«España no ha sufrido hasta hoy incidentes importantes en los servicios esenciales», Fernando Sánchez. Director del CNPIC

«Una eficaz y eficiente colaboración entre el sector público y sector privado en el ámbito de la protección de las infraestructuras críticas debería sustentarse sobre los siguientes pilares: intercambio de información, responsabilidad compartida y confianza mutua», así lo asegura Fernando Sánchez,director del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC), quien además analiza en esta entrevista la aprobación de los primeros cinco Planes Estratégicos Sectoriales, entre otros aspectos.

Fernando Sánchez

—La aprobación de los primeros cinco Planes Estratégicos Sectoriales supone la puesta en marcha definitiva de la normativa sobre Protección de Infraestructuras Críticas, ¿qué propuestas y recomendaciones se incluirán de cara a ser desarrollados por los operadores críticos?

—Tras la constitución el pasado 30 de junio de la Comisión para la Protección de las Infraestructuras Críticas, y una vez aprobados los primeros Planes Estratégicos Sectoriales o PES (de los subsectores electricidad, gas y petróleo, del sector energético; del sector de la industria nuclear y del sector financiero), han sido designados 37 Operadores Críticos, que deberán colaborar con las autoridades competentes con el fin de optimizar la protección de las infraestructuras críticas por ellos gestionadas. Según dispone la Ley 8/2011, de 28 de abril, por la que se establecen medidas de protección para las infraestructuras críticas, el operador nombrado como crítico se integrará como agente del Sistema (de Protección de Infraestructuras Críticas), debiendo cumplir con una serie de responsabilidades, recogidas en su artículo 13. Durante esta fase, el CNPIC tendrá la condición de coordinador y supervisor general, pudiendo establecer propuestas y realizar las observaciones oportunas. Para adaptarse a los PES, los Operadores Críticos deberán elaborar:

–En el plazo de 6 meses desde su designación como operador crítico, un Plan de Seguridad del Operador (PSO), donde se recogerá la política general de seguridad y organización, insistiendo especialmente en la figura del Responsable de Seguridad y Enlace (a designar en el plazo de 3 meses), y que representará al operador crítico ante la Secretaría de Estado de Seguridad en todas las materias relativas a la seguridad y en los delegados de Seguridad, por cada una de sus infraestructuras consideradas crítica, o crítica europea que gestione la entidad. Además incluirá la relación de servicios esenciales prestados, el método de análisis de riesgos que garantice la continuidad de los servicios prestados por el operador, los criterios de aplicación de medidas de seguridad integral, el programa de formación y la documentación adicional relativa a la normativa, buenas prácticas y de coordinación con otros planes.

–En el plazo de 4 meses a partir de la aprobación del PSO, un Plan de Protección Específico (PPE) que desarrollarán por cada una de las infraestructuras consideradas como críticas en el Catálogo Nacional de Infraestructuras Estratégicas, y que son los instrumentos de planificación donde se concretarán la descripción de la infraestructura, los aspectos organizativos relativos al delegado de Seguridad, su objetivo, el contenido del Plan, los resultados del análisis de riesgos, los mecanismos de coordinación y los responsables de su aprobación, el método que se utilizará para revisarlo y su actualización periódica o cuando las circunstancias así lo exijan.

–Por último, deberán facilitar las inspecciones que las autoridades competentes lleven a cabo para verificar el cumplimiento de la normativa sectorial y adoptar las medidas de seguridad que sean precisas en cada Plan, solventando en el menor tiempo posible las deficiencias encontradas.

—A grandes rasgos, ¿qué elementos, contenido y estructura comprenden estos primeros cinco planes sectoriales estratégicos?

—Cada uno de los cinco Planes Estratégicos Sectoriales elaborados está compuesto por cuatro documentos o entregables: el primero trata sobre la normativa aplicable a cada sector/subsector. El segundo define la estructura del sector/subsector, dando a conocer los servicios esenciales proporcionados a la sociedad, el funcionamiento general, tipo de infraestructura, los operadores propietarios/gestores y estableciendo un mapa de interdependencias. El tercero analiza a nivel estratégico el conjunto de los riesgos y amenazas que pueden afectar a los servicios esenciales prestados por el operador. El cuarto establece los criterios para la implantación de medidas organizativas y técnicas necesarias para prevenir, reaccionar y paliar las posibles consecuencias de los riesgos detectados. ¿Se tiene previsto acometer a corto plazo los planes del resto de sectores estratégicos (Transporte, Agua, Alimentación)? —A partir del mes de septiembre se empiezan a acometer los PES del Sector Transporte (ferrocarril, puertos, aeropuertos y carreteras), así como el referido al Sector del Agua. A comienzos de 2015 se iniciará el PES del Sector de las Tecnologías de la Información y las Comunicaciones (TIC).

—¿Ahora ha llegado el momento de que sean los operadores críticos los que elaboren y presenten los Planes de Seguridad y de Protección, ¿qué aspectos deberán incluir dentro de los textos?

—Según establece en su Art. 22 la Ley 8/2011, de 28 de abril, por la que se establecen medidas de protección para las infraestructuras críticas, los PSO son los documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de las instalaciones o sistemas de su propiedad o gestión. Una vez notificada la resolución de designación como operador crítico, en el plazo de seis meses deberán elaborar un PSO que presentará al CNPIC para su evaluación e información para su aprobación, si procede, al Secretario de Estado de Seguridad. Estos PSO deberán establecer una metodología de análisis de riesgos que garantice la continuidad de los servicios proporcionados por el Operador Crítico, donde se recojan las medidas de seguridad que se organicen para hacer frente a las amenazas físicas y lógicas identificadas sobre cada uno de sus activos. La modificación de alguno de los datos incluidos en los PSO (por ejemplo, por el inicio de una nueva línea de negocio por parte de la compañía) obligará a la automática actualización de éstos, que se llevará a cabo por los Operadores Críticos responsables y requerirá la aprobación expresa del CNPIC. En definitiva, se revisarán los PSO cuando se añada o quite alguna actividad de las desarrolladas por la infraestructura crítica y, en todo caso, cada dos años a partir de su aprobación. —¿Hace ya más de un año que CNPIC e INTECO pusieron en marcha un Equipo de Respuesta ante Incidentes – CERT

—¿Qué valoración haría de su implantación? ¿Qué acciones se han llevado a cabo desde entonces?

—Desde su creación, la valoración del CERT de Seguridad e Industria es muy positiva, ya que es el resultado de las capacidades técnicas y experiencia del personal del INTECO y de la gran capacitación en materia de ciberseguridad y de protección de infraestructuras críticas del equipo del CNPIC. En este sentido, hemos logrado conformar un equipo conjunto que, si bien anteriormente trabajaba en aspectos puntuales, puede resolver de forma más equilibrada y eficaz la resolución de incidentes y la gestión de las comunicaciones con las Fuerzas y Cuerpos de la Seguridad del Estado (FCSE). En este sentido, las principales acciones que se han llevado a cabo han sido precisamente el despliegue de personal del CNPIC en las oficinas del INTECO, y la puesta a punto de mecanismos de información con las unidades de las FCSE cuando se requiera su actuación. De forma paralela, se han llevado a cabo distintas reuniones bilaterales con empresas estratégicas nacionales, de cara a presentar los servicios del CERT y a promover la firma de convenios de confidencialidad, que garanticen una adecuada gestión de la información sensible que pueda manejarse en los trabajos habituales del CERT.

—¿Cree que la sociedad en general, está concienciada de lo que puede suponer un ataque a una infraestructura crítica?

—Actualmente, los ciudadanos disfrutan de los servicios esenciales básicos que la sociedad les reporta, tales como la energía, gas, transporte, agua, etc. Estos servicios esenciales son imprescindibles y necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y de las Administraciones Públicas. La sociedad actual tiene cada vez una mayor dependencia del complejo sistema de infraestructuras que dan soporte y posibilitan el normal desenvolvimiento de los sectores productivos, de gestión y de la vida ciudadana en general, por lo que un fallo inesperado o una interrupción no deseada debidos a causas naturales, técnicas, o bien a ataques deliberados, podrían tener graves consecuencias en los flujos de suministros vitales o en el funcionamiento de los servicios esenciales. España no ha sufrido hasta el día de la fecha incidentes importantes en los servicios esenciales que tuviesen graves consecuencias en la población. La Ley 8/2011 de 28 de abril, por la que se establecen medidas para la Protección de las Infraestructuras Críticas y el Real Decreto 704/2011 de 20 de mayo, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas, tienen la finalidad de establecer unas medidas de protección de las infraestructuras críticas que proporcionen una base adecuada sobre la que se asiente una eficaz coordinación de las Administraciones Públicas y de las entidades y organismos gestores o propietarios de infraestructuras que presten servicios esenciales para la sociedad, con el fin de lograr una mejor seguridad para aquellas, y que la sociedad en general tenga esa percepción de seguridad sobre los servicios esenciales.

—¿Cuáles son los pilares sobre los que debería asentarse una eficaz y eficiente colaboración entre el sector público y sector privado en el ámbito de la protección de las infraestructuras críticas?

—Una eficaz y eficiente colaboración entre el sector público y sector privado en el ámbito de la protección de las infraestructuras críticas debería sustentarse sobre los siguientes pilares:

—Intercambio de información. El CNPIC asegura, mediante las plataformas de comunicación incluidas en el sistema informático de gestión del Catálogo Nacional de Infraestructuras Estratégicas, la comunicación y el intercambio de información tanto con las FCSE y con los organismos competentes para la seguridad de los distintos sectores estratégicos como con los operadores (80% del sector privado).

—Responsabilidad compartida. Como no podría ser de otra forma. No se puede cargar al Estado con la responsabilidad del aseguramiento del correcto funcionamiento de los servicios esenciales, al estar el 80% de las infraestructuras críticas que los suministran en manos del sector privado. Los ciudadanos también tienen en cierta medida responsabilidad compartida, claramente en el caso del sector TIC, donde su colaboración es indispensable para el INTECO, responsable de la seguridad informática de las empresas y los ciudadanos.

—Confianza mutua. Las colaboraciones público-privadas se basan fundamentalmente en el establecimiento de relaciones sólidas entre los participantes. Se da por hecho que, si bien la participación en colaboraciones público-privadas es voluntaria, una vez se forma parte de una de ellas se asume que las conclusiones son vinculantes. La confianza mutua es la única manera de salvar la barrera del natural recelo a informar sobre incidentes, sobre todo cuando esta información pueda ser aprovechada por la competencia. ● Texto: Gemma G. Juanes