Cándido Arregui, CISO de Aena.
Cándido Arregui CISO Aena

Evolución de la seguridad de la información en las infraestructuras aeroportuarias

Infraestructuras aeroportuarias.

El Plan Europeo de Seguridad Aérea desarrolla distintas iniciativas abordando la seguridad de la información desde dos puntos de vista: el de Safety y el de Security.

Quedan atrás los años en que el subsector del transporte aéreo fue incluido en la segunda fase de implantación del Sistema PIC y se designaron los operadores e infraestructuras críticas. Después llegó la constitución de la Mesa de Coordinación para la Protección de las Infraestructuras Críticas (PIC), en la cual se incluyó a un Responsable de Seguridad y Enlace (RSE) como representante del subsector estratégico del transporte aéreo. Además, la Secretaría de Estado de Seguridad constituyó la Mesa de Coordinación de Ciberseguridad con el fin de tener un punto de contacto con los jefes de seguridad de la información de los operadores críticos, inicialmente llamados CISO y en estos momentos designados con las siglas RSI (que corresponden a Responsables de Seguridad de la Información).

Esta última iniciativa ha sido de gran importancia y marca una buena base para los cambios que se han ido produciendo, ya que, además de la finalidad para la que se formó, tiene un segundo carácter como foro para compartir conocimiento entre el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), la Oficina de Coordinación Cibernética (OCC), las Fuerzas y Cuerpos de Seguridad del Estado y los CSIRT (Computer Security Incident Response Team) de referencia para las empresas públicas y privadas.

Desde entonces hemos visto una evolución de la seguridad de la información y de su visibilidad, tanto en relación con el ciudadano como con las empresas. Destaca por simple e impactante el creciente número de incidentes gestionados por los CSIRT de referencia, lo cual no podría ser de otra manera dado el incremento de capacidades de todos los actores de este complejo escenario.

Normativa y estrategias

En 2018 se publicó el Real Decreto-Ley 12/2018 de Seguridad de las Redes y Sistemas de Información, que incluía como principales novedades las sanciones económicas y la obligada designación de un Responsable de Seguridad de la Información en los operadores de servicios esenciales. Las sanciones pueden llegar hasta un millón de euros por la comisión de infracciones muy graves. Este real decreto-ley es la transposición al ordenamiento jurídico español de la Directiva 2016/1148 del Parlamento Europeo, conocida como Directiva NIS.

En el sector del transporte aéreo ya éramos conocedores de las futuras designaciones de operadores de servicios esenciales, ya que la Directiva NIS definía a estos últimos como una entidad, pública o privada, correspondiente con uno de los tipos que figuran en el anexo II de la norma. A grandes rasgos, el apartado referido al transporte aéreo de dicho anexo definía los siguientes tipos de entidades: compañías aéreas, aeropuertos y entidades gestoras de sus instalaciones, así como operadores de control de la gestión del tráfico aéreo.

El siguiente paso es la publicación del reglamento que desarrolla la Directiva NIS, una vez finalizado en septiembre de este año el trámite de audiencia y de información.

La modificación del Reglamento europeo de Ejecución 2015/1998 de normas básicas de seguridad aérea, que entra en vigor en diciembre de 2020, establece medidas de ciberseguridad de sistemas y datos críticos

El Consejo de Seguridad Nacional aprobó en abril de este año la nueva Estrategia Nacional de Ciberseguridad. Pero más importante para el sector que nos ocupa es la Estrategia de Seguridad Aeroespacial Nacional, también de abril de 2019, que incluye las ciberamenazas como la sexta área de ciberamenazas, en línea con la anterior estrategia. Ambos documentos son una base muy recomendable para fijar las líneas esenciales de cualquier empresa y a, partir de ahí, desarrollar objetivos concretos.

Dentro de los propósitos de la Organización de Aviación Civil Internacional (OACI) está garantizar y fomentar la seguridad. Lo hace mediante la incorporación de normas internacionales y métodos recomendados en los anexos del Convenio sobre Aviación Civil Internacional (aprobado el 7 de diciembre de 1944). No en vano, en abril de 2017 modificó el Anexo 17 (Seguridad de la Aviación) de dicho convenio para incluir la ciberseguridad.

Nuevo reglamento

Con el fin de adaptar la modificación del Anexo 17 a los Estados miembros de la Unión Europea, de manera que se estableciera una norma común para todos los involucrados en la ciberseguridad del transporte aéreo, se modificó el Reglamento de Ejecución (UE) 2015/1998 de normas básicas comunes de seguridad aérea en septiembre de 2019. Entrará en vigor el 31 de diciembre de 2020 y será directamente aplicable y obligatorio en todos los Estados miembros.

Este reglamento está alineado con la Directiva NIS para evitar lagunas y duplicidad de obligaciones. Establece las medidas de seguridad de los sistemas críticos de tecnología de la información y las comunicaciones, así como los datos críticos frente a ciberataques que pudieran afectar a la seguridad de la aviación civil frente a actos de interferencia ilícita.

Este reglamento establece que las personas con funciones y responsabilidades relacionadas con las ciberamenazas deberán tener las capacidades y aptitudes necesarias para llevar a cabo sus tareas, así como contar con una formación laboral adecuada y específica, acorde con sus funciones y responsabilidades. Estos requisitos, además de estar alineados con la Directiva NIS, son más específicos y denotan iniciativas más maduras en comparación con la propuesta del reglamento que desarrolla la Directiva NIS. Desde mi punto vista, son requisitos obvios, aunque desde algunos sectores no se comparten y se defiende que la responsabilidad no tiene por qué recaer sobre los profesionales de seguridad de la información.

También incluye la obligación de que las personas con funciones y responsabilidades en los sistemas críticos de tecnología de la información y las comunicaciones y los datos críticos superen una verificación de antecedentes.

En nuestro sector, lo más destacable es el Plan Europeo de Seguridad Aérea (EPAS 2019-2023), que desarrolla distintas iniciativas abordando la seguridad de la información desde dos puntos de vista: frente a actos de interferencia ilícita (conocida comúnmente como Security) y desde la seguridad en la operación aeroportuaria (conocida como Safety).

Alinear PIC y NIS

Tras el cambio de denominación en 2017 del CNPIC, que ha pasado a llamarse Centro Nacional de Protección de Infraestructuras y Ciberseguridad, ahora queda esperar la modificación de la Ley 8/2011 sobre Protección de las Infraestructuras Críticas (Ley PIC) para adaptarse a esta nueva realidad.

Tanto a nivel europeo como nacional hay un gran esfuerzo por alinear la aplicación de la Ley PIC con la Directiva NIS y, ahora también, con la legislación específica de seguridad aérea. Esto denota una fuerte coordinación que es aplaudida por empresas y gestores, y en la que la principal beneficiaria es la seguridad.