seguritecnia 436

SEGURITECNIA Noviembre 2016 31 Protección de Infraestructuras Críticas ción de las diferentes medidas de se- guridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas identificadas sobre cada una de las tipologías de sus activos.” “Los Planes de Protección Específi- cos de las diferentes infraestructuras crí- ticas incluirán todas aquellas medidas que los respectivos operadores críticos consideren necesarias en función de los análisis de riesgos realizados respecto de las amenazas, en particular, las de origen terrorista, sobre sus activos, in- cluyendo los sistemas de información.” Para dar respuesta a esta cuestión hay que tener en cuenta que la realiza- ción de un análisis de riesgos al uso, a la hora de proteger una infraestructura crítica, plantea entre otros los siguientes problemas: envergadura del proyecto, los cisnes negros y la subjetividad del operador crítico. 3. Medidas de seguridad. Una vez realizado el correspondiente análisis de riesgos, la siguiente cuestión a responder es: ¿Qué medidas de se- guridad implantamos? La respuesta no es sencilla y tiene que conjugar crite- rios como la proporcionalidad, no ma- tar moscas a cañonazos, y el equilibrio, cómo compaginar la seguridad con la eficacia y la eficiencia en la prestación del servicio esencial. 4. Ciberseguridad . Aunque a priori parezca fácil dar res- puesta a la cuestión ¿cómo hacemos frente a los retos que supone abordar la ciberseguridad de las infraestructuras críticas?, no lo es. En el campo de la protección de las infraestructuras críticas nos vamos a encontrar con sistemas de control in- dustrial que fueron diseñados e im- plantados sin tener en cuenta requisi- tos de ciberseguridad. Hasta hace muy poco tiempo, la ciberseguridad no era algo que preocupara y a lo que se pres- tara atención en el mundo de la in- dustria. Esta situación ya ha cambiado, pero como la duración del ciclo de vida de los sistemas de control industrial es muy grande (fácilmente pueden al- canzar los veinte años), tendremos que convivir con ellos mucho tiempo. Lo anterior, junto con otros factores, hace que no se pueda abordar la ciber- seguridad de los sistemas de control in- dustrial con los mismos criterios que aplicamos a la hora de proteger los sis- temas de gestión. 5. Reglas de enfrentamiento. Una de las amenazas a la que hay que hacer frente a la hora de proteger las in- fraestructuras críticas es un ataque per- petrado por individuos armados. Contra esta amenaza, la salvaguarda habitual – por no decir la única– que se puede apli- car es la de utilización de los servicios de vigilantes de seguridad armados. Com- probar que en cualquier instalación, sea infraestructura crítica o no, se ha implan- tado esta medida de seguridad, es fácil, sólo hace falta pasar por delante de su puerta y observar al personal que presta servicio en su control de accesos. El problema es que para hacer frente a un atacante que está dispuesto a uti- lizar un arma de fuego, no hay otra respuesta que el vigilante de seguri- dad utilice la suya. Pero la pregunta es cuándo lo debe hacer. Es necesario ela- borar unas reglas de enfrentamiento que no dejen ningún aspecto sin con- templar y den protección jurídica al vi- gilante de seguridad. La cuestión es que no es nada fácil dar respuesta a esta necesidad. ¿Cómo se debe responder a un atacante que está utilizando un arma de fuego? No es vá- lida una respuesta genérica y ambigua basada en decir que se aplicará la legisla- ción vigente y dejar toda la responsabili- dad en el vigilante de seguridad. 6. Seguridad privada frente a seguridad pública. Cuando se diseña el conjunto de me- didas de seguridad integral que nece- sita una infraestructura crítica y se tiene en cuenta la amenaza de la que ya he- mos hablado anteriormente –el ataque perpetrado por individuos armados dis- puestos incluso a perder su vida–, se plantea la cuestión de si es suficiente la utilización de servicios de seguridad Hay que tener en cuenta que las personas son el enemigo más peligroso al que está expuesta una infraestructura crítica