La Seguridad Integral y el Sistema PIC (protección de Infraestructuras Críticas)

Hacia la seguridad integral en la protección de las infraestructuras críticas

Tras el incidente de mayo con el ransomware WannaCry, se ha hecho aún más evidente la necesidad de que los operadores que forman parte del Sistema PIC español avancen hacia una seguridad integral que les permita proteger adecuadamente sus activos físicos y lógicos. Y en este proceso, es fundamental la colaboración público-privada, como quedó patente en el siguiente panel.

La sesión vespertina del  comenzó con un nuevo panel: “La seguridad integral y el sistema PIC”. El moderador de la mesa, Enrique Polanco, socio director de Global Technology, quiso sentar las bases del debate con un repaso a la normativa existente en torno a este tema. El directivo se refirió la Ley para la Protección de las Infraestructuras Críticas (Ley 8/2011) y a su reglamento de desarrollo (Real Decreto 704/2011), así como a la resolución de la Secretaría de Estado de Seguridad y la guía de buenas prácticas para el desarrollo de los planes de seguridad del operador, elaboradas por el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC).

En todos esos textos, observó Polanco, se hace una mención más o menos explícita a la seguridad integral y a la necesidad de combatir las amenazas tanto desde un punto de vista lógico como físico. A partir de ahí, se valoró en qué punto se encuentra la convergencia entre esos dos conceptos en el ámbito de la protección de infraestructuras críticas.

Para ello, intervino en primer lugar José Ignacio Carabias, jefe de operaciones del CNPIC, quien recordó lo mucho que se ha avanzado en este ámbito desde 2011, año en el que se aprobó la Ley PIC. “Antes la seguridad se refería sobre todo al entorno físico, mientras que la ciberseguridad apenas se trabajaba”, pero, desde entonces, la situación ha cambiado por completo, gracias a la cooperación público-privada. “Ahora ya no sólo se trata de la Administración, sino también se cuenta con el operador,  que es quien debe garantizar los servicios que presta”, añadió Carabias

Colaboración

Con esta afirmación coincidió José Carlos Moreno, director de Inteligencia y Análisis del Banco Santander, quien se mostró satisfecho con el grado de colaboración entre ambos ámbitos de la seguridad. Como prueba, puso de ejemplo el incidente con el ransomware WannaCry, que confirmó el “excelente grado de respuesta de las instituciones españolas”, personalizadas en CNPIC, el Instituto Nacional de Ciberseguridad (Incibe) y el equipo de respuesta a incidentes del Centro Criptológico Nacional (CCN-CERT). “Hay que sentirse orgullosos”, manifestó este profesional.

Ahora bien, para el directivo, todavía es preciso seguir avanzando en la integración por parte de los operadores críticos de los dos tipos de seguridad, la física y la lógica. “Debemos crear pilares para que exista una convergencia real entre ambos mundos”, para lo cual se deberían “desarrollar nuevas reglas” y “redefinir el concepto de seguridad tradicional”, apuntó Moreno.

Por su parte, Concepción Cordón, responsable de Gestión de Riesgos de la Empresa Municipal de Aguas de Málaga, manifestó el problema que hay, en ocasiones, para llevar a cabo esa convergencia. “Tenemos dificultades para encontrar correlación de eventos para realizar un buen seguimiento en caso de notificaciones de incidentes de seguridad, para unificar los incidentes que se producen en la parte física (como cámaras de seguridad u otros dispositivos). No encontramos herramientas que nos ayuden en este sentido”, comentó. A pesar de ello, la directiva reconoció que, en el caso del WannaCry, el sector del agua reaccionó “bastante bien”, y funcionó “perfectamente” la colaboración público-privada.

Improvisación o no

El último interviniente en esta primera ronda fue Javier García Carmona, consejero delegado de la consultora Dara Norte, quien destacó el avance producido en los últimos años en materia de seguridad integral. Pero aún así, opinó que hace falta extraer lecciones aprendidas de incidentes como el de WannaCry, entre ellas “la capacidad de improvisación” que hubo. “Somos muy reactivos, pero todo con improvisación”, sentenció. Como consecuencia de ello, apuntó, el usuario no se encuentra formado para manejar determinadas herramientas y concienciado sobre su uso, por lo que no se conseguirá nada si no se produce un cambio de mentalidad.

Moreno, de Grupo Santander, discrepó de esta idea y consideró que no hubo improvisación en el ciberataque de ransomware. “Son incidentes complejos, con múltiples factores y consecuencias, en los que se desconoce el vector de entrada”. Además, destacó la activación de los planes de emergencias que pusieron en marcha muchas empresas aun sin haber sido atacadas; y puso de manifiesto “la importancia de compartir información en este tipo de amenazas”. A pesar de ello, según puntualizó a continuación García Carmona, “no había documentación que estableciera claramente cómo actuar, trabajando sobre la base de las personas y las estrategias organizativas”.

Por su parte, para Carabias, del CNPIC, la normativa al respecto sí establece unos contenidos mínimos que se deben exigir a los operadores críticos en los distintos planes de seguridad que tienen que elaborar. En este sentido, remarcó, el CNPIC observa un aumento del grado de madurez de los operadores.

Esquema de certificación

Además, reveló que dicho organismo está trabajando en un esquema de certificación, gracias al cual se puede certificar que el operador cumple lo que dice. Y no sólo quedarse ahí. “Queremos que los proveedores que ofrecen sus servicios a los operadores también tengan ese grado de certificación; es decir, hacerles corresponsables de la seguridad”, añadió.

En este contexto, para Cordón, de la Empresa Municipal de Aguas de Málaga, es importante distinguir que no todos los operadores son iguales. Los hay más grandes, con una mayor estructura organizativa, y más pequeños, con menos. En ese sentido, mencionó los problemas que puede encontrar el operador, por ejemplo, para saber cómo distribuir internamente los roles que marca la Ley PIC.

Para García Carmona, el problema en estos casos es que se confunde la función con la persona. “El paradigma es ver la función y analizar si aglutinar todas en una única responsabilidad o en varias”, añadió.

Al respecto también se refirió Carabias, del CNPIC, quien reveló que desde su organismo están trabajando en una ventanilla única para que el operador, sea público o privado, tenga un punto único de referencia. Eso sí, añadió, también es importante que esos operadores cuenten con un interlocutor interno, y valoró positivamente el esfuerzo que todos ellos están haciendo para cumplir con la normativa y el grado de concienciación que tienen actualmente.