Primeros pasos en protección de infraestructuras críticas

Estimados lectores, me temo que para la gran mayoría de nosotros el periodo vacacional ha terminado (una pena sí), pero no se preocupen porque para amenizarles la vuelta al trabajo, he preparado un post de “fácil digestión” para introducirles en el mundo de la protección de infraestructura críticas (PIC).

Estoy seguro de que muchos de ustedes habrán oído hablar sobre protección de infraestructuras críticas (trending topic por supuesto). Pero, ¿cuántos de ustedes saben de qué les hablo si cito la Ley 8/2011, Real Decreto 704/2011 o el CNPIC?

Pues bien, en este post trataré de iniciarlos de la manera más sencilla posible en el interesante mundo de la protección de infraestructuras críticas.

¿Qué es una infraestructura crítica?

La definición de libro, o más bien, la que la Ley 8/2011 PIC recoge, es la siguiente:

Infraestructura crítica: aquellas infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.

Es decir, por infraestructura crítica se considera toda aquella infraestructura que da soporte a servicios críticos tales como los relacionados con energía, salud, transporte, etc.

¿Qué infraestructura ha sido designada como infraestructura crítica?

El listado de infraestructuras que han sido consideradas críticas, queda recogido en el Catálogo Nacional de Infraestructuras Estratégicas, incluyendo adicionalmente información detallada de las mismas. No obstante, esta información se encuentra calificada como Secreta y por tanto únicamente tiene conocimiento de la misma el propio operador y los organismos nacionales implicados en el ámbito de la protección de infraestructuras críticas.

La información que sí es pública es la relativa a los sectores a los que pertenecen estas infraestructuras críticas:

  • Energía
  • Industria Nuclear
  • Tecnológicas de la Información
  • Transportes
  • Suministro de Agua
  • Suministro de Alimentos
  • Salud
  • Sistemas Financiero
  • Industria Química
  • Espacio
  • Recursos
  • Administración

Algunos posibles ejemplos de instalaciones que podrían ser consideradas infraestructuras críticas podrían ser: una central nuclear, una planta potabilizadora o un centro de control portuario.

Cabe destacar que adicionalmente a las infraestructuras que resultan críticas para los servicios prestados en ámbito nacional, se incluyen todas aquellas infraestructuras que se encuentran incluidas en la Directiva 2008/114/CE. Es decir, las infraestructuras cuya perturbación o destrucción afectaría gravemente al menos a dos Estados miembros de la Unión Europea.

¿Qué organismo/entidad se encarga de velar por la protección de las infraestructuras críticas?

En al ámbito de la protección de infraestructura críticas se encuentran involucrados un conjunto de organismos y entidades, pertenecientes al sector público y privado.

La Secretaría de Estado de Seguridad es el órgano superior responsable del Sistema de Protección de infraestructuras críticas nacionales.

Además hay que remarcar la creación de Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y la Comisión Nacional para la Protección de Infraestructuras Críticas. El primero es el órgano responsable del impulso, coordinación y supervisión de las actividades vinculadas a la protección de infraestructuras críticas. El segundo es el encargado de aprobar los Planes Estratégicos Sectoriales y la designación de operadores críticos.

Una última mención a los operadores críticos. Estos juegan un papel determinante dado que son los responsables de elaborar tanto el Plan de Seguridad del Operador como los Planes de Protección Específicos para cada una de las infraestructuras que se encuentre bajo su responsabilidad.

¿Qué marco legal es aplicable en este ámbito?

Las acciones para mejorar la protección de infraestructuras críticas se inician en junio de 2004, tras una solicitud por parte del Consejo Europeo para la elaboración de una estrategia global en este ámbito.

Para encontrar la primera directiva aprobada, tenemos que avanzar en el tiempo hasta 2008, cuando a nivel europeo se aprueba la Directiva 2008/114/CE sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Esta directiva supone el primer acercamiento a la identificación y catalogación de infraestructuras críticas y al análisis del estado de la seguridad de las mismas. Esta directiva se focaliza en los sectores de energía y transporte, haciendo mención a otros sectores como la TI.

En el año 2011 aparece, a nivel nacional, la Ley 8/2011 PIC. Esta ley complementa la directiva anteriormente citada, definiendo los actores y el marco de trabajo sobre el que se sustentará la estrategia nacional para la Protección de Infraestructura Críticas. A su vez se crea el Centro Nacional para la Protección de Infraestructuras Críticas. Esta Ley hace mención explícita a la importancia de las tecnologías de la información dentro de este contexto y por tanto, incluye la ciberseguridad como uno de los aspectos que deberán abordarse.

Ese mismo año se aprueba el Real Decreto 704/2011 que establece el Reglamento de Protección de Infraestructuras Críticas. Este Real Decreto desarrolla el marco definido en la Ley 8/2001 PIC, se centra en 3 aspectos: La gestión del Catálogo Nacional de Infraestructuras Estratégicas, las actuaciones de los distintos agentes del Sistema de Protección de Infraestructuras Críticas y los instrumentos de planificación.

Más allá de estas leyes, desde el CNPIC se ha desarrollado material complementario para dar soporte a los operadores en el cumplimiento de sus obligaciones en este ámbito. Dentro de este material queremos destacar:

  • Los textos refundidos con los contenidos mínimos del Plan de Seguridad del Operador y de los Planes de Protección Específicos
  • Las guías de buenas prácticas para el Plan de Seguridad del Operador y de los Planes de Protección específicos

Aprovechamos para recomendarles que visiten el sitio web del CNPIC si quieren obtener más información al respecto. Por último, queremos recordarles que en la página web de S2 Grupo, tienen a su disposición los informes que hemos publicado sobre Protección de Infraestructuras críticas a lo largo de los últimos años:

Fuente de la imagen: http://mqltv.com/wp-content/uploads/2015/06/zrzdyouyu5larernyfja.jpg

Comments

  1. Muy buen post! Comparto con ustedes el link del sitio web de Alutel Mobility, una solución que permite el control de las personas y los vehículos de forma móvil focalizado en proyectos productivos, minería, petróleo gas, construcción. No se lo pierdan!

    http://www.alutelmobility.com