La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su reglamento de desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de mayo, está suponiendo un importante reto para los responsables de muchas de estas infraestructuras, tanto en empresas privadas como en el sector público.
1. Los principales retos a los que se enfrentan los responsables de dichos
operadores son:
• Colaborar en la elaboración de los Planes Estratégicos Sectoriales
que se han de definir para cada sector estratégico.
• Elaborar un Plan de Seguridad del Operador (PSO), que ha de
definir una política general de protección de las infraestructuras
críticas, así como un Plan de Protección Específico (PPE) para cada
una de ellas.
• Recabar los datos sobre sus infraestructuras, mantenerlos
actualizados y comunicarlos al Catálogo Nacional de
infraestructuras estratégicas gestionado por la Secretaría de Estado
de Seguridad del Ministerio del Interior.
• Implantar, gestionar y operar las medidas que garanticen una
protección adecuada de las infraestructuras críticas.
• Designar un Responsable de Seguridad y Enlace, antes de que
transcurran tres meses desde la designación como operador crítico.
Además, se debe designar un Delegado de Seguridad para cada
infraestructura crítica.
• Facilitar las inspecciones de las autoridades competentes.
¿Cómo cumplir estas obligaciones?
La aplicación de metodologías consolidadas, la experiencia previa, el
personal especializado y el conocimiento sectorial son fundamentales
para el éxito de cualquier iniciativa de esta envergadura. En el Grupo
SIA contamos con una amplia experiencia en la protección física y
lógica de numerosas infraestructuras contempladas en el ámbito de
aplicación de esta normativa. Esto nos ha permitido definir una oferta
especializada dirigida a facilitar el cumplimiento de las obligaciones
de aquellas organizaciones y entidades que hayan sido, o puedan ser,
designados como operadores críticos. Para ello, consideramos tres
pilares fundamentales:
1. Abordar el cumplimiento de los requisitos más inmediatos y de
las obligaciones formales impuestas, para lo cual realizamos un
análisis de las infraestructuras del Operador y de las medidas de
seguridad a implantar si fuera necesario.
2. Implantar las medidas de seguridad necesarias, de forma gradual
y ordenada, optimizando los esfuerzos, recursos, sinergias y
tecnología disponible. SIA se posiciona como un socio ideal para
ello, como proveedor integral de infraestructuras de seguridad.
3. Desarrollar y garantizar el éxito de los planes de continuidad
que permitan la operación los servicios críticos en los niveles
adecuados, asegurando su resistencia frente a posibles
contingencias. Se trata de un punto fundamental en los objetivos
de la normativa, para lo que SIA dispone de una gama de servicios y
herramientas específicas para esta necesidad.
El marco legal
La Ley 8/2011, de 28 de Abril, por la que se establecen medidas para
la protección de las infraestructuras críticas, y su reglamento de
desarrollo, aprobado mediante el Real Decreto 704/2011, de 20 de
mayo, está suponiendo un importante reto para los responsables de
muchas de estas infraestructuras, tanto en empresas privadas como en
el sector público.
El marco legal definido tiene por objeto garantizar un nivel
adecuado de protección sobre las infraestructuras en las que se
basan determinados servicios que, por su criticidad e importancia,
se consideran esenciales para el mantenimiento de las funciones
sociales básicas, la salud, la seguridad, el bienestar social y económico
de los ciudadanos, o el eficaz funcionamiento de las Instituciones y
Administraciones Públicas. Su ámbito de aplicación abarca diferentes
sectores:
Estas normas establecen la obligación de definir e implementar
una serie de funciones y actividades que requieren una dedicación
significativa en términos de tiempo y recursos. Por ello, se hace
necesaria la aplicación de enfoques metodológicos adecuados, cuya
definición y aplicación efectiva exige experiencia en la materia.
Obligaciones para los operadores críticos
Este marco legal, impulsado a nivel europeo, identifica una serie
de actores que han de tomar parte activa en la protección de las
infraestructuras críticas. Entre ellos se encuentran los operadores
críticos, definidos como las entidades u organismos responsables de
las inversiones o del funcionamiento diario de una instalación, red,
sistema o equipo físico o de tecnología de la información que haya sido
designado como infraestructura crítica.
Protección de las Infraestructuras Críticas
Administración
Ind. Química
Instalac. de Investigación
Espacio
Agua Ind. Nuclear
Salud
Energía
Alimentación
Transporte
Sist. Financiero y Tributario
TIC
Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón - Madrid
Tel.: +34 902 480 580
Fax: +34 913 077 980
2. Pallars 99, planta 4, oficina 41
08018 Barcelona
Tel.: +34 902 480 580
Fax: +34 934 675 830
www.sia.es
Avda. de Europa, 2
Alcor Plaza - Edificio B - Parque Oeste Alcorcón
28922 Alcorcón
Tel.: +34 902 480 580
Fax: +34 913 077 980
De este modo fijamos claramente los siguientes objetivos:
• Garantizar el cumplimiento de las obligaciones atribuidas.
• Establecer y formalizar las acciones necesarias para el cumplimiento
de la norma.
• Proporcionar apoyo y asesoramiento al Responsable de Seguridad y
Enlace y a los Delegados de Seguridad.
• Elaborar los planes y realizar las actividades previstas por la
normativa.
• Coordinar las principales medidas de seguridad a implantar.
Para el lanzamiento de la solución diseñada y propuesta por SIA,
proponemos resumidamente abordar las siguientes fases:
El principal objetivo consiste en garantizar que el operador crítico no
incumpla ninguno de los preceptos prescritos por la normativa. Pero
al mismo tiempo se busca que las acciones tomadas redunden en una
mejora y un beneficio de los procesos internos de la organización.
En este sentido, muchas de las medidas de seguridad recogidas en
el marco legal de protección de las infraestructuras críticas forman
parte de las buenas prácticas de gestión de la seguridad ampliamente
aceptadas, probadas y recomendadas.
La solución aborda las obligaciones más inmediatas que la normativa
impone, estableciendo los puntos básicos para una gestión continua
e integral de la protección de las infraestructuras críticas. Así, se
pretenden obtener los siguientes resultados:
• Definir los aspectos organizativos básicos para la gestión
de la seguridad, lo que implica definir y asignar funciones y
responsabilidades y establecer los órganos apropiados para la
coordinación horizontal de esta materia. Se trata de un punto básico
para una gestión eficaz y efectiva de la seguridad en cualquier
entidad, línea en la que SIA cuenta con la experiencia de haber
definido e implantado con éxito numerosos modelos organizativos
en importantes y complejas organizaciones, bajo marcos similares
como el estándar UNE-ISO/IEC 27001, de Sistemas de Gestión de la
Seguridad de la Información (SGSI).
• Desarrollar el Plan de Seguridad del Operador, definiendo las
políticas de seguridad y detallando el inventario de los servicios
esenciales prestados, sin olvidar la adecuada formación y
concienciación de todo el personal con funciones en la materia,
ámbito en el que SIA se ha convertido en un referente por la calidad
e innovación de los proyectos realizados en esta línea.
• Establecer una metodología para el análisis de los riesgos que se
ciernen sobre las infraestructuras críticas, llevándola a la práctica y
diseñando un Plan de Protección Específico para cada una de ellas.
En SIA hemos realizado decenas de Planes Directores de Seguridad,
basados en análisis de riesgos, en grandes organizaciones, públicas y
privadas, lo que nos permite abordar esta actividad con las máximas
garantías.
Posteriormente será necesario coordinar la implantación de las
acciones definidas en dichos planes, además de proceder a la
definición e implantación de los planes y medidas para garantizar la
continuidad de los servicios y la protección frente a contingencias en las
infraestructuras.
Algunas de las medidas de protección a implantar se podrán poner en
marcha inmediatamente, como son la ejecución del plan de formación
y concienciación, o las medidas de seguridad aplicables sobre la
información clasificada (entre la que se incluyen los propios planes
desarrollados). También en este punto SIA puede aportar un apoyo
importante, pues dispone de una gran experiencia en la implantación
de medidas técnicas de seguridad y en la prestación de servicios de
coordinación y Oficinas de Seguridad para garantizar una implantación
ordenada de las mismas.
SIA, sinónimo de seguridad y confianza
En el Grupo SIA contamos con 25 años de experiencia como proveedor
especializado en servicios y proyectos de seguridad, estando reconocido
como líder en este tipo de prestaciones en el mercado ibérico. Fruto
de esta experiencia, SIA ha asegurado la protección de numerosas
plataformas y elementos críticos, de la mano de algunas de las
compañías y administraciones públicas más relevantes. Por ello, SIA
puede enorgullecerse de ofrecer las máximas garantías para ayudar a
aquellas entidades que sean designadas como operadores críticos a
cumplir con las obligaciones que ello implica.
El valor de SIA como aliado en la protección de las infraestructuras
críticas no se queda en el cumplimiento de los aspectos meramente
formales de la normativa. Nuestra condición de proveedor integral
nos permite ofrecer soluciones óptimas para la protección de las
infraestructuras críticas. La disponibilidad de perfiles multidisciplinares
(consultores, hackers éticos, abogados, expertos en infraestructuras y
tecnologías, etc.) aporta en este tipo de proyectos un valor diferencial
a la hora de proponer e implantar soluciones adecuadas, viables,
probadas y eficaces.
Grupo SIA, gracias a su experiencia y a su especialización en el ámbito
de la seguridad, puede ayudar a sus clientes en el cumplimiento de las
normas y en la mejora de la seguridad a través de un completo conjunto
de servicios:
• Planes de Continuidad de Negocio y de Contingencias.
• Planes de formación y concienciación.
• Implantación de Sistemas de Gestión de la Seguridad de la
Información.
• Definición de Planes Directores de Seguridad y análisis de riesgos.
• Auditoría y adecuación normativa.
• Cualificación Integral e Inteligente de Edificios y Recintos (CIIER).
• Implantación de sistemas e Infraestructuras de seguridad.
• Monitorización y gestión de sistemas y plataformas.
Definición de
aspectos
organizativ.
Elaboración
delPSO
Análisis de
Riesgos
Elaboración
de los PPEs
Lanzam. de
acciones
específicas
Grupo SIA, proveedor global de seguridad, tiene las siguientes
certificaciones que avalan la madurez de los servicios que presta:
• Qualified Security Assessor – PCI DSS
• Gestión de la Calidad – UNE-EN-ISO 9001:2000
• Gestión de Seguridad de la Información – UNE-ISO/IEC 27001
• Gestión de Servicios IT – UNE-ISO/IEC 20000
• Gestión de Continuidad de Negocio UNE-ISO 22301
• Gestión de Medio Ambiente – ISO 14001:2004
• Calidad de Software (SPICE Nivel 3) - ISO 15504