Antonio Ramos, CEO de Leet Security.
Antonio Ramos CEO Leet Security

El modelo PIC ha muerto. Larga vida al modelo PIC

Antonio Ramos

El modelo actual de protección de las infraestructuras críticas (PIC) nació hace más de 10 años en línea con lo que se propugnaba en Europa. Supuso un cambio de escenario total en la forma en la que se afrontaba la seguridad en general y la ciberseguridad en particular para asegurar la prestación de los servicios esenciales frente a la creciente amenaza de atacantes intencionados.

Obviamente, generó muchas suspicacias y los planteamientos no dejaron indiferente a nadie, especialmente la cuestión de que no incluyera sanciones y que se basara en un modelo de colaboración público-privada. Pero echando la vista atrás, creo que se puede decir que fue un acierto: los operadores no sintieron al recién creado Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) como una injerencia y se estableció un diálogo entre todos los agentes que, en mi opinión, ha sido tremendamente positivo para todo el ecosistema y para lograr contar con un Plan Estratégico Sectorial en todos y cada uno de los 12 sectores que se decidió que fueran esenciales.

Pero el paso del tiempo y la evolución del sector hacen que el nivel de madurez sea diferente y tengamos que plantearnos si aquel enfoque es el mejor para el momento actual o si cabría revisitarlo para evolucionarlo.

Fisuras del modelo PIC

Tras estos años se han hecho muchos planes (tanto de seguridad del operador como de protección específica de las infraestructuras) y existen varios centenares de operadores e infraestructuras críticas que generan una carga administrativa insostenible para su evaluación. Incluso se hace muy difícil realizar análisis sectoriales por la heterogeneidad de los mismos.

Además, esos planes tienen algunas fisuras:

  • En unos casos son literalmente «planes»; es decir, la realidad es diferente, pero existe un plan para implementar las medidas que recoge. En otros casos, son realidades. Aunque no se puede distinguir entre unos y otros.
  • No han sido validados ni existe una responsabilidad clara en caso de que las medidas recogidas en el plan sean una mera declaración de intenciones y no una realidad.
  • Las medidas, a pesar de las guías de contenidos mínimos, son heterogéneas y cada operador las refleja «a su manera», lo que dificulta su interpretación.

Estas circunstancias me hacen pensar que ha llegado el momento de pasar página. El modelo actual ha demostrado ser útil para ‘arrancar’, pero hace falta dar un paso al frente. Es necesario asegurar un mayor nivel de protección efectivo de nuestras infraestructuras (lo que afecta no solo a los operadores, sino a todo el ecosistema que existe alrededor de este tipo de infraestructuras: fabricantes, instaladores, proveedores de
servicios, etc.) y que cada parte asuma su responsabilidad.

Esquema de certificación

Por estos motivos, pienso que el anunciado (desde hace ya demasiado tiempo) esquema de certificación sería la mejor forma de contribuir a este objetivo. ¿Por qué?

  • Porque separaría el grano de la paja. Es decir, al basarse la certificación en una auditoría de las medidas, se sabría qué planes de seguridad eran «reales» y cuáles eran meros planes. A estas alturas es indispensable que se pueda conocer qué operadores están protegiendo efectivamente las infraestructuras y cuáles tienen solo un plan para hacerlo.
  • Porque las medidas estarían validadas. Ya he dicho que la certificación se basa en auditorías. Concretamente, en auditorías de entidades homologadas y que estarían supervisadas por la Administración (en particular, del tándem ENAC [Entidad Nacional de Acreditación] y CNPIC). Aunque con el sistema actual se supone que las delegaciones de Gobierno deberían estar realizando revisiones, el nuevo sistema ampliaría sustancialmente las capacidades de supervisión del sistema, puesto que cuantas más revisiones hubiera que hacer, más entidades se homologarían porque habría negocio para todas ellas.
  • Porque el esquema permite un análisis estadístico detallado. La definición del referencial que evalúa capacidades de seguridad en cinco niveles de manera objetiva para cada una de las secciones y dominios que componen el esquema permitirá al CNPIC realizar estudios profundos y exhaustivos sobre la situación de seguridad de cada infraestructura, de cada operador, considerando sus distintas características (sector, tamaño, impacto potencial, tipo de operador, etc.). Este análisis incluso posibilitaría al CNPIC definir requisitos individualizados por infraestructura tomando en consideración el estado de seguridad para las distintas infraestructuras según las características mencionadas anteriormente.

El modelo actual ha demostrado ser útil para ‘arrancar’, pero hace falta dar un paso al frente

  • Porque ayudaría a que la inseguridad tuviera un precio. La certificación, al evaluar las capacidades de seguridad implementadas en cada infraestructura, actúa como un indicador a priori de potenciales problemas de seguridad. Además, pone de manifiesto el grado de protección de cada infraestructura gracias a la transparencia que supone el nivel de certificación obtenida. De esta manera, existirían incentivos a que los operadores que menos protegieran sus infraestructuras incrementaran dicho nivel de protección para no «quedarse atrás» y para mostrar al CNPIC una conducta diligente.
  • Porque aumentaría el nivel de seguridad de todo el ecosistema. Dado el grado de conexión entre todos los agentes (no solo los operadores), es necesario hacer que todas las partes incrementen su nivel de seguridad.
    La certificación aporta un mecanismo que permite asegurar, con objetividad y transparencia, que no existen eslabones débiles en la cadena de valor del servicio esencial. Gracias a la aplicabilidad del esquema también a los proveedores de servicios, los operadores dispondrán de un mecanismo para seleccionar a aquellos proveedores que no supongan un riesgo excesivo para la protección de sus infraestructuras. Esto constituye un gran incentivo a que estos aumenten su nivel de seguridad de manera voluntaria.

En definitiva, una vez finalizada la tarea de realizar los planes estratégicos de los 12 sectores, creo que ha llegado el momento de dar el siguiente paso hacia una sociedad más segura con unos servicios esenciales mejor protegidos. Y, en mi opinión, esa evolución pasa por evolucionar el modelo de protección hacia un sistema más escalable que permita una evaluación objetiva de las capacidades de los operadores. Un sistema que también actúe como factor de transparencia que incentive que todos los agentes proceden en este sentido.

Veremos si todos los astros se alinean para que los distintos agentes gubernamentales vean la ventaja que esto supone y den el paso que falta.