1 33 Table of Contents 35 92

Red Seguridad 094

34 red seguridad tercer trimestre 2021 monográfico servicios esenciales El modelo actual de protección de las infraestructuras críticas nació hace más de 10 años en línea con lo que se pro- pugnaba en Europa. Supuso un cambio de escenario total en la forma en la que se afrontaba la seguridad en general y la ciberseguridad en particular para asegu- rar la prestación de los servicios esen- ciales frente a la creciente amenaza de atacantes intencionados. Obviamente, generó muchas suspica- cias y los planteamientos no dejaron in- diferente a nadie, especialmente la cues- tión de que no incluyera sanciones y que se basara en un modelo de colaboración público-privada. Pero echando la vista atrás, creo que se puede decir que fue un acierto: los operadores no sintieron al recién creado Centro Nacional de Protec- ción de Infraestructuras Críticas (CNPIC) como una injerencia y se estableció un diálogo entre todos los agentes que, en mi opinión, ha sido tremendamente posi- tivo para todo el ecosistema y para lograr contar con un Plan Estratégico Sectorial en todos y cada uno de los 12 sectores que se decidió que fueran esenciales. Pero el paso del tiempo y la evolución del sector hacen que el nivel de madurez sea diferente y tengamos que plantear- nos si aquel enfoque es el mejor para el momento actual o si cabría revisitarlo para evolucionarlo. Fisuras Tras estos años se han hecho muchos planes (tanto de seguridad del operador como de protección específica de las infraestructuras) y existen varios cente- nares de operadores e infraestructuras críticas que generan una carga adminis- trativa insostenible para su evaluación. Incluso se hace muy difícil realizar análi- sis sectoriales por la heterogeneidad de los mismos. Además, esos planes tienen algunas fisuras: En unos casos son literalmente “pla- nes”; es decir, la realidad es diferente, pero existe un plan para implemen- tar las medidas que recoge. En otros casos, son realidades. Aunque no se puede distinguir entre unos y otros. No han sido validados ni existe una responsabilidad clara en caso de que las medidas recogidas en el plan sean una mera declaración de intenciones y no una realidad. Las medidas, a pesar de las guías de contenidos mínimos, son heterogé- neas y cada operador las refleja “a su manera”, lo que dificulta su interpreta- ción. Estas circunstancias me hacen pensar que ha llegado el momento de pasar página. El modelo actual ha demostrado ser útil para ‘arrancar’, pero hace falta dar un paso al frente. Es necesario ase- gurar un mayor nivel de protección efec- tivo de nuestras infraestructuras (lo que afecta no solo a los operadores, sino a todo el ecosistema que existe alrededor de este tipo de infraestructuras: fabri- cantes, instaladores, proveedores de servicios, etc.) y que cada parte asuma su responsabilidad. Esquema de certificación Por estos motivos, pienso que el anun- ciado (desde hace ya demasiado tiem- po) esquema de certificación sería la mejor forma de contribuir a este objetivo. ¿Por qué? Porque separaría el grano de la paja. Es decir, al basarse la certificación en una auditoría de las medidas, se sa- bría qué planes de seguridad eran “reales” y cuáles eran meros planes. A estas alturas es indispensable que se pueda conocer qué operadores están protegiendo efectivamente las infraes- tructuras y cuáles tienen solo un plan para hacerlo. Porque las medidas estarían valida- das. Ya he dicho que la certificación se basa en auditorías. Concretamente, en El modelo PIC ha muerto. Larga vida al modelo PIC A ntonio R amos CEO y socio fundador de Leet Security

RkJQdWJsaXNoZXIy ODM4MTc1