Fernando Sánchez. Director del Centro Nacional para la Protección de Infraestructuras Críticas. CNPIC

Con la implantación del Sistema Nacional de Protección de Infraestructuras Críticas hemos tratado de impulsar una nueva visión de la seguridad, más moderna y más participativa, basada en la confianza mutua y en el intercambio y la explotación de la información disponible por todas las partes». Son palabras de Fernando Sánchez, director del Centro Nacional para la Protección de Infraestructuras Críticas, quien a lo largo de esta entrevista analiza el estado actual de las infraestructuras críticas en España en cuanto a seguridad, así como los logros conseguidos por la institución desde su puesta en marcha, entre otros aspectos.

fernando-sanchez-dtor-cnpic—El Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) constituyó recientemente la Mesa de Coordinación para la protección de las Infraestructuras Críticas, ¿cuál es el pilar fundamental sobre el que se asienta su puesta en marcha? ¿Cuáles son sus objetivos fundamentales?

—La Mesa de Coordinación para la Protección de las Infraestructuras Críticas es una de las medidas contempladas en el nuevo Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC), que ha venido a sustituir al anterior Plan, que databa de mayo de 2007. El PNPIC fue aprobado por el Ministerio del Interior en febrero de este mismo año y fue presentado por el Secretario de Estado de Seguridad, el pasado 8 de marzo, a los operadores críticos, lo que da indicios de la importancia que para nosotros tiene. La Mesa es precisamente una de las directrices que el Secretario de Estado de Seguridad marcó como prioritarias, dentro del citado Plan.

El objetivo último de la Mesa de Coordinación PIC es mantener una línea de contacto directo operativo entre  la Secretaría de Estado de Seguridad, como autoridad responsable en materia de protección de infraestructuras críticas, y los operadores de los servicios esenciales. Precisamente por eso están representados dichos operadores, a razón de uno por cada uno de los diferentes sectores o subsectores evaluados. De momento contamos con representantes de los sectores de la Energía Eléctrica, Gas, Petróleo, Sistema Financiero, Industria Nuclear, Transporte Marítimo, Aéreo, por Carretera, y Agua. Y en la próxima reunión se integrarán probablemente la Industria Química y del Espacio (recién aprobados sus Planes Estratégicos Sectoriales en julio), que deberán organizarse internamente para nombrar un representante.

Sus objetivos fundamentales son:

-Mantener una línea directa de contacto entre la SES, a través del CNPIC, y los operadores de servicios esenciales para coordinar las medidas operativas de seguridad.

-Ser un órgano permanente de apoyo para el seguimiento y coordinación de las medidas de protección activadas, por los operadores críticos, así como para el establecimiento de procedimientos de colaboración y comunicación entre los distintos agentes del Sistema de Protección de Infraestructuras Críticas.

-Transmitir a la comunidad de operadores críticos, a través de sus representantes, información relevante, propuestas y buenas prácticas en el marco de la protección de las infraestructuras críticas y del Plan de Prevención y Protección Antiterrorista.

-Constituir un foro permanente de discusión, abierto y dinámico, entre la comunidad de operadores de servicios esenciales y la autoridad en materia de protección de las infraestructuras críticas.

Por lo tanto, se puede decir que el eje definitorio de la Mesa de Coordinación para la Protección de las Infraestructuras Críticas, es el mayor acercamiento a los operadores de servicios esenciales, destacando su carácter eminentemente operativo.

—Como máximo responsable del CNPIC, ¿cuáles considera que han sido los máximos logros del Centro desde su puesta en marcha? ¿Cuáles son sus retos de cara a los próximos años?

—Fundamentalmente hemos tratado de impulsar, con la implantación del Sistema Nacional de Protección de Infraestructuras Críticas, una nueva visión de la seguridad, más moderna y más participativa, basada en la confianza mutua y en el intercambio y la explotación de la información disponible por todas las partes.

Todo ello no lo hubiéramos conseguido sin una colaboración decidida de todos los agentes del mismo, entre los cuales debo destacar la participación de los operadores críticos, tanto públicos como privados. Quizás el mayor logro, que es también mi mayor satisfacción personal, y que me gustaría remarcar, es la creación de una comunidad de trabajo integrada por decenas de organizaciones, en la que ya están presentes más de 100 operadores de servicios esenciales y múltiples organismos del Estado y otras administraciones. Esta Comunidad PIC comparte problemáticas, metodologías, información y, en muchos casos, recursos.

Creo que es precisamente la sinergia conseguida con la implantación del Sistema Nacional de Protección de Infraestructuras Críticas, que está dando ya sus frutos en el plano operativo y que ha contribuido a identificar a España como una referencia internacional en la materia, el principal objetivo, aún no conseguido plenamente, que se deduce del trabajo del CNPIC en los últimos años.

Todos estos logros, traducidos en números, podrían sintetizarse en lo siguiente:

-Una ley, un reglamento, 3 resoluciones, 5 instrucciones del Secretario de Estado de Seguridad y 7 acuerdos/protocolos de colaboración.

-Un Plan Nacional de Protección de Infraestructuras Críticas, coordinado con el Plan de Prevención y Protección Antiterrorista.

-12 Planes Estratégicos Sectoriales aprobados (Electricidad, Gas, Petróleo, Industria Nuclear, Sistema Financiero, Transporte Marítimo, Aéreo, Ferrocarril, Carretera, Agua, Industria Química y Espacio).

-106 operadores críticos designados, que a su vez han redactado o están en proceso de redactar sendos Planes de Seguridad del Operador, donde se plasmen las políticas de seguridad de cada organización y las metodologías y procedimientos empleadas.

-Varios centenares de infraestructuras críticas identificadas, sobre las cuales los operadores deben ejecutar sus respectivos Planes de Protección Específicos y las Fuerzas y Cuerpos de Seguridad sendos Planes de Apoyo Operativo.

En el ámbito de la ciberseguridad, como parte del concepto de seguridad integral promovido desde sus inicios por este Centro, los objetivos que han podido ser cubiertos durante esta etapa han sido fundamentalmente aquellos que han podido colaborar a dotarnos de capacidades técnicas, humanas y operativas para dar respuesta y servicio a nuestros operadores de servicios esenciales.

A ello responde la alianza establecida con el Instituto Nacional de Ciberseguridad (INCIBE), a través de un Acuerdo Marco de Colaboración en materia de Ciberseguridad entre la Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. Este Acuerdo fue actualizado con fecha 21 de octubre de 2015.

De este acuerdo deriva la creación (en octubre 2012) de un Equipo de Respuesta a Incidentes Cibernéticos (CERTSI_) con sede en León. Por Acuerdo del Consejo Nacional de Ciberseguridad de 29 de mayo de 2015, el CERTSI_ es el CERT Nacional competente en la prevención, mitigación y respuesta ante incidentes cibernéticos en el ámbito de las empresas, los ciudadanos y los operadores de infraestructuras críticas, bajo la cooperación del CNPIC y del Instituto Nacional de Ciberseguridad.

Para coordinar la figura del CERTSI_ con los órganos del Ministerio del Interior, se creó en 2014 la Oficina de Coordinación Cibernética (OCC), cuyo objetivo es conseguir una mayor eficiencia en la gestión de aquellos aspectos de la Estrategia de Ciberseguridad Nacional que se encuentran bajo la competencia del Ministerio del Interior, siendo además el punto natural de interlocución con el CERTSI_ y las Fuerzas y Cuerpos de Seguridad del Estado en materia tecnológica.

Por lo que respecta a los retos planteados:

Como ya se ha expuesto en el apartado anterior, a lo largo de los últimos años España ha conseguido realizar importantes avances en lo que respecta al desarrollo e implantación del Sistema de Protección de Infraestructuras Críticas emanado de la Ley 8/2011. Íntimamente ligada a éste, se ha identificado a la ciberseguridad como uno de los procesos clave para garantizar la seguridad nacional y, en consecuencia, a partir de la Estrategia de Ciberseguridad Nacional de diciembre de 2013, nuestro país ha dado numerosos e importantes pasos en este sentido. En todo este esquema, el CNPIC está siendo una de las piezas centrales, contribuyendo a edificar y a coordinar un complejo escenario que es parte integrante de un nuevo modelo de seguridad, que está rápidamente evolucionando como consecuencia del cambio tecnológico de la sociedad y de las nuevas tipologías de amenazas a las que nos enfrentamos.

La culminación del proceso de cambio a este nuevo modelo de seguridad, que debe estar adaptado a las necesidades actuales de nuestra sociedad, y donde el Ministerio del Interior está llamado a ser uno de los actores principales, debe producirse en los próximos años; por una parte, con la implantación definitiva del Sistema de Protección de Infraestructuras Críticas, que conlleva la finalización del proceso de planificación y el perfeccionamiento del sistema de control del proceso; y, por otra parte, con la configuración de una Estructura Nacional de Ciberseguridad, donde el Ministerio del Interior tenga el protagonismo y liderazgo que por competencias merece. Ambos objetivos pueden ser conseguidos en un plazo de 2 – 4 años.

Obviamente, la dotación y adecuación de recursos humanos, presupuestarios y materiales es una necesidad para este Centro para seguir acometiendo sus misiones.

industrial—Hace poco más de un año ya se encontraban finalizados los Planes Estratégicos Sectoriales del Transporte y del Agua-¿cómo se han llevado a cabo su implementación?, ¿Qué valoración haría de la misma?

—El Sistema PIC está formado por instituciones, órganos y empresas, tanto del sector público como del privado, que tienen responsabilidades en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos.

El esquema de implantación de dicho Sistema viene diseñado por los Contenidos Mínimos para los Planes de Seguridad del operador y para los Planes de Protección Específicos, que se publicaron mediante Resolución de la Secretaría de Estado de Seguridad de 8 de septiembre de 2015, y por la Instrucción 10/2015, del mismo órgano, por la que se regula el proceso de implantación del Sistema PIC a nivel territorial.

Estas normas conllevan el establecimiento de unas líneas maestras, de obligado cumplimiento, tanto por los operadores críticos como por parte de las Fuerzas y Cuerpos de Seguridad competentes

La valoración, hasta el momento, es muy satisfactoria. Los operadores correspondientes a la primera fase (energía, industria nuclear y sistema financiero) están culminando ya sus responsabilidades de planificación.

En lo que respecta a la segunda fase (transporte y agua), se está iniciando el proceso por el cual los operadores críticos designados –que presentan respecto a los de la primera fase la diferencia de estar mucho más participados (incluso en algunos casos en su totalidad) por el sector público–, están entregando sus respectivos Planes de Seguridad del Operador. Hay que tener en cuenta que, en muchos de estos casos, la planificación en materia de protección de infraestructuras críticas debe convivir con otra ya existente, derivada de su propia normativa (caso de puertos y aeropuertos, por ejemplo).

No obstante, y considerando en algunos casos puntuales una menor madurez en materia de seguridad, los operadores designados de estos sectores están asumiendo, de manera general, sus responsabilidades más allá de la coyuntura económica o de cualquier otra circunstancia.

—¿Qué medios o protocolos existen para la coordinación entre operadores, CNPIC, Fuerzas y Cuerpos de Seguridad…?

—El Plan Nacional de Protección de las Infraestructuras Críticas recientemente actualizado es el documento estructural que precisamente permite dirigir y coordinar las actuaciones precisas para proteger las infraestructuras críticas contra posibles ataques deliberados de todo tipo, incluidos los ciberataques. Como mayor novedad se encuentra la creación de la Mesa de Coordinación en la que tienen una participación activa los operadores.

Además, en los distintos Planes que se elaboran (PES, PSO, PPE y PAO) se recogen los criterios definidores de las medidas a adoptar para hacer frente a una situación de riesgo, así como la articulación de los mecanismos de protección coordinada entre los diferentes operadores titulares y las Fuerzas y Cuerpos de Seguridad, ante una alerta de seguridad.

En este esquema es crucial la figura del Responsable de Seguridad y Enlace, como representante en esta materia de cada uno de los operadores críticos. Esta figura, además de los requisitos de formación y cualificación necesarios, deberá tener la capacidad de decisión y de interlocución necesaria dentro de su organización para constituirse como punto de contacto permanente y con línea directa con el CNPIC en cualquier momento que lo precise.

De manera mucho más específica, hay que significar la intervención del Servicio de Gestión 24H (SG24h), como punto de contacto para el intercambio inmediato de información e incidentes entre los operadores críticos y el CNPIC, a través de un Protocolo de Intercambio de Información de Incidentes desarrollado al efecto, y que se aloja en una plataforma informática (π3), puesta a disposición de los operadores críticos desde el primer momento.

En el ámbito de la ciberseguridad, los operadores de infraestructuras críticas, públicos o privados, designados en virtud de la aplicación de la Ley 8/2011, tienen en el CERTSI_ su punto de referencia para la resolución técnica de incidentes de ciberseguridad que puedan afectar a la prestación de los servicios esenciales. Entre los servicios que se prestan se encuentran, entre otros, los de respuesta a incidentes 7x24h, detección proactiva, alerta temprana y sensorización, disponibles todos ellos a través de medios telemáticos, sin perjuicio de la posibilidad de contacto directo telefónico.

—¿Cuál es el estado actual de las infraestructuras esenciales de España en cuestión de seguridad? ¿Cree que los operadores se adaptarán rápidamente a las demandas de los Planes Específicos Sectoriales?

—Desde el CNPIC, siempre hemos apostado por una cultura de la seguridad basada en la seguridad integral (física y lógica), de los activos, redes y sistemas sobre los que se asientan los servicios esenciales. Y, por lo general, en España, estas infraestructuras gozan de un buen nivel en materia de seguridad.

Los operadores, en el ámbito de la seguridad, cuentan por lo general con departamentos de Seguridad dirigidos por grandes especialistas, que son en su inmensa mayoría los responsables de Seguridad y Enlace a los que hacía mención en la anterior cuestión; en segundo lugar, tienen ya mucho trabajo hecho en materia de seguridad, por lo que lo esperado es que sólo deban incluir, en sus propios planes de seguridad, algunas de las propuestas o recomendaciones de los contenidos mínimos recogidos tanto en las Guías del Plan de Seguridad del Operador, como en las del Plan de Protección Específico.

Otra cosa, más compleja y delicada, es la adaptación estructural que muchas organizaciones están ya acometiendo, o deben acometer, para adaptarse a ese concepto de seguridad integral al que antes hice referencia y que está consignado en la Ley 8/2011. Es preciso entender que la seguridad de una cadena es la del eslabón más débil, por lo que no se puede dejar de efectuar una aproximación conjunta al problema de la SEGURIDAD, con mayúsculas. Y ello exige procesos de dirección, gestión, coordinación y comunicación conjuntos en materia de seguridad que no pueden distinguir entre si la amenaza proviene del campo físico o del ciberespacio.

Desde el CNPIC somos conscientes de que ese proceso de adaptación y de integración está suponiendo cambios orgánicos y estructurales en las organizaciones, no siempre fáciles de digerir, pero también estamos convencidos de que vamos en la buena dirección, y de que es preferible llevar a cabo los cambios de esta manera a que se nos imponga en un futuro de manera forzada, motivada por el curso de los acontecimientos. Precisamente por eso, ofrecemos nuestra colaboración y somos todo lo flexibles que podemos con los operadores, a la hora de implantar las medidas que aparecen previstas en los diferentes planes;  pero también les animamos a que continúen con esta labor sin dilaciones innecesarias.

—¿Cree que la sociedad en general, y el ciudadano en particular, está concienciada de lo que puede suponer un ataque a una infraestructura crítica?

—En los últimos tiempos, la sensibilidad del ciudadano ante el fenómeno terrorista ha cambiado profundamente, incrementándose la percepción que dicha amenaza puede suponer a la sociedad en su conjunto, incluso sobre la vida personal.

A pesar de todo ello, el ciudadano de a pie no tiene demasiado interiorizado que como mero ciudadano su participación es importante en la seguridad de todos. Esto es fácilmente detectable en aspectos tales como la seguridad de sus propios aplicativos telemáticos o telefónicos. En muchos casos, los ciudadanos no somos conscientes del riesgo que entraña manejar dispositivos electrónicos sin las medidas de seguridad adecuadas.

Esto, trasladado al tema que nos ocupa (protección de infraestructuras críticas) nos puede hacer ver que, en general, el ciudadano medio no ve el riesgo terrorista como algo que le puede afectar directamente, salvo que tenga la mala suerte de encontrarse en el lugar erróneo y en el momento menos adecuado.

El supuesto de una afección directa a su estilo de vida, y a su dinámica diaria, es algo que por lo general el ciudadano no se plantea, más que como una hipótesis más de ciencia ficción, o de «película» que como un riesgo real. Tampoco sería oportuno el crear un clima de psicosis, por otra parte, pero sí que, de manera general, deberíamos incrementar la información a la sociedad para que vaya generando protocolos de seguridad personal que, sin crear alarma social, nos ayude a luchar contra una amenaza que es más general de lo que se percibe.

—Los últimos atentados yihadistas terroristas en ciudades europeas elevan al nivel 4 la alerta terrorista en España. ¿Qué ha supuesto esa decisión en el ámbito del CNPIC?

—Ha supuesto extremar la protección de aquellas infraestructuras que prestan servicios esenciales a la sociedad de los diferentes sectores estratégicos, coordinándose el Plan Nacional de Protección de Infraestructuras Críticas recién nacido con el Plan de Prevención y Protección Antiterrorista. Esto ha implicado, además, establecer unos contactos mucho más frecuentes y directos con los operadores críticos que forman parte del Sistema PIC.

En este ámbito, y dentro de la activación de dicho Plan Nacional, el CNPIC tiene la misión de actualizar el listado de las infraestructuras críticas, a nivel nacional y por demarcación policial, que se remite oportunamente a las Fuerzas y Cuerpos de Seguridad para la activación de los protocolos de seguridad y protección para este tipo de infraestructuras frente amenazas de carácter terrorista.

Además, los operadores, como ya decía, están siendo informados puntualmente de estos niveles de alerta, debiendo activar aquellas medidas de seguridad complementarias / adicionales a las permanentes, las cuales están recogidas en sus respectivos Planes de Protección Específico. Es esencial, por otra parte, el coordinar este tipo de medidas complementarias con los Planes de Apoyo Operativo, diseñados por los cuerpos policiales, para cada una de las infraestructuras críticas que estén en su demarcación policial.

Desde el ámbito de la ciberseguridad, se mantiene activo el equipo de respuesta ante incidentes cibernéticos del CERTSI_, y la Oficina de Coordinación Cibernética del CNPIC tiene en marcha, desde finales de 2015, en coordinación con el anterior, un dispositivo extraordinario de ciberseguridad, de cibervigilancia proactiva de las actividades llevadas a cabo por hacktivistas y/o delincuentes.

—¿La amenaza de un ataque ciberterrorista es cada vez más creciente? ¿Está España preparada para hacer frente a esas amenazas?

—Es bien cierto, o al menos eso es lo que hemos observado en los distintos sectores en los que ya hemos profundizado, que tradicionalmente en España, como en el resto de países de nuestro entorno, se ha «cuidado» o está más desarrollada la seguridad física que la seguridad lógica, por término medio. Por ese motivo, ya me refería unos momentos atrás a que el CNPIC está haciendo una labor intensa para inculcar en todos los operadores el concepto de «seguridad integral» donde se engloben y desarrollen ambos enfoques, el físico y el lógico.

En la actualidad, todo operador de infraestructuras críticas o estratégicas dispone de un servicio de respuesta a incidentes de carácter cibernético proporcionado por el CNPIC, a través del CERTSI_, como ya he referido anteriormente. Desde un punto de vista organizativo, los operadores que gestionan o son responsables de la operación de este tipo de infraestructuras juegan un papel crucial a la hora de facilitar su correcta protección, para lo cual deben emplear los mecanismos que desde el CNPIC se habilitan para enlazar con las capacidades que el Estado pone a su disposición.

La entidad encargada de la gestión de incidentes de naturaleza cibernética que afecten a infraestructuras críticas en España es el CERTSI_, cuyo servicio es prestado por un equipo técnico ubicado en las instalaciones de INCIBE en León, integrado tanto por personal de este organismo como por personal de la Oficina de Coordinación Cibernética del CNPIC, lo que facilita el enlace con las unidades especializadas de las Fuerzas y Cuerpos de Seguridad del cuerpo policial que sea necesario. Cabe destacar al respecto, que uno de los aspectos clave del CERTSI_ es su disponibilidad 24 horas los 365 del año.

Una muestra de que las actividades de este CERT son cada vez más importantes en su objetivo de ayudar a proteger los activos críticos y a nuestros operadores de servicios esenciales es el hecho de que, en 2015, el CERTSI_ fue líder nacional en la gestión de incidentes de ciberseguridad, resolviendo alrededor de 50.000 (de ellos, 134 contra infraestructuras críticas).

Esto supone prácticamente el triple de casos más que en 2014 (18.000, de ellos 63 contra infraestructuras críticas), que a su vez dobló a 2013 (9.000 casos, de ellos tan sólo 17 contra infraestructuras críticas). Los ciberincidentes atendidos durante la primera mitad de 2016 ascienden ya a más de 19.000 (de ellos, 231 contra infraestructuras críticas).

El CERTSI_ puede actuar a iniciativa propia o a la petición de un operador. En cualquiera de los casos, y una vez iniciada la gestión del incidente, hay varios aspectos en los que este órgano técnico puede apoyar al operador, desde a la mitigación del daño hasta la aplicación de técnicas forenses o la generación de información que se puede transformar en inteligencia.

Mención especial, dentro de la seguridad cibernética, requiere la ya mencionada Oficina de Coordinación Cibernética, en el caso particular en que un incidente requiera ser investigado por su relación con alguna tipología delictiva, o cuando medie denuncia del operador afectado. La Oficina de Coordinación Cibernética, integrada orgánicamente en el CNPIC, pero dependiente funcionalmente del propio Secretario de Estado de Seguridad, es la encargada de la oportuna coordinación de las unidades tecnológicas de los Cuerpos Policiales con el CERTSI_. Su operativa directa en el CERTSI_ permite que la citada Oficina de Coordinación Cibernética pueda aportar una visión global de todo el ciclo de vida del incidente, desde su notificación hasta la investigación y persecución de los delitos en caso de que sea necesario. De este modo, el CERSTI_ se conforma como una «ventanilla única» de la administración, a través de la cual los operadores críticos pueden requerir desde asistencia técnica específica hasta la interposición de una denuncia relacionada con un presunto delito.