Seguridad

¿Cómo se protegen las infraestructuras críticas en España?

nuclear

Repasamos las principales leyes y normas regulatorias que atañen a la protección de las infraestructuras críticas de nuestro país.

La infraestructuras críticas son aquellas instalaciones consideradas como estratégicas, las que prestan servicios esenciales a nuestra sociedad, pero cuya sustitución o reemplazo no presenta alternativa posible, como las centrales eléctricas o los pantanos y plantas de potabilización de agua. En nuestro país, existen más de 3.500 infraestructuras consideradas como críticas, de las que no existen alternativas en caso de que sufran una interrupción del servicio. Aunque la lista es secreta (por la extrema sensibilidad de la información que contiene el Catálogo de Infraestructuras Críticas), sí podemos suponer que nos encontramos ante un número muy alto de tecnologías que son extraordinariamente vulnerables a la actividad de un potencial ciberdelincuente.

El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) y la Secretaría de Estado de Seguridad del Ministerio del Interior son los encargados de determinar cuáles son las infraestructuras que deben ser catalogadas dentro de este apartado y, también, de desarrollar y coordinar acciones y estrategias que garanticen la seguridad de dichas infraestructuras con los operadores privados y agentes locales.

De hecho, todas las empresas que figuren como infraestructuras críticas (incluyendo también servicios de salud estratégicos, industria química, etc.) están obligadas a cumplir con una serie de metodologías de seguridad, que se materializan en dos protocolos distintos: el Plan de Seguridad del Operador (PSO, en el que se detallan las políticas de seguridad, los servicios esenciales prestados, el análisis de riesgos físicos y lógicos y detalles sobre la aplicación de las medidas de seguridad, tanto preventivas como reactivas) y el Plan de Protección Específica (PSE, en el que se recopilan todos los documentos e información clave que puedan servir a todos los agentes implicados a tomar medidas de urgencia en caso de ataque, como los procesos cuya recuperación debe ser prioritaria o cómo debe actuarse respecto a los activos más sensibles).

La Ley 8/2011

En nuestro país existe una norma legislativa específica para la protección de infraestructuras críticas, la Ley 8/2011 de 28 de abril (disponible aquí), desarrollado posteriormente por el Real Decreto 704/2011, de 20 de mayo. En estas normas, se definen los actores implicados en la protección de estos servicios básicos y cuál debe ser el marco de trabajo para su securización, con especial mención para la ciberseguridad. También se creó, a raíz de esta ley, el ya mencionado el Centro Nacional para la Protección de Infraestructuras Críticas.

Con el Real Decreto, la estrategia de seguridad de las infraestructuras críticas cerró el círculo con el relanzamiento del Catálogo Nacional de Infraestructuras Estratégicas o con la profunda reforma estructural de los distintos agentes del Sistema de Protección de Infraestructuras Críticas y los instrumentos de planificación.

Plan Nacional de Protección de Infraestructuras Críticas

Todas estas normas y la propia acción gubernamental han dado vida al conocido como Plan Nacional de Protección de las Infraestructuras Críticas, creado en 2007 y reformado en febrero de este mismo año. En él se hace aún más énfasis en la necesidad de vigilar la ciberseguridad como principal foco de vulnerabilidades y el vector de ataques más grave de todos los que afectan a este tipo de instalaciones.

Este plan obliga a que todas las infraestructuras críticas designen obligatoriamente un responsable de seguridad que hará de enlace con el CNPIC en caso de emergencia. También impulsa el intercambio de información entre las empresas y organismos afectados por esta catalogación (sin olvidar la transparencia y la comunicación de fallos y agujeros de seguridad entre las infraestructuras sensibles y las Fuerzas y Cuerpos de Seguridad del Estado), así como define las medidas graduales que pueden (y deben) poner en marcha las infraestructuras críticas en caso de sufrir un ataque, divididas en cinco niveles de alerta distintos en función de la gravedad del problema.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.