La designación de un operador como crítico significa la obligación de realizar un Plan de Seguridad del Operador, que viene a ser un documento en el que el propio operador establece los criterios de su política general de seguridad, es decir, para todas y cada una de las instalaciones de las que dispone, y cuya aprobación significa abrir el camino al cuarto paso del sistema de planificación: la elaboración de un Plan de Protección Específico por cada una de las instalaciones designadas como críticas. Este Plan de Protección Específico sí es ya lo que entendemos como un Plan de Seguridad al estilo clásico, aunque eso sí, con unos criterios seguritarios de mayor calado y que incluye la integración con todos los actores que tengan algún papel en la seguridad de la instalación.
A través de los Contenidos Mínimos de los PSO y de los PPE la Secretaría de Estado de Seguridad establece unos niveles mínimos de seguridad que, como siempre en este entorno, ayudarán a mantener la congruencia del sistema al completo. CNPIC, asimismo, elabora unas Guías de Buenas Prácticas para la elaboración de los Planes de Seguridad del Operador y de Protección Específico.
La finalización y aprobación del Plan de Protección Específico da lugar al último paso del Sistema de Planificación PIC, paso que asumen las Fuerzas y Cuerpos de Seguridad y que no es otro que el Plan de Apoyo Operativo. El PAO -elaborado como ha quedado dicho por las Fuerzas y Cuerpos de Seguridad- está basado en el Plan de Protección Específico previamente aprobado y, fundamentalmente, en el Plan de Acción, y su objetivo primordial ha de ser el diseño de un plan reactivo que apoye lo ya definido por el Operador en su PPE. La activación de un PAO significará la puesta en marcha de medidas de carácter complementario a aquéllas que, de carácter gradual, estén predefinidas en el Plan de Protección Específico.
Con la finalización del Plan de Apoyo Operativo se cierra el proceso de Planificación PIC, aunque teniendo siempre en cuenta que los planes deben estar en permanente revisión y atentos a la evolución de los acontecimientos que puedan afectarnos.
El Sistema PIC establece un esquema para la planificación y un desarrollo de los procedimientos de comunicación e intercambio de información, en el que, además, es rasgo fundamental que siempre estaremos tratando con información sensible, es decir, con información que requiere control y protección contra su divulgación.
El mecanismo de comunicación del Sistema PIC garantiza la confidencialidad y seguridad de los datos estableciendo un canal adecuado para ello y en el que los participantes disponen de un punto de contacto singular. Podemos traducir contacto singular como contacto y relación personal.
Esta relación singular, personal, conlleva el requisito de continuidad en las personas que representan a la organización, y que esta representación sea otorgada a nivel individual e incluyendo la capacidad de decidir en nombre de la propia organización. Esto último constituye el fundamento de la creación de las figuras de Responsable de Seguridad y Enlace y de Delegado de Seguridad. Cada uno de ellos se constituirán en contacto singularizado con la Autoridad: el primero en el nivel estratégico, el segundo en el nivel técnico-operativo.
Reglamentariamente se determina que el Responsable de Seguridad y Enlace representará al operador ante la Secretaría de Estado de Seguridad en lo relativo a la seguridad de sus infraestructuras y canalizará las necesidades informativas y operativas. De los operadores críticos privados sabemos que su único punto de contacto en el ámbito PIC en el Centro Nacional de Protección de Infraestructuras y Ciberseguridad. Y puesto que CNPIC, a través de la S.E.S., depende del Ministerio de Interior se consideró que quien fuera designado Responsable de Seguridad y Enlace debería tener una titulación y habilitación reconocida por dicho Ministerio. De ahí que fuera la de Director de Seguridad la figura elegida para ello. Sin embargo, esta exigencia es descontada de la figura del Delegado de Seguridad.
Para que la información circule de forma eficaz y segura se crea un sistema de gestión con una adecuada política de protección de la información; política ésta sostenida sobre la base de la necesidad de conocer.
En España, este sistema es HERMES. Para acceder a él es necesaria una acreditación para la gestión de la información clasificada, apoyada, como ha quedado dicho sobre la necesidad de conocer. Los requisitos de seguridad de HERMES son elevados: soporte de comunicaciones seguras Malla B.
Hermes, por un lado, y a través de la Plataforma ARGOS, custodia, gestiona y mantiene el Catálogo Nacional de Infraestructuras Estratégicas, y por otro sirve, a través de ∏3 (Pi3) como Plataforma de Intercambio de Información sobre Infraestructuras, es decir, de canal que comunica y enlaza a los Agentes del Sistema PIC.
Para impulsar, coordinar y supervisar todas las actividades encomendadas a la Secretaría de Estado de Seguridad en materia de Protección de las Infraestructuras Críticas nace el Centro Nacional para la Protección de las Infraestructuras Críticas (en la actualidad Centro Nacional de Protección de Infraestructuras y Ciberseguridad).
Como señalaba Fernando J. Sánchez Gómez, Director del CNPIC, este Organismo, desde su creación, “ha venido trabajando en la arquitectura de un sistema de protección de las infraestructuras críticas nacionales que se adapte a las necesidades específicas de nuestro país y permita dar respuesta a los retos de seguridad que tenemos planteados en esta materia”.
CNPIC ha sido calificado, acertadamente, como el motor del Sistema PIC. No sólo impulsa, coordina y supervisa el Sistema, sino que también realiza labores de desarrollo y seguimiento de los instrumentos de planificación, gestiona y mantiene el Catálogo Nacional de Infraestructuras Estratégicas y se centra en la búsqueda de una seguridad integral, atendiendo de forma especial a la ciberseguridad. Además, es CNPIC el punto de contacto e interlocución entre los operadores críticos y la Secretaría de Estado de Seguridad en las materias que aquí tratamos.
Puedes leer la primera parte del artículo aquí.
Ricardo Vidal
Director de Seguridad Dpto. nº 967
Coordinador/Tutor de Curso Superior de Protección de Infraestructuras Críticas
de la Facultad de Derecho de la Universidad de Granada y Centro Andaluz de Estudios y Entrenamiento