REDSEGURIDAD 083

Historia de un reto: certificar la seguridad de los operadores críticos E l 13 de junio de 2017, la Secretaría General Técnica del Ministerio del Interior emitió una Resolución para la publicación (en el BOE de 24 de junio) del Convenio de colaboración para el desarrollo de actuaciones en materia de protección de infraestructuras crí- ticas entre la Secretaría de Estado de Seguridad del Ministerio del Interior y Leet Security, cuyo objeto era el de mejorar la eficiencia en la gestión pública en la protección de estas infra- estructuras. El planteamiento es el de desarrollar un modelo que contenga los contenidos mínimos de los Planes de Seguridad del Operador (PSO), así como los contenidos mínimos de los Planes de Protección Específicos (PPE) y que permita estructurar nive- les de capacidad adicionales. El reto Desde hace unos meses y en el marco del convenio de colabora- ción que Leet Security tiene firma- do con la Secretaría de Estado de Seguridad, hemos venido desarro- llando el proyecto más ambicioso en nuestra (corta) historia: contribuir a la creación de un esquema de certifica- ción de la seguridad para operadores de infraestructuras, promovido por el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC). La razón primordial por la que nos embarcamos en este proyecto fue que el CNPIC no pretendía crear un esquema de certificación al uso, sino que se había marcado una serie de objetivos que hacían que desarrollar este esquema supusiera un reto al que la filosofía y el saber hacer de Leet Security podía dar respuesta. De hecho, fue clave que hace un par de años firmásemos otro con- venio de colaboración similar con Incibe 1 que había dado como resul- tado el denominado C4V 2 (Modelo de Construcción de Capacidades en Ciberseguridad para la Cadena de Valor) como una de las cuatro patas del Esquema Nacional de Seguridad Industrial (ENSI) 3 . Aviso: voy a dar la visión desde mi perspectiva; por tanto, no representa la opinión de ninguna de las organi- zaciones mencionadas previamente, sino que se centra en la perspectiva privada de esta colaboración público- privada y, en particular, centrada en una nueva utilidad del modelo de calificación. Pero volviendo al reto, ¿cuáles eran esos objetivos a los que hacíamos referencia? El CNPIC tenía una visión sobre el esquema –que voy a tratar de resumir a continuación– que hacía que el proyecto no consistiera sim- plemente en desarrollar una lista de medidas que los operadores debían cumplir. Veamos de qué estamos hablando: – Debía ser un modelo compatible que se apoyara en los esfuerzos de estandarización y certificación preexistentes, en particular, el men- cionado C4V y, por supuesto, el Esquema Nacional de Seguridad (ENS). Para ello, el esquema debía utilizar como base la norma ISO 17065 (de certificación de produc- tos 4 ), en línea con lo requerido para la acreditación de los organismos de certificación del ENS. – Debía ser lo suficientemente flexi- ble para, por una parte, recoger la diversidad de madurez de los ope- radores, pero, por otra, asegurar un nivel mínimo de seguridad. – Debía ayudar a los operadores (que así lo estaban demandando) a demostrar su compromiso con la seguridad mediante un distintivo público que lo pusiera de manifiesto (más allá del cumplimiento de unos requisitos mínimos). – Por supuesto, debía adherirse a la normativa vigente, no solo relativa a las infraestructuras críticas, sino a toda la normativa sectorial relativa a las medidas de seguridad necesa- rias, así como a la que estaba por venir, en particular, la trasposición de la Directiva NIS (con lo que esto añadía de incertidumbre al proce- so). En este sentido, había que pre- ver que no solamente iban a existir operadores críticos, sino también operadores de servicios esenciales. – Obviamente, siguiendo la filosofía del CNPIC, debía ser un modelo de seguridad integral. – Al igual que los contenidos mínimos de los PSO y PPE ayudaban a los operadores menos maduros a mejorar, el nuevo esquema debía enseñar a dichos operadores cómo aumentar su nivel de seguridad. – Debía también ayudar a la mejo- ra de la eficiencia operativa del CNPIC, permitiéndole validar de una manera más rápida y objetiva los PSO y los PPE presentados por los operadores críticos. 24 red seguridad cuarto trimestre 2018 Antonio Ramos Socio fundador de Leet Security opinión pic monográfico