BIENVENIDOS

2015 / 20 Noviembre

Ciberseguridad e infraestructuras críticas


k2Nuestra socia, Paloma Llaneza, ha participado en el panel sobre ciberseguridad e infraestructuras críticas del 2015 Cyber Seminar organizado por K2 Intelligence. Ha presentado el estado actual de implantación de las infraestructuras críticas y ha llamado al buen criterio en las recomendaciones y planes de seguridad que han de facilitar la implantación integrada y cost-effective.

Resultan de aplicación la Ley de Protección de Infraestructuras Críticas (Ley PIC 8/2011) complementada por el Real Decreto 704/2011.

Los dos grandes objetivos de esta norma son:

– Catalogar el conjunto de infraestructuras que prestan servicios esenciales a nuestra sociedad (Catalogo secreto).
– Diseñar un planeamiento que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información y las comunicaciones.

La Ley PIC define como infraestructuras críticas aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Estos a su vez, se definen como los servicios necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.

Los sectores afectados son los siguientes: Administración, agua, alimentación, energía, espacio, industria química, industria nuclear, instalaciones de investigación, salud, sistema financiero y tributario, tecnologías de la información y las comunicaciones y transporte. A su vez se aborda por subsectores; por ejemplo en transporte: área, carretera, naval y ferrocarril.
El Órgano estatal de protección es el Centro Nacional de protección de las infraestructuras críticas (CNPIC).

Teniendo en cuenta lo establecido por la Ley PIC, se desarrollarán tantos PES (Planes Estratégicos Sectoriales) como sectores se hayan definido; en realidad se desarrollan PES por sectores o subsectores.

A su vez, las empresas que sean designadas como operadores críticos deberán presentar un PSO (Plan de Seguridad del Operador) y un PPE (Plan de Protección Específico) respecto a todas sus infraestructuras clasificadas como críticas. Por último, la administración competente, apoyada por el cuerpo policial, deberá desarrollar un PAO (Plan de Apoyo Operativo).
Es importante este detalle, ya que una determinada empresa es designada como operador crítico, pero no todas sus infraestructuras los son. Cuando se designa a una empresa como Operador crítico, se identifican las infraestructuras del operador que si son infraestructuras críticas. EL PSO es como su política de seguridad global, mientras que el PPE es específico para cada una de sus infraestructuras críticas (el cómo la va a proteger).

 

La visión de la protección debe ser integral: seguridad física y ciberseguridad

EL CNPIC revisa la idoneidad de los planes de cada operador (en total desde la designación tienes catorce meses para actuar como tal, a saber, 6 para PSO, 2 para que el CNPIC revise el PSO, 4 para el PPE y 2 para la revisión de CNPIC.

Los primeros sectores con PES fueron de los sectores de la electricidad, gas, petróleo, nuclear y financiero, con un total de 39 operadores

Los recientemente nombrados han sido los sectores de transporte y agua con 54 operadores

Sin comentarios todavía.

DEJA TU COMENTARIO