Si un elemento destacó por encima del resto en el X Congreso PICSE de Infraestructuras Críticas y Servicios Esenciales, ese fue la transposición de las directivas CER y NIS 2 (sobre seguridad de los sistemas de información y comunicaciones) al ordenamiento jurídico español. No en vano, varios de los ponentes que se pasaron por la Residencia Colegio Infanta María Teresa de Madrid, el 2 de noviembre, centraron sus exposiciones o parte de ellas en este paso que debe dar, a no mucho tardar, la legislación de nuestro país.
El primer ponente de este encuentro organizado por la Fundación Borredá fue José Luis Pérez Pajuelo, director del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Durante su intervención, con un auditorio prácticamente repleto, expuso los diferentes «cambios de paradigma» de la Unión Europea en lo que se refiere a la protección de infraestructuras críticas. Alguno de ellos, «centrado más en el mantenimiento del mercado europeo que en la esencia de la norma: la seguridad y la protección», denunció. «Europa camina y mira hacia donde ha estado caminando y mirando España durante todos estos años», afirmó en su conclusión el representante del Ministerio del Interior a la hora de poner en valor el trabajo de nuestro país en esta materia.
Horizonte normativo de los servicios esenciales
La primera mesa redonda del evento versó, precisamente, sobre las dos normativas ya mencionadas. Los encargados de exponer su estado de situación fueron Marina Rodríguez, jefa de la Unidad de Ciberseguridad y Lucha contra la Desinformación del Departamento de Seguridad Nacional (DSN); Antonio Pérez, consejero técnico del Centro Criptológico Nacional (CCN); Alberto Francoso, jefe del Servicio de Análisis de la Ciberseguridad y la Cibercriminalidad de la Oficina de Coordinación de Ciberseguridad (OCC); Rosa María Tourís, del CNPIC; y César Álvarez, coordinador de Proyectos de la Fundación Borredá, como moderador.
En este caso, la portavoz del CNPIC explicó el por qué de la llegada de ambas legislaciones: «Ahora la realidad es otra. El abanico de las amenazas ha cambiado. El carácter interconectado y transfronterizo de las infraestructuras críticas requiere perspectivas diferentes desde el punto de vista de la seguridad. Ahora hay que tener en cuenta otros riesgos, como las amenazas híbridas o las catástrofes naturales», explicó.
A ello se le unen las ciberamenazas. «Parece que llegamos tarde a los avances normativos porque estamos en una situación que no es de crisis, pero tampoco de normalidad», opinó Pérez, del CCN, haciendo referencia a estas últimas. «Estamos tomando conciencia de que hay que hacer una defensa distinta, en profundidad. Y Europa se da cuenta de que la primera barrera tiene que ser la empresa», continuó en este sentido defendiendo la llegada de estas normativas.
De ahí que, en el caso de la ciberseguridad, y en opinión de Rodríguez (DSN), «la Comisión Europea se esté poniendo las pilas a toda velocidad». Pero esta «hiperactividad legislativa», tal y como la denominó, «es sufrida por los Estados miembros, ya que todos están teniendo problemas a la hora de incluir otras legislaciones que, si bien no hay que transponer, hay que incluir», advirtió.
No obstante, el tiempo para ello es limitado. De hecho, tal y como expuso Francoso (OCC), de los más de 50 artículos que se deben transponer de la Directiva NIS 2, la Administración va por el número nueve. «Ahora está todo muy abierto. Incluso hay elementos objeto de mucho debate; por ejemplo, el modelo de gobernanza o las normas que se van a aplicar», reconoció.
La ciberseguridad como reto de la dirección
A continuación, José Ricardo López, director de Eulen Ciberseguridad, expuso durante su intervención una serie de tendencias que se están experimentando en todas las organizaciones en lo que tiene que ver con la ciberseguridad. Entre ellas, un aumento de los presupuestos con el objetivo de mejorar la concienciación, la erosión de la confianza en la identidad, la evolución que está llevando a cabo el sector gracias a la inteligencia artificial y al machine learning, una regulación más estricta y el incremento de los ciberataques a los dispositivos IoT.
«Todo esto conlleva que las compañías deban hacerse propietarias de sus riesgos y ser conocedoras y capaces de gestionarlos. En definitiva, de definir un marco de control de gestión de riesgos operativos», completó el representante de Eulen.
Sector estratégico del transporte
Antes de pasar a conocer de primera mano el estado de situación de cada uno de los subsectores que componen el sector estratégico del transporte, varios profesionales expusieron una visión general de cómo se encuentra este último. Estos fueron, en concreto, Rocío Báguena, directora de la División de Estudios y Tecnología del Transporte del Ministerio de Transportes, Movilidad y Agenda Urbana (MITMA); Jerónimo Robledo, experto en transporte ferroviario; Cándido Guillén, jefe del Servicio de Normativa de la Agencia Estatal de Seguridad Aérea (AESA); y César Álvarez, coordinador de Proyectos de la Fundación Borredá, como moderador.
Durante este coloquio, estos profesionales expusieron que el sector del transporte representa un cuatro por ciento del Producto Interior Bruto. Y que emplea un millón de trabajadores. Además, y desgranándolo por subsectores, afirmaron que el marítimo es el transporte de mercancías por excelencia, ya que copa la mayoría de las operaciones. De ahí que este modelo se pueda ver afectado por cualquier disrupción; entre ellas, los conflictos bélicos recientes.
Transporte ferroviario
El subsector ferroviario fue analizado por Eduardo Arauz, director de seguridad de Adif; y Javier de la Rosa, jefe de Riesgo y Marco de Ciberseguridad de Renfe, en una mesa moderada por Elena Matilla, de Accenture. Ambos profesionales abordaron temas como la aplicación de la nueva normativa europea, la seguridad de la cadena de suministro o la aplicación de la inteligencia artificial a las tecnologías de seguridad de sendas entidades.
Tras explicar el modelo de seguridad de sus organizaciones, Arauz y De la Rosa ofrecieron, respectivamente, su visión de las directivas CER y NIS 2. En alusión a algunas de las complejidades que trae consigo esta norma, el director de Seguridad de Adif expresó su preocupación en cuanto a si los actuales planes de seguridad de los operadores son válidos o no en el marco de la Directiva CER. Por su parte, el representante de Renfe destacó varios cambios que trae consigo la Directiva NIS 2, como son la obligación de hacer análisis de riesgos, la responsabilidad de la Alta Dirección, la seguridad de la cadena de suministro y el papel de las autoridades de control.
Analítica de datos en sistemas de seguridad
Entre una mesa sectorial y otra, Alberto Alonso, Product Manager de Siemens Smart Infrastructure España, destacó la importancia de las soluciones que son capaces de integrar diferentes sistemas de seguridad y extraer datos de ellos para poder analizarlos. El objetivo de ello es «poder ver patrones y tomar decisiones basadas en la operación precisas», afirmó el invitado.
Siemens dispone de esta tecnología que permite, entre sus diversas características, analizar los datos que recibe mediante inteligencia artificial y obtener así información relevante para los operadores. De esta manera, estos últimos podrán «poner el foco» en aquellos aspectos relevantes para la seguridad de la organización. «Con todo esto mejoramos la operación, el mantenimiento y la seguridad», afirmó Alonso.
Transporte por carretera
José Luis Chica, jefe de Operaciones en gestión circulación. Dirección General de Tráfico; Rafael Aparicio, jefe de operaciones Agrupación de Tráfico de la Guardia Civil; y Eugenio Díaz Maroto, director de seguridad de Trucksters, aportaron algunas características del transporte por carretera. A preguntas del moderador, Óscar Téllez, de Pycseca, los ponentes describieron las funciones de las entidades a las que representan.
En ese sentido, Chica describió algunas de las acciones que lleva a cabo para gestionar las carreteras españolas y reducir la siniestralidad en unas vías por las que circulan 25 millones de vehículos y más de 250.000 camiones. Sobre el transporte de mercancías peligrosas, en concreto, mencionó que existe «una red de vías para este tipo de traslados» en las que se concentran los diferentes medios de emergencias en caso de accidente.
También relacionado con el transporte, el representante de la Guardia Civil centró parte de su intervención en «dos novedades» relacionadas con la movilidad en la Unión Europea: el «tacógrafo inteligente» y la protección de los trabajadores desplazados.
Ciberseguridad: «un traje a medida»
Una temática no abordada hasta entonces de manera específica en el X Congreso PICSE es la ciberseguridad. Para Enrique Polanco, CEO de Global Technology, se trata de un asunto que los operadores de servicios esenciales deben ajustar como «un traje a medida». «Cada operador tiene sus necesidades», aclaró Polanco, quien mencionó incidentes como los de Maers, el Metro de San Francisco o el aeropuerto de Bristol para llamar la atención sobre los ciberataques.
«La cuestión es: por dónde empezamos», planteó para, a continuación, explicar el proceso de confección de ese traje a medida para la ciberseguridad. Tal como desarrolló Polanco, «un buen punto de arranque» es realizar una auditoría que permita descubrir brechas de seguridad, un análisis de riesgos, aplicar las medidas necesarias y monitorizar la red y los sistemas de manera constante en busca de posibles incidentes.
José Luis Pérez Pajuelo (CNPIC): «Europa camina y mira hacia donde ha estado caminando y mirando España durante todos estos años»
Transporte urbano metropolitano
El transporte urbano metropolitano fue el protagonista de la tercera mesa sectorial de la jornada, que puso de relieve el compromiso de seguridad en estas infraestructuras y el impacto que está teniendo la regulación de la Directiva NIS 2 en ellas. Para ello, el debate contó con la participación de Domingo Gómez Alonso, responsable del Área de Seguridad de Metro de Madrid; Álvaro León, director de Seguridad del Intercambiador de Plaza de Castilla; José Batanero, responsable de Ciberseguridad de Intercambiadores; José Ángel Martín, jefe de la Brigada Móvil de la Policía en el Transporte de Madrid; y Enrique Bilbao, Senior Manager en Deloitte, como moderador.
Entre las conclusiones que dejaron los ponentes destacó el cambio decisivo que está suponiendo la trasposición de la directiva NIS 2 en su sector, donde no todos los entes involucrados como, por ejemplo, la cadena de suministro, están preparados para cumplir con determinadas normativas de ciberseguridad. De ahí que resaltaran que «cualquier trasposición que involucre a la cadena de suministro les afecta bastante». No obstante, también enfocaron este impacto regulatorio de una manera positiva, puesto que «empuja» a la concienciación en ciberseguridad, implica a la seguridad en todos los departamentos del sector de forma transversal y les convierte en más resilientes. Aunque tampoco se olvidaron en este compendio de la colaboración público-privada, clave para lograr una estrategia nacional de seguridad integral.
El cautiverio tecnológico
A continuación, Jaime Durbán, Channel Business Manager en Milestone Systems, abordó uno de los retos de las instalaciones de seguridad: el que denominó «cautiverio tecnológico». En este sentido, explicó que las instalaciones de larga duración «pueden quedarse obsoletas», y más aún con un marco normativo en constante evolución como el actual. De este modo, desde Milestone Systems abogan por la utilización de plataformas abiertas, como es el caso de xProtect, un ecosistema de soluciones de vídeo que combina multitud de tecnologías para adaptarse y cumplir con las nuevas legislaciones rápidamente.
En palabras de Durbán, «Milestone Systems permite la integración de miles de soluciones de seguridad existentes y futuras para, según la necesidad, poder evolucionar acorde a la tecnología y normativa».
Transporte aéreo y marítimo
En el último coloquio del evento se abordó la seguridad desde la perspectiva de los sectores del transporte aéreo y marítimo. Bajo la moderación de Javier Zubieta, director de Marketing y Comunicación de Secure e-Solutions en GMV, Sergio Torres, jefe de Departamento de Protección y Gestión de Emergencias de Enaire; y Celia Tamarit, jefa del Área de Protección de Puertos del Estado, hablaron sobre las funciones de sus organizaciones en estas infraestructuras de gran tamaño; ambas muy relevantes por su peso para el comercio.
Sendos entes, adscritos al Ministerio de Transportes, Movilidad y Agenda Urbana, gestionan sus dominios asignados. En el caso de Enaire, cinco áreas entre las regiones de información de vuelo de Canarias, Barcelona y Madrid. Por su parte, Puertos del Estado gestiona las autoridades portuarias competentes. Entre el paralelismo de ambos transportes, los ponentes coincidieron en la seguridad de las personas y los usuarios como prioridad en sus quehaceres. Sin embargo, las diferencias comienzan a vislumbrarse en materia de regulación. Por ejemplo, en el caso de Enaire, han sido «pioneros» en cumplir con la normativa de ciberseguridad. De hecho, en 2020 obtuvieron la certificación del Esquema de Seguridad Nacional (ENS) en categoría alta. Entretanto, en la normativa de protección portuaria «se necesita integrar más la ciberseguridad en sus planes, adscritos bajo el ENS», aseguro Tamarit.
Caso de éxito de Barajas
El broche final de la jornada tuvo como protagonista el caso de éxito de Dorlet en el aeropuerto Adolfo Suárez Madrid-Barajas. Su representante, Alberto González, explicó a los asistentes que tras la renovación de Dorlet en 2005 de la adjudicación de los sistemas de control de accesos de las mencionadas instalaciones nació la plataforma SICA (sistema integral de control de accesos). Este programa tiene como característica su relación con la gestión de otros departamentos del aeropuerto, no exclusivamente el de seguridad. Dispone a nivel de software de nueve servidores de zona integrados en la plataforma de gestión de Dorlet, DASSnet. De esta manera se controlan desde puertas de embarque hasta lectores de número de vuelo o la seguridad perimetral.
Ya en 2023, han adaptado el software a las nuevas tecnologías, dejando un único servidor de nueva generación acorde a la evolución de Barajas. Eso sí, con esta modificación, «la seguridad no dependerá del fabricante ni del desarrollador sino de la propia Barajas», completó González.
Archivado en: