proteccion a infraestrucutras criticas del 2011 españa

de Infraestructuras

Proteccin Infraestructuras

Crticas

Proteccin Infraestructuras

Crticas 2011

S2 Grupo, fundada en 1999, es la primera empresa de la Comunidad Valenciana especializada

en servicios globales de seguridad digital. La compaa prev cerrar 2011 con una facturacin

de 3,85 millones de euros, lo que refleja un crecimiento del 21% respect

anterior, motivado por un aumento de la cartera de clientes y de la actividad de innovacin.

La inversin en I+D+i es uno de los ejes vertebradores de la compaa que en 2011 ha

destinado 1,2 millones de euros a diferentes proyectos nacional

Este informe puede descargarse de la pgina web de S2 Grupo,

blog de seguridad Security Art Work,



de 3,85 millones de euros, lo que refleja un crecimiento del 21% respect



destinado 1,2 millones de euros a diferentes proyectos nacionales y europeos, lo que supone

Ramiro de Maeztu 7, 46022 Valencia

T 963110300

Orense 85, Ed. Lexington.

T 915678488

Han colaborado en el presente informe

Diseo y maquetacin

Fecha de publicacin

Este informe puede descargarse de la pgina web de S2 Grupo, http://www.s2grupo.es

blog de seguridad Security Art Work, http://www.securityartwork.e

correo electrnico a [email protected]

Sobre S2 Grupo



de 3,85 millones de euros, lo que refleja un crecimiento del 21% respecto al ejercicio



es y europeos, lo que supone

un 30% de su facturacin.

Datos de contacto

S2 Grupo

Ramiro de Maeztu 7, 46022 Valencia

963110300 # F 963106086

Orense 85, Ed. Lexington. 28020 Madrid.

915678488 # F 915714244

Autores

laborado en el presente informe

Antonio Villaln

Jos Miguel Holgun

Nelo Belda

Jos Vila

Diseo y maquetacin

Manuel Benet

Fecha de publicacin

Diciembre 2011

http://www.s2grupo.es, del

http://www.securityartwork.es, o solicitndolo por

[email protected].

Introduccin_1

Antecedentes_3

Situacin internacional_5

El panorama estadounidense_6

El panorama europeo_7

Centros para la Seguridad Nacional_14

Proteccin de Infraestructuras Crticas en Espaa_16

Ley de Proteccin de Infraestructuras Crticas_18

Reglamento de Proteccin de Infraestructuras

Crticas_22

Estrategia Espaola de Seguridad_27

Anlisis_30

Lneas de trabajo_34

Conclusiones_38

Referencias_40

La proteccin de infraestructuras crticas es tan antigua

como la propia humanidad; aunque sin denominarlo

formalmente PIC, gobiernos y ejrcitos de todo el mundo

han tratado de defender a toda costa los elementos que

consideraban ms importantes en cada ocasin, desde

los sistemas de abastecimiento de agua o alimento hasta

las vas de comunicacin o ubicaciones fsicas ms

importantes para el grupo (entendiendo grupo por tribu,

imperio, reino, gobierno).

2 S2 Grupo Proteccin de Infraestructuras Crticas

En pleno siglo XXI la preocupacin histrica por la seguridad y la defensa de estas infraestructuras sigue tan vigente como en el antiguo imperio romano. A los componentes de seguridad clsicos, como la proteccin mediante personas frente a ataques fsicos del enemigo, se han aadido estos aos componentes de seguridad menos habituales, fruto de la convergencia de la seguridad de la que tanto se ha venido a hablar durante la primera dcada del siglo.

Dicho de otra forma, si hace dos mil aos la nica manera de atacar una infraestructura crtica era mediante el uso de ejrcitos a pie o caballo, o si hace cincuenta aos la nica forma de hacerlo era mediante ejrcitos con tanques, barcos y aviacin, hoy en da a estas tres armas se une un punto de vista adicional: el de la ciberguerra. O el del ciberterrorismo. O simplemente, el del cibervandalismo. Acciones clsicas con el prefijo ciber, que viene a decir que se desarrollan a travs de redes de computadores.

Sin un despliegue de miles de hombres y sin un nivel de riesgo considerable para el atacante, estas acciones pueden llegar a sustituir a o al menos, convivir con las anteriores, constituyendo un nuevo escenario de seguridad y defensa que preocupa a todos los estados del mundo: el de la ciberseguridad y ciberdefensa, en especial en lo relativo a proteccin de infraestructuras crticas, que como decamos al principio es quizs el aspecto que ms nos debe preocupar a todos.

Debemos ser conscientes de que la separacin entre el mbito real y el virtual est cada vez ms difuminada, en lo que se ha venido a llamar convergencia de la seguridad; este concepto, que aunque data de 1997 recibi su mayor impulso tras los atentados del 11-S en Nueva York, se basa en una idea muy sencilla: la amenaza contra una nacin se materializar de la forma que ms sencilla le sea, sin importar si su mbito es fsico o lgico, y por tanto la gestin de la seguridad nacional debe realizarse desde un punto de vista holstico, capaz de garantizar tanto la proteccin fsica como la virtual de las infraestructuras crticas.


Si como hemos dicho la preocupacin por las infraestructuras crticas ha estado presente a lo largo de toda la historia de la humanidad, no es hasta finales del siglo pasado cuando se empieza a hablar de forma explcita de la proteccin de tales infraestructuras.

En la Presidential Decision Directive (PDD) 39, U.S. Policy on Counterterrorism, de 21 de junio de 1995, ya se menciona la proteccin frente a ataques terroristas contra los EEUU que se produzcan dentro y fuera del territorio estadounidense. La directiva hace nfasis en las armas de destruccin masiva, las armas nucleares y qumicas, y la piratera area [1].

They may try to attack our economy and critical infrastructure using advanced computer technology. [2]

Ese ao an no se entra a tratar temas de ciberproteccin; no es hasta tres aos ms tarde, en la PDD 62, Combating Terrorism, y la PDD 63 Protecting America's Critical Infrastructures, ambas de 22 de mayo de 1998, cuando se hace una mencin explcita y en un mismo documento a la proteccin de infraestructuras crticas y a los sistemas informticos en las que stas se apoyan. En la PDD 62 se crea la figura del National Coordinator for Security, Infrastructure Protection

and Counterterrorism, y las tareas

presentes en la PDD 63 servirn de base para lo que se conocer ms tarde como el ciclo de vida de la PIC [2][3][4].

Tres aos ms tarde, el 11 de septiembre de 2001, se produce el atentado contra las Torres Gemelas, que sin duda marca un antes y un despus para todos los que trabajamos en seguridad. Un ataque desconocido hasta el momento con todos los ingredientes necesarios para sorprender, impactar y daar desde mltiples puntos de vista al enemigo. Un ataque que puso de manifiesto que la gran potencia mundial que es EE.UU. tena fisuras de seguridad muy graves y que grupsculos terroristas podan aprovecharlas podramos decir incluso que fcilmente para daar de forma irreparable al pas. Un ataque que nos oblig a todos a plantearnos qu estbamos haciendo mal, a todos los niveles, para que algo as pudiera haber llegado a suceder. Como supimos ms tarde, nos encontrbamos ante un punto de inflexin en la seguridad y defensa cuyas consecuencias siguen, a da de hoy y han pasado ms de diez aos, lo que en seguridad es mucho tiempo vigentes y visibles a lo largo y ancho del mundo civilizado.

Evidentemente, todos estos movimientos tienen una causa justificada: el incremento del riesgo asociado a ataques tecnolgicos contra infraestructuras crticas. Repasando la cronologa de los principales ciberataques contra en este sentido al menos de los pblicamente conocidos, podemos comprobar que van a la par que las iniciativas de proteccin. De hecho, no es hasta la segunda mitad de los aos 90 cuando el

Antecedentes


problema empieza a considerarse realmente serio; hasta entonces, quizs lo ms destacable es la introduccin (junio de 1982, en plena guerra fra) de un troyano para sabotear las tuberas de gas natural de la antigua URSS. A finales de los 90 comienzan a aparecer problemas de seguridad en entornos SCADA, hasta entonces sistemas aislados de la red pero que tras el boom de Internet empiezan a conectarse a sta manteniendo la mentalidad desde el punto de vista de seguridad del sistema aislado que hasta ese momento haban sido.

En el ao 2000 un ex-empleado de una planta de aguas residuales australiana la ataca de forma inalmbrica; un buen ejemplo del insider threat como ciberataque de los primeros en el mbito civil a una infraestructura crtica. Tres aos ms tarde, y como ejemplo adicional de problemas derivados de la conexin a Internet de sistemas que estn diseados para trabajar de forma

aislada, el gusano Slammer provoca el apagado de la central nuclear de Davis-Besse. En la segunda mitad de la dcada las publicaciones que describen vulnerabilidades en entornos SCADA se comienzan a distribuir libremente en Internet, incluyendo (2007) el famoso vdeo Aurora vulnerability en el que se sabotea un generador A partir de aqu la palabra ciberataque aparece con mucha frecuencia junto a infraestructura crtica: en enero de 2008 la CIA informa que un ciberataque ha causado la prdida de electricidad en varias ciudades en una localizacin desconocida fuera de USA, en junio de 2010 salta a los medios generalistas el descubrimiento de Stuxnet hasta septiembre de 2011, cuando el que ha saltado a los medios generalistas ha sido Duqu, ambos considerados malware muy avanzado capaz de poner en jaque real, ya no hablamos de hiptesis o estudios tericos infraestructuras crticas y, por tanto, vidas humanas.

Situacin Internacional


Como hemos indicado, los atentados del 11S contra las Torres Gemelas neoyorquinas constituyeron un antes y un despus en el enfoque de seguridad y defensa del mundo occidental. Pero la preocupacin por la seguridad nacional del gobierno estadounidense era previa a estos atentados, y tuvo como reflejo una directiva presidencial por parte del presidente Bill Clinton el 20 de mayo de 1998 por la que instaba a todas las entidades privadas que formaban parte de la infraestructura crtica de la nacin a compartir informacin sobre amenazas, vulnerabilidades, incidentes y soluciones y respuestas dentro de estos sectores crticos: la famosa PDD 63 (Presidential Decision Directive 63); en esta misma directiva se definen los ISAC, centros modelo en la proteccin de infraestructuras crticas mediante la colaboracin y el intercambio de informacin de los que hablaremos en este mismo informe.

Tras el 11S, algo que se intua y que posteriormente se constatara de manera oficial, es la dispersin de las agencias y organismos que podran haber evitado el atentado, actores que

no compartan ni correcta ni completamente la informacin antiterrorista de la que disponan.

Apenas un mes despus de los atentados, el 8 de octubre de 2001, el gobierno estadounidense constituye la Office of Homeland Security con el fin de aunar los esfuerzos en materia de seguridad dentro del propio territorio y menos de una semana ms tarde, el 26 de octubre de ese mismo ao, se firma el USA Patriot Act. Ambas acciones constituyen el embrin de lo que iba a ser la nueva proteccin nacional no slo en los EE.UU., sino en todo el mundo occidental.

Un ao despus, el 25 de noviembre de 2002, dentro del marco del Homeland Security Act, se crea el Department of Homeland Security con el fin de aglutinar las diferentes agencias ocupadas de la seguridad dentro del propio territorio; recordemos lo indicado con anterioridad: uno de los problemas raz del 11S fue, sin duda, la dispersin de agencias y organismos encargados de velar por la seguridad nacional. Actualmente, las siguientes agencias relacionadas con la proteccin de infraestructuras crticas estn incluidas dentro del Departamento: Infrastructure Protection and Security

Directorate, Transportation Security

El panorama estadounidense


Administration, US-CERT, Office of Cybersecurity and Communications y Office of Infrastructure Protection.

Posteriormente, ya en diciembre de 2003, el gobierno estadounidense public la HSPD 7 (Homeland Security Presidential Directive 7), Critical Infrastructure Identification,

Prioritization, and Protection, que actualiza la anterior PDD 63 (que recordemos data de 1998, previa a los atentados) con respecto al USA Patriot Act, y establece una poltica nacional para las agencias y departamentos federales cuyo objetivo es (como el propio nombre indica) la identificacin, priorizacin y proteccin de las infraestructuras crticas.

En especial a raz de los atentados del 11M, la Comisin Europea (CE) quiso mejorar la seguridad en diferentes tipos de infraestructuras de la UE que considera "crticas", para lo que present un programa de acciones que van desde la elaboracin de normas al apoyo a los estados miembros para identificarlas. Franco Frattini, record en un comunicado que "la seguridad y la economa de la UE, as como el

bienestar de los ciudadanos estn

ligados a ciertas infraestructuras y

servicios". Frattini afirm que "la

El panorama europeo


interrupcin de las mismas podra

provocar la prdida de vidas humanas y

de bienes materiales, as como la merma

de la confianza de los ciudadanos en la

UE".

De esta forma, y en la lnea de actuacin contra los ataques terroristas, se han desarrollado sucesivas directivas al respecto que se han ido publicando en los ltimos aos. La primera de estas directivas es la COM/2004/0698, Prevencin, preparacin y respuesta a los ataques terroristas, en la que se definen una serie de objetivos primarios para encauzar el tratamiento de los actos terroristas y prevenirlos, as como para proteger infraestructuras crticas y dificultar la financiacin del terrorismo. En este sentido se indica que los esfuerzos deben ser integradores e inclusivos, involucrando a parlamentos, agentes econmicos, organizaciones civiles, y todos los ciudadanos europeos. Tambin se debe promocionar un dilogo de seguridad entre los sectores pblico y privado, para aumentar la efectividad en este mbito. En todos estos aspectos, la Unin Europea tratar de proveer, adaptar y unificar los canales de comunicacin entre entidades, para que se consiga un intercambio de informacin eficaz. Dado el carcter global del terrorismo, se destaca tambin que la Unin Europea debe fomentar, dentro de su poltica de

asuntos exteriores, una colaboracin en el mbito antiterrorista con entidades y organizaciones del resto del mundo. As mismo, en esta directiva se indica que se debe proteger y asegurar con especial recelo el uso de elementos que pueden ser potencialmente utilizados como armas terroristas. Dentro de este grupo se incluyen armas de fuego, explosivos, material para la fabricacin de bombas, as como cualquier tecnologa que contribuya a perpetrar actos terroristas.

Por su parte, la directiva COM/2004/0701, titulada Lucha contra el terrorismo: preparacin y gestin de

las consecuencias, se centra en enumerar los elementos clave en la gestin de una situacin de emergencia provocada por un ataque terrorista. En primer lugar, se extiende el funcionamiento del Centro de Control e Informacin (MIC), para coordinar tambin las solicitudes y el despliegue de las ayudas entre el pas que ha sufrido el ataque terrorista y el resto de pases de la Unin. Al igual que en la anterior, se sigue haciendo hincapi en que se deben aumentar, agilizar y estrechar los lazos de colaboracin entre agencias de los estados miembros. En este aspecto se enumeran agencias de proteccin civil y seguridad sanitaria, fomentando en todos los casos la colaboracin mutua e interoperabilidad.


Adems, se destaca la importancia que tiene la correcta formacin de expertos que puedan facilitar la coordinacin y resolucin de estos problemas, as como el estudio e investigacin en todos los campos, para aportar nuevas medidas y estrategias en la lucha antiterrorista. Aqu se considera esencial la realizacin de cursos de formacin y ejercicios de simulacin a nivel europeo, as como la investigacin en temas de seguridad sanitaria. Para facilitar la gestin de emergencias, en esta directiva se establece tambin la creacin y puesta a disposicin de la Unin de una base de datos de activos y capacidades militares, y otra en el mbito civil, para la proteccin de la poblacin contra los efectos de cualquier tipo de ataque terrorista. Tambin se indica que la Comisin crear un sistema europeo general seguro de alerta rpida (ARGUS) para conectar todos los sistemas de emergencia especializados que requieren una actuacin a nivel europeo, como punto de encuentro y gestin centralizado; el principal eslabn ausente de los actuales sistemas de respuesta rpida (RAS) gestionados a nivel de la UE es un sistema de alerta referente al orden pblico y a la seguridad en lo relativo tanto a la preparacin como a la respuesta a crisis que implican a los servicios represivos.

La directiva COM/2004/0702, titulada Proteccin de las infraestructuras crticas en la lucha

contra el terrorismo se centra, por fin, en las infraestructuras crticas. En ella se define en primer lugar la amenaza que supone un ataque terrorista para ciertas infraestructuras de los miembros de la Unin. Posteriormente se define lo que se considera como infraestructura crtica y las mtricas que se utilizarn para definir la criticidad exacta de estas infraestructuras. Para llevar un control de seguridad adecuado, se contempla la creacin de un procedimiento para hacer un inventario y clasificacin de infraestructuras crticas, as como para alcanzar un punto de vista comn que permita mejorar las medidas de proteccin de las infraestructuras ms importantes. Algunas de ellas no pueden ser controladas al 100% (por ejemplo, las redes elctricas), por lo que se deben definir puntos de mximo riesgo, sobre los que se centrar la proteccin. En esta directiva se indica tambin que se ha avanzado notablemente en la mejora y proteccin de las infraestructuras crticas tradicionales, legislndose tanto a nivel nacional como europeo medidas de proteccin al respecto; en el campo de la seguridad de las comunicaciones, ms novedoso y poco protegido hasta el momento, se crea ENISA (Agencia Europea de Seguridad de las Redes y de


la Informacin), un organismo europeo para la seguridad de la informacin: la Unin Europea considera las redes de comunicaciones y los sistemas informticos esenciales para el desarrollo de la economa y la sociedad, por lo que la seguridad de las comunicaciones y los sistemas de informacin es considerada de especial inters y parte de la infraestructura crtica de servicio a los ciudadanos. Por todo ello, las actividades de la agencia ENISA estn dirigidas a ser un centro de excelencia en el campo de la seguridad de la informacin

En la directiva se propone adems la creacin del Programa Europeo de Proteccin de las Infraestructuras Crticas (PEPIC, EPCIP en sus siglas en ingls), que ayudar a las empresas y administraciones pblicas de los estados miembros a armonizar y coordinar esfuerzos en temas de seguridad de infraestructuras crticas. Para ello, seguir con la identificacin de infraestructuras crticas, sus vulnerabilidades e interdependencias, y presentar soluciones de proteccin y preparacin ante cualquier tipo de peligro. Se hace especial hincapi en esta directiva, una vez ms, en el intercambio de informacin: se anuncia la creacin de la Red de Informacin sobre Alertas en Infraestructuras Crticas (CIWIN), que agrupa a todos los

especialistas en PIC de los estados miembros y fomenta el intercambio de informacin tanto sobre amenazas comunes como sobre medidas de atenuacin de riesgos, permitiendo asesorar a los estados miembros a la hora de valorar qu infraestructuras pueden considerar crticas; sobre esta cuestin, un experto comunitario subray en rueda de prensa que son "los estados los que deben sugerir qu infraestructuras son crticas en sus territorios".

Ya en 2005 la Unin Europea publica la directiva COM/2005/0576, denominada el Libro Verde Sobre un programa europeo para la proteccin de

infraestructuras crticas. Este documento propone opciones para PEPIC con el objeto de asegurar unos niveles adecuados y equivalentes de seguridad en infraestructuras crticas para los distintos estados miembros, segn las repercusiones, y siguiendo el principio de proporcionalidad de costes. Propone la definicin de unos principios bsicos como pueden ser los de subsidiariedad o cooperacin y establece un marco comn de proteccin para garantizar unos niveles adecuados con medidas horizontales en todos los agentes del Sistema. Como medidas ms concretas, establece la necesidad de identificar las Infraestructuras Crticas Europeas (ICE) -


sin descuidar las Infraestructuras Crticas Nacionales (ICN) y la creacin de un Organismo de Coordinacin Nacional del PIC (OCNP), como organismo de supervisin nico del PEPIC en los Estados. Asimismo, enumera las responsabilidades de los diferentes agentes del ICN o ICE haciendo especial hincapi en el PSO, llegando a incluir una propuesta de modelo. Por ltimo, describe varias medidas de apoyo al PEPIC como pueden ser la creacin de una Red de informacin sobre alertas en infraestructuras crticas (CIWIN), la definicin de metodologas comunes de niveles de alerta entre los Estados miembros y otros temas, como la financiacin o el control.

Posteriormente se publica COM/2006/786, Comunicacin de la Comisin sobre un Programa Europeo

para la Proteccin de Infraestructuras

Crticas. A raz del Libro Verde sobre un Programa europeo para la proteccin de

IC, el Consejo de Justicia e Interior concluy que la Comisin elaborara una propuesta de PEPIC, definiendo su objetivo como la mejora de la proteccin de las ICE mediante la creacin de este marco de la UE donde establece un enfoque global de las amenazas, definiendo los principios fundamentales del PEPIC. El marco que propone consta de un procedimiento para identificar ICE, medidas para

facilitar la aplicacin del PEPIC, apoyo a los Estados miembros en sus ICN o medidas financieras complementarias, entre otros. Tambin define la designacin de un grupo de contacto de PIC comunitario que coordinar a los puntos de contacto nacionales. Como medidas para facilitar la aplicacin del PEPIC, se establece un plan de accin organizado en tres lneas de actividad, la creacin de la Red de informacin sobre alertas en infraestructuras crticas (CIWIN), creacin de grupos de expertos con funciones y objetivos concretos, procedimientos para compartir informacin que ayude a protegerse de amenazas y vulnerabilidades. Asimismo, anima a la creacin de programas nacionales de PIC con la propuesta de un contenido mnimo de stos para garantizar que se siguen marcos similares para reducir costes y esfuerzos. Por ltimo, se cita el programa comunitario de prevencin,

preparacin y gestin de las

consecuencias del terrorismo y de otros

riesgos relacionados con la seguridad para el periodo 2007-2013, como medidas financieras que apoyen la adopcin de estos planes y el desarrollo de instrumentos, estrategias y medidas, entre otros, en la proteccin de infraestructuras crticas.

Para finalizar el repaso al panorama europeo en la proteccin de


infraestructuras crticas, es necesario hablar, por supuesto, de la directiva 2008/114/CE, aprobada en diciembre de 2008, que tiene por objeto establecer un procedimiento de identificacin y designacin de infraestructuras crticas europeas (en lo sucesivo, ICE) y un planteamiento comn para evaluar la necesidad de mejorar la proteccin de dichas infraestructuras, con el fin de contribuir a la proteccin de la poblacin. Esta directiva requiere a los estados miembros entre los que obviamente se encuentra Espaa la adopcin de medidas necesarias para dar cumplimiento a la misma de forma previa al 12 de enero de 2011 y proponiendo una revisin para el 12 de enero de 2012.

Aunque la directiva define conceptualmente las Infraestructuras Crticas, su desarrollo se centra en las Infraestructuras Crticas Europeas, es decir aquellas infraestructuras crticas cuya perturbacin o destruccin afectara a dos o ms estados miembros.

De la lectura de esta directiva se desprenden dos conceptos principales: colaboracin e intercambio de informacin entre diferentes actores, nacionales o europeos, con el fin de

lograr los objetivos expuestos en la misma. El anlisis de la introduccin a la directiva determina lo siguiente:

La responsabilidad principal y ltima de

proteger las ICE corresponde a los Estados

miembros y a los propietarios u operadores

de dichas infraestructuras.

Las ICE deben identificarse y designarse por

un procedimiento comn, y la evaluacin de

necesidades de seguridad de las mismas

debe ejecutarse tambin con un

planteamiento comn de mnimos.

Se fomenta la plena participacin del sector

privado en la PIC.

En las ICE deben existir planes de seguridad

del operador que incluyan la identificacin

de elementos relevantes, un anlisis de

riesgos y un documento de seleccin de

controles (especificando identificacin,

seleccin y prioridad de salvaguardas).

Cada ICE debe nombrar un responsable de

enlace para la seguridad.

Debe existir una comunicacin fluida entre

los propietarios y operadores de ICE, los

Estados miembros y la Comisin Europea .

Puede desarrollarse mtodos comunes de

identificacin y clasificacin de riesgos.

Especialmente los Estados miembros deben

facilitar a los propietarios u operadores de

ICE cdigos de mejores prcticas y mtodos

de proteccin de IC.


Deben designarse puntos de contacto para la

PIC (puntos de contacto PICE) en cada Estado

miembro.

El intercambio de informacin debe ser

coherente y seguro, con las medidas de

proteccin de la informacin adecuadas en

cada caso y siempre en un entorno de

confianza y seguridad.

En relacin al anlisis del desarrollo de la directiva, se determinan los siguientes aspectos destacables:

Identificacin de ICE. Cada Estado debe

identificar conforme al procedimiento

establecido las ICE correspondientes a su

territorio.

Designacin de ICE. Cada Estado debe

informar al resto que pueda verse afectado

por una ICE potencial de la identidad de sta

y de los motivos de su designacin,

estableciendo conversaciones bilaterales o

multilaterales con dichos pases. Tambin es

necesaria la notificacin anual a la Comisin

y la notificacin al propietario u operador.

Planes de seguridad del operador. Cada

Estado velar para que las ICE dispongan de

un Plan de Seguridad del Operador o

equivalente, garantizando su aplicacin en el

plazo de un ao tras la designacin como

ICE.

Responsables de enlace para la seguridad.

Cada Estado velar para que las ICE

dispongan de un responsable de enlace para

la seguridad o cargo equivalente,

garantizando que se dispone de esta figura

en caso de que no exista previamente.

Tambin aplicar los mecanismos de

comunicacin adecuados entre la autoridad

competente y el responsable de enlace para

la seguridad.

Informes. Cada Estado llevar a cabo una

evaluacin de amenazas relativa a los

subsectores de las ICE en el plazo de un ao

desde la designacin como ICE, presentando

cada dos aos a la Comisin datos generales

resumidos sobre riesgos en cada sector.

Puntos de contacto para la PICE. Cada

Estado miembro designar un punto de

contacto PICE.

Aplicacin. Los Estados miembros adoptarn

las medidas necesarias para cumplir lo

establecido en la directiva antes del 12 de

enero de 2011.

Esta directiva es la base de la Ley de Proteccin de Infraestructuras Crticas espaola, que analizaremos en el siguiente captulo.


La defensa de las infraestructuras de inters nacional ha hecho que los gobiernos fomenten la creacin de centros de seguridad para la defensa de infraestructuras crticas. Aunque como se ha indicado previamente el concepto es anterior, los desastres naturales y ataques terroristas sucedidos en la primera dcada del siglo XXI han impulsado la creacin de este tipo de organizaciones, que tuteladas por los gobiernos pretenden la asociacin de las empresas privadas por sectores, para compartir la informacin necesaria para la defensa de estas infraestructuras crticas para la seguridad nacional. Como hemos indicado previamente, en 1998, en la directiva PDD 63, se define ISAC como Information Sharing and Analysis Center. As, un ISAC es una organizacin de confianza, especfica de un sector, que posee capacidades de operacin seguras 24/7, que establece informacin de inteligencia sobre incidencias, amenazas y vulnerabilidades. Basndose en anlisis experto especializado del sector, el ISAC recoge, analiza y distribuye alertas e informes sobre incidentes a todos sus miembros y ayuda al gobierno a entender los impactos en el sector. Provee a los miembros de la capacidad e intercambio de informacin sobre amenazas informticas, fsicas y de todo tipo de amenazas para proteger las infraestructuras crticas; esto incluye

Centros para la Seguridad

Nacional


soporte analtico al gobierno y a otros ISACs al respecto a detalles tcnicos durante incidencias existentes o potenciales causadas de manera intencionada o por desastres naturales. Entre los sectores que se definen como infraestructura crtica y actualmente cuentan con un ISAC propio (coordinado con el resto de centros por el ISAC Council) encontramos el sector elctrico, el transporte pblico, las telecomunicaciones o el sector energtico, por citar slo unos ejemplos.

Tambin en el Reino Unido se han establecido centros de seguridad focalizados en la proteccin de infraestructuras crticas; destacan por encima del resto de actores el Centro para la Proteccin de la Infraestructura Nacional (CPNI, Center for the Protection of National Infrastructure), que est formado por el Centro de Coordinacin de Seguridad de la Infraestructura Nacional (NISCC, National Infrastructure Security Co-

ordination Centre) y el NSAC (National

Security Advice Centre), dependiente este a su vez del MI5 britnico, y los centros WARP (Warning, Advice and Reporting Point), que surgen de la necesidad expresada anteriormente de proteger las infraestructuras nacionales mediante la comparticin de informacin sensible, en este caso del gobierno britnico.

Por su parte, y tambin en el mbito anglosajn, el gobierno australiano cre en abril de 2003 TISN, un foro en el que los responsables, gestores, operadores... de la infraestructura crtica nacional australiana colaboran conjuntamente (y tambin con el gobierno de la nacin) compartiendo informacin que pueda afectar a la seguridad de esta infraestructura crtica; se compone de diversos grupos denominados IAGGs (Infrastructure Assurance Advisory Groups) provenientes de diferentes sectores de negocio, coordinados por el CIAC (Critical Infrastructure Advisory Council) australiano.

Proteccin de Infraestructuras

Crticas en Espaa


El da 11 de marzo de 2004 se producen en Madrid unos atentados muy similares a los sufridos en EE.UU. el 11 de septiembre de 2001; la amenaza terrorista sala del territorio norteamericano y golpeaba de pleno y no sera la ltima vez a Europa. Espaa, acostumbrada a lidiar contra el terrorismo independentista, pareca haber evaluado incorrectamente la amenaza islamista. Y por supuesto, tuvo que tomar las medidas oportunas para evitar que algo similar a lo que acababa de suceder pudiera volverse a producir.

As, el 28 de mayo de 2004 poco ms de dos meses despus de los fatdicos atentados del 11M nace el Centro Nacional de Coordinacin Antiterrorista (CNCA), un centro de coordinacin y anlisis no operativo que ejerce funciones de inteligencia, informacin y coordinacin buscando el tratamiento integrado de la informacin estratgica relativa al terrorismo, tanto en su proyeccin nacional como internacional. El CNCA es equivalente al JTAC (Joint Terrorism Analysis Centre) britnico o al NCTC (National Counter-Terrorism Centre) estadounidense.

El CNCA es un rgano de recepcin, proceso y valoracin de la informacin estratgica disponible sobre todos los tipos de terrorismo que constituyen una amenaza para Espaa; no tiene una focalizacin especfica en la proteccin de infraestructuras crticas, sin consideracin oficial y especfica hasta 2007, cuando se disea y desarrolla el Plan Nacional de PIC (PNPIC) y se crea el Centro Nacional para la Proteccin de Infraestructuras Crticas, CNPIC. Desde ese momento hasta este ao 2011 no ha habido mucho movimiento en la materia a nivel nacional, a pesar de que Europa aprob hace tres aos la directiva 2008/114/CE analizada a continuacin que marcaba un plazo de dos aos para su adopcin por parte de los pases miembros; en este 2011 en Espaa se ha publicado la Ley de Proteccin de Infraestructuras Crticas, el Reglamento que la desarrolla y tambin la Estrategia Espaola de Seguridad, todos ellos en especial los dos primeros puntos clave para la proteccin de infraestructuras crticas en Espaa. Analizamos a continuacin estas normativas de forma resumida, lo que nos proporciona una idea de los movimientos nacionales a alto nivel para proteccin de las infraestructuras crticas.


Cuatro ao despus de la aprobacin de la directiva 2008/114/CE, y con los plazos de la misma ya expirados, durante 2011 en Espaa se ha creado legislacin especfica sobre la proteccin de infraestructuras crticas: el 28 de abril se publica la Ley 8/2011, el 20 de mayo el Real Decreto 704/2011 que desarrolla la anterior y, finalmente, el 24 de junio la Estrategia Espaola de Seguridad.

La Ley de Proteccin de Infraestructuras Crticas (LPIC) recoge las medidas necesarias establecidas por el Gobierno de Espaa para dar cumplimiento a lo establecido en la Directiva 2008/114/CE; su objeto es, por un lado, regular la proteccin de las infraestructuras crticas contra ataques deliberados de todo tipo (fsicos o lgicos) y, por otro lado, la definicin de un sistema organizativo de proteccin de dichas infraestructuras, que aglutine a las AAPP y entidades privadas afectadas.

De su anlisis se desprenden los elementos descritos en las pginas siguientes.

Ley de Proteccin de

Infraestructuras Crticas


Agentes del sistema

Son agentes del sistema los siguientes:

Secretara de Estado de Seguridad

(Ministerio del Interior), con competencias a

determinar en el Reglamento de desarrollo y

responsable del Sistema de Proteccin de las

Infraestructuras Crticas Nacionales.

CNPIC, responsable del impulso, la

coordinacin y supervisin de las actividades

encomendadas a la Secretara de Estado de

Seguridad en relacin con la PIC y

responsable tambin de la gestin del

Catlogo.

Ministerios y organismos (anexo de la Ley),

encargados de impulsar las polticas de

seguridad sobre los sectores estratgicos de

su competencia y de velar por su aplicacin,

desempeando las funciones a determinar

por el Reglamento de Desarrollo de la Ley.

Delegaciones del Gobierno en las CCAA, con

funciones a determinar en el Reglamento de

Desarrollo con respecto a infraestructuras

crticas localizada en su demarcacin.

CCAA y ciudades con Estatuto de Autonoma

con competencias en materia de proteccin

de personas y bienes, con funciones a

determinar en el Reglamento de Desarrollo.

Comisin Nacional para la PIC, con

competencia para aprobar los Planes

Estratgicos Sectoriales y designar a los

operadores crticos y funciones y

composicin a determinar en el Reglamento

de Desarrollo.

Grupo de Trabajo Interdepartamental para

la PIC, con funciones y composicin a

determinar en el Reglamento de Desarrollo y

con responsabilidad de elaboracin de los

diferentes Planes Estratgicos Sectoriales y

propuesta a la Comisin de operadores

crticos.

Operadores crticos, con obligacin de

colaborar con las autoridades competentes

del Sistema en los trminos indicados en la

Ley.


En la figura siguiente se representan los agentes del sistema, involucrados en la PIC en Espaa, de forma grfica:

Como vemos en el diagrama anterior, son muchos los actores involucrados en la proteccin de infraestructuras crticas a nivel nacional. Por tanto, debe ser un objetivo principal del CNPIC, como rgano responsable de dicha proteccin, el facilitar el flujo de informacin entre actores a diferentes niveles.


Instrumentos y comunicacin

La LPIC especifica la relacin y responsabilidad de desarrollo o aprobacin de los siguientes planes de actuacin: Plan Nacional de PIC (Ministerio del Interior).

Planes Estratgicos Sectoriales (Grupo de

Trabajo, aprobacin por la Comisin).

Planes de Seguridad del Operador

(Operadores Crticos).

Planes de Proteccin Especficos

(Operadores Crticos).

Planes de Apoyo Operativo (FFCCSE).

Grficamente, el mapa de dichos planes es el expuesto a continuacin:


Responsabilidades

La LPIC marca la necesidad de garantizar la seguridad de la informacin por parte de las AAPP y los operadores crticos, siendo responsabilidad de la Secretara de Estado de Seguridad arbitrar los sistemas de gestin que permitan el mantenimiento e intercambio de la informacin relativa a PIC. Adicionalmente, se define la figura del Responsable de Seguridad y Enlace, con la habilitacin de Director de Seguridad expedida por el Ministerio del Interior, as como del Delegado de Seguridad de la ICE.

El Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Proteccin de las

Infraestructuras Crticas, desarrolla, concreta y ampla los aspectos contemplados en la LPIC con la articulacin de un sistema compuesto por rganos y entidades tanto de las Administraciones Pblicas como del sector privado y el diseo de todo un planeamiento orientado a prevenir y proteger dichas infraestructuras crticas. El texto contempla la elaboracin de diferentes planes que deben ser desarrollados tanto por las Administraciones Pblicas en el caso del Plan Nacional de Proteccin de las Infraestructuras Crticas, los Planes Estratgicos Sectoriales y los Planes de Apoyo Operativo como por las

Reglamento de Proteccin de

Infraestructuras Crticas


empresas, organizaciones o instituciones clasificadas como operadores crticos, para la elaboracin de los Planes de Seguridad del Operador y los Planes de Proteccin Especficos.

El Reglamento consta de 36 artculos y est estructurado en cuatro Ttulos. El Ttulo I contiene las cuestiones generales relativas a su objetivo y mbito de aplicacin. El Ttulo II est plenamente dedicado al Sistema de Proteccin de Infraestructuras Crticas, concretando la composicin, competencias y funcionamiento de todos los rganos creados por la Ley. El Ttulo III se encarga de la regulacin de los instrumentos de planificacin y, por ltimo, el Ttulo IV est dedicado a la seguridad de las comunicaciones y a las figuras del Responsable de Seguridad y Enlace y del Delegado de Seguridad de la infraestructura crtica.

Del anlisis de este Reglamento se desprenden los siguientes aspectos principales:

Ttulo I

En este Ttulo se define el objeto del Reglamento como el establecimiento de medidas para la proteccin de las

infraestructuras crticas y la regulacin de las obligaciones que deben asumir tanto el Estado como los operadores de aquellas infraestructuras que se determinen como crticas. El mbito se establece para las infraestructuras

crticas en territorio nacional, a excepcin de las dependientes del Ministerio de Defensa y de las FFCCSS. Tambin se referencia el Catlogo Nacional de Infraestructuras

Estratgicas, registro de carcter administrativo que contiene informacin de todas las infraestructuras estratgicas, incluyendo tanto las crticas como las crticas europeas, y cuya finalidad es valorar y gestionar los datos que se dispone de ellas para disear los mecanismos de planificacin, prevencin, proteccin y reaccin ante una eventual amenaza. Segn se indica en el Reglamento, el Catlogo contendr todos los datos necesarios (relativos a la descripcin de las infraestructuras, su ubicacin, titularidad y administracin, servicios que prestan, medios de contacto, nivel de seguridad) aportados por el Centro Nacional para la Proteccin de las

Infraestructuras Crticas (CNPIC) y los operadores, as como el resto de sujetos responsables y tendr la clasificacin de SECRETO; su gestin y mantenimiento corresponde al Ministerio de Interior, a travs de la Secretara de Estado de Seguridad.

Ttulo II

En este Ttulo se enumeran y definen los agentes del Sistema de Proteccin de Infraestructuras Crticas; se establecen las funciones para la Secretara de Estado de Seguridad, rgano superior responsable del Sistema de Proteccin de las IICC


nacionales, entre las que destacan el diseo y direccin de la estrategia

nacional de proteccin de IICC, la aprobacin del Plan Nacional de Proteccin de las IICC declarando los niveles de seguridad, en coordinacin con el Plan de Prevencin y Proteccin Antiterrorista, los Planes de Seguridad de los Operadores, los Planes de Proteccin Especficos y los Planes de Apoyo Operativo, as como la aprobacin de declaracin de zona crtica o la identificacin de los mbitos de responsabilidad en la proteccin de IICC; dentro tambin de este Ttulo, se define y establece el Centro Nacional para la Proteccin de las Infraestructuras Crticas (CNPIC), dependiente de la Secretara de Estado de Seguridad, cuyas funciones principales son las de asistir al Secretario de Estado de Seguridad en materia de proteccin de IICC actuando como contacto y coordinador entre los agentes del Sistema, mantener el Plan Nacional de Proteccin de las IICC, determinar la criticidad de las IICC y mantener el Catlogo. Respecto a los instrumentos de planificacin, el CNPIC dirige y coordina los anlisis de riesgos realizados por los organismos especializados en los Planes Estratgicos Sectoriales, establece los mnimos de los Planes de Seguridad de los Operadores, de los Planes de Proteccin Especficos y de los Planes de Apoyo Operativo, y evala los Planes de Seguridad del Operador y los propone al Secretario de Estado de Seguridad para su aprobacin. Otras funciones

asignadas son la propuesta de declaracin de zona crtica al Secretario de Estado de Seguridad, la recopilacin y valoracin de la informacin sobre

infraestructuras estratgicas para su remisin al Centro Nacional de Coordinacin Antiterrorista del Ministerio del Interior, la participacin en la realizacin de ejercicios y simulacros y el establecimiento del Punto Nacional de Contacto con organismos internacionales en el mbito de la proteccin de IICC.

Las principales competencias de los Ministerios y organismos integrados en el Sistema de Proteccin de IICC son la participacin en los Planes Estratgicos Sectoriales a travs del Grupo de Trabajo Interdepartamental y la verificacin de su cumplimiento, la colaboracin en la designacin de los operadores crticos y el asesoramiento tcnico en la catalogacin de las infraestructuras y su clasificacin como crtica; todo ello, dentro de su sector de competencia correspondiente. Se establecen adicionalmente facultades para las Delegaciones del Gobierno en las Comunidades Autnomas y Ciudades Autnomas, como la coordinacin de las FFCCSE ante una alerta de seguridad o el velar por la aplicacin y cumplimiento del Plan Nacional de Proteccin o de los Planes Sectoriales, entre otras. Las competencias para las Comunidades Autnomas y las Ciudades Autnomas con competencias para la proteccin de persona y bienes y para el mantenimiento del orden pblico son


similares a las de las Delegaciones del Gobierno; para aquellas que no tengan competencias, se les reconoce la participacin en el Sistema y en los rganos colegiados.

Las funciones de la Comisin Nacional para la Proteccin de las

Infraestructuras Crticas pasan por preservar, garantizar y promover una cultura de seguridad de las IICC en las Administraciones Pblicas, promover la aplicacin efectiva de las medidas de proteccin e impulsar acciones de cooperacin interministerial. Esta Comisin estar presidida por el Secretario de Estado de Seguridad y tendr representacin de los organismos implicados con rango Director General, as como un representante por Comunidad Autnoma con competencias de seguridad. Se reunir una vez al ao y ser asistida por el Grupo de Trabajo Interdepartamental para la Proteccin

de las Infraestructuras Crticas, grupo entre cuyas funciones est elaborar los diferentes Planes Estratgicos Sectoriales, proponer a la Comisin la designacin de operadores crticos y la creacin de grupos de trabajo sectoriales.

Los ltimos agentes del sistema reconocidos en el Reglamento son los Operadores Crticos, aquellos en los que al menos una de las infraestructuras gestionadas por l rena la consideracin de crtica; debern prestar colaboracin tcnica en la

valoracin de las infraestructuras, colaborar con el Grupo de Trabajo en la elaboracin de los Planes Estratgicos Sectoriales y en el anlisis de riesgos, as como elaborar el Plan de Seguridad del Operador, un Plan de Proteccin Especfico y designar a un Responsable de Seguridad y Enlace y un Delegado de

Seguridad, entre otras funciones.

Ttulo III

Este Ttulo recoge los instrumentos de planificacin; define el Plan Nacional de Proteccin de las Infraestructuras

Crticas como el instrumento de programacin dirigido a mantener seguras las infraestructuras espaolas que proporcionan servicios esenciales. Este Plan establece criterios y directrices para asegurar la proteccin del sistema de infraestructuras estratgicas y prev distintos niveles de seguridad e intervencin policial, en coordinacin con el Plan de Prevencin y Proteccin Antiterrorista. Se definen adems los Planes Estratgicos Sectoriales indicando que se trata de instrumentos de estudio y planificacin que permitirn conocer los servicios esenciales, el funcionamiento general de stos, sus vulnerabilidades, las potenciales consecuencias de su inactividad y las medidas necesarias para su mantenimiento. El Grupo de Trabajo, con la participacin de los operadores afectados, elaborar un Plan Estratgico por cada sector o subsector de actividad que estar basado en un anlisis general de riesgos cuyo


contenido mnimo ser un anlisis de riesgos, vulnerabilidades y consecuencias a nivel global y una serie de propuestas de implantacin de medidas para los diferentes escenarios, medidas de coordinacin con el Plan Nacional PIC.

Los Planes de Seguridad del Operador vienen recogidos en el Captulo III de este Ttulo y tienen como finalidad definir las polticas generales de los operadores crticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestin. Estos planes debern establecer una metodologa de anlisis de riesgos que garantice la continuidad de los servicios y recoger los criterios de aplicacin de las diferentes medidas. Dentro del Captulo IV se desarrollan los Planes de Proteccin Especficos como los documentos operativos donde se definen medidas concretas para garantizar la seguridad integral de sus

infraestructuras crticas. Debern contemplar la adopcin tanto de medidas permanentes de proteccin como de medidas de seguridad temporales y graduadas. En un plazo de dos meses tras su recepcin, la Secretara de Estado de Seguridad notificar al interesado su resolucin de la aprobacin, proponiendo un calendario de implantacin gradual. Las Delegaciones del Gobierno mantendrn un registro de los Planes que afecten a su demarcacin y el CNPIC mantendr un registro central de todos ellos. La

revisin de estos planes se realizar cada dos aos y deber ser aprobada por la Delegacin del Gobierno, quien velar tambin por la correcta ejecucin de los Planes de Proteccin Especficos. sta tendr facultades de inspeccin y podrn requerir del responsable de las IICC la situacin actualizada de la implantacin de las medidas propuestas. Estos Planes se efectuarn sin perjuicio del obligado cumplimiento de lo exigido para instalaciones nucleares y radiactivas, portuarias, aeroportuarias, aerdromos e instalaciones de navegacin area.

Finalmente, en este mismo Ttulo III, el Captulo V recoge los Planes de Apoyo Operativo donde se deben plasmar las medidas concretas para la mejor proteccin de las IICC; su realizacin ser supervisada por la Delegacin del Gobierno y para la elaboracin de estos planes se dispone de cuatro meses tras la aprobacin del respectivo Plan de Proteccin Especfico, debiendo contemplar las medidas planificadas de vigilancia, prevencin, proteccin y reaccin, cuando se produzca la activacin del Plan Nacional de Proteccin de las IICC. El contenido mnimo ser establecido por el CNPIC, as como el modelo en el que fundamentar la estructura y desarrollo de stos.


Ttulo IV

El ltimo Ttulo del Reglamento versa sobre las comunicaciones entre los operadores crticos y las

Administraciones pblicas, donde se designa al CNPIC como responsable de administrar los sistemas de informacin y comunicaciones diseadas para la proteccin de las IICC, y cuya seguridad ser acreditada y certificada por el Centro Criptolgico Nacional; cada infraestructura crtica deber contar con un Responsable de Seguridad y Enlace y en caso de ser necesario, con un Delegado de Seguridad. El nombramiento y comunicacin de ambos se har en el plazo de tres meses al CNPIC y a la Delegacin del Gobierno, respectivamente.

Durante este ao 2011 se ha publicado el documento que tiene por ttulo Estrategia Espaola de Seguridad, una responsabilidad de

todos. Esta estrategia expone la necesidad de una estrategia de seguridad para Espaa, sita el estado de la seguridad de Espaa en el mundo y analiza los potenciadores del riesgo para la seguridad del pas, as como los principales riesgos y amenazas. Propone adems un modelo institucional integrado, que requiere una serie de cambios orgnicos para ofrecer una respuesta a las necesidades de seguridad del pas.

Estrategia Espaola

de Seguridad


La Estrategia Espaola de Seguridad (EES) realiza especial hincapi en la necesidad de tratar los aspectos cambiantes en los que nos vemos envueltos en la actualidad. Uno de los factores ms importantes que hace necesaria una estrategia de seguridad es la globalizacin, que requiere un estudio y diseo acorde a este fenmeno. Ante esto, las respuestas ofrecidas deben ser necesariamente nacionales, europeas, regionales y globales. Slo un enfoque integral, que conciba la seguridad de manera amplia e interdisciplinar, a nivel nacional, europeo e internacional, puede responder a los complejos retos a los que nos enfrentamos.

La poltica de seguridad estar basada en seis conceptos bsicos, enfoque integral de las diversas dimensiones de la seguridad, coordinacin entre las administraciones pblicas y con la sociedad, eficiencia en el uso de los recursos, anticipacin y prevencin de las amenazas y riesgos, resistencia y recuperacin de sistemas e instrumentos y, por ltimo, interdependencia responsable con nuestros socios y aliados.

Dentro de la EES se analizan los fenmenos globales que propician la propagacin o transformacin de los riesgos y amenazas que nos afectan; entre los fenmenos se encuentran disfunciones de la globalizacin, desequilibrios demogrficos, pobreza y desigualdad, cambio climtico, peligros tecnolgicos e ideologas radicales y no

democrticas, todos stos considerados como potenciadores de los riesgos y amenazas. Destacar cmo se considera en la era en la que vivimos como uno de los potenciadores de las amenazas los peligros tecnolgicos, hecho viene a destacar la importancia que los mismos poseen en nuestra seguridad nacional. Algunos de estos fenmenos pueden no afectarnos de manera directa, pero s de manera indirecta, por lo que es necesario contemplarlos ya que en menor o mayor medida afectan a la seguridad del pas.

El anlisis de los riesgos y las amenazas que se realiza en la estrategia analiza en primera instancia los mbitos en los que tienen lugar. Los mbitos contemplados van desde el terrestre, martimo, areo, espacial o ciberespacio al informativo. Se destacan como principales amenazas los conflictos armados, el terrorismo, crimen organizado, inseguridad econmica y financiera, vulnerabilidad energtica, proliferacin de armas de destruccin masiva, ciberamenazas, flujos migratorios no controlados, emergencias y catstrofes en infraestructuras, suministros y servicios crticos. La EES destaca que es necesaria una coordinacin entre en la administracin pblica y el sector privado en materia de infraestructuras crticas, dado que parte de la infraestructuras crticas estn manos de este sector privado, lo que hace necesaria una comunicacin, coordinacin constante y eficaz.


Tambin destaca entre las infraestructuras, suministros y servicios crticos para el pas la energa, las redes de comunicacin y las finanzas, ya tratados en otros apartados, el transporte, el agua, la salud o la alimentacin.

Para reforzar la resistencia y capacidad de recuperacin de estos activos fundamentales, la EES considera indispensable seguir avanzando en aspectos como la consolidacin de los instrumentos para la proteccin de las instalaciones, la mejora del marco regulador de los sectores crticos, el establecimiento de medidas que aumenten su fortaleza, incrementen su resistencia y refuercen sus capacidades de adaptacin ante condiciones adversas y el dilogo y cooperacin permanente entre las administraciones pblicas y los operadores de infraestructuras y servicios.

Tal y como se recoge en este mismo informe, Espaa ha creado un Centro Nacional para la Proteccin de Infraestructuras Crticas (CNPIC) y aprobado un Catlogo nacional de infraestructuras Estratgicas, as como un primer plan para protegerlas. Del anlisis realizado en la EES, destaca por encima de las dems la necesidad de impulsar cambios orgnicos al mximo nivel del Estado que garanticen la articulacin de esta nueva concepcin integrada de la seguridad, su gestin y su seguimiento.

Anlisis


La preocupacin por la proteccin de las infraestructuras crticas es cada vez ms patente, no slo desde el punto de vista gubernamental sino tambin desde el punto de vista particular de las personas y empresas que trabajamos en el mbito de la seguridad; sin referirnos a complejas estadsticas que las hay acerca de la proteccin de estas infraestructuras, algo tan sencillo como consultar los datos de bsquedas (por ejemplo en Google) de trminos relativos a estos temas (SCADA Security, Critical Infrastructure Protection, etc.) nos arroja unos resultados claros: la proteccin de infraestructuras crticas preocupa mucho, y esta tendencia sigue al alza. Y con razn, debemos aadir, porque es la seguridad de estas infraestructuras es completamente necesaria, pero dista mucho de ser sencilla, y nos jugamos mucho para que algo pueda salir mal.

Sin duda uno de los mayores problemas asociados a la proteccin de las infraestructuras crticas es la complejidad de lo que se viene a llamar el ecosistema; existen muchos agentes involucrados en dicha proteccin (desde los propios operadores hasta FFCCSE, pasando por el Gobierno de la nacin), y por tanto la coordinacin y la comunicacin entre ellos debe ser gil y segura para garantizar la seguridad de estas infraestructuras. Adems, el 80% de operadores de infraestructuras crticas pertenecen al sector privado, siendo muchos de ellos compaas multinacionales El Estado necesita

intervenir a las empresas privadas? Cmo se consigue el equilibrio? Hace falta un marco sancionador?

Dentro de la complejidad a la que hacemos referencia, no nicamente nos encontramos ante sistemas en cuya proteccin se involucra a un gran nmero de actores sino que, adems, nos encontramos con los problemas de dependencia en IICC: infraestructuras crticas pueden ser independientes, pero ms habitual es que sean dependientes o interdependientes. Esto implica que una infraestructura depende en buena parte de otra nacional o europea para su funcionamiento correcto, con lo que un fallo en cascada o un error en un punto nico de fallo puede suponer un enorme problema; en especial, si a esta dependencia aadimos que en ocasiones no se conocen del todo bien las interdependencias entre infraestructuras Para corregir esta situacin, desde Europa se est subvencionando activamente a proyectos de I+D+i para modelizar y/o simular estas interdependencias; adicionalmente, los planes para la proteccin de infraestructuras crticas (en concreto, la confeccin de catlogos de IC) pueden y deben ayudar a identificar no slo las infraestructuras, sino tambin su grado de redundancia y sus interdependencias.

La seguridad de las infraestructuras crticas debe garantizarse desde cualquier punto de vista; la seguridad


es un concepto global, y el medio natural, un atacante cuyo objetivo, no lo olvidemos, es daar a sus vctimas o un accidente simplemente elegir el camino ms fcil para materializarse: cualquiera de las visiones de la seguridad. La proteccin fsica es, bajo nuestro punto de vista, aceptable en la mayor parte de ocasiones, pero no as la seguridad lgica de las infraestructuras crticas. La exposicin a Internet de los sistemas SCADA, entornos tecnolgicos que controlan la operacin de muchas de estas infraestructuras, as como el que habitualmente se trate de sistemas no diseados con la seguridad como premisa bsica, hacen que un posible ataque remoto a estos sistemas sea un riesgo ms que considerable para los operadores.

Cmo se comparan en trminos de probabilidad e impacto los ciberataques contra una infraestructura crtica con los ataques tradicionales (por ejemplo, un bombardeo) contra esa misma infraestructura? Desde el punto de vista del atacante, el ataque remoto puede parecer ms beneficioso: el riesgo asumido por el atacante o atacantes es casi nulo si operan correctamente, ya que ser casi imposible localizarlos e identificarlos, y adems el ataque remoto puede ser incluso ms barato que el fsico y tanto o ms efectivo que ste. En otras palabras, puede resultar ms fcil sobornar o extorsionar a alguien con capacidad de acceso a la plataforma tecnolgica de la infraestructura crtica para que haga

algo por nosotros desde el punto de vista lgico que lanzar un ataque al uso contra esa misma infraestructura. Por tanto, podemos deducir y as parecen haberlo hecho los gobiernos de todo el mundo que la probabilidad de un ciberataque contra infraestructuras crticas es ms que significativa, por lo que hay que tomar medidas para reducir el riesgo asociado a estas amenazas.

Queremos creer y algunos estudios as lo indican que las infraestructuras crticas no son tan frgiles como pudiera parecer. Estas infraestructuras suelen estar preparadas (redundancia, etc.) contra fallos rutinarios o accidentes ms o menos relevantes el punto de vista de la safety ms que de la security. No obstante, hasta qu punto esa preparacin sirve para combatir los ataques intencionados? Sirven los protocolos de actuacin diseados para hacer frente a estas situaciones frente al ataque intencionado, lgico o fsico? Si un ciberterrorista ataca una central elctrica y la anula, se puede comparar el impacto con el de un fallo rutinario? Quizs ms de lo que se supone De hecho, cuando se trata de ciberterrorismo, la gente no est dispuesta a asumir ningn fallo de suministro; sin embargo, si se trata de un fallo casual, se es ms indulgente. La prdida es la misma? Es peor la prdida de una vida por terrorismo que por un fallo no intencionado? El ciberterrorismo claramente sirve para facilitar un ataque terrorista, pero por s


mismo no hay ningn caso documentado en el que un ciberataque haya tenido como consecuencia prdidas de vidas. Adems, los efectos de una bomba tienen un mayor efecto aterrorizador, que es lo que busca principalmente un terroristaQuizs debamos prestar ms atencin a la lucha contra el ciberespionaje que contra el ciberterrorismo, dado que el robo de informacin en este caso es sin duda ms sencillo que un ataque terrorista contra una infraestructura

crtica; por supuesto, robo de informacin que un tercero puede utilizar para cualquier fin, desde econmico hasta poltico Es ms, hasta qu punto es ms probable la infeccin accidental por un virus de un sistema que corre un SCADA que el ataque intencionado?

Lneas de Trabajo


El elevado nmero de actores involucrados en la seguridad de las infraestructuras crticas no debe ser un obstculo para protegerlas; as, es necesario potenciar la colaboracin y el intercambio de informacin entre los actores participantes en la PIC nacional a diferentes niveles, desde el estratgico al operativo, y tambin con diferentes mbitos de colaboracin:

Actores del mbito pblico. El intercambio

de informacin entre entidades del mbito

pblico (FFCCSE, FAS, CNPIC) debe ser

garantizado al ms alto nivel; la implicacin

de mltiples actores debe ser liderada en la

prctica de forma nica y coordinada,

evitando que los mbitos de competencia

de cada uno de ellos se conviertan en un

obstculo para la capacidad de respuesta

nacional.

Actores del mbito privado. Dado el

elevado porcentaje de IICC operadas por el

sector privado, la participacin de este en

cualquier iniciativa de seguridad es clave

para garantizar el xito de la misma y si a

este hecho aadimos la interdependencia

entre infraestructuras, la relevancia del

sector privado es an mayor. En este caso

los obstculos a superar vienen marcados

por el recelo a la colaboracin que en

ocasiones puede producirse entre

organizaciones que en casos son incluso

competencia, y en este sentido las

empresas deben abandonar la idea de

seguridad como diferencia o negocio y

adoptar la estrategia de responsibility to

provide.

Colaboracin pblico-privada. La

coordinacin entre el mbito pblico y

privado para la proteccin de

infraestructuras crticas debe ser tambin

exhaustiva, constituyendo lo que se viene a

denominar PPP (Public-Private

Partnerships) y garantizando que los

esfuerzos son comunes y van siempre en la

misma direccin.

El marco de esta colaboracin debe extenderse a todos los mbitos de la seguridad de una infraestructura crtica; en el marco de la seguridad privada la colaboracin y el intercambio de informacin con la seguridad pblica es algo habitual, e incluso lo es cada vez ms entre empresas o Departamentos de Seguridad que en muchos casos son competencia directa. Cuando hablamos de proteccin lgica el panorama es completamente diferente: si bien la colaboracin pblico privada es comn (por poner un ejemplo, las empresas no vemos a las FFCCSE como nuestra competencia), no lo es tanto la colaboracin entre empresas o actores exclusivamente del sector privado, y esto claramente perjudica al global de la seguridad nacional. Existen iniciativas el Consejo Nacional Consultivo sobre Ciberseguridad, CNCCS, puede ser una de ellas


demasiado tmidas y dispersas por el momento, por lo que deben reforzarse para conseguir que sean operativas y por tanto permitan incrementar la seguridad de nuestras infraestructuras crticas.

Estas iniciativas de colaboracin e intercambio de informacin no deben verse jams en mbitos reducidos de la seguridad (fsica, lgica) sino que deben realizarse desde el punto de vista de la SEGURIDAD con maysculas, sin importar el apellido o especializacin concreta que queramos aplicar despus; como hemos comentado previamente, el riesgo es global y la proteccin, si queremos que sea efectiva, debe serlo tambin, ya que en caso contrario estamos construyendo un muro sin cimientos y con bastantes agujeros en el mismo. Y desde todos estos puntos de vista de la seguridad con maysculas, debemos trabajar con la adaptabilidad como premisa; estamos enfrentndonos a situaciones nuevas, con amenazas desconocidas hasta hace poco tiempo a las que probablemente se unan nuevas amenazas desconocidas ahora mismo y que modifican los esquemas de seguridad y defensa tradicionales de forma radical. Si no somos capaces de adaptarnos rpidamente a estas nuevas situaciones y hacer que las infraestructuras crticas tengan un

elevado grado de resiliencia y puedan recuperarse ante problemas de diversa ndole, conocidos y, por qu no, desconocidos, fracasaremos en su proteccin.

Es muy complejo, como hemos dicho, hacer que todo el ecosistema de actores implicados en la seguridad de IICC trabaje en la misma direccin; esta visin no puede ser liderada por grupos u organizaciones concretas, ni en el mbito pblico ni en el privado, sino que debe hacerse al ms alto nivel del Estado y con el apoyo explcito de ste, algo que recoge muy bien la Ley de Proteccin de Infraestructuras Crticas que hemos analizado previamente. Un enfoque piramidal, en el que desde la cima la estrategia hasta la base la operativa se definan y articulen los mecanismos de proteccin al nivel correspondiente. Cualquier iniciativa que no venga liderada y apoyada desde el propio Estado y con el ms alto nivel estar condenada al fracaso. Como tambin lo estar cualquier iniciativa que, como antes hemos dicho, focalice su atencin en unas amenazas concretas y descuide otras en funcin de en qu mbito se puede materializar cada una de ellas.

Para finalizar este anlisis, es necesario destacar la importancia del nivel operativo, el que da a da hace frente a las amenazas, a la hora de


hablar de proteccin de infraestructuras crticas. La organizacin, el apoyo al ms alto nivel, el intercambio de informacin servir de muy poco si operativamente no somos capaces de proteger adecuadamente cada infraestructura. En este mbito, desde el punto de vista tcnico consideramos necesario reforzar la seguridad en entornos de control industrial asociados a las infraestructuras crticas, sistemas que o bien se disearon para trabajar en entornos aislados, sin considerar amenazas provenientes de la otra punta del mundo, o bien estn a cargo de equipos que no tienen la idea de la interconexin de sistemas en la cabeza. En opinin de este equipo, a la hora de hablar de la seguridad lgica de estos entornos, nos encontramos ahora en la misma situacin que tenamos hace quince aos con cualquier sistema operativo de propsito general: entornos no diseados con la seguridad como premisa, abiertos por completo a Internet y accesibles a golpe de ratn y teclado desde cualquier punto del mundo. No hay que ser ningn experto en seguridad para utilizar analizadores o buscadores basados en cabeceras de protocolos (tpicamente, HTTP) y determinar, por ejemplo, que existen numerosos sistemas SCADA, cmaras IP de videovigilancia o sistemas de control de acceso encargados de proteger infraestructuras crticas

incluidas espaolas, accesibles por completo desde Internet mediante un simple usuario y contrasea o con vulnerabilidades crticas fallos en su diseo o implementacin que pueden permitir a un atacante tomar el control total o parcial de la infraestructura, desde cualquier punto de Internet, sin correr ningn riesgo y con un impacto potencial muy alto. Preocupante, no?

En la proteccin de infraestructuras crticas actual desde el punto de vista lgico debemos aplicar, a muy corto plazo, medidas drsticas que incrementen la seguridad tecnolgica de las infraestructuras, en especial la de los sistemas de control industrial, en dos grandes lneas: control de acceso y robustez de aplicaciones; algo similar a las medidas que en su momento se tomaron para proteger los sistemas generalistas, expuestos a Internet por completo. Confiamos en que a corto plazo se apliquen medidas de seguridad, teniendo en cuenta que aqu la situacin puede ser ms grave que en otros entornos: de muchos de esos sistemas dependen infraestructuras crticas (insistimos: vidas humanas en la mayor parte de ocasiones). En cuntos aos seremos capaces de tenerlos correctamente protegidos? La respuesta debe ser rpida, al menos ms de lo que pueda ser el ataque

Conclusiones


La proteccin de infraestructuras crticas es una preocupacin para los gobiernos de todo el mundo; en este siglo nos enfrentamos a nuevos paradigmas de seguridad que implican amenazas y modelos desconocidos hasta el momento y ms que habr, previsiblemente que nos obligan y nos seguirn obligando a replantearnos todos los esquemas de proteccin que tenamos hasta la fecha.

Se ha trabajado intensivamente en la proteccin de infraestructuras crticas pero todava queda mucho trabajo por hacer a nivel nacional; todas las iniciativas, lideradas al ms alto nivel, deben ir orientadas a la proteccin integral y a la resiliencia de las infraestructuras, y deben garantizar que el Estado es capaz de adaptarse rpidamente a nuevas situaciones que quizs hoy no podamos ni imaginar. Y estas iniciativas deben contar con la colaboracin del sector pblico y del privado, este ltimo involucrado de lleno en la PIC.

Desde el apoyo, implicacin y liderazgo del alto nivel estatal, los mecanismos de seguridad y defensa de las infraestructuras crticas deben ser plasmados correctamente en todos los escalafones necesarios para la proteccin hasta llegar al operativo puro y duro, que deber reforzar la seguridad del da a da prestando especial atencin a los aspectos de seguridad tecnolgica, cada vez ms relevantes en la PIC.

A modo de resumen, planteamos algunas lneas de trabajo para el corto y medio plazo que este equipo considera necesario destacar y que han sido desarrolladas a lo largo del presente informe:

Potenciar la colaboracin y el intercambio de informacin entre los

actores participantes en la PIC a diferentes

niveles.

Promover la participacin activa del sector privado y la colaboracin pblico-

privada.

Impulsar los cambios orgnicos necesarios al mximo nivel del Estado para

garantizar la gestin correcta de los nuevos

paradigmas de la seguridad y la defensa.

Garantizar la adaptabilidad de la proteccin a nuevas situaciones que sean

radicalmente opuestas a las conocidas,

permitiendo la resiliencia de las

infraestructuras crticas.

Abordar la proteccin de infraestructuras crticas desde el punto de

vista fsico y desde el punto de vista lgico,

con una gestin integrada.

Mejorar la seguridad lgica de las infraestructuras crticas haciendo especial

hincapi en la proteccin adecuada de los

sistemas de control.


[1] Presidential Decision Directive, PDD-39. U.S. Policy on Counterterrorism. Junio, 1995. http://www.fas.org/irp/offdocs/pdd39.htm

[2] Presidential Decision Directive, PDD-62. Combating Terrorism. Mayo, 1998.

http://www.fas.org/irp/offdocs/pdd-62.htm

[3] Presidential Decision Directive, PDD-63. Protecting America's Critical Infrastructures. Mayo, 1998.

http://www.fas.org/irp/offdocs/pdd/pdd-63.htm

[4] The Clinton Administration's Policy on Critical Infrastructure Protection:

Presidential Decision Directive-63 (whitepaper). Mayo, 1998.

http://www.fas.org/irp/offdocs/paper598.htm

[5] Homeland Security Presidential Directive HSPD-7. Critical Infrastructure Identification,

Prioritization, and Protection. Diciembre, 2003.

http://www.fas.org/irp/offdocs/nspd/hspd-7.html

[6] Assessing the Risks of Cyber Terrorism, Cyber War and Other Cyber Threats

James A. Lewis. Center for Strategic and International Studies. Diciembre 2002.

[7] Security Economics and Critical National Infrastructure. Ross Anderson, Shailendra Fuloria. Computer Laboratory, Cambridge University. 2009

[8] Cyber War Will Not Take Place. Thomas Rid. Kings College London. Octubre 2011.

[9] La proteccin de las infraestructuras crticas. Mara Jos Caro Bejarano. Instituto Espaol de Estudios Estratgicos. Julio, 2011.

[10] Protecting critical infrastructure in the EU. CEPS Task Force Report. Centre for European Policy Studies. 2010.

[11] Ley 8/2011. Boletn Oficial del Estado, nm. 102, sec. I, pg. 43370. Abril de 2011.

[12] R.D. 704/2011. Boletn Oficial del Estado, nm. 121, sec. I, pg. 50808. Mayo de 2011.

[13] Entrevista a Fernando Snchez Gmez, director del CNPIC. Seguritecnia. Septiembre, 2011.

[14] En el punto de mira. Las infraestructuras crticas en la era de la

ciberguerra. Informe McAfee. Septiembre, 2009.

[15] Amenazas en la oscuridad. Las infraestructuras crticas se enfrentan a

ciberataques. Informe McAfee, Noviembre, 2010.

[16] Ciberseguridad. Retos y amenazas a la seguridad nacional en el ciberespacio. Cap. 6: Estrategias Nacionales de Ciberseguridad. Ciberterrorismo. Cuaderno de Estrategia 149. Instituto Espaol de Estudios Estratgicos. Instituto Universitario General Gutirrez Mellado. Ministerio de Defensa.

[17] Estrategia Espaola de Seguridad: una responsabilidad de todos. Gobierno de Espaa, 2011.

Referencias

Usted es libre de

Copiar, distribuir y comunicar pblicamente la obra

Remezclar transformar la obra

Hacer un uso comercial de esta obra

Bajo las condiciones siguientes

Reconocimiento Debe reconocer los crditos de la obra de la manera especificada por el

autor o el licenciador (pero no de una manera que sugiera que tiene su apoyo o apoyan el

uso que hace de su obra).

Ms informacin en http://creativecommons.org/licenses/by/2.5/es/, o en los datos de contacto

indicados.

Si desea utilizar esta publicacin, debe indicar que se trata del Informe de Proteccin de

Infraestructuras Crticas 2011 publicado por S2 Grupo.

Contacto

Antonio Villaln Huerta

Director de Seguridad

S2 Grupo

[email protected]

www.s2grupo.es

www.securityartwork.es

proteccion a infraestrucutras criticas del 2011 españa

Documents