«La ciberseguridad deber ser política de Estado y tener respaldo presupuestario»

Fernando J. Sánchez Gómez, director del Centro Nacional de Protección de Infraestructuras y Ciberseguridad repasa en esta entrevista lo conseguido en los diez años de trayectoria del organismo y los retos de futuro que afronta. En su opinión, «la ciberseguridad deber ser política de Estado y tener respaldo presupuestario».

—¿Cuáles han sido los grandes logros del CNPIC en estos más de 10 años de andadura? ¿Cuáles son sus retos futuros?
—El pasado año 2017 alcanzamos nuestro 10º aniversario, ya que este Centro se creó un 2 de noviembre de 2007, mediante un Acuerdo de Consejo de Ministros. En 2007, las perspectivas del CNPIC eran poco menos que inciertas, como también lo eran sus misiones. Fue a partir de 2011, con ocasión de la aprobación de la normativa sobre protección de infraestructuras críticas (una ley y su reglamento de desarrollo, aprobados en abril y mayo, respectivamente), cuando el CNPIC tuvo sus misiones claramente especificadas, dentro del Sistema Nacional de Protección de Infraestructuras Críticas, más conocido como «Sistema PIC». No obstante, el CNPIC, en aquellas fechas, aún tenía unas capacidades muy limitadas para realizar las misiones que dicha legislación le asignaba, ya que contaba con tan sólo 11 profesionales, todos ellos miembros de la Guardia Civil y de la Policía Nacional.

Poco después, el Centro fue potenciado tanto en capacidades como en personal, con más de 50 profesionales especializados de las Fuerzas y Cuerpos de Seguridad del Estado, al 50% de cada Cuerpo, que se integraron en los tres Servicios en los que se estructura la unidad (Servicio de Normativa y Coordinación, Servicio de Planes y Seguridad, y Servicio de Ciberseguridad y Oficina de Coordinación Cibernética).

Como último aspecto logístico, en abril de 2016, el CNPIC fue trasladado a una nueva sede, el Centro Tecnológico de Seguridad del Ministerio del Interior, ubicado en El Pardo (Madrid), que cuenta con unas instalaciones modernas y con las últimas innovaciones en sistemas de la información y la comunicación.

En lo que respecta a balance de actuaciones, los números hablan por sí solos: casi 150 operadores críticos designados, que constituyen el grueso del Sistema PIC; alrededor 3.300 infraestructuras estratégicas (entre ellas varios cientos de infraestructuras críticas) identificadas e incluidas en el Catálogo Nacional; 15 Planes Estratégicos Sectoriales (los correspondientes a los sectores de la Energía -electricidad, gas y petróleo-, Industria Nuclear, Sistema Financiero, Transporte -aéreo, marítimo, carreteras y ferrocarril-, Agua, Espacio, Industria Química, TIC, Alimentación y Transporte Urbano y Metropolitano); y, de momento, unos 300 planes de diferente tipo (de seguridad del operador, específicos, y de apoyo operativo) ya aprobados.

Y estos números crecerán en los próximos meses y años, ya que nuestro Sistema PIC aún no está cerrado. Todo ello, gestionado por un Servicio de Gestión 24 H (SG24h) que permite, a través de una plataforma informática, el intercambio inmediato de información e incidentes entre los operadores críticos, las Fuerzas y Cuerpos de Seguridad y el CNPIC, así como la actualización de los datos del Catálogo.

En 2016 se actualizó también el Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC), de mayo 2007, que constituía el único documento previo a la creación del CNPIC y ya obsoleto tras 9 años de vigencia. El objetivo primordial de este Plan es salvaguardar las infraestructuras que proporcionan los servicios esenciales para la sociedad, y su aprobación supone la culminación del Sistema de Protección de Infraestructuras Críticas, así como la implantación de todas las herramientas de planificación previstas en la norma.

En los últimos años, sin demérito de la prestación de nuestras funciones «tradicionales», nuestros esfuerzos han tenido que reorientarse necesariamente hacia el ámbito de la ciberseguridad, que ha irrumpido con mucha fuerza en las actividades del Centro, al ser la parte de esa «seguridad integral» (concepto introducido por la Ley 8/2011, sobre protección de infraestructuras críticas) que más ha crecido, tanto en número y calidad de las amenazas, como en las medidas que han de ponerse para contrarrestarlas.

Lea la entrevista íntegra en Cuadernos de Seguridad.