Consideramos infraestructuras críticas “ Los sistemas físicos o virtuales que ayudan a facilitar las funciones y servicios esenciales”, desde hospitales a centrales nucleares, hasta los sistemas de telecomunicaciones o aeropuertos, todos estos servicios son esenciales para el mantenimiento de las funciones sociales básicas, para la salud, la seguridad, el bienestar social y económico, así como para tener un funcionamiento eficaz de las Instituciones del Estado y las Administraciones Públicas.
La respuesta a una necesidad de seguridad para estas infraestructuras viene contemplada en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (en adelante, LPIC) junto a sus desarrollo publicado por el Real Decreto 704/2011 de 21 de mayo (en adelante, RDPIC) establecen planes de necesarios para la protección de estas.
Según RDPIC donde se establece el plazo de seis meses a partir de la notificación de la resolución de su designación, cada operador crítico deberá haber elaborado un “Plan de Seguridad del Operador” y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede, por el Secretario de Estado de Seguridad u órgano en el que éste delegue y elaborar un “Plan de Protección Específico” por cada una de las infraestructuras consideradas como críticas en el Catálogo así como proceder a su actualización periódicamente o cuando las circunstancias así lo exijan, conforme a lo establecido en el Capítulo IV, Título III del reglamento.
Para la realización de estos planes nos podríamos apoyar en las políticas y procedimientos ya instaurados en las nuestras organizaciones, provenientes de estándares de referencia (NIST, NEC, ENS y entandares publicados en la ISO 27001).
En estos planes debemos fijarnos y marcarnos como objetivo el de proteger la instalación, disuadir las amenazas y medir el espacio tiempo, a fin de detectar todas las vulnerabilidades existentes, realizar la valoración de estas, aplicando los medios humanos, técnicos y organizativos pertinentes.
Las empresas se deben adecuar, coordinándose con las actuaciones de los distintos órganos de las “Administraciones Públicas” en materia de protección de infraestructuras críticas, y previa identificación y designación de las mismas, para mejorar la prevención según menciona LPIC. Desde este planteamiento, se debe considerar que los métodos tienen como punto de partida la institución, organización o entidad a la que se deben establecer las políticas y/o plan de seguridad.
Por lo tanto, el departamento de seguridad de una organización, debe considerar la seguridad como un concepto integral, por lo que no debemos centrarnos en las amenazas tradicionales, es decir solo desde un punto de vista privado conocido, sino que debe conocer los condicionantes derivados del ámbito de la administración pública se refiere y el entorno externo, que influyen desde el punto de vista de la seguridad, prevención, anticipación, neutralización de amenazas y planificación estratégica.
**Roberto Medina – Consultor de Seguridad en Entelgy Innotec Security
Fuentes:
https://www.boe.es/buscar/doc.php?id=BOE-A-2011-8849
https://www.boe.es/buscar/pdf/2011/BOE-A-2011-7630-consolidado.pdf
