Red065 blq

www.redseguridad.com
Revista especializada en Seguridad de la Información Nº 65 Junio 2014 Época II

Seguridad Privada
CongreSo naCional
18 noviembre 2014. madrid
IIide
organizan:
COLABORa:
ASOCIACIONESPA
ÑOLA DE DIRECTOR
ESDESEGURIDAD
NEXUM
GOBIERNO
DE ESPAÑA
MINISTERIO
DEL INTERIOR

red seguridad junio 2014 3
editorial
Por el bien
del sector
La ley 5/2014, de 4 de abril, sobre Seguridad Privada
no sólo ha supuesto un avance y una actualización de la
anterior Ley de 1992, en tanto en cuanto da respuesta a
las nuevas necesidades de seguridad que han ido sur-
giendo a lo largo de todos estos años, sino que también
ofrece cobertura a ciertos aspectos relacionados con la
seguridad informática. Sólo por el mero hecho de que
se hable expresamente de ello, ya debe ser motivo de
satisfacción para el sector de TI, de lo cual deberíamos
enorgullecernos todos.
En este sentido, la seguridad informática aparece no
como una actividad de la privada, sino como algo com-
patible y regulable específicamente. Ya en el preámbulo
se habla de la seguridad desde un punto de vista integral,
porque tan importante es protegerse de las amena-
zas proponiendo medidas de seguridad físicas como
hacerlo en el ciberespacio. Y así también figura en el
artículo 6.6, que habla sobre las actividades compatibles,
y donde se define qué entiende el legislador por seguri-
dad informática: "El conjunto de medidas encaminadas a
proteger los sistemas de información a fin de garantizar la
confidencialidad, disponibilidad e integridad de la misma o
del servicio que aquéllos prestan". También hace referencia
a un matiz importante. Y es que, por su incidencia directa
en la seguridad de las entidades públicas y privadas, "se les
podrán imponer reglamentariamente requisitos específicos
para garantizar la calidad de los servicios que presten".
Además, por el mero hecho de prestar esos servicios, este
tipo de organizaciones deben estar inscritas en unos regis-
tros nacionales y autonómicos, de acuerdo también a lo que
reglamentariamente se establezca.
Sin duda, son éstos dos aspectos importantes sobre los
que el futuro Reglamento, que se encuentra ahora mismo
en proceso de elaboración y que ampliará con más detalle
el articulado de la Ley, deberá posicionarse adecuadamente
y con el máximo consenso. Pero no son los únicos.
El artículo 47 sobre servicios de gestión de alarmas con-
templa también el análisis y la monitorización de eventos de
seguridad de la información y las comunicaciones. Esto es,
en caso de producirse una alarma en esos sistemas, habrá
que comunicarla al organismo competente, sin deter-
minar cuál es y dejando al Reglamento se especificación.
Así las cosas, cualquier compañía que se encuentre
regulada por los preceptos de esta ley podrá adoptar varios
tipo de medidas de seguridad, con el fin de proteger a las
personas y a los binenes materiales. Entre la lista de esas
medidas se encuentra la seguridad informática, que debe
salvaguardar los sistemas de información y comunicaciones
y los datos en ellos contenidos.
El último artículo de la ley en la que se cita expresamente
a la seguridad lógica es el 57, que corresponde al de las
infracciones de las empresas que desarrollen actividades
de seguridad privada. La novedad más importante en este
sentido es que para ellas ya no sólo contempla sancio-
nes económicas, que también las hay y pueden alcanzar
los 600.000 euros; sino también otras como el cierre o
suspensión de la actividad por tiempo determinado.
Asimismo, la ley no establece esos dos tipos de sanciones
como una disyuntiva y pueden ser acumulativas. Por tanto,
el efecto disuasorio para los malos operadores es mucho
más importante. Y bajo esa consideración son tratadas las
compañías de seguridad informática que no comuniquen
las incidencias relativas al sistema de cuya protección sean
responsables cuando sea preceptivo.
Puesto que la ley no va más allá, deja la puerta abierta
a que sea el futuro Reglamento quien determine cuál debe
ser ese órgano al que las empresas deben comunicar los
incidentes. De la misma forma que deberá detallar cuál será
el procedimiento adecuado para notificarlos.
Con tantos frentes que deja abiertos la ley con res-
pecto a la seguridad informática, hemos organizado en
este número una mesa redonda con la participación
de varios expertos del sector de la Seguridad de la
Información, que encontrará en páginas interiores, para
que opinen hacia dónde creen que debería encaminarse
el Reglamento. Entre todos ellos hay varios puntos coin-
cidentes, como la necesidad de establecer requisitos de
certificación o identificación para las empresas de seguridad
privada en el ámbito de las tecnologías de la información.
Sin embargo, también hay puntos de discrepencia, como
cuál debe ser el órgano al que las organizaciones deberían
notificar las incidencias. Algunos consideran que debería ser
INTECO y otros las unidades telemáticas de los cuerpos de
seguridad como la Policía y la Guardia Civil.
Queda, por tanto, todavía mucho camino por recorrer,
aunque es justo afirmar que la publicación de esta ley ha
supuesto un primer paso muy importante para el reconoci-
miento de la seguridad lógica como parte indisoluble de la
seguridad integral. Ahora, por parte del legislador, sería
pertinente que contara con el mayor consenso posible de
toda la industria, tanto las instituciones públicas como las
privadas, para desarrollar en el Reglamento aquellos
aspectos de la seguridad informática que no se han
acabado de definir claramente. Y por parte de los profe-
sionales, las compañías y las asociaciones de TI, es el
momento de recoger el guante y intentar aportar todo lo
que pueda en esa redacción. Por el bien del sector, en
beneficio de todos.

sumario
editorial
Por el bien del
sector
3
PRESIDENTE
Arjan Sundardas Mirchandani
Colegio Registradores
VOCALES
José Luis Rodríguez Álvarez
Agencia Española de
Protección de Datos (AEPD)
José Manuel de Riva
Ametic
Guillermo Martínez Díaz
Asociación de Empresarios de
TIC de Andalucía (ETICOM)
Fermín Montero Gómez
Dirección General de
Economía, Estadística e
Innovación Tecnológica de
la Comunidad de Madrid
Miguel Manzanas
Unidad de Investigación
Tecnológica (UIT) del Cuerpo
Nacional de Policía
Óscar de la Cruz Yagüe
Grupo de Delitos Telemáticos
(GDT) de la Guardia Civil
Joaquín González Casal
Asociación de Ingenieros
e Ingenieros Técnicos en
Informática (ALI)
Vicente Aceituno Canal
Asociación Española para la
Seguridad de los Sistemas de
Información (ISSA España)
Juan Muñoz
ASIS España
Ignacio Gisbert Gómez
Confederación Española de
Cajas de Ahorros (CECA)
Miguel Rego Fernández
Instituto Nacional
de Tecnologías de la
Comunicación (INTECO)
Antonio Ramos García
ISACA Capítulo de Madrid
Gianluca D'Antonio
ISMS Forum Spain
Vicente Aguilera Díaz
Open Web Application
Security Project (OWASP)
Jorge Ramió Aguirre
Universidad Politécnica de
Madrid (UPM)
CONSEJEROS
INDEPENDIENTES
Emilio Aced Félez
Tomás Arroyo
Javier Moreno Montón
Javier Pagès
Olof Sandstrom
PRESIDENTE DE HONOR
Alfonso Mur Bohigas
CONSEJO TÉCNICO ASESOR
STAFF
Borrmart: Presidente: Francisco Javier Borredá Martín. Presidente de Honor: José Ramón Borredá. Directora general: Ana
Borredá. Adjunto a la Presidencia y a la Dirección General: Antonio Caballero Borredá. Publicidad: Marisa Laguna y Pedro Jose
Pleguezuelos, Paloma Melendo. Gestión y Control: Carmen Granados. Directora de Relaciones Institucionales: Mª Victoria Gómez.
Red Seguridad: Directora: Ana Borredá. Redactor Jefe: Enrique González Herrero. Colaboradores: Bernardo Valadés,
David Marchal, Laura Borredá, Leticia Duque Guerrero y Jaime Sáez de la Llave. Maquetación: Macarena Fernández
López y Jesús Vicente Ocaña. Fotografía: Banco de imágenes Thinkstock/GettyImages. Diseño: Escriña Diseño Gráfico.
Suscripciones: Mª Isabel Melchor y Elena Sarriá. Dirección Financiera: Javier Pascual Bermejo. Redacción, Administración
y Publicidad: C/ Don Ramón de la Cruz, 68. 28001 Madrid Tel.: +34 91 402 96 07 Fax: +34 91 401 88 74
www.borrmart.es www.redseguridad.com red@borrmart.es. Fotomecánica e impresión: Reyper.
Suscripción anual:
50 euros (España), 110 euros (Europa,
zona euro), 150 euros (resto países)
Depósito Legal: M-46198-2002
ISSN: 1695-3991
RED SEGURIDAD no se responsabiliza necesariamente de las opiniones o trabajos firmados, no autoriza la reproducción de textos e ilustraciones sin autorización escrita.
Usted manifiesta conocer que los datos personales que facilite pasarán a formar parte de un fichero automatizado titularidad de BORRMART, S.A. y podrán ser objeto de tratamiento, en los términos previstos en la Ley Orgánica 15/1999, de 13
de Diciembre y normativa al respecto. Para el cumplimiento de los derechos de acceso, rectificación y cancelación previstos en dicha ley diríjase a BORRMART, S.A. C/ Don Ramón de la cruz, 68. 28001 Madrid.
Planes Estratégicos Sectoriales
Convergencia en seguridad
26
Planes Estratégicos Sectoriales
de la Electricidad, Petróleo,
Nuclear, Financiero y Gas
Sobre la mesa
Un primer paso hacia
la regulación de la
seguridad lógica
14
Esteban Gándara
Comisario jefe de la Unidad Central
de Seguridad Privada del Cuerpo
Nacional de Policía
entrevista
entrevista
Fernando Sánchez
Director del Centro Nacional para la
Protección de las Infraestructuras
Criticas
20
Loïc Guézo
Evangelista de Seguridad de
la Información de Trend Micro
para el sur de Europa
protagonista segurtic
52
Jornada internacional
ISMS Forum reune a más de 300
profesionales de seguridad de TI
actualidad
8
El caso del derecho
al olvido
Francisco Javier Carbayo y
Noemí Brito, miembros del
Comité Operativo del Data
Privacy Institute de ISMS Forum
opinión58
48

ESPECIFICACIONES DE LOS TROFEOS
Los “TROFEOS DE LA SEGURIDAD TIC” serán otorgados anualmente por el Jurado, constituido por el Pleno del Consejo Técnico
Asesor de Red Seguridad, previo análisis y estudio de las distintas candidaturas, a las personas o entidades -del sector público y
privado- que se hagan acreedoras de ellos.
T1.- TROFEO AL PRODUCTO O SISTEMA DE SEGURIDAD TIC DEL AÑO
En vigor y comercializado (producto) e implantado y operativo (sistema) en España y/o por empresas españolas.
T2.- TROFEO AL SERVICIO DE SEGURIDAD TIC DEL AÑO
Implantado y operativo, servicio prestado a terceros en España y/o por empresas españolas.
T3.- TROFEO A LA INNOVACIÓN EN SEGURIDAD TIC
Producto o sistema, o servicio más innovador del año.
T4.- TROFEO A LA INVESTIGACIÓN EN SEGURIDAD TIC
A la persona o entidad, pública o privada, que más se haya distinguido en la actividad de investigación en materia de Seguridad TIC
desarrollada en España y/o por entidades, empresas o profesionales españoles.
T5.- TROFEO A LA FORMACIÓN, CAPACITACIÓN, DIVULGACIÓN O CONCIENCIACIÓN EN SEGURIDAD TIC
A la persona o entidad, pública o privada, que más se haya distinguido por su aportación a la formación y/o capacitación en materia
de Seguridad TIC desarrollada en España y/o por empresas o entidades españolas.
TE.- TROFEO EXTRAORDINARIO DEL JURADO
A la persona, entidad o colectivo que más se haya destacado a lo largo del año por sus valores humanos, acciones meritorias o labor
extraordinaria en pro del desarrollo y difusión de la cultura de la Seguridad en Tecnologías de la Información y las Comunicaciones, en
el ámbito nacional o internacional.
CATEGORÍAS T1, T2 y T3
Requisitos de carácter técnico: Memoria personalizada (mínimo, 3 folios). Presencia del producto o sistema o del servicio en
el mercado, así como de la innovación que se haya desarrollado en el periodo de esta edición. Presentación de certificaciones
de acuerdo con la normativa vigente, si existen. Presentación de homologaciones de acuerdo con la normativa vigente, si existen.
Subvenciones, si las hubiere. Disponibilidad, garantizada por el candidato, del producto o sistema, o del servicio, la innovación o la in-
vestigación, para la realización de pruebas o ensayos, en caso de que lo considerase pertinente la Comisión que estudie la propuesta.
Los posibles gastos derivados de análisis, ensayos, contrastes, etc. que requiera la respectiva Comisión de Estudio para emitir su dic-
tamen (cuyos resultados quedarán en poder del candidato al premio), así como las visitas del Jurado, serán sufragados por el candidato.
CATEGORÍAS T4 y T5
Requisitos que comprenden valores humanos, en general, y profesionales, en particular: Memoria personalizada (mínimo, 3
folios) de los hechos y proyectos, y sus resultados, historiales profesionales u otros antecedentes si se creen pertinentes a efectos del
mejor conocimiento de la persona o colectivo propuesto.
CERTAMEN INTERNACIONAL
“IX Trofeos de la Seguridad TIC”
J
u
r
a
d
o
Red Seguridad, revista independiente especializada en Seguridad de la Información, manifestando su
y privadas, relacionadas con las distintas actividades, productos y servicios de seguridad TIC, instituye
del Certamen Internacional de este nombre, el cual se desarrollará con arreglo a las siguientes Bases,
Presidente
Arjan Sundardas mirchandani
Colegio Registradores
Vocales
JOSÉ LUIS RODRÍGUEZ ÁLVAREZ
Agencia Española de Protección de
Datos (AEPD)
José manuel de riva
AMETIC
Guillermo Martínez Díaz
Asociación de Empresarios de
Tecnología de la Información y
Comunicación de Andalucía (ETICOM)
Joaquín González CasaL
Asociación de Ingenieros e Ingenieros
Técnicos en Informática (ALI)
Vicente Aceituno Canal
Asociación Española para la Seguridad
de los Sistemas de Información (ISSA
España)
Juan muñoz
ASIS España
Ignacio gisbert gómez
Confederación Española de Cajas de
Ahorros (CECA)
fermín montero gómez
Dirección General de Economía,
Estadística e Innovación Tecnológica de
la Comunidad de Madrid
MIGUEL MANZANAS
Unidad de Investigación Tecnológica
(UIT) del Cuerpo Nacional de Policía
óscar de la cruz yagüe
Grupo de Delitos Telemáticos (GDT)
de la Guardia Civil
mIGUEL REGO FERNÁNDEZ
Instituto Nacional de Tecnologías de la
Comunicación (Inteco)
antonio ramos GARCÍA
ISACA Capítulo de Madrid
Gianluca D’Antonio
ISMS Forum Spain
Vicente Aguilera Díaz
Open Web Application Security Project
(OWASP)
Jorge Ramió Aguirre
Universidad Politécnica de Madrid (UPM)
Consejeros independientes
Emilio Aced Félez
Tomás Arroyo
JAVIER MORENO MONTÓN
Javier pagès
Olof Sandstrom
Presidente de Honor
alfonso mur bohigas

BASES DEL PROCEDIMIENTO DE CONCESIÓN
PRIMERA.- El Jurado del Certamen lo constituye el Consejo Técnico Asesor de Red Seguridad, convocado y reunido el Pleno
bajo la Presidencia de su titular que, previo análisis de los dictámenes no vinculantes de las Comisiones de Estudio designadas por el
mismo, decidirá la concesión de los Trofeos a la correspondiente edición anual.
El Jurado podrá declarar desiertos alguno o algunos de los Trofeos si, a su juicio, el candidato/os no reúne los méritos suficientes. Sus
decisiones son inapelables.
Las propuestas para los Trofeos T4 y T5 también podrán ser formuladas por los propios Consejeros al Pleno del propio órgano, que
resolverá sobre las mismas.
Las propuestas al Trofeo Extraordinario (TE) únicamente podrán ser formuladas por los propios Consejeros al Pleno del propio órgano,
que resolverá sobre las mismas.
SEGUNDA.- Las Comisiones de Estudio serán nombradas por el Pleno del Consejo Técnico Asesor, que designará a los componen-
tes y a su coordinador. Un componente de cada Comisión lo será por nombramiento del Presidente del Jurado. Cada Comisión estará
formada, al menos, por tres consejeros y por la directora de Red Seguridad, que participará con voz, pero sin voto.
TERCERA.- Las candidaturas o propuestas para cada uno de los Trofeos que se reseñan (con excepción del TE) pueden ser formu-
ladas directamente por las personas, entidades, organismos o empresas que crean reunir méritos suficientes para obtener el premio o
premios que soliciten. Los miembros del Jurado podrán proponer, a su vez, sin limitación en cuanto al número, a cuantos consideren
merecedores de algún galardón. En cada solicitud deberá constar la filiación completa del solicitante o proponente o, en su caso, de
ambos.
CUARTA.- Las candidaturas o propuestas para cada uno de los Trofeos que se reseñan (con excepción del TE, que queda a consi-
deración exclusiva del Jurado) se presentarán a la Dirección de la revista Red Seguridad, a la que deberán enviar carta de presenta-
ción, el ejemplar de la documentación digitalizada, siendo obligatorio la cumplimentación del formulario que está a su disposición en
nuestra página web, así como la descripción de la candidatura siguiendo la plantilla para el dossier que igualmente está en la web.
QUINTA.- El plazo de presentación de las candidaturas o propuestas (excepto las de los premios TE) será antes del próximo 30 de
septiembre de 2014, que se enviarán únicamente en formato digital al siguiente correo electrónico: trofeos.redseguridad@borr-
mart.es. Los expedientes quedarán, con carácter confidencial, en poder de la revista y no se mantendrá correspondencia sobre los
mismos.
SEXTA.- TROFEO EXTRAORDINARIO DEL JURADO (TE). Deberá ser propuesto exclusivamente por los miembros del Jurado -uno o
varios miembros-, por escrito al presidente del Consejo Técnico Asesor (CTA), pudiendo unir al escrito de la propuesta cuanta docu-
mentación se considere oportuna para acreditar los méritos de la candidatura.
Oportunamente, la revista publicará el fallo del Jurado y la fecha del solemne acto de entrega -en el transcurso del almuerzo o cena de
gala-, en el que los premiados recibirán los “TROFEOS DE LA SEGURIDAD TIC” de Red Seguridad. Estas distinciones son de
carácter honorífico y se materializarán en una artística placa que, a modo de diploma, los perpetúa.
SEXTA.- El Jurado del certamen, así como las Comisiones de Estudio designadas por el mismo, mantendrán la protección de la inti-
midad y la confidencialidad de la información obtenida en el ejercicio de sus funciones.
Asimismo, deberán desempeñar sus cometidos con objetividad, la debida diligencia e independencia y rigor. Por ello, y para asegurar
la objetividad e imparcialidad de su función, explícitamente se requiere al miembro del Jurado o Comité abstenerse de votar su propia
labor o trabajos de la organización en que preste sus servicios.
Editorial Borrmart • C/ Don Ramón de la Cruz, 68 28001-Madrid • Tel.: +34 91 402 96 07 • www.borrmart.com
voluntad de reconocer y exaltar los méritos que concurren en las personas, fabricantes, entidades públicas
a tal fin, la novena edición de los “TROFEOS DE LA SEGURIDAD TIC”, otorgados en el marco
que se consideran aceptadas por cuantos intervengan en su actividad

especial
ley de seguridad privada
sobre la mesa
8 red seguridad junio 2014
La Ley 5/2014, de 4 de abril, establece el nuevo marco legal que regula la seguridad privada
en nuestro país, y por primera vez se da cobertura a ciertos aspectos relacionados con
la seguridad informática. Analizamos, en esta ocasión, cómo afecta al sector de TI esta
legislación y hasta qué punto puede desarrollarse más ampliamente en el futuro Reglamento.
"Aunque me gusta lo que dice el
preámbulo en el que habla de segu-
ridad integral, creo que se le ha dado
una cobertura parcial a ciertos aspec-
tos relacionados con la seguridad
informática. Faltan muchas cosas, y
considero que es un pena esta opor-
tunidad desperdiciada para ampliar
este tema", afirma. Para Ana Borredá,
directora de RED SEGURIDAD, estas
menciones, sin duda, son "un éxito de
todo el sector privado", que va a per-
mitir "colgar sobre la ley esa percha"
que es la seguridad lógica, y sobre la
cual se podrá después sostener "algo
que sea útil para el sector y que pinte
su futuro".
Requisitos
Además, la ley incorpora una impor-
tante novedad. Y es que la seguridad
de la información aparece configura-
referencias a la seguridad informática.
Por ejemplo, para Jacinto Muñoz,
director de Riesgos y Gobierno de
Seguridad y Medio Ambientede
Mapfre, "teniendo en cuenta que era
un tema complejo, creo que lo que
recoge la ley es una primera aproxima-
ción". Lo mismo opinan tanto Pedro
Pablo López, gerente de Gobierno,
Riesgos, Compliance & Protección,
Infraestructuras, Continuidad (GRC &
PIC) de RSI, como Enrique Polanco,
socio director de Global Technology
4E. Para el primero, "es un hito que
la ley de seguridad privada incorpore
referencias específicas y claras a la
seguridad informática"; mientras que
el segundo ve "un enorme acierto la
inclusión de estos temas en la ley".
Sin embargo, también existen algu-
nas reticencias, como señala Antonio
Ramos, presidente de ISACA Madrid.
Tx y Ft: David Marchal.
La nueva ley 5/2014 incorpora varias
menciones a la `seguridad informáti-
ca´ (como la llama la ley) a lo largo
de su articulado. Por ejemplo, en su
artículo 52 se desarrollan los tipos
de medidas de seguridad que se
pueden establecer, entre los que se
cita la seguridad informática, "cuyo
objeto es la protección y salvaguarda
de la integridad, confidencialidad y
disponibilidad de los sistemas de
información y comunicación, y de la
información en ellos contenida".
Partiendo de esta base y analizan-
do el resto de artículos referidos a
este ámbito, y que se exponen más
adelante, hemos querido conocer la
opinión de varios expertos del sector
al respecto. En conjunto, todos coin-
ciden en la idoneidad de incluir estas
De izquierda a derecha, Jacinto Muñoz, subdirector corporativo de Seguridad en Aplicaciones de Mapfre; Antonio Ramos,
presidente de ISACA Madrid; Ana Borredá, directora de RED SEGURIDAD; Enrique Polanco, socio director de Global Technology
4E; Juan Antonio Gómez Bule, presidente del consejo asesor de S21Sec; y Pedro Pablo López, gerente de Gobierno, Riesgos,
Compliance & Protección, Infraestructuras, Continuidad de RSI.
Un primer paso hacia la regulación
deseable de la seguridad lógica
Desayuno
patrocinado por:

especial red seguridad junio 2014 9
ley de seguridad privada sobre la mesa
da no como actividad específica de segu-
ridad privada, sino como actividad compa-
tible que podrá ser desarrollada tanto por
empresas de seguridad como por las que
no lo sean, y como tales deberán someter-
se a ciertas obligaciones. La clave ahí para
Pedro Pablo López, de RSI, está en "el tipo
de servicios que realizan esas organizacio-
nes". De hecho, considera que para ello
han de estar homologadas, certificadas y
sometidas a registro.
Pero, ¿cuáles son los requisitos que se
les deben exigir a estas compañías en
cuanto a las medidas de seguridad infor-
mática que deben dar para garantizar la
calidad del servicio? En ese sentido, cada
experto tiene su opinión. A Antonio Ramos,
de ISACA, le genera inquietud el desarrollo
del artículo 52, en tanto en cuanto una
empresa, al recoger esas medidas de
seguridad informática, pasa a ser sujeto
de la ley y tener un tipo de control. "Hay
que calibrar bien lo que se hace, porque
se puede crear un maremágnum difícil de
controlar por el volumen de actividad que
se puede generar". Es más, el directivo
considera que hay que andar con cuidado
para ver cómo se define eso en el futuro
Reglamento que ampliará la ley y que está
ahora en tramitación.
Por su parte, Enrique Polanco, de Global
Technology 4E, apuesta por establecer
Antonio Ramos
Presidente de ISACA Madrid
"Aunque me gusta lo que
dice la Ley, creo que se ha
dado una cobertura parcial a
ciertos aspectos relacionados
con la seguridad informática"
Aunque en poco se parece la actual ISACA
(Information System Audit and Control
Association) a la entidad que nació en
1969, lo cierto es que sus objetivos siguen
siendo los mismos: dotar a sus asociados
de fuentes centralizadas de información y
guías de referencia en el ámbito de la auditoría a los controles de los
sistemas de tecnologías de la información. Desde entonces la asocia-
ción ha evolucionado mucho. Hoy en día se encuentra organizada en
más de 200 capítulos presentes en 80 países, los cuales brindan a sus
miembros educación, recursos compartidos, asesoría, red de contac-
tos profesionales y una amplia gama de beneficios locales adicionales.
En total, integra a más de 115.000 miembros en todo el mundo, que
cubren una gran variedad de puestos profesionales relacionados con
las TI, como auditores de Seguridad de la Información, consultores,
reguladores o directores de Tecnología, en sectores tan diversos como
finanzas, banca, administración pública, servicios o manufactura.
Concretamente, en España se desarrollan tres capítulos: Barcelona,
que es el más antiguo, Madrid y Valencia. En total, engloba a más de
1.500 profesionales asociados.
Certificaciones
Para todos ellos, ISACA otorga cuatro tipos de certificaciones muy
conocidas y solicitadas. La primera es la Certified Information Systems
Auditor (CISA) o “Auditor Certificado de Sistemas de Información”. Es
reconocida mundialmente como símbolo de excelencia para aquellos
profesionales que controlan, monitorizan y evalúan los sistemas de
tecnología informática y de negocio de una organización. Desde su
creaciónsehaotorgadoamásde109.000profesionalesentodoelmundo.
La segunda es la denominada Certified Information Security
Manager (CSIM) o “Gerente Certificado de Seguridad de
la Información”. Básicamente, está enfocada para aquellos
profesionales que diseñan, construyen y gestionan programas de
seguridad de información de empresas. Además, es el principal
diploma para responsables de la seguridad de la información, que
ya han obtenido más de 25.000 profesionales en el mundo.
La tercera se la conoce como Certified in the Governance of Enterprise
IT(CGEIT)o“CertificadoenGobiernodeTIdelaEmpresa”.Loquepermite
es promover el avance de profesionales que desean ser reconocidos por
su experiencia y conocimiento relacionados con el Gobierno de las TI. La
han conseguido más de 6.000 profesionales en el mundo.
La última certificación que otorga ISACA es la Certified in Risk
and Information Systems Control (CRISC) o “Certificado en Riesgos
y Controles de los Sistemas de Información”. Ha sido desarrollada
para profesionales de TI que identifican y gestionan los riesgos a
través del desarrollo, implementación y mantenimiento de controles
de seguridad de la información, y ha sido obtenida por más de
17.000 profesionales en el mundo.
Por supuesto, para conseguir cada una de estas certificaciones
es necesario cumplir otros requisitos como completar con éxito
el examen, tener experiencia previa, suscribir el Código Ético
Profesional y el programa de educación continua, y cumplir los
respectivos estándares.
ISACA certifica a los mejores
profesionales en seguridad de TI
Desayuno
patrocinado por:

especial
sobre la mesa
"una serie de certificados para los
procesos que se vayan a prestar a los
clientes". Es una opinión que, en gene-
ral, comparten todos los invitados.
"Las empresas deben aportar garan-
tías para quién las contrata, típica-
mente en términos de certificaciones",
asegura Jacinto Muñoz, de Mapfre.
Incluso, el directivo va a más a allá.
"Cuando quieres hacer negocios con
alguien en ciertos sectores, lo que
miras es el rating que tiene. Por lo
tanto, estaría bien una valoración de
ese tipo para quien presta servicios de
seguridad".
Ahora bien, en este punto, Antonio
Ramos, de ISACA, puntualiza que es
importante diferenciar los destinatarios
de los servicios, puesto que no es lo
mismo los operadores críticos que el
resto, ya que éstos necesitan un míni-
mo de calidad.
El debate giró en ese momento
en torno al Reglamento que se ha
de desarrollar a partir de la Ley de
Seguridad Privada y la inclusión en él
de nuevas referencias a la seguridad
lógica. El problema para los asistentes
es que consideran que el Reglamento
solamente va a desarrollar aquéllos
párrafos en los que se haga mención
a la seguridad informática, no más.
"Por tanto, se vuelven a separar los
asuntos de la seguridad lógica de los
de la física y no se considera como
un todo", afirma Enrique Polanco, de
Global Technology 4E. A pesar de ello,
Pedro Pablo López, de RSI, ve con
bueno ojos la posibilidad que ofrece
el Reglamento de incluir alguna refe-
rencia a la seguridad informática. "La
oportunidad está ahí, el regulador ha
dejado la puerta abierta, y eso hay que
aprovecharlo", comenta. Eso sí, Juan
Antonio Gómez Bule, presidente del
consejo asesor de S21Sec, opina que
se debe estipular "una estructura de
trabajo que sea fácil", porque si quien
lo redacta se va a una de máximos,
"nadie lo va a entender".
Y en ese afán de simplificar, en
lugar de solicitar certificaciones a las
empresas, establece Antonio Ramos,
de ISACA, se podrían pedir auditorías.
"Imaginemos que soy una empresa
y no quiero certificarme. En cambio,
tengo un auditor interno que me hace
una audtoría, ¿por qué no va a valer?",
se pregunta el directivo, y pone como
símil la ley orgánica de protección de
datos, "que desarrolló un sector que
hace veinte años no existía". Lo mismo
debería suceder en esta ocasión, por-
que "si somos capaces de vislumbrar
un escenario ideal, habrá que ir hacia
él", comenta. De hecho, el directivo
hace una propuesta de requisitos exi-
gibles a las empresas y que se podrían
recoger en el Reglamento: "Que esté
legalmente constituida en la Unión
Europea, que no haya sido condenada
por insolvencia, que tenga un seguro
de responsabilidad civil, aval y cau-
ción; si se es fabricante de tecnología
o software de seguridad, que cuente
con un servicio de publicación de par-
ches de seguridad en menos de una
semana desde la publicación de una
nueva vulnerabilidad…". Sin embar-
go, otros ponentes dudan de que el
Reglamento pueda enfocarse en ese
sentido. "Han de incluir medidas apro-
bables", afirma Enrique Polanco, de
Global Technology 4E.
Posteriormente, Juan Antonio
Gómez Bule, de S21Sec, plantea el
problema en términos de que si esos
requisitos van por el lado de la inves-
tigación, se produciría una barrera de
entrada, "porque puede favorecer a
las empresas que mayor cantidad de
dinero son capaces de invertir en ello".
Eso sí, a lo largo del debate sobre
qué poner en el Reglamento, queda
claro por parte de todos que no es
posible salirse del índice que marca la
ley de seguridad privada. De hecho,
el directivo de S21Sec opina que la
legislación española es tan restrictiva
"que nos pone en inferioridad con res-
pecto a otros modelos que hay fuera".
Es lo que está pasando en Europa,
"que está siendo raptada por su legis-
Enrique Polanco
Socio director de Global
Technology 4E
"En el mundo físico una
intrusión es cuando
alguien salta la valla y
pone el pie dentro, pero
en el ámbito lógico no
resulta tan claro"
Jacinto Muñoz
Director de Riesgos y
Gobierno de Seguridad y
Medio Ambiente de Mapfre
"Las empresas que ofrez-
can seguridad lógica
deberían aportar una serie
de garantías, que podrían
ser en términos de cer-
tificaciones tanto a nivel
de empresa como de sus
profesionales"
lación", mientras los americanos, los
chinos o lo japoneses no tienen esos
problemas, "lo que está provocando
una desventaja competitiva", argu-
menta el directivo.
Salvando eso, para Antonio Ramos,
de ISACA, bastaría con coger los
mismos requisitos que ya tienen las
empresas de seguridad privada, y
aplicarlos a los de seguridad lógica.
"Yo creo que sólo faltaría ahondar en
las capacidades técnicas y humanas
que deberían implantar", añade.
Régimen sancionador
Desayuno
patrocinado por:

especial12 red seguridad junio 2014
sobre la mesa
En este punto el debate derivó en las
sanciones que recoge en su articularo
la Ley de Seguridad Privada y que se
establecen en torno a los 600.000
euros para las infracciones muy gra-
ves para aquellas empresas que no
comuniquen las incidencias relativas al
sistema de cuya protección sean res-
posables cuando sea preceptivo. Sin
embargo, para los invitados el verda-
dero inconveniente radica en determi-
nar cuál es la entidad a la que hay que
comunicar esos incidentes y cómo se
debe proceder en esos casos. Pedro
Pablo López, de RSI, lo ejemplifica
de la siguiente forma: "Al igual que
en el mundo físico, cuando hay un
incidente, llamamos al 112, que es
quien se encarga de coordinar a todos
los efectivos de los Cuerpos y Fuerzas
de Seguridad del Estado y Protección
Civil; en el ámbito cibernético hay un
organismo similar que debería des-
empeñar esa misma función, que es
INTECO, que ejerce como centro de
apoyo y soporte con el Ministerio del
Interior o el de Industria".
Sin embargo, no todos los partici-
pantes opinan igual. Antonio Ramos,
de ISACA, cree que deberían ser "los
grupos de delitos telemáticos de la
Policía y la Guardia Civil". De igual opi-
nión se muestra José Antonio López,
de S21Sec. Y es que, para este direc-
tivo, y con la legislación vigente en la
mano, "INTECO no puede suplantar
las acciones de la Policía y la Guardia
Civil". De hecho, prosigue, "ambos
están poniendo en marcha dos inicia-
tivas para desarrollar sus ciberconsul-
tas", asegura. Claro que eso también,
a juicio de Antonio Ramos, de ISACA,
tiene un problema. Si bien en el mundo
físico se puede acudir a una autoridad
u otra en función de la localización
geofráfica donde se haya producido
el incidente, en el ciberespacio eso es
relativo. "¿A quién acudimos, a una, a
otra, o se han de fusionar las dos?",
se pregunta. Y además, se cuestio-
na también: "En esos casos, ¿para
qué entonces estamos notificando los
incidentes a INTECO? Porque si se
trata de cumplimentar una estadística,
a lo mejor no interesa sólo notificar
eso, sino también los cuasi incidentes,
pues aportarían mucha más informa-
ción", opina.
Un momento durante el desarrollo de la mesa redonda organizada por RED SEGURIDAD,
en colaboración con ISACA, para debatir sobre la nueva Ley de Seguridad Privada.
Art. 6. Actividades compatibles
6. A las empresas, sean o no de
seguridad privada, que se dediquen
a las actividades de seguridad infor-
mática, entendida como el conjunto
de medidas encaminadas a proteger
los sistemas de información a fin de
garantizar la confidencialidad, dis-
ponibilidad e integridad de la misma
o del servicio que aquéllos pres-
tan, por su incidencia directa en la
seguridad de las entidades públicas
y privadas, se les podrán imponer
reglamentariamente requisitos espe-
cíficos para garantizar la calidad de
los servicios que presten.
Art. 11. Registro Nacional de
Seguridad Privada y registros
autonómicos
4. En los mencionados registros,
nacional y autonómicos, se anotarán
también los datos de las empresas
que realicen actividades de seguri-
dad informática, de acuerdo con lo
que reglamentariamente se deter-
mine.
Art. 47. Servicios de gestión de
alarmas
3. Cuando los servicios se refirieran
al análisis y monitorización de even-
tos de seguridad de la información y
las comunicaciones, estarán sujetos
a las especificaciones que regla-
mentariamente se determinen. Las
señales de alarma referidas a estos
eventos deberán ser puestas, cuan-
do corresponda, en conocimiento
del órgano competente, por el pro-
pio usuario o por la empresa con la
que haya contratado la seguridad.
Art. 52. Tipos de medidas
1. A los exclusivos efectos de esta
ley, se podrán adoptar los siguientes
tipos de medidas de seguridad, des-
tinadas a la protección de personas
y bienes:
c) De seguridad informática, cuyo
objeto es la protección y salvaguarda
de la integridad, confidencialidad y
disponibilidad de los sistemas de
información y comunicación, y de la
información en ellos contenida.
Art. 57. Infracciones de las empre-
sas que desarrollen actividades
de seguridad privada, de sus
representantes legales, de los
despachos de detectives priva-
dos y de las centrales de alarma
de uso propio
Las empresas que desarrollen acti-
vidades de seguridad privada, sus
representantes legales, los despa-
chos de detectives privados y las
centrales de alarma de uso pro-
pio, podrán incurrir en las siguientes
infracciones:
r) La falta de comunicación por parte
de empresas de seguridad informá-
tica de las incidencias relativas al
sistema de cuya protección sean
responsables cuando sea preceptivo.
Los artículos de la ley que atañen a la seguridad de la información
Desayuno
patrocinado por:

especial red seguridad junio 2014 13
ley de seguridad privada sobre la mesa
Juan Antonio Gómez
S21Sec
"Con la legislación vigen-
te en la mano, INTECO
no puede suplantar las
acciones de la Policía y la
Guardia Civil a la hora de
recibir notificaciones sobre
incidentes de seguridad"
Pedro Pablo López
Gerente GRC & PIC de RSI
"Es un hito en nuestro
país que la Ley 5/2014 de
Seguridad Privada incor-
pore referencias específi-
cas y claras a la seguridad
informática"
Otro de los aspectos que también se
pusieron sobre la mesa a colación de este
tema es qué se quiere decir exactamente
con intrusión. "En el mundo físico intrusión
es cuando alguien salta la valla y pone
el pie dentro, pero en el ámbito lógico
no resulta tan claro cuándo se la puede
calificar de intrusión", puntualiza Enrique
Polanco, de Global Technology 4E. Por
eso, el propio directivo plantea la nece-
sidad de intentar que aparezca alguna
referencia a esto en el desarrollo del futuro
Reglamento que ampliará las considera-
ciones de la ley. Por ejemplo, expone, "en
una Central Receptora de Alarmas (CRA),
en las que está regulado que tenga al
menos dos vigilantes de seguridad privada
por turno, sería recomendable que uno de
ellos tuviera conocimientos de seguridad
lógica y pudiese atender, y elevar en su
caso, las alarmas al respecto que se pro-
dujesen. Además, siempre sería posible
contar en las CRA "convergentes" con un
puesto que fuera servido por personal de
TI o Sistemas", afirma.
Formación
El último tema que se abordó en la mesa
redonda fue el de la ampliación a grado
de la formación del director de seguri-
dad, un aspecto que también generó
mucha controversia entre los asistentes.
Y es que esta exigencia de cualificación
que establece la ley se solapa con la
existencia del actual curso homologa-
do de gestión de seguridad de dos
años de duración. En palabras de Ana
Borredá, directora de RED SEGURIDAD,
"de momento, se mantienen ambas titu-
laciones, pero lo lógico es pensar que el
curso se aproxime al grado, porque si
no es así, este último no tendría ningún
sentido. ¿Quién querría hacer un grado
de cuatro años teniendo un curso homo-
logado de dos?". Por eso, considera que
el futuro Reglamento podría proponer
que el curso se convirtiera directamente
en un posgrado. Es una opción con la
que también coincide Jacinto Muñoz, de
Mapfre: "Una aproximación adecuada
para poner en valor el grado sería desa-
rrollar el curso de gestión de seguridad,
en la línea de aproximarlo a un master".
Para Enrique Polanco, de Global
Technology 4E, el problema de esto es
que la duración actual del curso es de
unas 400 horas, un número que ni de lejos
se puede acercar al del grado. Por tanto,
su propuesta es que, dando por sentado
que la intención de los legisladores es
dejarlo en vigor, "incrementar el número
de horas, añadiendo especialmente for-
mación en seguridad lógica" para llenar el
vacío actual existente en ese sentido.
Por su parte, Antonio Ramos,
de ISACA, ve interesante que el
Reglamento establezca "los contenidos
mínimos que debería tener el curso de
gestión de seguridad". Y es que, para el
directivo, siempre que el alumno tenga
un punto de partida razonable, como
unos estudios universitarios, esas 400
horas de formación son suficientes.
En este momento, se pone sobre
la mesa otra de las dificultades que
entraña todo esto. Y es que, en tanto
en cuanto la Ley de Seguridad Privada
establece la necesidad de tener una
certificación oficial de grado, las com-
petencias para desarrollar esos conte-
nidos ya no corresponden al Ministerio
de Industria, sino al de Educación.
Al respecto, Pedro Pablo López, de RSI,
expone lo que, a su juicio, puede ser una
solución razonablemente válida, partiendo
de la base de que existen tres tipos de
destinatarios objetivos de estos cursos.
"Los primeros son los que tienen experien-
cia porque han ejercido como directores
de seguridad durante muchos años, pero
no tienen un título, puesto que lo que
han hecho ha sido ir ascendiendo. Para
ellos, con un examen homologado sería
suficiente", opina. Otro colectivo sería quie-
nes, sin ningún tipo de experiencia previa,
realizan y acaban el curso de gestión de
seguridad de 400 horas. "En ese caso, no
se les debería conceder el título para ejer-
cer hasta que no tengan una determinada
experiencia. Es como un piloto de vuelo",
compara. Por último, el tercer tipo sería
quien cursara el grado correspondiente de
cuatro años, y en el que se conjugarían la
parte teórica con las prácticas.
Pero no todos los asistentes están
muy conformes con este planteamiento.
Según Jacinto Muñoz, de Mapfre, nadie
que acabe el grado de gestión en seguri-
dad va a tener un puesto de trabajo como
director de seguridad. "Típicamente,
accederá al puesto de trabajo como
experto en seguridad y después será
Director de Seguridad a través de la
experiencia. Aquí el término Director nos
juega una mala pasada", apunta.
Es algo con lo que coincide Antonio
Ramos, de ISACA Madrid, pero, mati-
za, "el que tengas el título no significa
que hayas de ejercer como tal. Lo que
te ofrece el grado es precisamente la
posibilidad de hacerlo. Simplemente
habría una tercera entidad que acredi-
taría que tú tienes esos conocimientos
y esa experiencia".
Desayuno
patrocinado por:

Desde su punto de vista, ¿cuáles
son las novedades más importan-
tes que introduce la Ley 5/2014?
La primera es que profesionaliza la
seguridad privada, tanto desde el
punto de vista de los prestadores de
servicios como de los propios usua-
rios. Esa profesionalización se ve en
novedades tan importantes como
los requisitos y certificaciones que se
piden para las empresas. En cuanto
a los usuarios, aparte de definir qué
son, hará que algunos sean sujetos
obligados. Esto último tendrá que
concretarse en el Reglamento, pero
habrá un espectro más amplio de
este tipo de usuarios que ahora.
Todo ello acaba con la coordina-
ción, que es la piedra angular. Esto
es muy importante porque esa pro-
fesionalización se va a incardinar en
la seguridad pública, de manera que
todos los ciudadanos se beneficiarán
del potencial de la seguridad privada.
Además, la ley le da un mandato a
¿Cuál es el principal valor que
aporta la nueva Ley de Seguridad
Privada al Sector?
El primero es que, más allá de un
modelo de seguridad privada, con-
figura un modelo de seguridad del
que forma parte. Ese modelo se
completará con otros textos legales
o estratégicos que ya existen o que
vendrán posteriormente, como son
la Estrategia de Seguridad Nacional,
la Estrategia de Ciberseguridad
Nacional, el Proyecto de Ley
Orgánica de Seguridad Ciudadana
o el Proyecto de reforma del Código
Penal. Dentro de ese modelo gene-
ral de seguridad en España, hay
un submodelo de seguridad privada
que se recoge en una ley; algo que
también es muy importante, porque
aporta un grado de seguridad jurídica
enorme.
Tx: Ana Borredá y Enrique González
“El Reglamento tiene que decir
en qué casos se pueden imponer
a los sujetos obligados medidas
de seguridad informática"
La nueva Ley de
Seguridad Privada,
de 4 de abril, incluye
como novedad algunos
preceptos relacionados
con la 'seguridad
informática'. Se trata de
una de las principales
innovaciones del texto
que podrá obligar a
determinados usuarios
a contar con medidas
de protección TIC,
y además incluye
aspectos tan novedosos
como las ciberalarmas.
El comisario jefe de
la UCSP del Cuerpo
Nacional de Policía,
Esteban Gándara,
explica algunos de los
cambios al respecto.
Comisario jefe de la Unidad
Central de Seguridad Privada
del Cuerpo Nacional de Policía
Esteban
Gándara Trueba
Ley 5/2014
entrevista

red seguridad junio 2014 15
Esteban Gándara, comisario jefe
de la UCSP del Cuerpo Nacional
de Policía, con Ana Borredá,
directora de RED SEGURIDAD
comunicarse al organismo competen-
te, y está aún por ver qué órgano será.
¿Qué plazos manejan para que
esté listo definitivamente el
nuevo Reglamento de Seguridad
Privada?
En este caso tengo que hablar más
bien de deseos. Lo que nos gus-
taría es que en 2014 tuviésemos
Reglamento. Tal vez no sea en exce-
so realista, pero sí es posible. Cuanta
más elaboración, participación y
mejora técnica tenga el documento,
más dilación en el tiempo habrá.
Tendremos que tratar de encontrar
un equilibrio entre la participación en
cualquiera de sus formas y cumplir el
objetivo de máximos, que sería tener
el Reglamento este año.
Tenemos mucho avanzado porque
la ley nos ha marcado el terreno de
juego, a lo que se suma que ya existe
un Reglamento. Igualmente, tenemos
unas órdenes ministeriales y muchos
de sus artículos son de perfecta
asunción por el Reglamento.
Por tanto, si trabajamos rápido, con
objetivos concretos y no especula-
mos, dispondremos de una cierta
agilidad para tener un borrador antes
del verano. Si lo tenemos para enton-
ces, habría más posibilidades de tener
un Reglamento a finales de año. De lo
contrario, va a ser complicado.
lo han demostrado. No vamos a
cometer el error de restringir la parti-
cipación del sector. Lo que sí me gus-
taría es que el sector fuera conscien-
te de que cuanto más de acuerdo se
ponga y más concrete será mucho
más eficaz. El marco general ya está
en la ley, por lo que el Reglamento
tiene que hacer concreciones. Quien
pretenda modificar el marco de la ley
a través del Reglamento verá frustra-
das sus expectativas.
¿Es previsible que la seguridad
informática se aborde de manera
más amplia en el Reglamento?
Habrá que recoger las condicio-
nes y requisitos que deben reunir
las empresas que se dedican a la
seguridad informática para poder ins-
cribirse en el Registro Nacional de
Seguridad Privada. Esos requisitos
vendrán dados con pretensión de
calidad y seguridad.
El Reglamento también tiene que
decir en qué casos y qué medidas
de seguridad informática se pueden
imponer a los sujetos obligados.
Por otro lado, destaca que la ley
también contempla las ciberalarmas.
Puedes o no tener ciberalarmas, pero
si las tienes has de comunicarlas,
seas o no empresa de seguridad. De
lo contrario habrá una sanción. La ley
dice que esas alarmas tendrán que
la seguridad pública para que apoye
a la seguridad privada cuando sea
necesario.
Esta ley pone, por primera vez, al
ciudadano en el centro de las pre-
ocupaciones de la seguridad. Es él
quien tiene derecho a su seguridad,
libertad y autoprotección y, como
consecuencia, los demás tenemos
deberes. El Estado tiene el deber de
dar seguridad a todos los ciudada-
nos y el hecho de que participe la
seguridad privada es también con el
objetivo de servir ese derecho.
La elaboración de la ley ha contado
con una amplia participación de
empresa, instituciones y profesio-
nales del sector privado. ¿Podrá
participar el sector también en el
futuro desarrollo del Reglamento?
Nuestra intención es que sí. Si antes
decía que el Ministerio del Interior ha
tenido grandes aciertos en la manera
de elaborar la norma, estoy seguro
de que no cambiaremos de método
con el Reglamento. En ese sentido,
cuanto más definidas estén las apor-
taciones que haga el sector, más
fáciles serán de entender y de aplicar.
¿De qué manera podrá participar
el sector en la elaboración del
Reglamento?
Le vamos a dar al sector todas las
oportunidades que quiera de partici-
par. A través de la Comisión Nacional
estamos en disposición de recibir
cuantas aportaciones quiera hacer
de manera libre. Además, tendremos
que ver si será necesario o no tener
reuniones bilaterales, grupos de traba-
jo y demás. Lo haremos para ayudar
al Ministerio del Interior a que alumbre
el mejor de los reglamentos posible.
Estamos convencidos de que la
participación será buena, los hechos
ley 5/2014 entrevista
"De la nueva Ley destaca que contempla
las ciberalarmas. Si no se comunican habrá
una sanción"

Nuevas convergencias. Resiliencia
Gas Natural. Avda. San Luis 77.
Madrid 12 Junio 2014
Patrocinan
Organizan Participan
Las ponencias que se van a desarrollar en estas jornadas y que autoricen sus ponentes,
estarán a su disposición en la siguiente dirección web
http://www.redseguridad.com/revistas/red/eventos/seg2_VI/seg2_2014ponencias.pdf

VI Encuentro de la Seguridad Integral (Seg2
)
08:00 - 9:00┅ Registro y Acreditaciones
09:00 - 9:30┅ Inaguración
09:30 - 10:00┅ “¿Resi.... Que?”
Guillermo Llorente Ballesteros, director de Seguridad y Medio Ambiente de MAPFRE
10:00 - 10:30┅ “Resiliencia empresarial en la ciberseguridad"
Juan Antonio Gómez Bule, presidente del Consejo Asesor de S21sec
10:30 - 11:00┅ “El CSO del Futuro”
Juan Muñoz, CSO de ENCE. presidente de ASIS
11:00 - 11:30┅ “Ciberinteligencia aplicada”
Fernando Picatoste, socio Deloitte
〰 11:30 - 12:00 pausa café〰
12:00 - 12:30┅ “Seguridad Integral: La evolución de las especies "
Andreu Bravo, CISO GAS NATURAL
12:30 - 13:00┅ "De la prevención a la anticipación”
Ricardo Cañizares, director de Consultoría de eulen seguridad
13:00 - 13:30┅ "Estándares de gestión en Seguridad Integral"
José Manuel García Diego, director de Seguridad. Presidente de ADISCAN
13:30 - 14:00┅ "CERT de Seguridad e Industria: Ayuda a la resiliencia"
Miguel Rego, director de INTECO
14:00 - 14:30┅ "El director de TI Como cliente VIP de la seguridad Integral"
David González Mas, director Sistemas de Información de la Autoridad Portuaria de Tarragona
Enrique Polanco, consultor de Seguridad
〰 14:30 - 16:00 pausa comida〰
16:00 - 16:30┅ "¡Preparados para la Resiliencia Social? Un reto de Cooperación Global y Multidisciplinar.
Pedro Pablo López, gerente GRC & PIC de rsi
16:30 - 17:00┅ "Planes Estratégicos Sectoriales: Desarrollo y contenido"
José Ignacio Carabias Corpa, jefe de Servicio de Seguridad Física del CNPIC
17:00 - 17:30┅ "Resiliencia en Entornos Críticos e Industriales”
Javier Osuna García-Malo de Molina, jefe de la División de Seguridad y Procesos de gmv
17:30 - 18:00┅ "La 'seguridad informática' en la Ley de Seguridad Privada: hacia una ley privada de ciberseguridad”
Antonio Ramos, presidente de isaca MADRID
Participa a través del siguiente hashtag: #VIseg2
Jueves, 12 de JUNIO

Xxxxxx
convergencia
monográfico
18 red seguridad junio 2014 especial
Si tienen la oportunidad de visitar el
Museu de la Ciència i de la Tècnica
de Catalunya (mNACTEC), podrán
realizar un singular viaje en el tiem-
po gracias a la interesante y muy
recomendable muestra El enigma del
ordenador. A través de esta expo-
sición permanente, tendrán ocasión
de conocer cómo han evolucionado
los dispositivos relacionados con las
Tecnologías de la Información y la
Comunicación (TIC), desde las primi-
genias computadoras civiles hasta los
soportes de la denominada revolución
digital que utilizamos en la actualidad
(telefonía móvil de última generación,
tablets, netbooks…).
A buen seguro, muchos de los lecto-
res de RED SEGURIDAD recordarán su
particular experiencia con tan –cada vez
más– avanzados artilugios, antaño sólo al
alcance de unos pocos y hoy en pleno y
consolidado estadio de democratización.
Era cuestión de tiempo, pero, sin duda,
las TIC estaban llamadas a protagonizar
una nueva era y, actualmente, no hay indi-
viduo u organización que pueda desarro-
llar su actividad, independientemente de
cuál sea el sector al que pertenezca, sin
tan valiosas y necesarias herramientas.
Un nuevo escenario
Pero, con el transcurrir de los años, las TIC
también han propiciado un nuevo escena-
rio desde la perspectiva de la seguridad.
Paralelamente a su transformación, hemos
sido testigos de los riesgos que conllevan.
Amenazas que, lejos de apuntar sólo a
usuarios particulares, han acabado siendo
motivo de preocupación para las más
altas esferas, dando lugar así a un modelo
de protección que va más allá del concep-
to tradicional.
Basta con repasar algunas declaracio-
nes recientes de destacados directivos y/o
profesionales de la seguridad, publicadas
en la revista decana SEGURITECNIA, para
darse cuenta del calado de la cuestión:
“Es imposible asegurar una continuidad
de las operaciones sin disponer de unos
niveles de seguridad informática acordes
con las amenazas actuales”; “La ciberse-
guridad forma parte, por derecho propio,
de cualquier Plan de Seguridad que pre-
tenda realmente oponerse a las amenazas
que nos acechan”; “En un ámbito como
el portuario, la seguridad debe tratarse
de forma integral”; “La combinación de
medios humanos y tecnología permite
Tx: Bernardo Valadés
Ft: Thinkstock.
Convergencia: la unión
hace la fuerza
El presente número coincidirá con la celebración
del VI Encuentro de la Seguridad Integral (Seg2
).
convergencia
monográfico
Organizado por
RED SEGURIDAD y
SEGURITECNIA, el evento
volverá a ser punto de
encuentro para quie-
nes, lejos de pretender
quedar anclados en las
fórmulas ‘tradiciona-
les’, apuestan decidida-
mente por un modelo
de protección conver-
gente, necesario, irre-
versible y en continua
evolución.

red seguridad junio 2014 19especial
Ana Borredá, directora de RED SEGURIDAD: “El Seg2
ya
no se celebra para convencer, sino para debatir”
desarrollar soluciones altamente eficaces”;
“Se debe cuantificar el impacto que tendría
la inhabilitación de las TIC en una infraes-
tructuraparagarantizarlaprestacióndelos
servicios esenciales”, etc.
Si a estos ejemplos sumamos
los expuestos en el V Congreso de
Directores de Seguridad, organizado por
SEGURITECNIA, o la celebración de las
I Jornadas de Ciberdefensa, queda de
manifiesto, pues, que uno más uno es
igual a dos; o, dicho de una manera más
clara y concisa, que lo que se está coci-
nando desde hace tiempo es gastronomía
de primera: seguridad física más seguri-
dad lógica es igual a seguridad integral.
Una receta que no sabrá igual si el chef
–representado en la figura de quien tiene
poder de decisión en materia de seguri-
dad– va a contracorriente y prescinde de
alguno de los ingredientes básicos.
Pioneros en seguridad integral
Por lo expuesto, vivimos un momento apa-
sionante y crucial en lo que a la seguridad
se refiere. ¿O deberíamos, mejor, referirnos
a ella a partir de ahora, y para siempre,
como seguridad integral? ¿Alguien duda
a estas alturas de que la unión hace la
fuerza, de la irreversibilidad de tal suma?
Un reputado profesional como Marc
Siegel, especialista en estándares de
seguridad de ASIS International y también
en curiosas comparaciones al referirse
a épocas pretéritas, estaría de acuerdo
con nosotros en utilizar uno de los relatos
del escritor californiano Jack London para
describir la situación actual: ¿queda algún
nostálgico y aislado buscador de oro –esto
es, alguien relacionado con la seguridad–
junto al río Yukón ajeno a lo que sucede
en las grandes prospecciones –más fruc-
tíferas, obviamente, que las tradicionales y
básicas en el tema que nos atañe–?
Porque, independientemente del sec-
tor, la seguridad integral ha dejado de
ser algo casi utópico, un concepto por
abordar, y se ha convertido en un modelo
a poner en práctica se quiera o no. Y en
RED SEGURIDAD somos conscientes de
ello desde hace bastante tiempo. Hemos
apoyado desde el primer momento ese
enfoque y contribuido a su difusión, ya
que, junto a SEGURITECNIA –de nuevo,
la unión hace la fuerza–, impulsamos
en su día el Encuentro de la Seguridad
Integral (Seg2
), cuya última convocatoria
congregó a cerca de 200 profesionales.
Lapublicacióndelpresentenúmerocoin-
cidirá con la celebración de la sexta edición
de tan importante evento. A modo de
aperitivo, en estas páginas les ofrecemos
una serie de entrevistas, reportajes y artí-
culos que, así lo esperamos, degustarán
por su interés y relevancia. Y ya en la
jornada, con la inestimable participación
del Instituto Nacional de Tecnologías de
la Comunicación (Inteco) y la Fundación
Borredá, y el apoyo de Deloitte, GMV, Eulen
yS21sec,podrándisfrutardeuninteresante
programa que contempla numerosas y
variadas ponencias, desde las relativas a
un término tan emergente como ‘resiliencia’
hasta el papel que desempeñan las TIC en
la nueva Ley de Seguridad Privada.
Definitivamente, el Seg2
es un foro con-
solidado y de referencia que, tal y como
declara acertadamente Ana Borredá,
directora de nuestra publicación, “ya no
se celebra para convencer, sino para
debatir”. Y quien no esté convencido a
estas alturas del partido de la importancia
de la convergencia, se asemejará a esa
figura prehistórica que dibujaba Marc
Siegel, a través de videoconferencia, en
el citado V Congreso de Directores de
Seguridad, a un ¿profesional? anclado en
el pasado, ligado a fórmulas convencio-
nales y, como el buscador de oro del siglo
XIX, indiferente a los avances y soluciones
que permiten proteger, bajo un paraguas
global, desde una sede corporativa hasta
una infraestructura crítica.
Respecto a estas últimas, cobran
especial protagonismo en las próximas
páginas a través de dos entrevistas a
responsables del Centro Nacional para la
Protección de las Infraestructuras Críticas
(CNPIC) –entre ellos, Fernando Sánchez
Gómez, su director– y el análisis de los
cinco primeros Planes Estratégicos
Sectoriales (Electricidad, Gas, Petróleo,
Nuclear y Financiero), que se publican
este mes de junio.
De izda. a dcha.: Ana Borredá (directora de
RED SEGURIDAD), Miguel Rego (entonces
en Deloitte y actualmente director general
del Inteco) y Francisco Javier Borredá
(presidente de Borrmart) durante la
inauguración de la última edición del Seg2
.
convergencia monográfico

Como adelantó a Seguritecnia en
el mes de abril, los cinco primeros
Planes Estratégicos Sectoriales para
las infraestructuras críticas españo-
las son ya una realidad. ¿Qué orga-
nismos, operadores y demás actores
de este ámbito estarán involucra-
dos las pautas que desarrollan estos
documentos?
Para cada sector o subsector estratégi-
co de que se trate, todos aquellos orga-
nismos públicos competentes, funda-
mentalmente los departamentos minis-
teriales incluidos en la propia Ley 8/2011,
sobre protección de infraestructura crí-
ticas (PIC); también los operadores que
gestionen o posean infraestructuras que
proporcionen servicios esenciales para
la comunidad; y, obviamente, el resto
de actores integrantes del Sistema de
Protección de Infraestructuras Críticas,
encabezados por el propio CNPIC.
¿Cuál es la principal aportación que
hacen estos planes al sistema de
seguridad de las infraestructuras
esenciales de nuestro país? De los
puntos incluidos en ellos, ¿cuáles son
los fundamentales para garantizar la
protección de estos servicios?
La principal aportación que hacen los
planes al sistema es la diagnosis del
“Estado del Arte” en lo que se refiere
a la identificación de las líneas maes-
tras de la situación de la seguridad en
nuestro país de los diferentes sectores
estratégicos contemplados. Para ello, se
realiza una descripción pormenorizada
de todo tipo posible de actividades que
se desarrollan en cada sector, teniendo
en cuenta los distintos tipos de activos
y las interacciones entre los mismos,
así como las dependencias internas y
con otros subsectores y sectores estra-
tégicos, mutuas (interdependencias) o
sencillas; se evalúan las amenazas y las
vulnerabilidades existentes y se efectúa
una serie de propuestas y recomenda-
ciones para su implantación, siempre
a nivel estratégico. Estos planes son
el punto de partida para definir en los
Planes de Seguridad del Operador qué
actividades desarrolla la compañía y cuál
es la estrategia de seguridad corporativa
Fernando
Sánchez Gómez
Director del Centro Nacional
para la Protección de las
Infraestructuras Críticas
“El CNPIC será flexible en
la implantación de los PSO
y los PPE por parte de los
operadores”
EL CNPIC aprueba
este mes los cinco
primeros Planes
Estratégicos
Sectoriales,
correspondientes
al sector de la
Energía –que se
ha dividido en los
subsectores de
la Electricidad, el
Gas y el Petróleo–,
el Nuclear y el
Financiero. se inicia
ASÍ una segunda
fase en la que
los operadores
tendrán que
adaptar a estos
documentos sus
Planes de Seguridad
del Operador
(PSO) y los Planes
de Protección
Específicos (PPE).
convergencia
monográfico

que la misma adopta a fin de garantizar
la provisión del servicio o de los servicios
esenciales de que se trate.
¿Existen diferencias sustanciales
entre unos planes y otros por las
características de cada uno de los
cinco sectores?
Obviamente, sí. Por poner un ejem-
plo, aunque en numerosos servicios de
suministros hay actividades de gene-
ración, transporte y distribución, no se
pueden comparar las actividades de
generación de energía eléctrica (hidro-
eléctrica, eólica, solar, de ciclo combina-
do) y de transporte y distribución de la
misma (mediante tendidos y subestacio-
nes) con la generación de gas (por frac-
cionamiento de petróleo, por extracción
directa de yacimientos, por fracking) y su
transporte y distribución (por gasoducto
y por una red física de distribución; o por
transporte por carretera a puntos de dis-
tribución, como en el caso de las botellas
de butano y propano).
¿Qué papel va a jugar la colaboración
entre instituciones y operadores para
el buen funcionamiento de las infra-
estructuras críticas?
Un papel fundamental. De hecho, éste
es el eje sobre el que se diseñó toda la
legislación existente hoy en día sobre la
protección de las infraestructuras críti-
cas en España. Los operadores, como
propietarios o gestores de infraestruc-
turas complementarias, estratégicas o
críticas para el suministro de servicios
esenciales para la comunidad –siendo
en España el 80 por cierto del sector
privado– son obviamente la pieza clave.
Los ministerios competentes para los
distintos sectores estratégicos son los
encargados del desarrollo e implementa-
ción de la normativa sectorial y los orga-
nismos públicos que mejor conocen el
desarrollo de las actividades en su ámbito
de competencia. Al estar integrados en la
Comisión Nacional de Protección de las
Infraestructuras Críticas y en el Grupo de
Trabajo Interministerial, garantizan su ase-
soramiento y dirección en todo lo relativo
a sus respectivos ámbitos.
Si añadimos a este binomio al CNPIC,
con el papel de coordinación y centra-
lización que juega, asistido de forma
importante por empresas de consultoría
y auditoría (cuarto grupo de actores),
estimulando la confianza mutua y dotan-
do a todos los actores de un canal
seguro para intercambiar información y
buenas prácticas, tenemos los elementos
necesarios para que estas asociaciones
público-privadas tengan visos de éxito en
la consecución de sus metas.
¿A qué aspectos de la seguridad
se les ha dado más peso dentro de
estos planes?
A todos, teniendo siempre en cuenta que
estamos hablando de prevención, protec-
ción y reacción ante acciones deliberadas
contra nuestras infraestructuras críticas.
Sin embargo, a colación de esto, quisiera
detenerme en tres puntos fundamenta-
les que presiden nuestros esfuerzos. En
primer lugar, la necesidad imperiosa de
llevar a cabo una integración de la segu-
ridad física y lógica, objetivo fundamental
del CNPIC desde sus inicios.
En segundo lugar, la definición del
desarrollo de las actividades de cada
sector estratégico a través de los Planes
Estratégicos Sectoriales, que procura no
dejar nada al azar a la hora de servir
como base de desarrollo de los Planes
de Seguridad del Operador que surgirán
a raíz de los primeros. En estos planes es
donde realmente se tendrán en cuenta,
por parte de cada operador crítico, los
aspectos oportunos de gestión de ries-
gos, identificando las distintas amenazas
que puedan aprovechar las posibles vul-
nerabilidades del subsector o sector de
que se trate.
Por último, destacar el papel de coor-
dinación y centralización que desarro-
lla el CNPIC, en representación de la
Secretaría de Estado de Seguridad del
Ministerio del Interior, que garantiza la
intervención objetiva del Estado, a fin de
tener en cuenta las amenazas de etiología
maliciosa (ya sea por amenazas de tipo
interno en el seno de cada organización;
por delincuencia organizada en general;
o bien por una forma específica de la
anterior, el terrorismo).
A partir de ahora, en lo que a los sec-
tores mencionados se refiere, entra-
mos en una segunda fase en la que
son los operadores quienes han de
presentar los Planes de Seguridad y
los de Protección Específicos. A gran-
des rasgos, ¿qué contenidos deben
abarcar esos documentos?
El Plan de Seguridad del Operador de un
operador crítico constará de su política
general de seguridad; del marco y organi-
zación de la misma (con especial hincapié
en el Responsable de Seguridad y Enlace
y en los Delegados de Seguridad de cada
infraestructura crítica que posea o gestio-
“La principal aportación de los PES es la diagnosis del
‘Estado del Arte’ en lo que se refiere a la identificación de
las líneas maestras de la situación de la seguridad”

convergencia
monográfico
ne la compañía, constando además de
un programa de formación y conciencia-
ción y de un modelo de gestión aplicado);
de la relación de servicios esenciales
prestados; de la metodología de análisis
de riesgos utilizada; de criterios de apli-
cación de medidas de seguridad integral;
y, por último, de documentación comple-
mentaria (normativa, buenas prácticas,
coordinación con otros planes).
Los Planes de Protección Específicos
que desarrolle el operador para cada
infraestructura crítica que posea o ges-
tione constarán de una introducción que
comprenda la base legal, su objetivo, el
contenido del Plan, el método que se
utilizará para revisarlo y actualizarlo, así
como de los detalles necesarios sobre
cómo se protegerá y gestionará la infor-
mación y la documentación; los aspectos
organizativos relativos al Delegado de
Seguridad, los mecanismos de coordi-
nación y los mecanismos y responsables
de su aprobación; la descripción de la
infraestructura; los resultados del análisis
de riesgos; el plan de acción propuesto; y
la documentación complementaria.
¿En qué plazos deben presentar los
operadores esos planes e implemen-
tarlos en las infraestructuras que
gestionan?
Como establece la normativa de pro-
tección de las infraestructuras críticas,
el Plan de Seguridad del Operador se
deberá presentar en un plazo de seis
meses a partir de la designación del
operador como operador crítico; los
Planes de Protección Específicos en
un plazo de cuatro meses a partir de la
aprobación por parte del CNPIC del Plan
de Seguridad del Operador.
Es importante resaltar aquí que el
CNPIC será flexible, admitiendo, por
una parte, la adaptación en lo posible
de los planes de seguridad de los que
ya disponga el operador; y aceptando,
por otra, la implantación gradual de las
medidas necesarias para garantizar el
suministro del servicio esencial de que
se trate.
¿De qué manera y a través de qué
vías hará el CNPIC un seguimiento de
los Planes Estratégicos Sectoriales?
¿Serán sometidos a una revisión
periódica?
El CNPIC tiene una relación constante
con los operadores estratégicos de nues-
tro país, por lo que el flujo de información
está asegurado. Las revisiones de los
Planes Estratégicos Sectoriales fijadas
por el Reglamento PIC se producirán
cada dos años por los operadores críti-
cos, revisión que deberá ser aprobada
por las Delegaciones del Gobierno en
las Comunidades Autónomas y en las
ciudades con Estatuto de Autonomía o,
en su caso, por el órgano competente de
las comunidades autónomas con com-
petencias estatutariamente reconocidas
para la protección de personas y bienes y
para el mantenimiento del orden público.
En todo este proceso, el CNPIC tendrá
una posición de coordinación y super-
visión general, pudiendo establecer las
propuestas y observaciones oportunas.
La modificación de alguno de los datos
incluidos en los Planes de Protección
Específicos obligará a la automática actua-
lización de éstos, que se llevará a cabo
por los operadores críticos responsables y
requerirá la aprobación expresa del CNPIC.
Resumiendo, se revisarán los Planes
de Protección Específicos cuando se
añada o quite alguna actividad de las
desarrolladas por la infraestructura crítica
y, en todo caso, cada dos años a partir de
su aprobación.
Los próximos Planes Sectoriales
serán los de Transporte, TIC y Agua.
¿Cuándo estima que podrían publi-
carse estos otros documentos?
Si el calendario se mantiene y nos es
propicio, a partir de la primavera de
2015 podremos empezar a desarrollar
otra fase.
¿Han marcado un horizonte para
completar el sistema de seguridad de
las infraestructuras críticas y adecuar-
lo definitivamente a los parámetros de
la Estrategia de Seguridad Nacional?
Para las tareas relativas al desarrollo de
la Estrategia de Seguridad Nacional,
el CNPIC participa, obviamente, en la
dirección y coordinación de la Línea
de Acción n+úmero 12, de la que es
principal responsable. En ese sentido,
las acciones que se están llevando a
cabo actualmente, como pueden ser,
entre otras, los trabajos de ejecución
de los Planes Estratégicos Sectoriales
de los que se ha hablado a lo largo
de esta entrevista, están absolutamen-
te alineadas con los cometidos extraí-
dos de la Estrategia. Por otro lado,
el CNPIC colabora en todas aquellas
tareas para las que sea requerido por el
Comité de Situación del Departamento
de Seguridad Nacional. Un ejemplo
es la reciente evaluación de la imple-
mentación de la Estrategia Nacional de
Seguridad, en la que el CNPIC realizó
su contribución, enmarcada dentro de
la del Ministerio del Interior, así como
su participación en los ejercicios CMX
2014, en el ámbito de la OTAN, que
fueron dirigidos y coordinados por el
Departamento de Seguridad Nacional.
Además, y ya en la vertiente de la ciber-
seguridad, el CNPIC ha participado en los
trabajosdelGrupodeApoyoconlosquese
desarrolló la Estrategia de Ciberseguridad
Nacional, aprobada el pasado 5 de diciem-
bre, y continúa participando en los grupos
de trabajo del Consejo Nacional de
Ciberseguridad del Departamento de
Seguridad Nacional de Presidencia de
“Hay una necesidad imperiosa
de llevar a cabo la integración
de la seguridad física y la lógica,
objetivo fundamental del CNPIC
desde sus inicios”

Desde 1974,
dejando huella en nuestros clientes
CHILE / COLOMBIA / COSTA RICA / ESPAÑA / ESTADO UNIDOS / JAMAICA / LIBIA / MÉXICO / PANAMÁ / PERÚ / PORTUGAL / OMAN / QATAR / REPÚBLICA DOMINICANA
www.eulen.com / 902 355 366
Seguridad corporativa
Consultoría de seguridad
Servicios de vigilancia
Sistemas de seguridad
Inteligencia
Seguridad de la información
y de las TIC
Centro de control
de seguridad integral
Videovigilancia remota
Seguridad aeroportuaria
Como empresa decana del sector, celebramos 40 años al servicio
de nuestros clientes con la misma vocación que en nuestros inicios.
Somos innovadores, flexibles y ágiles para adaptarnos a los nuevos
escenarios y riesgos, y estamos comprometidos con la excelencia en
la prestación de servicios.
EULEN SEGURIDAD, su aliado estratégico a la hora de garantizar la
seguridad de su organización.

El CNPIC publicará en junio los cinco
primerosPlanesEstratégicosSectoriales
(PES).¿CuálhasidolafuncióndelServicio
de Ciberseguridad a lo largo del proceso
de elaboración de los documentos?
El Servicio de Ciberseguridad ha contribui-
do, fundamentalmente, a que el concep-
to de seguridad integral que defiende el
CNPIC como paradigma de la seguridad
en las organizaciones (y por ende, en las
infraestructuras críticas) esté presente en la
estructura y contenidos de los PES.
Asimismo, gracias al conocimiento
adquirido sobre los distintos sectores estra-
tégicos, se ha permitido que los análisis de
amenazas/riesgos reflejados contemplen
la ‘perspectiva cibernética’ en cada uno de
ellos a través de un mejor entendimiento del
uso que se da a las tecnologías de la infor-
mación y la comunicación (TIC) y, respecto
a estas, poner de manifiesto el impacto que
tendría su mal funcionamiento.
¿Qué procedimiento han seguido para
elaborar dichos planes? ¿Cómo han
colaborado las diferentes áreas del
CNPIC para engranar los contenidos
de estos documentos?
Para la elaboración de los PES se han esta-
blecido grupos de trabajo sectoriales y se
han mantenido numerosas reuniones, en
las que el personal del centro, compuesto
por funcionarios de todos los servicios, ha
colaborado estrechamente con el de las
empresas de cada uno de los sectores. De
estaforma,hasidoposibleconocerprofun-
damenteelfuncionamientodecadaunode
ellos y, por lo tanto, dilucidar cuáles son los
componentesclavesparasuoperativa,que
en el caso que nos ocupa se refiere al uso e
importancia de las TIC.
Por lo que respecta a la coordinación
interna, el Servicio de Ciberseguridad ha
formado parte del proceso de elaboración
de los planes, conjugando sus opiniones
e inquietudes con aquellas expresadas
por el resto de departamentos del CNPIC.
Dentro de sus competencias, ¿en
qué aspectos han encontrado las
principales carencias o necesidades
de las infraestructuras españolas en
relación con las exigencias que pre-
sentan los planes?
En general, los operadores propietarios,
o gestores de las infraestructuras estra-
Miguel Ángel
Abad Arranz
Jefe del Servicio de
Ciberseguridad del CNPIC
“Algunas organizaciones
deben replantearse aspectos
de su política de seguridad
en el ámbito cibernético”
En el desarrollo
de los primeros
Planes Estratégicos
Sectoriales,
el Servicio de
Ciberseguridad del
CNPIC ha contribuido
a fomentar la
seguridad integral.
Un concepto, según
Miguel Ángel Abad,
que todavía ha de
calar en algunas
organizaciones,
si bien, apunta,
afortunadamente
cada vez son
menos las que dan
la ‘espalda’ a la
vigilancia del uso,
funcionamiento y
protección de las
TIC como una parte
de un proceso
más amplio.
convergencia
monográfico

tégicas/críticas, con los que el CNPIC ha
trabajado en la elaboración de los planes,
presentan un grado de madurez avan-
zado en lo relativo a la integración de la
ciberseguridad en sus planes generales
de protección. Es cierto que hay algunas
organizaciones, las menos, que deben
replantearse determinados aspectos de
su política de inversión en seguridad en el
ámbito cibernético, comenzando con la
concienciación top-down (desde el nivel
directivo hasta el más operativo).
¿Cuáles son las novedades más des-
tacadas de cada uno de los PES
(Electricidad, Gas, Petróleo, Nuclear y
Financiero) en lo que al Servicio que
usted dirige se refiere? ¿Existen grandes
diferencias entre unos sectores y otros?
Los planes tratan de reflejar el funciona-
miento de un determinado sector e iden-
tificar los puntos vulnerables del mismo,
lo cual no deja de ser una actividad de
alguna u otra forma ya se está realizando
desde hace tiempo por parte de las orga-
nizaciones. En cuanto a las diferencias, son
las que cabría esperar entre sectores tan
dispares como el del petróleo o el financiero
en lo que respecta al uso que se da de los
activos tecnológicos que soportan las infra-
estructuras críticas.
De este modo, si bien cada vez está
más generalizado el uso de las TIC, no se
debe perder de vista que se requiere un
estudio pormenorizado del papel que jue-
gan en la provisión de los servicios esen-
ciales, así como del impacto que tendría
su destrucción o mal funcionamiento en la
operativa de cada sector. Y, precisamente,
ese es uno de los objetivos de los planes.
¿Cuáles son los principales riesgos de
las infraestructuras críticas y en qué
consisten las líneas establecidas por
su departamento para que los opera-
dores adapten su seguridad a los PES?
Fundamentalmente,laslíneasestablecidas
en los planes son las que determinan qué
infraestructuras y operadores son impres-
cindibles para el normal funcionamiento de
los servicios esenciales y, por extensión,
de la sociedad. Dada la alta dependencia
tecnológica de las TIC que tiene cualquier
tipo de infraestructura, uno de los princi-
pales riesgos es que estas no operen de
forma adecuada, ya sea por causas natu-
rales, accidentales o deliberadas.
Encualquiercaso,eindependientemen-
te de la naturaleza del ataque o incidente,
la línea establecida por el Servicio de
Ciberseguridad es que las organizaciones
implicadas en la protección de infraestruc-
turas críticas sean capaces de determinar
qué impacto tendría un mal uso o funcio-
namiento de las TIC, previendo medidas
alternativas de operación. Para ello, se
requiere un conocimiento profundo no
sólo del papel de las tecnologías en cada
sector estratégico, sino también de cuál es
el que juegan en cada operador concreto.
¿Cree que la aplicación de esas líneas
supondrá una ingente tarea para
las infraestructuras de nuestro país,
teniendo en cuenta el nivel de seguri-
dad existente en la actualidad?
En la mayoría de los casos, los operadores
cuentan con políticas de ciberseguridad
que contemplan todos los riesgos que se
han identificado como de relevancia en el
correspondiente PES. Incluso hay casos
en los que se están ejecutando planes que,
en cierta medida, integran la seguridad
desde los distintos campos (físico, lógico,
de personal…). No obstante, el esfuerzo
requerido dependerá de la madurez que
tenga la organización no ya en la gestión de
la ciberseguridad, sino en la de la seguridad
desde un punto de vista genérico e integral.
¿Cómo asesorará el CNPIC a los ope-
radores respecto a los cambios que
introducirán los PES en la materia?
Estamos manteniendo una serie de
encuentros con ellos para explicarles el
proceso de elección como operador crí-
tico y designar las infraestructuras críticas
de cada uno. En estas reuniones se les
informa puntualmente de cuantas dudas
puedan plantearse.
Por otra parte, desde la vertiente de la
ciberseguridad, se están llevando a cabo
encuentros bilaterales que explican los ser-
vicios que el CERT de Seguridad e Industria
ofrece a los agentes implicados en la pro-
tección de infraestructuras críticas, lo cual,
sinduda,puedereforzarelniveldeasesora-
miento y compromiso del CNPIC para con
los operadores estratégicos.
A partir de la publicación de los PES,
y una vez los operadores los hayan
completado, ¿cómo seguirá el CNPIC
el cumplimiento de las exigencias rela-
cionadas con el área que usted dirige?
Desde el Servicio de Ciberseguridad se
iniciarán trabajos que aseguren que el
cumplimiento de la seguridad integral por
parte de los operadores es un hecho en
los Planes de Seguridad del Operador,
integrando, al menos, las amenazas con-
templadas en los PES correspondientes.
De forma particular, se asegurará que los
posibles planes de ciberseguridad existen-
tes se incorporen a otros planes unificados
que contemplen la seguridad como un
concepto integrador.
“Las organizaciones implicadas en la protección han
de determinar qué impacto tendría un mal uso o
funcionamiento de las TIC”

convergencia
monográfico
El desarrollo de los Planes Estratégicos
Sectoriales (PES) es un paso muy
importante en el proceso de implan-
tación del Sistema de Protección de
Infraestructuras Críticas. La ‘Ley PIC’
identifica al sector de la Energía como
uno de los 12 sectores estratégicos
clave para el desarrollo de la vida ciuda-
dana, industrial y de gobierno de nuestro
país. En consonancia con la Directiva
2008/114/CE, se ha desglosado dicho
sector en tres subsectores, entre los que
se encuentra el de la electricidad.
Se ha optado por elaborar un Plan
Estratégico Sectorial por cada uno de
estos subsectores dada la especifici-
dad técnica, desarrollo, envergadura y
entidad que poseen, por lo que se con-
sideró necesario su estudio de forma
individual.
Para los trabajos de elabora-
ción del Plan Estratégico Sectorial de
la Electricidad, se creó un Grupo de
Trabajo interdisciplinar compuesto por
personal técnico y expertos, tanto del
Ministerio de Industria Energía y Turismo,
a través de la Dirección General de
Política Energética y Minas, como de las
principales consultoras y empresas del
sector, habiendo mantenido alrededor
de una treintena de reuniones para el
estudio del sector y coordinación de los
trabajos, así como infinidad de contactos
tanto telefónicos como telemáticos de
los anteriores en su desarrollo. Cabe
destacar el ambiente de colaboración
que en todo momento ha habido entre
los integrantes del grupo de trabajo, así
como con las empresas y asociaciones
del sector.
Plan Estratégico Sectorial
Este Plan nos permite conocer cuáles
son los servicios esenciales proporcio-
nados a la sociedad, su funcionamiento
general, los elementos de los que se
compone y las vulnerabilidades exis-
tentes a nivel estratégico, así como
las consecuencias potenciales de su
inactividad, las medidas estratégicas
necesarias para su mantenimiento y
aquellas otras a adoptar para hacer
frente a una situación de riesgo. Toda
esta información la desarrolla el Plan en
cuatro capítulos, a saber:
Capítulo 1. Normativa de aplicación:
se relaciona y analiza toda la normativa
tanto a nivel comunitario como nacional
de aplicación en el sector; distinguien-
do si es de aplicación directa, cuando
regula y desarrolla actividades del sis-
tema eléctrico y establece obligaciones
a los sujetos del mismo; o de aplicación
indirecta, cuando regula y desarrolla
aspectos, obligaciones y condiciones
técnicas del sistema eléctrico y de los
elementos que lo componen.
Capítulo 2. Estructura del sector: en
el mismo se detalla el funcionamiento
del sector y plantea la división del mismo
en cuatro ámbitos, en consonancia con
la Ley 24/2013, de 26 de diciembre, del
Sector Eléctrico. Asimismo, se identifi-
ca la tipología de infraestructuras que
soportan el sistema, agrupándolas en
segmentos, y se definen las interde-
pendencias tanto intrasectoriales como
intersectoriales de los mismos.
La división en cuatro ámbitos del fun-
cionamiento del sistema eléctrico, de
acuerdo a la Ley del Sector Eléctrico,
nos facilita su estudio, siendo éstos la
Generación, Transporte, Distribución y
Operación y Control, si bien no hemos
considerado la comercialización y los
servicios de recarga energética en este
estudio (identificados también en la cita-
da norma) por la falta de infraestructuras
importantes en su funcionamiento.
La generación de electricidad es el
proceso de conversión de una ener-
gía primaria en energía eléctrica. La
capacidad de generación en España,
en el momento actual, es muy superior
a la demanda. Esto, unido a la diversi-
dad de fuentes primarias, tecnologías y
emplazamientos tan amplia que en la
actualidad existe, hace de la misma un
activo seguro para el Sistema Eléctrico
Español.
La electricidad necesita un sistema
de transporte desde los centros de
generación hasta los de consumo.
Este transporte se realiza mediante una
extensa red de líneas eléctricas que
conectan los centros de producción
con los puntos de consumo repartidos
por todo el territorio nacional. La gran
densidad de mallado e interconecti-
vidad del sistema eléctrico peninsu-
lar da fortaleza al mismo, y unida a
las interconexiones existentes con el
Sistema Eléctrico Europeo le dotan de
gran robustez. El sistema eléctrico del
territorio no peninsular canario carece
de un mallado de red sólido, debido a
su aislamiento, así como los sistemas
eléctricos de territorio no peninsular
de Ceuta y Melilla, que se encuentran
completamente aislados, esto hace de
la estabilidad de estos sistemas eléctri-
cos un problema de primer orden.
La distribución de energía eléctrica
tiene por objeto el suministro eléctrico
desde las redes de transporte hasta los
puntos de consumo del usuario final en
Carlos García del Río
Coordinador del Grupo de Trabajo
del PES del Subsector Eléctrico
Jefe de la Sección de Estudios
sobre Infraestructuras del Servicio
de Servicio de Seguridad Física
del CNPIC
Plan Estratégico Sectorial del
subsector de la Electricidad
convergencia
monográfico

La electricidad es un servicio de interés económico
general sobre el que se asientan, transversalmente,
todos los sectores estratégicos del ámbito PIC
de España), también designado nor-
mativamente como transportista único.
La importancia por ámbitos estaría
configurada en un primer nivel por la
operación y control, en un segundo nivel
por el transporte y en el nivel más bajo se
situarían la generación y la distribución.
Cabe destacar la importancia de
estos primeros PES por ser los pioneros
en España y, de ahí, la dificultad de su
elaboración debido fundamentalmente
a la falta de referencias, lo que se han
suplido por parte de los grupos de tra-
bajo y operadores con mucha colabo-
ración e intenso intercambio de ideas.
Como cierre de este artículo y en
referencia a la implantación del Plan
Estratégico Sectorial, decir únicamen-
te que las empresas del sector tienen
organizaciones y sistemas de seguri-
dad avanzados y la adaptación al PES
no parece en un principio que resulte
traumática, aunque sí necesaria para
poder ofrecer a las mismas el apoyo
del Estado en otras esferas de seguri-
dad, que sin integrarse en el sistema
sería imposible brindarles.
medidas organizativas y técnicas para
prevenir el riesgo y reaccionar, y en su
caso paliar las consecuencias en caso
de materialización de esos escenarios.
Asimismo se traza una batería de medi-
das de mantenimiento y coordinación.
Conclusiones
A modo de resumen, podemos decir
que la electricidad es un servicio de
interés económico general sobre el
que se asientan, transversalmente,
todos los sectores estratégicos del
ámbito PIC; su importancia viene indis-
cutiblemente dada por la dependencia
que tiene de este servicio el resto de
sectores, compuesto por el conjunto
de empresas y organismos que hacen
posible que se pueda disponer de este
servicio esencial en todo momento.
La imposibilidad de almacenamiento
de la electricidad marca el funciona-
miento del sector, debiendo mantener
un complicado equilibrio entre la gene-
ración y el consumo. El encargado de
mantener este ineludible equilibrio es
el Operador del Sistema (Red Eléctrica
condiciones adecuadas de calidad con
el fin último de suministrarla a los con-
sumidores. La realizan los operadores
en sus respectivas zonas geográficas
de influencia, que se identifican gene-
ralmente con territorios que engloban
comunidades autónomas o provincias.
Por último, los Centros de Operación
y Control permiten la centralización,
control y optimización del funcionamien-
to de procesos industriales geográfica-
mente distribuidos. Además, permiten
el funcionamiento y mantenimiento en
remoto de las infraestructuras respon-
sabilidad de un operador determinado
distribuidas por el territorio nacional, así
como también disponer en tiempo real
de toda la información necesaria para
conocer el estado y comportamiento
de dicha instalación. Red Eléctrica de
España (REE) es el Gestor Técnico del
sistema eléctrico español conforme a la
Ley 24/2007, de 26 de diciembre.
Cabe destacar la inclusión de un estu-
dio sobre las smart grids, que son siste-
mas eléctricos inteligentes que abarcan
los ámbitos de generación, transporte
y distribución, y que integran procesos
de gestión de la energía junto con pro-
cesos de negocio (como, por ejemplo,
lectura de contadores o facturación). De
este modo, las smart grids tienen por
objetivo integrar de manera eficiente el
comportamiento y las acciones de todos
los actores conectados a ellas para pro-
porcionar un suministro de electricidad
seguro, económico y sostenible.
Capítulo 3. Análisis general de ries-
gos: se identifican las amenazas, de
acuerdo con la Estrategia de Seguridad
y Ciberseguridad Nacional del año 2013,
y las vulnerabilidades, por ámbitos, y se
plantean unos escenarios máximos de
riesgo en la conjugación de ambas
(amenazas y vulnerabilidades), sin tener
en cuenta la probabilidad, planteándose
una valoración y gestión del riesgo.
Capítulo 4. Propuesta de medidas
estratégicas: se plantean una serie de

convergencia
monográfico
Plan Estratégico Sectorial del
Subsector del Petróleo
ción del Sistema para la Protección de
las Infraestructuras Críticas. Todavía
queda mucho por hacer, en el momen-
to que la Comisión para la Protección
de las Infraestructuras Críticas designe
a los operadores críticos, extraídos
de los trabajos realizados en el PES,
éstos deberán desarrollar sus Planes
de Seguridad del Operador (PSO) y
sus Planes de Protección Específicos
(PPE) para que, posteriormente, los
Cuerpos policiales competentes
culminen el sistema de protección
implementando sus Planes de Apoyo
Operativo (PAO). Éste es el verdadero
espíritu de la ‘Ley PIC’: la estrecha
colaboración público-privada, mejo-
rando los canales de comunicación e
información entre nosotros para lograr
una mayor protección de las infraes-
tructuras consideradas como críticas.
Plan Estratégico Sectorial
El PES del petróleo, en cuanto a la
prestación de los servicios esenciales
y la garantía del suministro se refiere,
entraña dos importantes notas defi-
nitorias:
1. Gran consumo de la materia
prima: el petróleo es la principal fuente
de energía primaria en España, siendo
el consumo de productos petrolíferos
en 20123
del 47,9 por ciento aproxi-
madamente del consumo de energía
final.
2. Gran dependencia internacional:
la producción nacional es muy escasa,
por lo que España debe importar en
torno el 99,8 por ciento de la materia
prima por vía marítima, siendo depen-
diente de otros países prácticamente
en su totalidad.
Si a esto añadimos que el impacto
en los demás criterios horizonta-
les de criticidad (víctimas humanas,
medio ambiente, economía nacional
e impacto social) ante un ataque
deliberado, puede ser considera-
do como de extrema gravedad, el
PES se presentaba como un trabajo
sumamente atractivo, desde el punto
de vista de la seguridad.
Además, partíamos de la base de
que las infraestructuras que susten-
tan el sistema del petróleo han sido
ya objeto de ataques deliberados
tanto en nuestro país (por ejemplo, el
ataque terrorista perpetrado por ETA
en junio de 1987 a la central petro-
química Enpetrol, ubicada a tan solo
cinco kilómetros del centro urbano
de Tarragona) como a nivel inter-
nacional (sólo en 2013 se registra-
ron 259 ataques contra oleoductos
del cuarto productor de crudo de
América del Sur, por no hablar de
los continuos ataques que sufren
los países productores de petróleo
como Irak, Irán o Arabia Saudí, entre
otros muchos).
Partiendo de estos datos, se empe-
zó a abordar el estudio del subsector
del petróleo segmentándolo en cuatro
capítulos:
1. Estudio de la normativa regulado-
ra del subsector.
2. Estudio del funcionamiento del
subsector.
3. Análisis sectorial de riesgos.
4. Medidas estratégicas a adoptar.
La normativa reguladora del sec-
tor, tanto de alcance nacional como
internacional, está dirigida fundamen-
talmente a garantizar el suministro de
hidrocarburos a la población. Sobre
este enfoque se ha basado, principal-
mente, el desarrollo del PES. En este
sentido, hay que reseñar que la Ley
34/1998, de 7 de octubre, del Sector
de Hidrocarburos establece que todo
operador autorizado a distribuir al por
mayor productos petrolíferos en terri-
torio nacional, así como toda empresa
que desarrolle una actividad de distri-
bución al por menor de carburantes
y combustibles petrolíferos no adqui-
El Plan Estratégico Sectorial (PES)
del Subsector del Petróleo ha sido
el resultado del trabajo interdisci-
plinar de un equipo creado ad hoc,
integrado por profesionales tanto del
sector público1
como del privado2
que, aportando cada uno de ellos
sus conocimientos y experiencia, ha
logrado el objetivo con el que nació:
conocer el funcionamiento de los
servicios esenciales prestados por
el subsector, analizar las consecuen-
cias potenciales de su inactividad,
identificar y evaluar sus amenazas y
vulnerabilidades, y recomendar unas
medidas estratégicas para su man-
tenimiento.
Esto no ha sido tarea fácil. Se han
necesitado más de 30 reuniones con
los distintos miembros del Grupo, ade-
más de un exhaustivo trabajo de campo
para poder concluir este PES, que
supone el primer paso en la implanta-
convergencia
monográfico
Juan José Zurdo
Santamaría
Coordinador del Grupo de
Trabajo del PES del Subsector
Petróleo
Jefe de Sección de Análisis del
Servicio de Seguridad Física
del CNPIC

El PES del petróleo entraña dos importantes
notas definitorias: gran consumo de la materia
prima y gran dependencia internacional
ridos a los operadores regulados en
la citada ley, deberán mantener en
todo momento existencias mínimas
de seguridad de los productos en la
cantidad, forma y localización geográ-
fica que el Gobierno determine regla-
mentariamente, hasta un máximo de
120 días de sus ventas anuales (en la
actualidad se exigen 92 días). La adqui-
sición, constitución, mantenimiento y
gestión de las reservas estratégicas de
hidrocarburos es competencia de la
Corporación de Reservas Estratégicas
(CORES), Corporación de derecho
público tutelada por el Ministerio de
Industria, Turismo y Comercio que
actúa como entidad central de almace-
namiento y que ha sido miembro activo
en el Grupo de Trabajo.
En cuanto al funcionamiento del
subsector, se ha elaborado un trabajo
de exhaustivo análisis, segmentán-
dolo en cinco ámbitos de actividad:
Exploración y producción, Conversión,
Almacenamiento, Transporte y
Operación y control.
1) Exploración y producción: En este
ámbito, la actividad en España es muy
reducida, representando tan solo el
0,2 por ciento del consumo nacional.
Actualmente, hay producción en las
costas de Tarragona y residualmente
en la provincia de Burgos. Las explo-
raciones que se están llevando a cabo
en las costas de las Islas Canarias
podrían permitir producir en un futu-
ro, según las últimas previsiones, un
13 por ciento del consumo nacional,
consiguiendo de este modo reducir
sensiblemente la dependencia exterior.
Hasta ahora, y a la espera del resulta-
do de las exploraciones que se están
realizando, desde el punto de vista de
la seguridad de las infraestructuras
existentes en nuestro país, éstas no
han sido objeto de protección priorita-
ria por parte del Centro Nacional para
la Protección de las Infraestructuras
Críticas (CNPIC).
2) Conversión: Este ámbito de acti-
vidad está gestionada por las dis-
tintas refinerías que, en el caso de
España, son un ejemplo de eficacia
y eficiencia para el resto de refinerías
europeas. Las compañías petroleras
que operan en nuestro país cuentan
en sus refinerías con unas excelen-
tes medidas de seguridad indus-
trial, cumpliendo sobradamente con
la exigente normativa derivada de
la Unión Europea, y están concien-
ciadas de la importancia que tiene
su buen funcionamiento tanto para
garantizar el suministro como para
garantizar la seguridad de las perso-
nas y el medio ambiente.
3) Transporte: El transporte de
hidrocarburos se realiza fundamental-
mente por oleoducto, sin perjuicio de
que puedan utilizarse otros medios de
transporte como camiones o trenes
cisterna. La principal red de oleoduc-
tos estratégicamente distribuida por
todo el territorio nacional está excelen-
temente gestionada por la Compañía
Logística de Hidrocarburos (CLH),

convergencia
monográfico
de su gestión como de su ubicación
y protección, en la que los respon-
sables de CORES han participado
activamente.
5) Operación y control: Otro ámbito
de actividad que ha sido objeto de
estudio han sido los centros de control
de los operadores, puntos neurálgicos
de las operaciones diarias llevadas a
cabo por los Operadores y que, algu-
nos de ellos, deben ser especialmente
protegidos dada su enorme depen-
dencia en el buen funcionamiento del
sistema.
En cuanto a la tercera y cuarta parte
del PES (análisis de riesgos sectorial
y propuesta de medidas estratégicas),
éstas han tenido por objeto coadyuvar
en el reforzamiento de la seguridad de
las infraestructuras de los operadores,
articulando un sistema de protección
público-privado que permita coordinar
mejor la información de ambas partes
a la hora de prever y hacer frente a
cualquier tipo de amenaza.
Conclusiones
El PES del Petróleo ha supuesto, junto
con el resto de PES de la Energía,
Industria Nuclear y Sector Financiero,
un primer paso en la consecución
de los objetivos marcados en la Ley
8/2011, para la protección de las
infraestructuras críticas. Este paso
era necesario porque viene a esta-
blecer las líneas estratégicas para
los operadores y la Administración
con el objetivo de implantar definiti-
vamente el Sistema PIC, articulando
además un sistema de comunica-
ción e intercambio de información
necesario para desarrollar los planes
operativos subsiguientes.
La mayor dificultad que ha supues-
to la elaboración de los primeros PES
ha sido la implementación de una
nueva metodología de trabajo, inex-
plorada hasta ahora, para conseguir
el objetivo final que se pretendía,
ser una herramienta estratégica de
ayuda, tanto para los operadores
como para la Administración, en la
elaboración de los distintos Planes
Operativos.
A través del esfuerzo y la determi-
nación de todos los miembros del
equipo de trabajo se ha podido ela-
borar este PES. Por ello me gustaría
agradecer en estas últimas líneas
su encomiable implicación en el
mismo.
Pies de página
1
Funcionarios del Centro Nacional para
la Protección de las Infraestructuras
CríticasincardinadosenelMinisteriodel
Interior, funcionarios de la Subdirección
General de Hidrocarburos dependien-
tes de la Dirección General de Política
Energética y Minas del Ministerio de
Industria, Energía y Turismo y miem-
bros de la Corporación de Reservas
Estratégicas (CORES).
2
Principales compañías del sector,
consultoras de primer nivel y asocia-
ciones profesionales.
3
Los datos correspondientes a 2013
serán publicados en breves fechas
por el Ministerio de Industria, Energía
y Turismo.
que, sin ser gestor del sistema, al ser
un subsector liberalizado, facilita a los
demás operadores el acceso a su red
en condiciones técnicas y económi-
cas no discriminatorias. Sorprende
la rapidez y fiabilidad con la que CLH
gestiona el transporte de hidrocar-
buros, siendo fundamental el buen
funcionamiento de su red para garan-
tizar el suministro de combustibles en
todo el territorio nacional, salvo en las
Islas Canarias, donde existe una red
de oleoductos gestionada por otro
operador, con igual éxito.
4) Almacenamiento: Debido a
la gran dependencia exterior de
nuestro país en hidrocarburos, se
constituyeron en la Ley 34/1998,
de 7 de octubre, del Sector de
Hidrocarburos, las llamadas exis-
tencias mínimas de seguridad, indis-
pensables para garantizar la exis-
tencia de hidrocarburos en caso
de interrupción del suministro exte-
rior. Dichas existencias, como se ha
dicho anteriormente, son controla-
das por la Corporación de Reservas
Estratégicas (CORES). En el PES se
ha realizado un estudio pormeno-
rizado de dichas existencias, tanto

Red065 blq

Recomendados

Recomendados

Más contenido relacionado

Similar a Red065 blq

Similar a Red065 blq (20)

Más de Jose Martin Sosa Granados

Más de Jose Martin Sosa Granados (20)

Red065 blq