José Luis Pérez Pajuelo (CNPI): El funcionamiento de las infraestructuras críticas es indispensable

¿Qué tipo de infraestructuras e instalaciones se pueden considerar críticas en España?

 Las infraestructuras críticas son aquellas que se encuentran definidas en el artículo 2 de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para su protección. Son aquellas infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.

Tal y como recoge el artículo 5 del real decreto 704/2011, de 20 de mayo, por el que se aprueba el reglamento de protección de las infraestructuras críticas, en su apartado 2, el Ministerio del Interior, a través de la Secretaría de Estado de Seguridad, será responsable de clasificar una infraestructura como estratégica y, en su caso, como infraestructura crítica o infraestructura crítica europea, así como de incluirla por vez primera en el catálogo, previa comprobación de que cumple uno o varios de los criterios horizontales de criticidad previstos en el artículo 2, apartado h) de la Ley 8/2011, de 28 de abril.

El proceso de identificación de una infraestructura como crítica se realizará por el CNPIC, que podrá recabar la participación y el asesoramiento del interesado, así como de los agentes del Sistema de Protección de Infraestructuras Críticas competentes, a los que informará posteriormente del resultado de tal proceso. Y todo ello, atendiendo a los criterios horizontales de criticidad, es decir, los parámetros en función de los cuales se determina la criticidad, la gravedad y las consecuencias de la perturbación o destrucción de una infraestructura crítica, dentro de cualquiera de los sectores estratégicos para el Estado: energía, salud, transporte, alimentación, etc.

¿Cómo se debe reforzar la seguridad en estas infraestructuras?

La citada Ley 8/2011 impone como requisito indispensable para la designación de los operadores críticos, tanto del sector público como del privado, que al menos una de las infraestructuras que gestionen reúna la consideración de infraestructura crítica, mediante la correspondiente propuesta de la que, en todo caso, el CNPIC informará al operador antes de proceder a su clasificación definitiva e inclusión en el Catálogo Nacional de Infraestructuras Estratégicas.

En este sentido, el Reglamento de protección de las infraestructuras críticas, desarrolla el procedimiento de designación de operadores críticos y, una vez que se ha determinado dicha condición, estos operadores deben realizar planes de protección específicos para una adecuada protección de las infraestructuras que se hayan identificado. Dicho plan debe incluir el análisis de riesgos oportuno, del cual se derivarán unos planes de acción e implementación de medidas, acorde con el resultado de este análisis, que a su vez se complementa con un plan de acción que desarrolla el cuerpo de seguridad competente en la protección de dicha infraestructura. Por lo tanto, la seguridad de cada infraestructura difiere de la de otras, realizándose para cada una, un plan específico.

¿Cuál es la secuencia de estos planes?

 Por una parte, un Plan de Seguridad del Operador (PSO), que deberá ser actualizado periódicamente. Estos planes son los documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión”. Y, como sigue diciendo el artículo 22.3 del real decreto 704/2011, de 20 de mayo, “los Planes de Seguridad del Operador deberán establecer una metodología de análisis de riesgos que garantice la continuidad de los servicios proporcionados por dicho operador y en la que se recojan los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas identificadas sobre cada una de las tipologías de sus activos”.

Por otra parte, un Plan de Protección Específico (PPE) por cada una de las infraestructuras consideradas como críticas e incluidas en el Catálogo Nacional de Protección de Infraestructuras Estratégicas y, que deberá también ser actualizado periódicamente. Estos planes, desarrollados en el artículo 25 del real decreto 704/2011, de 20 de mayo, son “los documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas”; y, además, “los Planes de Protección Específicos de las diferentes infraestructuras críticas incluirán todas aquellas medidas que los respectivos operadores críticos consideren necesarias en función de los análisis de riesgos realizados respecto de las amenazas, en particular, las de origen terrorista, sobre sus activos, incluyendo los sistemas de información”.

En la Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, se establecen los contenidos mínimos que debe tener presente un operador crítico a la hora de diseñar y elaborar su Plan de Seguridad del Operador. La citada resolución introduce que el operador crítico debe plasmar, en su Plan de Seguridad del Operador, la metodología o metodologías de análisis de riesgos empleadas; así como en su Plan de Protección Específico los resultados del análisis de riesgos integral realizado sobre la infraestructura crítica a proteger.

Con estos instrumentos de planificación los operadores críticos “asumen la obligación de colaborar en la identificación de dichas infraestructuras, especificar las políticas a implementar en materia de seguridad de éstas, así como implantar las medidas generales de protección, tanto las permanentes como aquellas de carácter temporal que, en su caso, vayan a adoptar para prevenir, proteger y reaccionar ante posibles ataques deliberados contra aquéllas”.

¿Qué papel juegan las empresas y proveedores de material de seguridad en este ámbito?

De acuerdo con la Orden Ministerial (OM) 316/2011, de 1 de febrero, sobre funcionamiento de los sistemas de alarma en el ámbito de la seguridad privada, artículo 2.1.d, los sistemas a instalar en las denominadas infraestructuras críticas serán de Grado de Seguridad 4. Esto es equivalente a instalaciones de alto riesgo, de acuerdo con los niveles establecidos en la Norma UNE-EN 50131-1 (punto 6). De esta manera, todo equipamiento a incorporar en el diseño de estas instalaciones debe estar certificado en concordancia con esta norma, siempre que sea posible.

Por otra parte, en atención a la naturaleza de las instalaciones objeto de protección, el nivel de protección asignado de acuerdo con la Norma UNE 50131-7 será Grado 4 equivalente a riesgo alto, donde la seguridad tiene prioridad sobre todos los demás factores.

Según se establece en la Disposición transitoria primera OM/316/2011, cuando un sistema de seguridad necesite utilizar componentes que, en el momento de su instalación, no estén disponibles en el mercado, según las normas recogidas en el apartado primero del artículo 3 de esta Orden (“Cualquier elemento o dispositivo que forme parte de un sistema de alarma de los recogidos por la normativa de seguridad privada deberá cumplir, como mínimo, el grado y características establecidas en las Normas UNE-EN 50130, 50131, 50132, 50133, 50136 y en la Norma UNE CLC/TS 50398, o en aquellas otras llamadas a reemplazar a las citadas Normas, aplicables en cada caso y que estén en vigor”) se permitirá su conexión, siempre que la ausencia de tales elementos no influyan negativamente en su funcionamiento operativo. La permanencia de otros elementos en el sistema estará condicionada a la posible aparición de la especificación técnica que lo regule y a su disponibilidad en el mercado.

De conformidad con lo dispuesto en el artículo 46 del Reglamento de Seguridad Privada, para conectar aparatos, dispositivos o sistemas de seguridad a centrales de alarmas o centros de control, será preciso que la instalación haya sido realizada por una empresa de seguridad inscrita en el Registro correspondiente y se ajuste a lo dispuesto en los artículos 40, 42 y 43 del citado Reglamento y a lo establecido en la Orden Ministerial (OM) 316/2011, de 1 de febrero

En cuanto al proyecto de instalación, el artículo 42 del Reglamento de Seguridad Privada establece que el mismo estará elaborado de acuerdo con la Norma UNE-CLC/TS 50131-7. En ella, se determinan las características del diseño, instalación, funcionamiento y mantenimiento de sistemas de alarma de intrusión, con los cuales se pretende conseguir sistemas que generen un mínimo de falsas alarmas.

El certificado obligatorio de instalación al que hace referencia el citado artículo 42 deberá garantizar que el proyecto está realizado de conformidad con la Norma UNE antes expresada y cumple con las finalidades previstas en el ya mencionado artículo.

¿Qué medidas de prevención y protección se necesitan?

En la resolución de 15 de noviembre de 2011, de la Secretaría de Estado de Seguridad, por la que se establecen los contenidos mínimos de los planes de seguridad del operador y planes de protección específicos conforme a lo dispuesto en el real decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de infraestructuras críticas, en el artículo 4 del Anexo II, sobre la Guía de Contenidos Mínimos del Plan de Protección Específico, el Operador deberá describir las medidas de seguridad (medidas de protección de las instalaciones, equipos, datos, software de base y aplicativos, personal y documentación) implantadas, entre ellos aporta como ejemplos algunas de las medidas de prevención y detección.

Entre ellas, medidas y elementos de seguridad física y electrónica para la protección del perímetro y control de accesos, como vallas, zonas de seguridad, detectores de intrusos, cámaras de video vigilancia / CCTV, puertas y esclusas, cerraduras, lectores de matrículas, arcos de seguridad, tornos, scanners, tarjetas activas, lectores de tarjetas, etc. Y medidas y elementos de seguridad lógica como firewalls, DMZ, IPSs, segmentación y aislamiento de redes, cifrado, VPNs, elementos y medidas de control de acceso de usuarios (tokens, controles biométricos, etc.), medidas de instalación y configuración segura de elementos técnicos, correladores de eventos y logs, protección frente Malware, etc.

Respecto a la Coordinación y Monitorización, se refiere al Centro de Control de Seguridad (control de alarmas, recepción y visionado de imágenes, etc.), los equipos de vigilancia (turnos, rondas, volumen, etc.) y los sistemas de comunicación, entre otros.