Seguritecnia 394

36 SEGURITECNIA Febrero 2013 Protección de Infraestructuras Críticas E n la Ley española 8/2011, apro- bada el 28 de abril de 2011, se delimitan varios conceptos, siendo de especial interés la definición de servicio esencial, infraestructura es- tratégica e infraestructura crítica: œ Servicio esencial es definido como el servicio necesario para el manteni- miento de las funciones sociales bá- sicas, la salud, la seguridad, el bien- estar social y económico de los ciu- dadanos, o el eficaz funcionamiento de las instituciones del Estado y las administraciones públicas. œ Las infraestructuras estratégicas son las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre los que descansa el funcionamiento de los servicios esenciales. œ Finalmente, las infraestructuras críti- cas son aquellas infraestructuras es- tratégicas cuyo funcionamiento es indispensable y no permite solucio- nes alternativas, por lo que su per- turbación o destrucción tendría un grave impacto sobre los servicios esenciales. La entidad que sea designada como operador crítico tiene la obligación de identificar las infraestructuras estraté- gicas o críticas que posee y, sobre ellas, realizar un análisis de riesgos integral , valorando cualquier tipo de amenaza, física o lógica, que pueda provocar una interrupción del servicio. La importancia de este análisis de riesgos es significativa, ya que permi- tirá establecer las estrategias de pro- tección que se llevarán a cabo, priori- zando la protección frente a las ame- nazas con un mayor impacto, ya sean de origen físico o lógico. Así, los planes de protección que define la Ley PIC (Plan de Seguridad del Operador y Pla- nes de Protección Específicos de cada infraestructura) se orientarán a reducir el impacto de aquellas amenazas que supongan un mayor riesgo a la dispo- nibilidad de este tipo de entornos. Para situar el análisis de riesgos en su contexto, hay que pensar en el plan- teamiento con el que se escribe la ley. Tras los atentados de principio de si- glo, que conmocionaron al mundo, mu- chos países comprendieron la necesi- dad de proteger ciertas infraestructuras de posibles amenazas. En aquel enton- ces se entendió que las amenazas son difícilmente predecibles y que la seguri- dad ha de ir más allá de la mera protec- ción material o de activos físicos. Tanto los organismos públicos como priva- dos que soportan los servicios básicos de la sociedad actual dependen cada vez más de la tecnología, lo que implica que haya que proteger sus sistemas de información y comunicaciones. Desde los comienzos, la protección de infraestructuras críticas nace con vocación de defenderse frente a aten- tados y ataques intencionados, pro- vengan de otros países o de organiza- ciones más o menos radicales. Y todas las aproximaciones tienen como pre- misa mantener la continuidad de los Laura Iglesias / Gerente de Seguridad Lógica en Telefónica Ingeniería de Seguridad (TIS) El Centro de Control de Seguridad Integral como núcleo de cumplimiento de la Ley de Infraestructuras Críticas Mucho se ha hablado y escrito sobre la Ley para la Protección de Infraestructuras Críticas (Ley PIC) desde su pu- blicación en 2011. Guiados por la visión de seguridad integral que esta norma promulga, nos centraremos en dar un enfoque práctico a su cumplimiento a través de la utilización de un centro de control.