciones-responsabilidades que existen y que cada nueva normativa incrementa. “No se trata de quien de los dos lidere el proceso global, que bien pudiera ser un superior común de ambos y no uno de ellos en particular, sino de disponer de claras asignaciones de su campo de actuación”. Un segundo reto del sector es la actualización del catálogo de riesgos, “sumando a los tradicionales incidentes de desastre natural, sabotajes, vandalismos o terrorismo, las prevenciones específicas contra ataques biológicos, bioterrorismo, drones, informáticos, etc.”, indica Zamora.
A estos desafíos, se unen otros como el de “auditar periódicamente la organización de la gestión de la seguridad integral en estas infraestructuras”; y el de contar con “planes formativos completos, adaptados a cada sector-operador crítico, y actualizaciones periódicas de los mismos”.
Planes de continuidad y negocio
Según fuentes de CEUSS (Confederación Empresarial de usuarios de Seguridad y Servicios) la ley 8/2011, por la que se establecen las medidas para la protección de infraestructuras críticas, se refiere a ellas como “el conjunto de actividades destinadas a asegurar la funcionalidad, continuidad e integridad, para prevenir, paliar y neutralizar el daño causado por un ataque deliberado”.
A la vista de lo ocurrido durante los primeros meses de pandemia, destaca la importancia de que “todos los servicios esenciales revisemos nuestros planes de continuidad, tanto de los negocios específicos como de los corporativos”. En segundo lugar, afirma que el coronavirus ha puesto de manifiesto la necesidad de reevaluar los servicios esenciales de la sociedad, “así que es previsible y deseable que se haga una nueva catalogación de operadores e infraestructuras críticas”.
Finalmente, asegura que el paso del modelo de planes de protección específicos al de certificación va a suponer “una oportunidad para sensibilizar a los comités de dirección de las empresas de la importancia de llevar a cabo una gestión integral de la seguridad, tanto física, como de los sistemas de información y de control industrial”. Así como de “mantener las inversiones, aún en tiempos de crisis económica, reforzando las estructuras y los departamentos de esta materia, y manteniendo en plazo y presupuesto los proyectos previstos”.
Servicios esenciales
Fernando José Sánchez Gómez, Director del Centro Nacional de Protección de Infraestructuras Críticas (Ministerio del Interior), recuerda que la sociedad actual es cada vez más dependiente de los servicios esenciales, que son proporcionados en su mayor parte por infraestructuras críticas (IC). Y advierte de que “la interrupción o destrucción de una IC puede acarrear una cascada de efectos negativos, arrastrando en su caída a otros sistemas o instalaciones, con una repercusión muy grave sobre los servicios básicos al ciudadano o al funcionamiento del Estado”.
En este contexto, indica que “es precisamente esa condición de dependencia mutua, propia de la sociedad globalizada actual, la que presenta el mayor riesgo para la seguridad de nuestro sistema de infraestructuras críticas, lo que hace imprescindible que todos y cada uno de los agentes involucrados en la provisión y seguridad de nuestros servicios esenciales (tanto los operadores críticos como las autoridades) cumplan con su parte, ya que el eslabón más débil siempre es quien condiciona la seguridad de toda la cadena”.
Según explica, conforme pasan los años surgen nuevos riesgos, en su mayor parte nacidos de los avances tecnológicos, que “amenazan a las tecnologías de la operación y los sistemas de control industrial de nuestras infraestructuras, o a través de elementos externos de difícil control como los RPA o drones”. Sin embargo, “el mayor de los peligros es la falta de visión de conjunto y de generosidad de algunos operadores y autoridades, que no entienden que para prevenir y reaccionar ante una amenaza global es preciso desarrollar estrategias integradoras y de amplio espectro, obviando intereses corporativos y personalismos”.
Así, concluye que hay que actuar fundamentalmente sobre la propia organización, creando estructuras y departamentos fuertes e integradores de seguridad. “Se trata de unir capacidades, no de dividir; de ver el bien común para la organización, no de crear, o mantener, reinos de taifas”.