«Sin seguridad no hay negocio», es una de las premisas clave en las intervenciones de José Luis Pérez-Pajuelo, director del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Y razón no le falta cuando asegura que la «inversión en ciberseguridad, es una inversión a medio-largo plazo para la continuidad de negocio». Pérez-Pajuelo insiste en que las empresas deben tener claro que son objetivo prioritario de las nuevas amenazas, por lo que es de vital importancia «aprender las mejores formas de protegernos», pero también hace hincapié en que las compañías privadas están altamente concienciadas en ciberseguridad.
¿Cómo se está adaptando el CNPIC a este entorno tan cambiante y convulso?
Ciertamente en las últimas décadas el panorama internacional ha cambiado de manera diametral. Desde el año 2020, en el que nos enfrentamos a varios “desconocidos”, entre ellos a la pandemia mundial, cambiaron nuestras costumbres, rutinas, procedimientos de trabajo, etc., circunstancias que, por motivos obvios se extrapolaron a las organizaciones, y entre ellas, por supuesto, al CNPIC. Todo esto, también hizo que nuestra percepción del riesgo cambiase, pero esta situación lejos de llevarnos al desconcierto, supuso un proceso de transformación, en el cual seguimos inmersos, para mejorar los servicios que se ofrecen a los ciudadanos.
A partir de ese año, la sociedad se vio obligada a acelerar su “trasformación digital” en la mayoría de ámbitos, y este nuevo panorama abrió las puertas a nuevas “oportunidades de negocio” para “agentes hostiles”, aparecieron nuevas vulnerabilidades, incidentes, amenazas y metodologías de ataque con respecto a sectores estratégicos que, hasta este momento, no habían sido objetivos destacados. En este marco, nos vimos rápidamente abocados a actuar proporcionando a los operadores críticos y de servicios esenciales recomendaciones de protección en materia de seguridad y buenas prácticas, con el objetivo de minimizar el riesgo y las amenazas emergentes.
Desde entonces creo que, tanto a nivel individual como organizativo, se vio la necesidad de ser más precavidos. Por ello, se ha hecho crucial infundir, tanto en el propio personal como en las entidades con las que nos relacionamos, la necesidad de formación, concienciar y establecer procedimientos o protocolos perfectamente definidos, con el objetivo de buscar la minimización de riegos o impactos en los servicios esenciales que se prestan a la sociedad. Todo lo referido, también ha ido acompañado de una adaptación en el marco normativo, y el establecimiento de iniciativas para reforzar los mecanismos de protección y seguridad en este contexto.
El Esquema de Certificación de Protección de Infraestructuras Críticas en el que se está trabajando, ¿qué retos ha supuesto su desarrollo? ¿Cuáles son sus objetivos concretos?
El desarrollo del Esquema de Certificación de Protección de Infraestructuras Críticas supuso una serie de consideraciones que se convirtieron en retos y que podríamos resumir en varios puntos.
En primer lugar, diseñar un modelo flexible que, por una parte, recogiera las diferentes etapas de madurez existentes en los operadores y, de otra, que lograra garantizar unos niveles mínimos y adecuados de seguridad, para aquellos operadores que gestionan infraestructuras críticas para el Estado.
Por otra parte, era imprescindible que fuera compatible y, que además estuviera apoyado en estándares y certificaciones preexistentes, para evitar confusiones, así como en el Esquema Nacional de Seguridad, base para el desarrollo de la parte concerniente al ámbito de la seguridad lógica.
Además, debe ser un esquema conforme a la normativa vigente, y no me estoy refiriendo únicamente a la relativa a la protección de infraestructuras críticas, sino también a la de los distintos sectores que engloba este marco, operadores críticos y operadores de servicios esenciales donde fuera de aplicación.
* Se podrá leer la entrevista completa en el próximo número de Cuadernos de Seguridad.