Seguritecnia 378

70 SEGURITECNIA Septiembre 2011 Protección de Infraestructuras Críticas L a reciente Ley 8/2011 para la Protección de las Infraestruc- turas Críticas (“Ley PIC”) define éstas como aquellas “infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite solucio- nes alternativas, por lo que su pertur- bación o destrucción tendría un grave impacto sobre los servicios esencia- les.” Sin duda, el legislador se refiere a las infraestructuras que reúnen la con- dición de ser esenciales para propor- cionar servicios a la sociedad y, segu- ramente por esta misma razón, estraté- gicas desde la óptica de la seguridad del Estado. Dice la exposición de moti- vos de la ley que estas infraestructuras son objeto de amenazas terroristas, y es por ello por lo que se ha atribuido la responsabilidad de su protección al Mi- nisterio del Interior. A pesar de que la “Ley PIC” echa mano del recurrente terrorismo, subya- cen en su redacción amenazas mucho más actuales a las que se refiere con un genérico “nuevos riesgos generados, en gran medida, por la globalización”. Ries- gos nuevos y procedentes de la globa- lización solo hay uno, las amenazas te- leactuadas o ciberamenazas . Mucho más concluyente resulta el tratamiento que de este asunto hace la Estrategia Española de Seguridad , documento aprobado apenas un mes después de la ley citada: “Junto a los clásicos ámbitos terrestre, marítimo y aéreo, donde se han venido manifestando hasta ahora la mayoría de las amenazas y riesgos, otros como el espacial, el informativo y, singularmente, el ciberespacio cobran hoy una importancia capital”. Existen ya algunos incidentes, como Stuxnet —gusano informático con propiedades rootkit que se trasmite vía USB y que parece ser que iba dirigido a retrasar en varios años el programa nuclear iraní—, que permiten hablar de ciberguerra , que no es otra cosa que las técnicas de la ciberdelincuen- cia puestas al servicio de los Estados que quieren consolidar su predominio a través de este medio que Gibson de- nominó por primera vez “ ciberespa- cio ” en su novela Neuromante . Paradójicamente, las ciberamenazas afectan más a las infraestructuras críti- cas de los Estados cuanto más tecnifi- cados estén éstos, cuanto más tecno- dependientes sean. Ha de tenerse en cuenta que toda la infraestructura in- dustrial de sectores críticos como el transporte, la energía, el agua y otros dependen en los países avanzados de sistemas de control industrial deno- minados SCADA que, a su vez, contro- lan programadores lógicos denomina- dos PLC, que tienen como función la gestión de máquinas cada vez más ro- botizadas y tecnodependientes. Si es- tos SCADA están conectados a la Red —e incluso sin estarlo a redes públi- cas como en Irán— estas infraestruc- turas se vuelven extraordinariamente vulnerables y, por consiguiente, críti- cas desde la óptica estatal de su pro- tección. Conviene en este punto saber qué hay que hacer para proteger estas ins- talaciones. Con la necesaria concisión que impone esta colaboración, hemos de decir que España ha sido esta vez pionera en el afrontamiento de la ta- rea acometiendo una gran producción de normativa legal y reglamentaria, es- tableciendo la colaboración con orga- nismos supraestatales como la OTAN o la Unión Europea —tímida a la hora de abordar este asunto, con muchos pape- les y poca operatividad, propios de un monstruo sin liderazgo político—, con un enfoque basado en la integralidad, que comprende la totalidad de los ries- gos, “tanto físicos como cibernéticos”, y con criterios operativos sustentados en una creativa coordinación entre el sec- tor público y el privado. José Manuel García Diego / Director de Seguridad Integral de Caja Cantabria ¿Por qué lo llaman gestión cuando quieren decir gasto? (o la capacidad de la Ley para transformar el ámbito privado)