SEGURIDAD EN INFRAESTRUCTURAS CRÍTICAS: Un paso adelante y mucho camino por recorrer
En el número 283 de la revista Cuadernos de Seguridad publicado el pasado mes de noviembre, el Director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) describió cuál era en aquel momento la situación relativa a la puesta en marcha de medidas para la protección de las infraestructuras críticas. Desde entonces, se han producido hechos relevantes en este campo que están suponiendo avances tangibles y que describiremos brevemente. Además, dado que esto es sólo el principio y que el modelo ha de madurar progresivamente, plantearemos algunos desafíos a los que probablemente el país deberá enfrentarse en los próximos años .
El primer hito clave que se produjo después de noviembre fue la publicación a primeros de diciembre de la Estrategia de Ciberseguridad Nacional (ECSN) en cuyo contenido se plantean varias acciones para asegurar la Protección del Patrimonio Tecnológico de España. Así, la ECSN hace mención explícita a la importancia de proteger las Infraestructuras Críticas, estableciendo como su Objetivo II:
“Impulsar la seguridad y resiliencia de los Sistemas de Información y Telecomunicaciones usados por el sector empresarial en general y los operadores de Infraestructuras Críticas en particular.”
Poco después y tras finalizar el CNPIC el desarrollo de los Planes Estratégicos Sectoriales (Energía, Nuclear, y Financiero y Tributario), en el primer semestre de 2014 se produce un segundo hecho relevante. No es otro que el comienzo de la designación de operadores críticos por parte del CNPIC, con algo de retraso dado que esto debía haber sucedido a los 12 meses de la entrada en vigor del RD 704/2011 (20 de mayo 2011). A pesar de ello, no cabe duda de que nos encontramos ante un hecho crucial que supone un paso adelante y que desencadena un cambio sustancial, pues CNPIC traslada el testigo a los propios operadores que deberán asumir el protagonismo del siguiente paso: desarrollar sus respectivos Planes de Seguridad del Operador (PSO) para lo que disponen de seis meses tras la designación como operador crítico.
Dicho lo anterior, a finales de 2014 o principio de 2015 ya se debería disponer de los PSOs. Esto convierte a 2015 en el año de la verdad durante el que se completaría en España el marco para la Protección de Infraestructuras Críticas mediante el desarrollo de los Planes de Protección Específicos y los Planes de Apoyo Operativo dirigidos a las Infraestructuras Críticas concretas.
No debemos olvidar que estamos presenciando la primera iteración del proceso y que aún faltan sectores estratégicos por ser incorporados. Por ello, en años venideros surgirán de manera natural algunos desafíos a los que deberemos hacer frente:
1. Caracterizar las dependencias intersectoriales.
- Hacerlo permitirá identificar por un lado debilidades del modelo inicial pero por otro sinergias. Ambos aspectos podrían servir como información de entrada, tanto en el desarrollo de futuros Planes Estratégicos Sectoriales para aquellos sectores que aún no disponen del suyo, como en la revisión de los actuales dentro de 2 años.
2. Coordinación internacional en la Protección de Infraestructuras Críticas.
- No es necesario recordar que formamos parte de una comunidad internacional y para algunos de nuestros sectores estratégicos ello puede comportar dependencias de operadores de otros países. Este punto debería servir de impulso para acercarnos al Objetivo VI de la ECSN (contribuir a la mejora de la ciberseguridad en el ámbito internacional) pero no será sencillo, pues lleva asociado un impacto de naturaleza operativa en lo tocante a la disponibilidad del servicio y otro de naturaleza legislativa como miembros de la Unión Europea. Así, es muy probable que fruto de la experiencia deba revisarse la ya un poco antigua Directiva 2008/114/CE, del Consejo de la Unión Europea sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección. Como preludio a este posible cambio legislativo se inició en 2013 en Bruselas el desarrollo la Directiva NIS que, entre otros aspectos, trata el importante asunto de la comunicación de incidentes que está directamente relacionado con el rol del CERT-IC como herramienta de comunicación del Ministerio del Interior en el ámbito de las Infraestructuras Críticas.
3. Desarrollar un marco normativo de consenso (y que funcione) entre gobiernos y operadores privados.
- Por último, aunque no por ello menos importante, nos encontraremos el conflicto de intereses que surge siempre cuando se contrapone la visión de cualquier organización gubernamental (CNPIC en el caso de España) con la que pueden tener las empresas privadas (caso de muchos operadores críticos). Mientras que las primeras velan por la protección del ciudadano y del país, las segundas tienen como prioridad la rentabilidad del negocio. Con la crisis como telón de fondo, la búsqueda de un punto de encuentro entre ambas visiones para desarrollar un marco normativo de consenso se convierte en un factor clave de éxito para la protección de las Infraestructuras Críticas. En este apartado tendrá una influencia significativa la decisión que se tome sobre el desarrollo reglamentario de un marco de infracciones y sanciones como el existente por ejemplo para el sector Nuclear.
El escenario es por tanto complejo y forman parte de él numerosos actores con prioridades a veces difíciles de conciliar. Podría ayudar a acercar intereses la concienciación sobre el carácter dinámico de los riesgos que afectan a las Infraestructuras Críticas, la velocidad a la que aquellos evolucionan y el potencial impacto de su materialización. Sin embargo, la capacidad de colaboración a varios niveles, entre gobiernos de distintos países o entre lo público y lo privado o incluso entre empresas competidoras, será el factor clave que marcará la diferencia a la hora de medir el éxito futuro de la Protección de las Infraestructuras Críticas en nuestro país y en nuestro entorno.
Referencias:
- Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
- Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas
- Estrategia de Ciberseguridad Nacional de España.
- Directiva 2008/114/CE, del Consejo de la Unión Europea sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección
- Borrador de la Directiva NIS sobre medidas para asegurar un nivel uniforme de seguridad de información y redes. Este borrador fue aprobado en marzo por el Parlamento Europeo y su adopción por parte de los Estados Miembros dependerá de que se alcance un acuerdo sobre el texto definitivo entre el Parlamento Europeo y el Consejo de la Unión Europea.
Autor: Francisco Javier Diéguez Barriocanal es Responsable de Ciberseguridad Industrial de Indra y Responsable de Protección de Infraestructuras Críticas.