Infraestructuras Críticas: Requisitos y Cumplimiento de la Ley PIC

La andadura en la gestión de las Infraestructuras Críticas comienza con un correo del tipo: “Buenas, usted ha sido designado por el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas) como operador crítico en X centros”. Si esto le es familiar, este artículo puede serte de utilidad.

El CNPIC (Centro Nacional de Protección de Infraestructuras Críticas) es el órgano dependiente del Ministerio del Interior responsable de impulsar, coordinar y supervisar todas las políticas y actividades relacionadas con la protección de las infraestructuras críticas españolas.

Estas actividades las desarrolla mediante el apoyo del Equipo de Respuesta ante Emergencias Informáticas (CERT/CSIRT) compuesto por expertos en delitos relacionados con la ciberseguridad cuya misión es ofrecer asesoramiento en la resolución de incidencias de ciberseguridad; y mediante la Oficina de Coordinación Cibernética (OCC), que es el órgano técnico de coordinación en materia de ciberseguridad que sirve de intermediario entre los CSIRT nacionales de referencia y la Secretaría de Estado de Seguridad, la cual proporciona un canal de alerta temprana frente a ciberataques, posibilita intercambio de información entre diferentes actores públicos/privados, además de ofrecer mecanismos de respuesta ante ciberincidentes.

Una Infraestructura Crítica es considerada una instalación física o virtual cuyo funcionamiento es indispensable para los intereses nacionales y su interrupción parcial o total, provoca graves consecuencias para el desarrollo normal de las actividades básicas y diarias de los ciudadanos.

En este sentido, una Infraestructura Crítica puede abarcar diferentes servicios dentro de los sectores 12 estratégicos que aseguran la prestación de servicios en España como pueden ser el sector energético, financiero, tecnologías de la información, entre otros.

Si has sido designado como operador crítico por parte del CNPIC debes adecuarte a los requisitos establecidos en la Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas y el Real Decreto 704/2011 que posibilita la ejecución y desarrollo de la mencionada Ley.

El objetivo que pretende cubrir la legislación PIC (Protección de Infraestructuras Críticas) es la de definir una estructura y estrategia de seguridad integral que permita coordinar actuaciones comunes en los diferentes órganos de las Administraciones Públicas, además de regular los requisitos que deben cumplir los operadores designados como críticos.

Por lo tanto, como operador crítico, estas obligado a desarrollar y documentar la estrategia aplicada en tu organismo o institución (público o privada) referente a la seguridad integral, desde las Políticas de Seguridad aplicadas, el análisis de riesgos de seguridad ejecutado o definiendo las medidas de seguridad organizativas, procedimentales o técnicas entre otros puntos, pero ¿Cómo abordar estos requisitos?

El cumplimiento de la Ley 8/2011 y el R.D. 704/2011 requieren documentar lo que se conoce como el Plan de Seguridad del Operador y el Plan de Protección Específico, por lo que vamos a detallar las implicaciones de cada uno de ellos.

Plan de Seguridad del Operador (PSO)

El Planes de Seguridad del Operador, más conocidos como PSO, es un documento estratégico que recopila las políticas generales del operador crítico para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión. Entre los puntos que debe contener, podemos destacar los siguientes:

• Introducción: Identificación de las medias llevadas a cabo por el operador para la gestión de la documentación relacionada con la protección de infraestructuras críticas, que van desde el nombramiento de un responsable de aprobación documental, identificación de las unidades de almacenamiento y distribución de la información relacionada con PIC, así como las medidas de seguridad (lógicas y físicas) aplicadas para su salvaguarda.
• Política de Seguridad y Marco de Gobierno: Requiere establecer la política de seguridad aplicada en el operador; representar y documentar los órganos de gobierno desde el punto de vista de seguridad integral, así como definir un Responsable de Seguridad y Enlace, Delegados de Seguridad, o las acciones de formación de seguridad planificadas y ejecutadas en el operador.
• Relación de Servicios Esenciales Prestados por el Operador: Obliga a documentar de manera general los servicios esenciales que presta el operador a los ciudadanos, documentando los impactos que ocasionaría la interrupción de los servicios (p.e. población afectada) y las relaciones existentes entre el operador con otros operadores críticos y/o proveedores de servicios críticos relacionados con la seguridad integral.
• Metodología de Análisis de Riesgos: El PSO debe definirse la metodología de análisis de riesgos aplicada en el operador para garantice la continuidad de los servicios proporcionados. Dicha metodología debe recoger los criterios de evaluación de riesgos y mecanismos para cubrir amenazas no asumidas por el operador crítico.
• Criterios de Aplicación de Medidas de Seguridad Integral: Identificar de manera general las medidas Organizativas o Gestión; Operacionales o Procedimentales; Protección o Técnicas que se aplican en el operador para la salvaguarda de los servicios críticos.
• Documentación Complementaria: Implica listar la normativa de seguridad física, lógica, personal, ambiental o de riesgos laborales que afecta de manera directa al operador crítico.

Hay que destacar que, en el plazo de seis meses a partir de la notificación de la resolución de su designación como operador crítico, deberá elaborar un Plan de Seguridad del Operador y presentarlo al CNPIC, quien lo evaluará e informará de su aprobación o modificación, si procede, por el Secretario de Estado de Seguridad u órgano en el que éste delegue.

Los Planes de Protección Específicos son documentos operativos donde se deben definir las medidas de seguridad concretas adoptadas por el operador y las que se vayan a adoptar para garantizar la seguridad integral (física y lógica) de las infraestructuras designadas como críticas.

A diferencia del PSO, que requiere documentar un único documento con las medidas de seguridad generarles del operador, los PPE están alineados de manera directa con las Infraestructuras Críticas, por lo que, si un operador se le han designado 3 infraestructuras como críticas, deberá elaborar 3 PPE’s independientes, uno por cada sede operativa.

En este sentido los Planes de Protección Específicos deben incluir todas aquellas medidas de seguridad aplicadas a cada uno de los centros, siendo necesario cubrir los siguientes apartados:

• Introducción: Identificación de las medias llevadas a cabo por el operador para la gestión de la documentación relacionada con la protección de infraestructuras críticas y más concretamente con el PPE.
• Aspectos organizativos: Requiere detallar de los organigramas gráficos que representen la estructura de gobierno de la seguridad en cada sede designada. Identificar datos identificativos del Responsable de Seguridad y Enlace, así como el Delegados de Seguridad del centro y los sustitutos de ambos en caso de necesidad.
• Descripción de la Infraestructura Crítica: Implica una descripción detallada de la infraestructura crítica, desde la localización (dirección, coordenadas geográficas), las funciones que presta dicha sede a la ciudadanía y de manera particular todos los elementos que son necesarios para la prestación de dichos servicios, destacando elementos de hardware, software, comunicaciones, proveedores críticos, entre otros.
• Resultados del Análisis de Riesgos: Documentar de manera detallada las medidas organizativas o Gestión; Operacionales o Procedimentales; Protección o Técnicas que se aplican en el centro, así como los resultados del Análisis de Riesgos realizado que van desde la representación de los elementos evaluados, los valores obtenidos hasta conclusiones por parte del operador crítico.
• Plan de Acción: En función de los resultados del Análisis de Riesgos, se requiere documentar las acciones de mejora derivadas del mismo para reducir los riesgos no asumidos por la organización, además de establecer acciones de mejora de seguridad adicionales estratégicas aportadas por el operador crítico en el centro analizado.
• Documentación Complementaria: Identificación de la normativa de seguridad física, además de otros elementos necesario para la operatividad del centro, como Plan de Continuidad, Planes de Autoprotección, etc.

Destacar que, en el plazo de cuatro meses a partir de la aprobación del Plan de Seguridad del Operador, cada operador crítico deberá haber elaborado un Plan de Protección Específico por cada una de sus infraestructuras críticas designadas por el CNPIC y presentarlo ante la Secretaría de Estado de Seguridad para su evaluación y aprobación.

La adecuación a los requisitos de la Ley 8/2011 requieren recoger las diferentes medidas de seguridad integral (físicas y lógicas) en el Plan de Seguridad del Operador y los diferentes Planes de Protección Específicos.

Desde GlobalSuite Solutions ofrecemos la experiencia que atesoran los diferentes trabajos de consultoría y auditoría en materia de seguridad, y de manera específica en el apoyo a diferentes organizaciones, tanto públicas como privadas en la elaboración y aprobación de dichos documentos, todo ello gracias a la participación de un equipo de expertos en la materia y el apoyo de nuestro Software  GlobalSuite® que cuenta con un módulo especifico de Protección de infraestructuras criticas.

¡Si necesitas apoyo para el cumplimiento de la Ley PIC, contáctanos y descubre cómo podemos colaborar con tu organización para cumplir con los requisitos establecidos, proteger tu infraestructura crítica y mejorar la seguridad de manera integral!