La ley 8/2011 obliga a las Organizaciones declaradas como operadores críticos a proteger sus infraestructuras.

1. La Protección de Infraestructuras Críticas
La Ley 8/2011 y su normativa de desarrollo obligan a las
Organizaciones, que han sido declaradas como operadores críticos, al
cumplimiento de una serie de requisitos en relación con la protección
de sus infraestructuras críticas, así como al control por parte de
Organismos como el CNPIC.
Este hecho y la propia protección del negocio, exigen a la
Organizaciones la implantación y seguimiento de un conjunto de
medidas de Seguridad Integral (ciberseguridad, seguridad física,
cuidado medio ambiental, seguridad electrónica, organizativa, personal-
autoprotección,…) procedentes de diversas leyes, normas y estándares,
así como una adecuada gestión del cumplimiento.
Esta gestión no es sencilla, debido al gran número de medidas en
juego y a que es llevada a cabo por varias áreas de la Organización que
normalmente utilizan metodologías diferentes y de forma aislada,
con información propietaria y en distintos formatos, lo que redunda en
duplicidad de esfuerzos y una mayor dificultad para una protección
efectiva y para poder demostrar el cumplimiento.
Se necesita una gestión integral con una metodología definida y
común para toda la Organización que:
• Trate la Seguridad y el cumplimiento de forma Integral.
• Permita la racionalización de los requisitos comunes a diferentes
leyes, normas y estándares aplicables.
SIG - PIC
Sistema Integrado de Gestión de la Protección de Infraestructuras Críticas
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
• Permita la disponibilidad de la información y su consumo
compartido por las distintas áreas y conocer el estado las medidas
de seguridad, para cada infraestructura, en tiempo real.
• Aúne esfuerzos en el seguimiento y control de la Seguridad.
Sistema Integrado de Gestión de la Seguridad y el
Cumplimiento PIC (SIG – PIC)
SIA ha desarrollado Sistema Integrado de Gestión para el seguimiento
y control de la Protección de Infraestructuras Críticas (SIG-PIC),
siguiendo un modelo fácil de gestionar y de comprender, y que obtiene
un considerable ahorro de tiempo y esfuerzo. Entre sus principales
características están:
• Enfoque y herramientas de Gobierno, Gestión Riesgo y
Cumplimiento (GRC) que establecen un marco integrado de gestión
y de control proactivo y permite disponer de información de calidad
en cada momento para la toma de decisiones.
Gestión aislada por las áreas de la Organización
“Es necesaria una Gestión
Integral de la Seguridad, con una
metodología definida y común”
Gestión integral y común para todas las áreas
de la Organización

2. www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B
Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
Pallars 99
planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
• Creación de Modelo Unificado de Controles (MUC) que permite
obtener un conjunto reducido de medidas/controles que cubra
todos los requerimientos aplicables, facilitando su implantación y
seguimiento y, por tanto, el cumplimiento normativo.
• Basado en la Gestión de Procesos (BMP) por las áreas implicadas,
con definición de los mismos y llegando a una operación
administrada por proceso en lugar de la tradicional operación
funcional.
• Estructura alineada con estándares de Gestión reconocidos (ISO-
27001, ISO-20000, ISO-22301, ISO-9001, ISO-14001,...) para ser
conforme en cualquier auditoría.
• Modelo de Capas definido en la metodología propia de SIA, que
permite la trazabilidad de las medidas de seguridad con los
procesos y tareas a realizar.
El modelo del SIG-PIC de SIA permite, como aspectos destacables:
• La gestión de los principales procesos PIC, por cada área
implicada y el control centralizado por la Dirección de Seguridad
Corporativa:
• Gestión de objetivos, planes de mejora y tratamiento del riesgo, no
conformidades, incidentes-problemas,…, así como los proyectos
asociados.
• La generación de informes e indicadores online y en tiempo real del
estado de la Seguridad Integral y el cumplimiento.
Gestión del cumplimiento de medidas (MUC)
Ciclo de vida de procesos del SIG
CHECK
PLAN
DO
RECURSOS – (Gestión de Recursos) Alta (Clasificación), baja y modificación
ACT
0100.P. Estrategia y
Planificación
0200.P.Objetivos
1000.C.P AARR
0800.C.P
Auditoría
0300.P.Proyectos/Plan
Acción
0700.C.P
Medición/
Monitorización
1300.R.P GESTIÓN
ACTIVOS
1400.R.P GESTIÓN
DE RRHH
1700.R.P GESTIÓN
FINANCIERA
0500.D.P
Transición/
Implantación
0600.D.P
Operación
PLAN
ACT DO
CHECK
SIG
Mapa de procesos
0900.C.P Análisis
de Impacto
1100.A. Revisión por la
Dirección - Mejora
1500.R.P GESTIÓN
DE PROVEEDORES
1600.R.P GESTIÓN
DE CLIENTES/
RELACIÓN NEGOCIO
0701.C.MUC
MODELO UNIFICADO
DE CONTROLES –
REQUISITOS
0701.C.MUC
MODELO UNIFICADO
DE CONTROLES –
REQUISITOS
0400.D.P Diseño
1200.R.P Seguridad
FISICA
1
Principales procesos PIC
Análisis y Gestión del Riesgo
Gestión de la Continuidad del Negocio (BIAs, Estrategias, Planes y
Pruebas)
Ciclo de vida (PDCA) de las medidas/controles
Gestión de Auditorías y evidencias
Gestión de Proveedores
Gestión de Recursos (humanos, financieros, materiales,…)
Principales procesos PIC
Estado del cumplimiento por norma e
infraestructura
Medición de Indicadores