Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Antonio Ramos, Socio Fundador Leet Security, SL

Historia de un reto: certificar la seguridad de los operadores críticos

El 13 de junio de 2017, la Secretaría General Técnica del Ministerio del Interior emitió una Resolución para la publicación del Convenio de colaboración para el desarrollo de actuaciones en materia de protección de PIC entre la Secretaría de Estado de Seguridad del Ministerio del Interior y Leet Security, cuyo objeto era el de mejorar la eficiencia en la gestión pública en la protección de estas infraestructuras.

El planteamiento es el de desarrollar un modelo que contenga los contenidos mínimos de los Planes de Seguridad del Operador (PSO), así como los contenidos mínimos de los Planes de Protección Específicos (PPE) y que permita estructurar niveles de capacidad adicionales.

El reto

Desde hace unos meses y en el marco del convenio de colaboración que Leet Security tiene firmado con la Secretaría de Estado de Seguridad, hemos venido desarrollando el proyecto más ambicioso en nuestra (corta) historia: contribuir a la creación de un esquema de certificación de la seguridad para operadores de infraestructuras, promovido por el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).

La razón primordial por la que nos embarcamos en este proyecto fue que el CNPIC no pretendía crear un esquema de certificación al uso, sino que se había marcado una serie de objetivos que hacían que desarrollar este esquema supusiera un reto al que la filosofía y el saber hacer de Leet Security podía dar respuesta. De hecho, fue clave que hace un par de años firmásemos otro convenio de colaboración similar con Incibe que había dado como resultado el denominado C4V (Modelo de Construcción de Capacidades en Ciberseguridad para la Cadena de Valor) como una de las cuatro patas del Esquema Nacional de Seguridad Industrial (ENSI).

Aviso: voy a dar la visión desde mi perspectiva; por tanto, no representa la opinión de ninguna de las organizaciones mencionadas previamente, sino que se centra en la perspectiva privada de esta colaboración público-privada y, en particular, centrada en una nueva utilidad del modelo de calificación.

Pero volviendo al reto, ¿cuáles eran esos objetivos a los que hacíamos referencia? El CNPIC tenía una visión sobre el esquema –que voy a tratar de resumir a continuación– que hacía que el proyecto no consistiera simplemente en desarrollar una lista de medidas que los operadores debían cumplir. Veamos de qué estamos hablando:

  • Debía ser un modelo compatible que se apoyara en los esfuerzos de estandarización y certificación preexistentes, en particular, el mencionado C4V y, por supuesto, el Esquema Nacional de Seguridad (ENS). Para ello, el esquema debía utilizar como base la norma ISO 17065 (de certificación de productos),en línea con lo requerido para la acreditación de los organismos de certificación del ENS.
  • Debía ser lo suficientemente flexible para, por una parte, recoger la diversidad de madurez de los operadores,pero, por otra, asegurar un nivel mínimo de seguridad.
  • Debía ayudar a los operadores (que así lo estaban demandando) a demostrar su compromiso con la seguridad mediante un distintivo público que lo pusiera de manifiesto (más allá del cumplimiento de unos requisitos mínimos).
  • Por supuesto, debía adherirse a la normativa vigente, no solo relativa a las infraestructuras críticas, sino a toda la normativa sectorial relativa a las medidas de seguridad necesarias,así como a la que estaba por venir, en particular, la trasposición de la Directiva NIS (con lo que esto añadía de incertidumbre al proceso).En este sentido, había que preverque no solamente iban a existir operadores críticos, sino también operadores de servicios esenciales.
  • Obviamente, siguiendo la filosofía del CNPIC, debía ser un modelo de seguridad integral.
  • Al igual que los contenidos mínimos de los PSO y PPE ayudaban a los operadores menos maduros a mejorar, el nuevo esquema debía enseñar a dichos operadores cómo aumentar su nivel de seguridad.
  • Debía también ayudar a la mejora de la eficiencia operativa del CNPIC, permitiéndole validar de una manera más rápida y objetiva los PSO y los PPE presentados por los operadores críticos.
  • Debía asegurar que la cadena de valor de los servicios era coherente con esos niveles mínimos de seguridad mencionados anteriormente.
  • Por supuesto, debía proporcionar valor a los operadores, y no resultar una mera auditoría de conformidad.
  • Y, por si fuera poco, se quería que estuviera listo antes de finalizar 2018.

Creo que el lector estará de acuerdo conmigo en que el reto era relevante.

A partir de ahí, tocaba remangarse y empezar a trabajar. Antes de seguir, creemos justo aclarar que no estábamos solos en el proceso: además del propio CNPIC, contábamos con la ENAC (Entidad Nacional de Acreditación) e Ineco (ingeniería que había recibido la encomienda para asegurar la adecuación a toda la normativa existente, los PSO y PPE elaborados por los operadores,así como la aportación de su conocimiento para la identificación de medidas de seguridad física). Un equipo con el que ha sido un lujo poder trabajar.

Pinche aquí para acceder al artículo completo

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual