Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Cándido Arregui, CISO de Aena

Evolución de la seguridad de la información en las infraestructuras aeroportuarias

Quedan atrás los años en que el subsector del transporte aéreo fue incluido en la segunda fase de implantación del Sistema PIC y se designaron los operadores e infraestructuras críticas.

Quedan atrás los años en que el subsector del transporte aéreo fue incluido en la segunda fase de implantación del Sistema PIC y se designaron los operadores e infraestructuras críticas. Después llegó la constitución de la Mesa de Coordinación para la Protección de las Infraestructuras Críticas (PIC), en la cual se incluyó a un Responsable de Seguridad y Enlace (RSE) como representante del subsector estratégico del transporte aéreo. Además, la Secretaría de Estado de Seguridad constituyó la Mesa de Coordinación de Ciberseguridad con el fin de tener un punto de contacto con los jefes de seguridad de la información de los operadores críticos, inicialmente llamados CISO y en estos momentos designados con las siglas RSI (que corresponden a Responsables de Seguridad de la Información).

Esta última iniciativa ha sido de gran importancia y marca una buena base para los cambios que se han ido produciendo, ya que, además de la finalidad para la que se formó, tiene un segundo carácter como foro para compartir conocimiento entre el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), la Oficina de Coordinación Cibernética (OCC), las Fuerzas y Cuerpos de Seguridad del Estado y los CSIRT (Computer Security Incident Response Team) de referencia para las empresas públicas y privadas.

Desde entonces hemos visto una evolución de la seguridad de la información y de su visibilidad, tanto en relación con el ciudadano como con las empresas. Destaca por simple e impactante el creciente número de incidentes gestionados por los CSIRT de referencia, lo cual no podría ser de otra manera dado el incremento de capacidades de todos los actores de este complejo escenario.

Normativa y estrategias

En 2018 se publicó el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Información, que incluía como principales novedades las sanciones económicas y la obligada designación de un Responsable de Seguridad de la Información en los operadores de servicios esenciales. Las sanciones pueden llegar hasta un millón de euros por la comisión de infracciones muy graves. Este real decreto-ley es la transposición al ordenamiento jurídico español de la Directiva 2016/1148 del Parlamento Europeo, conocida como Directiva NIS.

En el sector del transporte aéreo ya éramos conocedores de las futuras designaciones de operadores de servicios esenciales, ya que la Directiva NIS definía a estos últimos como una entidad, pública o privada, correspondiente con uno de los tipos que figuran en el anexo II de la norma. A grandes rasgos, el apartado referido al transporte aéreo de dicho anexo definía los siguientes tipos de entidades: compañías aéreas, aeropuertos y entidades gestoras de sus instalaciones, así como operadores de control de la gestión del tráfico aéreo.

El siguiente paso es la publicación del reglamento que desarrolla la Directiva NIS, una vez finalizado en septiembre de este año el trámite de audiencia y de información.

El Consejo de Seguridad Nacional aprobó en abril de este año la nueva Estrategia Nacional de Ciberseguridad. Pero más importante para el sector que nos ocupa es la Estrategia de Seguridad Aeroespacial Nacional, también de abril de 2019, que incluye las ciberamenazas como la sexta área de amenazas, en línea con la anterior estrategia. Ambos documentos son una base muy recomendable para fijar las líneas esenciales de cualquier empresa y a, partir de ahí, desarrollar objetivos concretos.

Dentro de los propósitos de la Organización de Aviación Civil Internacional (OACI) está garantizar y fomentar la seguridad. Lo hace mediante la incorporación de normas internacionales y métodos recomendados en los anexos del Convenio sobre Aviación Civil Internacional (aprobado el 7 de diciembre de 1944). No en vano, en abril de 2017 modificó el Anexo 17 (Seguridad de la Aviación) de dicho convenio para incluir la ciberseguridad.

Accede al contenido completo en el siguiente enlace.

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual