Seguritecnia 469

70 SEGURITECNIA Noviembre 2019 Protección de Infraestructuras Críticas E n esta misma revista (en los ar- tículos titulados Ciberseguridad de los sistemas de seguridad físi- cos, un flanco abiert o 1 ; Los centros de con- trol de seguridad en la próxima guerra hí- brid a 2 ; y CBSF, una solución frente a las nuevas amenaza s 3 ) hemos tratado con anterioridad cómo los sistemas de se- guridad físicos y sus centros neurálgi- cos, los centros de control de seguridad, eran un objetivo y un vector de ataque cuya vulnerabilidad frente a ciberame- nazas era un problema muy extendido pero evitable. No obstante, pese a su importancia, son otros centros los que realmente controlan la operación y los procesos más importantes de algunas instalacio- nes: los centros de control de opera- ciones industriales. En ellos confluye la información y la capacidad de gestio- nar los principales procesos de muchas plantas y, en algunos casos, la opera- ción de múltiples instalaciones. En el contexto que nos ocupa, esto es particularmente acuciante en los sec- tores más industriales del marco espa- ñol de las infraestructuras críticas, como pueden ser el nuclear, el químico, el de energía o el del agua. En estos sectores parece lógico supo- ner que gran parte (si no todos) de los servicios esenciales definidos se gestio- nan desde un centro de control de ope- raciones. Debe tenerse en cuenta también que, para aquellos operadores crí- ticos que han sido designados como operadores de servicios esenciales de acuerdo al Real Decreto-Ley 12/2018 4 , les será de aplicación el Real Decreto desarrollado por la Secretaría de Estado para el Avance Digital, actualmente en borrado r 5 . En su tercer capítulo, se de- finen los que serán los requisitos de se- guridad de los operadores de servicios esenciales y las funciones bajo la res- ponsabilidad del responsable de Segu- ridad de la Información. Sectores NIS En cualquier caso, solo algunos de los operadores críticos de los anteriores sec- tores han podido ser designados como operadores de servicios esenciales de acuerdo al Real Decreto-Ley 12/2018 4 . Esto es debido a que se han considerado como operadores de servicios esencia- les a aquellos operadores de infraestruc- turas críticas con una alta dependencia de las tecnologías de la información. Por ello, solo han sido seis los “sectores NIS” analizados hasta la fecha: Energía, Trans- porte, Banca, Mercados Financieros, Sa- nitario e Infraestructura Digital (Figura 1). De este modo, se puede inferir que solo algunos centros de control de ope- ración de infraestructuras críticas están sujetos actualmente a la doble obliga- ción como infraestructura crítica e in- fraestructura de servicio esencial. Esto no es óbice para que muchas empresas y responsables de instalacio- nes de alta criticidad, sin estas obliga- ciones, estén utilizando como referen- cia las estructuras y planes previstos por el marco legal PIC o que se planteen uti- lizar las referencias de best practices a las que ya hace mención el mencionado borrador de Real Decret o 5 : política de seguridad de la empresa, legislación ge- neral y sectorial correspondiente, análisis de riesgos integral, catálogo de contro- les del ENS (Esquema Nacional de Segu- ridad ) 6 y Esquema Nacional de Ciberse- guridad Industria l 7 . Enrique Bilbao / Director gerente de Inerco Security Los centros de control OT en el ámbito PIC Figura 1. Infraestructuras críticas con centros de control pertenecientes a sectores NIS y críticos.