Como se protegen las infraestructuras críticas
Ante ataques físicos y cibernéticos de toda índole, la industria desarrolla tecnología y sistemas de protección integral que puedan neutralizar a delincuentes de mil caras.
 
Las infraestructuras críticas son aquellas instalaciones que, por su actividad, resultan esenciales para el funcionamiento de un país. Su relevancia es tal que incluso cuentan con una ley propia para garantizar que, tanto operadores públicos como privados, apliquen los máximos estándares de seguridad para la protección de infraestructuras críticas. En algunos casos tienen carácter supranacional porque su cometido puede afectar a ciudadanos de varios países. En Estados Unidos, por ejemplo, el concepto de infraestructura critica no solo incluye a aquellas que son vitales para la marcha del país, sino también a determinados monumentos cuya afección puede minar la moral de los ciudadanos.
 
En el caso de España, la normativa define como infraestructura estratégica aquella “cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.” En esta definición encajan instalaciones muy diferentes y de todo tipo de sectores, desde suministro de agua, hasta aeropuertos, pasando por hospitales, laboratorios de investigación, comunicaciones (por ejemplo, satélites) o centrales energéticas... Así, se han definido 12 sectores estratégicos, entre ellos algunos transversales como la Administración Publica y las tecnologías de la información.
 
Las infraestructuras críticas están recogidas en un catálogo que no es público. Para mejorar su protección, se realiza un planteamiento a distintos niveles. Existe un plan nacional, un plan sectorial para cada uno de los 12 sectores nacionales de producción identificados como críticos en la Ley PIC, un plan de protección para cada operador, público o privado, de una o varias infraestructuras críticas, y también un plan de protección específico para cada una de ellas.
 
En la actualidad están aprobados los planes sectoriales correspondientes a siete de los 12 grandes sectores estratégicos: industria química, agua, industria nuclear, espacio, energía, transporte y financiero. Asimismo, hay 106 operadores críticos que deben poner en marcha una serie de planes de protección específicos sobre el conjunto de sus infraestructuras, complementados por la aplicación de los correspondientes planes operativos previstos por las Fuerzas y Cuerpos de Seguridad del Estado y, en su caso, por las Fuerzas Armadas. Según Agustin SOLIS, director de Sistemas de Seguridad de Tales España, “aunque nunca se puede estar tranquilo y siempre se puede mejorar, hay un consenso de que en España –que en el pasado se vio amenazada por el terrorismo– las infraestructuras criticas están bastante bien preparadas frente a amenazas físicas. No es el caso contra los ataques cibernéticos que, por distintas razones, son la gran área de mejora para la protección de este tipo de instalaciones”.
 

¿CUÁL ES LA LEY DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS?

La Ley 8/2011 regula las medidas de protección que deben aplicarse, guiando los pasos del Plan Nacional de Protección de las Infraestructuras Criticas. Este engloba tanto al sector público como a los operadores privados, con un enfoque que hace hincapié en la colaboración. Entre ambas esferas. El objetivo es “implantar a medio plazo una cultura de seguridad en la que tanto el sector privado como las Administraciones Publicas trabajen sobre parámetros homogéneos y claramente definidos en materia de protección de sus respectivos activos, logrando una coordinación de esfuerzos y una sinergia en sus objetivos”, según explican desde el Centro Nacional para la Protección de Infraestructuras Criticas (CNPIC). Aunque los requerimientos y los sistemas concretos dependen del sector y de la instalación que se pretende proteger, existen elementos comunes que se tienen en cuenta a la hora de implantar cualquier sistema de seguridad. Es clave, por ejemplo, que sea un proyecto personalizado y basado en un análisis concreto de la actividad, funcionamiento y posibles riesgos de cada activo. En paralelo, estará siempre diseñado bajo una perspectiva global e integrada, de forma que las distintas herramientas de seguridad se conciban como un único sistema, apoyado en la tecnología más avanzada, para ofrecer diferentes respuestas en función de las posibles amenazas identificadas. Por ejemplo, para proteger una instalación energética, como una refinería o una planta gasista, se establecen diferentes niveles de seguridad, pero todos deben estar conectados entre sí con un único propósito: evitar cualquier tipo de intrusión, ya sea física o Cibernética. Estas instalaciones suelen contar con un perímetro de seguridad y con barreras de acceso. Los vehículos autorizados a entrar en el recinto están equipados con tecnología de reconocimiento automático y control de posicionamiento. El siguiente nivel está dotado de cámaras de video vigilancia, tanto de corto como de largo alcance, e incluso de radares capaces de captar cualquier tipo de movimiento; mientras que la admisión de personas a los diferentes edificios u oficinas cuenta con sistemas de control específicos, solo para trabajadores acreditados. En estas grandes infraestructuras es habitual instalar sistemas de comunicación con altavoces, para poder dar avisos generales a toda la plantilla –o a los visitantes que se encuentren en la planta– y se hace hincapié en proteger de forma específica los sistemas de comunicación con el exterior.
 
Todos los datos recogidos por estos sistemas de vigilancia se transmiten y analizan en un centro de seguridad dotada con una herramienta informática de gestión integral de los mecanismos de protección de infraestructuras críticas. Esta estación no solo sirve para monitorizar la actividad de la instalación, a través de planos digitales de la infraestructura o de imágenes de video, sino que la inteligencia artificial ayuda a los técnicos a resolver cualquier tipo de incidencia. Si se produce alguna brecha de seguridad, el sistema da la señal de alarma inmediatamente, ayudando a los responsables a resolver cualquier situación de crisis, señalando, por ejemplo, cual es el protocolo a seguir en cada escenario. Si se produce una intrusión, los radares de posicionamiento indicaran donde se encuentran los extraños en el plano digital, mientras que las cámaras de video vigilancia aportaran las imágenes en tiempo real.

El operador puede ver también que equipo de seguridad es el más cercano para acudir y resolver la incidencia y si necesita o no algún tipo de refuerzo para la intervención.
 
En estos casos, contar con un sistema de comunicación protegido es esencial para coordinar a todos los agentes de seguridad, así como al personal de la planta si fuera necesario como garantía adicional. Los proveedores que, como Tales, trabajan en este campo utilizan lo que se conoce como tecnología dual. Se trata de desarrollos diseñados para proteger una infraestructura concreta, pero pueden adaptarse y aplicarse a cualquier otro sector e instalación que necesite de este nivel de protección. Si bien el perímetro de seguridad de un aeropuerto es muy diferente al de una refinería de petróleo, ambos necesitan tecnología de video vigilancia, sistemas de comunicación e inteligencia artificial que ayudan a los efectivos de seguridad a intervenir para prevenir cualquier problema y, en caso de que se produzca una incidencia, que esta pueda resolverse en el menor tiempo posible para minimizar su impacto. “En ciberseguridad se produce una circunstancia añadida y es que las tecnologías de la información y la comunicación evolucionan muy rápido y la aparición de riesgos y amenazas es continua.

Por eso tenemos que responder no solo desde el punto de vista técnico, sino también organizativo, con la concienciación de los empleados y con la redefinición de los procesos, teniendo en cuenta que sedebe hacer y qué no. Estamos transformando permanentemente los sistemas para ser capaces de anticiparnos a los riesgos y detectar las amenazas en una infraestructura crítica. Lo hacemos, por ejemplo, mediante inteligencia de fuentes abiertas en las redes sociales y a través del desarrollo de métodos para compartir información y coordinar los centros de respuesta, para ayudar a reaccionar una vez que se ha detectado un ataque”, subraya Agustin Solís.
 

TELEFONO ROJO DE EMERGENCIA PARA INFRAESTRUCTURAS CRÍTICAS

En España existe un Servicio de Gestión 24 horas para incidentes que afecten a una infraestructura considerada vital. Es un punto de contacto para el intercambio inmediato de información entre los operadores críticos y el Centro Nacional para la Protección de Infraestructuras Criticas (CNPIC) a través de un protocolo, y se aloja en una plataforma informática. Asimismo, el Centro de Respuestas a Incidentes de Ciberseguridad, que opera en León, proporciona un soporte especializado en seguridad y prevención ante la detección de amenazas, y actúa como ‘teléfono rojo’ para los operadores críticos ante cualquier evento que afecte al entorno cibernetico.Aquellos activos que forman parte del Sistema de Protección de Infraestructuras Criticas cuentan con una consideración especial en la planificación de las Fuerzas y Cuerpos de Seguridad del Estado.

All articles