1 61 Table of Contents 63 164

seguritecnia 457

62 SEGURITECNIA Octubre 2018 Protección de Infraestructuras Críticas H ace ya más de siete años que vio la luz la Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructu- ras Críticas (conocida como la Ley PIC). Durante este tiempo, todos nos hemos acostumbrado a hablar de servicios esenciales y de infraestructuras estra- tégicas, nos hemos familiarizado con el sistema de protección de infraestruc- turas críticas y nos hemos “pegado” con los Planes Estratégicos Sectoriales (PES), los Planes de Seguridad del Ope- rador (PSO), los Planes de Protección Específicos (PPE) y hasta con los Planes de Apoyo Operativo (PAO). A lo largo de estos años todos hemos tenido la oportunidad de tratar con diferentes operadores críticos y de conocer las fortalezas y debilidades de algunas de sus infraestructuras. Y después de todo este tiempo, la conclusión a la que he podido llegar es tan previsible como reveladora: incluso hablando de ope- radores críticos, no todos son iguales. Cuando digo que no todos los op- eradores críticos son iguales estoy pensando en un parámetro tan sim- ple como crucial para su papel como tales: el tamaño. Sí, a la hora de pen- sar en la seguridad de las infraestruc- turas críticas, el tamaño de su opera- dor importa. Porque, aunque puede ser evidente que algunas infraestruc- turas u operadores críticos lo son (se- guro que a todos nos ha brotado una sonrisa burlona al pensar en mantener en secreto que algunas grandes in- fraestructuras de transporte o algunos grandes operadores energéticos son críticos), existen otras infraestructuras críticas mucho más discretas, que lo son sencillamente por el mero hecho de ser más pequeñas o estar gestion- adas por operadores menos conoci- dos. Y ese es, en realidad, el gran prob- lema de las infraestructuras críticas en nuestro país. Los grandes operadores críticos tienen dinero, recursos y capacidad. Puede que sean un poco mastodón- ticos a la hora de reaccionar, que sus equipos de seguridad no sean los más integrados, que los de seguridad física vayan por libre o que el equipo de ciberseguridad no consiga que sus peticiones sean consideradas por la alta dirección; pero la realidad es que son organizaciones cuyos niveles de seguridad son razonablemente al- tos. Muchos de estos “elefantes” no solo fueron capaces de desarrollar sus planes de protección en las primeras etapas de la “era PIC”, sino que ya han tenido tiempo de ir materializando dichos planes, desarrollando todas aquellas medidas de seguridad que en su momento identificaron como necesarias para dar una mejor respu- esta a los retos de seguridad integral que planteaba la Ley PIC. Y aunque al- gunos de esos proyectos han podido no avanzar de acuerdo a las previsio- nes, el músculo tecnológico, la capaci- dad económica y el potencial de reclu- tamiento de esas grandes organizacio- nes les ha permitido no solo mantener el buen nivel de seguridad con el que ya partían sino incrementarlo de manera significativa en muchos casos. Pequeños operadores Sin embargo, si pensamos en los pe- queños operadores críticos la foto Joseba Enjuto / Head of Consulting Department de S21Sec | Nextel De ratones y elefantes

RkJQdWJsaXNoZXIy ODM4MTc1