1/04/2014

366. Sistema de Protección de las Infraestructuras Críticas.



Autor: Jorge Elías
A. Proyecto: Creación del Sistema de Protección de las Infraestructuras Críticas.
B. Fundamentación:
Los Estados modernos se enfrentan actualmente a diferentes desafíos que confieren a la seguridad nacional un carácter cada vez más complejo. Estos nuevos riesgos, generados, en gran medida, por la globalización, y entre los que se cuentan el terrorismo internacional, la proliferación de armas de destrucción masiva o el crimen organizado, se suman a los ya existentes, de los cuales el terrorismo tradicional venía siendo un exponente.
En este marco, es cada vez mayor la dependencia que las sociedades tienen del complejo sistema de infraestructuras que dan soporte y posibilitan el normal desenvolvimiento de los sectores productivos, de gestión y de la vida ciudadana en general. Estas infraestructuras suelen ser sumamente interdependientes entre sí, razón por la cual los problemas de seguridad que pueden desencadenarse en cascada a través del propio sistema tienen la posibilidad de ocasionar fallos inesperados y cada vez más graves en los servicios básicos para la población.
Cualquier interrupción no deseada –incluso de corta duración y debida bien a causas naturales o técnicas, bien a ataques deliberados podría tener graves consecuencias en los flujos de suministros vitales o en el funcionamiento de los servicios esenciales, además de provocar perturbaciones y disfunciones graves en materia de seguridad.
Se puede definir como una Infraestructura Crítica a cualquier "elemento, sistema o parte de ésta que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población y cuya perturbación o destrucción afectaría gravemente a un Estado al no poder mantener esas funciones".
Las Infraestructuras Críticas comprenden 12 sectores estratégicos:
- Centrales y redes de energía
- Tecnologías de la información y las comunicaciones
- Sistema Financiero y Tributario (por ejemplo, banca, valores e inversiones)
- Sector sanitario
- Espacio
- Instalaciones de Investigación
- Alimentación
- Agua (embalses, almacenamiento, tratamiento y redes)
- Transportes (aeropuertos, puertos, instalaciones intermodales, ferrocarriles y redes de transporte público, sistemas de control del tráfico)
- Industria Nuclear
- Industria Química
- Administración (servicios básicos, instalaciones, redes de información, activos, y principales lugares y monumentos nacionales)
Basado en que los riesgos de ataques terroristas catastróficos contra dichas infraestructuras está en aumento, desde el 2004, Europa ha estado trabajando en una estrategia global para proteger las infraestructuras críticas, estableciendo un proceso de identificación de infraestructuras críticas y ha planteado un método para evaluar la necesidad de mejorar su protección. Por mencionar sólo un caso, España ya cuenta con legislación referente a la protección de dichas infraestructuras.
C. Objetivos generales:
- Crear una Ley que tendría por objeto establecer las estrategias y las estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos órganos de las Administraciones Públicas en materia de protección de infraestructuras críticas, previa identificación y designación de las mismas, para mejorar la prevención, preparación y respuesta de nuestro Estado frente a atentados terroristas u otras amenazas que afecten a infraestructuras críticas. Para ello se impulsará, además, la colaboración e implicación de los organismos gestores y propietarios de dichas infraestructuras, a fin de optimizar el grado de protección de éstas contra ataques deliberados de todo tipo, con el fin de contribuir a la protección de la población.
- Proveer dada su complejidad e incidencia sobre la seguridad de las personas y sobre el funcionamiento de las estructuras básicas nacionales e internacionales, se requiera elaborar una norma cuyo objeto sería regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo (tanto de carácter físico como cibernético) y la definición de un sistema organizativo de protección de dichas infraestructuras que aglutine a las Administraciones Públicas y entidades privadas afectadas
- Efectuar un primer Plan Nacional de Protección de Infraestructuras Críticas, así como la elaboración del Catálogo Nacional de Infraestructuras Estratégicas cuya custodia pertenecería al Centro Nacional para la Protección de Infraestructuras Críticas. Dicho catálogo sería el instrumento que contendría toda la información y valoración de las Infraestructuras estratégicas del país -infraestructuras críticas- y la necesidad de mejorar su protección.
- Establecer medidas para la protección de las infraestructuras críticas, basado en el conjunto de recursos, servicios, tecnologías de la información y redes, que en el caso de sufrir un ataque, causarían gran impacto en la seguridad, tanto física como económica, de los ciudadanos o en el buen funcionamiento del Gobierno de la Nación.
- Combatir la interrupción o destrucción puedan tener una repercusión importante en la salud, la seguridad y el bienestar económico de los ciudadanos asimismo en el eficaz funcionamiento de los gobiernos.
- Proteger a los propietarios y operadores de redes de infraestructuras críticas sometidas a ciberataques de adversarios de envergadura, como países extranjeros. (Argentina cuenta con el Programa Nacional de Infraestructuras Críticas de información y ciberseguridad, dependiente de la Oficina Nacional de Tecnologías de Información (ONTI).
- Determinar la criticidad de una infraestructura según: el número potencial de victimas, el impacto económico y el impacto público.

D. Lugar: La Ley se aplicaría  a las infraestructuras críticas ubicadas en el territorio nacional vinculado a los sectores estratégicos definidos, exceptuándose de su aplicación las infraestructuras dependientes del Ministerio de Defensa y de las Fuerzas y Cuerpos de Seguridad, que se regirán, a efectos de control administrativo, por su propia normativa y procedimientos.
 
La aplicación de esta Ley se efectuaría sin perjuicio de:
- La misión y funciones del Centro Nacional de Inteligencia establecidas en su normativa específica, contando siempre con la necesaria colaboración y complementariedad con aquéllas.
- Los criterios y disposiciones sobre energía nuclear, y normas de desarrollo de la misma
- Lo previsto en el Programa de Seguridad Aérea y sus normativas.
E. Recursos necesarios: Como pieza básica de este sistema, la Ley requeriría crea el Centro Nacional para la Protección de las Infraestructuras Críticas como órgano de asistencia al Ministro de Seguridad en la ejecución de las funciones que se le encomiendan a éste como órgano responsable del sistema, siendo su finalidad  el establecimiento de medidas de protección de las infraestructuras críticas que proporcionen una base adecuada sobre la que se asiente una eficaz coordinación de las Administraciones Públicas y de las entidades y organismos gestores o propietarios de infraestructuras que presten servicios esenciales para la sociedad, con el fin de lograr una mejor seguridad para aquéllas.
Sobre esta base, se sustentarán el Catálogo Nacional de Infraestructuras Estratégicas en el cual se  identificarán las infraestructuras que son críticas y el Plan Nacional de Protección de Infraestructuras Críticas, como principales herramientas en la gestión de la seguridad de dichas infraestructuras.
- A nivel nacional, con la implementación  de los Ministerios de Seguridad y del Interior. Las actuaciones necesarias para optimizar la seguridad de las infraestructuras se enmarcan principalmente en el ámbito de la protección contra agresiones deliberadas y especialmente, contra ataques terroristas o de una potencia colonialista, resultando por ello lideradas por el Ministerio de Seguridad.
- La seguridad de las infraestructuras críticas exige contemplar actuaciones que vayan más allá de la mera protección material contra posibles agresiones o ataques, razón por la cual resulta inevitable implicar a otros órganos de la Administración General del Estado, de las demás Administraciones Públicas, de otros organismos públicos y del sector privado. Estas infraestructuras críticas dependen cada vez más de las tecnologías de la información, tanto para su gestión como para su vinculación con otros sistemas, para lo cual se basan, principalmente, en medios de información y de comunicación de carácter público y abierto. Es preciso contar, por tanto, con la cooperación de todos los actores involucrados en la regulación, planificación y operación de las diferentes infraestructuras que proporcionan los servicios esenciales para la sociedad, sin perjuicio de la coordinación que ejercerá el Ministerio del Interior en colaboración con las provincias.
F. Características generales:
Dentro de las prioridades estratégicas de la seguridad nacional se encuentran las infraestructuras, que están expuestas a una serie de amenazas. Para su protección se hace imprescindible, por un lado, catalogar el conjunto de aquéllas que prestan servicios esenciales a nuestra sociedad y, por otro, diseñar un planeamiento que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información y las comunicaciones.
El Sistema de Protección de Infraestructuras Críticas se compondrá de una serie de instituciones, órganos y empresas, procedentes tanto del sector público como del privado, con responsabilidades en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos.
Serán agentes del Sistema, con las funciones que se determinen los siguientes:
- Los Ministerios de Seguridad - será el órgano responsable del Sistema de Protección de las infraestructuras críticas nacionales que ejercerá con la asistencia de los demás integrantes del Sistema y del Centro Nacional para la Protección de las Infraestructuras Críticas- y del Interior.
- El Centro Nacional para la Protección de las Infraestructuras Críticas  será un órgano ministerial encargado del impulso, la coordinación y supervisión de todas las actividades que tiene encomendadas por el Ministerio de Seguridad en relación con la protección de las Infraestructuras Críticas en el territorio nacional. Dependerá orgánicamente del Ministerio de  Seguridad, siendo una de sus responsabilidades la realización de altas, bajas y modificaciones de infraestructuras en el Catálogo, así como la determinación de la criticidad de las infraestructuras estratégicas incluidas
- Los Ministerios y organismos integrados en el Sistema de Protección de Infraestructuras Críticas. Por cada sector estratégico, se designará, al menos, un ministerio, organismo,
entidad u órgano de la Administración General del Estado integrado en el Sistema. Los ministerios y organismos del Sistema serán los encargados de impulsar, en el ámbito de sus competencias, las políticas de seguridad del Gobierno sobre los distintos sectores estratégicos nacionales y de velar por su aplicación, actuando igualmente como puntos de contacto especializados en la materia. Para ello, colaborarán con el Ministerio de Seguridad.
- Los Estados Provinciales y Ciudad Autónoma de Buenos Aires tendrán, bajo la autoridad del Ministerio de Seguridad, y en el ejercicio de sus competencias, una serie de facultades respecto de las infraestructuras críticas localizadas en su demarcación. El desarrollo reglamentario de dichas facultades en todo caso incluirá la intervención, a través de las Fuerzas y Cuerpos de Seguridad, en la implantación de los diferentes Planes de Protección Específico y de Apoyo Operativo, así como la propuesta al Ministerio de Seguridad de la declaración de una zona como crítica. Además, realizaran sobre las infraestructuras ubicadas en su territorio, aquellas facultades  relativas a la coordinación de los cuerpos policiales autonómicos y, en su caso, a la activación por aquellos del Plan de Apoyo Operativo que corresponda para responder ante una alerta de seguridad. Asimismo efectuaran la protección de personas y bienes y el mantenimiento del orden público sobre las infraestructuras ubicadas en su demarcación territorial, las facultades que reglamentariamente se determinen respecto a su protección, sin perjuicio de los mecanismos de coordinación que se establezcan. También, serán miembros de la Comisión Nacional para la Protección de las Infraestructuras Críticas.
- Las Corporaciones Locales, a través de la asociación de Entidades Locales de mayor implantación a nivel nacional.
- La Comisión Nacional para la Protección de las Infraestructuras Críticas como órgano colegiado adscrito al Ministerio de Seguridad. La Comisión será la competente para aprobar los diferentes Planes Estratégicos Sectoriales así como para designar a los operadores críticos, a propuesta del Grupo de Trabajo Interdepartamental para la Protección de Infraestructuras Críticas.
- El Grupo de Trabajo Interdepartamental para la Protección de las Infraestructuras Críticas.
Al cual le corresponderá la elaboración de los diferentes Planes Estratégicos Sectoriales y la propuesta a la Comisión de la designación de los operadores críticos por cada uno de los sectores estratégicos definidos.
- Los operadores críticos del sector público y privado deberán colaborar con las autoridades competentes del Sistema, con el fin de optimizar la protección de las infraestructuras críticas y de las infraestructuras críticas europeas por ellos gestionados.
Con ese fin, deberán:
a) Asesorar técnicamente al Ministerio de Seguridad  en la valoración de las infraestructuras propias que se aporten al Catálogo, actualizando los datos disponibles con una periodicidad anual y, en todo caso, a requerimiento del citado Ministerio.
b) Colaborar, en su caso, con el Grupo de Trabajo en la elaboración de los Planes Estratégicos Sectoriales y en la realización de los análisis de riesgos sobre los sectores estratégicos donde se encuentren incluidos.
c) Elaborar el Plan de Seguridad del Operador en los términos y con los contenidos que se determinen reglamentariamente.
d) Elaborar, según se disponga reglamentariamente, un Plan de Protección Específico por cada una de las infraestructuras consideradas como críticas en el Catálogo.
e) Designar a un Responsable de Seguridad y Enlace.
f) Designar a un Delegado de Seguridad por cada una de sus infraestructuras consideradas Críticas por el Ministerio de Seguridad, comunicando su designación a los órganos correspondientes.
g) Facilitar las inspecciones que las autoridades competentes lleven a cabo para verificar
el cumplimiento de la normativa sectorial y adoptar las medidas de seguridad que sean precisas
en cada Plan, solventando en el menor tiempo posible las deficiencias encontradas.
Los operadores críticos tendrán en el Centro, el punto directo de interlocución con el Ministerio de Seguridad en lo relativo a sus responsabilidades, funciones y obligaciones.
En el caso de que los operadores críticos del Sector Público estén vinculados o dependan de una Administración Pública, el órgano competente de ésta podrá dirigirse, a través del Centro, en el interlocutor con el Ministerio de Seguridad.
 
La Protección de las Infraestructuras Críticas frente a las eventuales amenazas que puedan ponerlas en situación de riesgo requiere la adopción y aplicación de los siguientes planes de actuación:
a) El Plan Nacional de Protección de las Infraestructuras Críticas: El Ministerio de Seguridadelaborará el Plan Nacional de Protección de las Infraestructuras Críticas, siendo éste eldocumento estructural que permitirá dirigir y coordinar las actuaciones precisas para proteger las infraestructuras críticas en la lucha contra el terrorismo y otras amenazas
b) Los Planes Estratégicos Sectoriales: Serán elaborados por el Grupo de Trabajo y aprobados por la Comisión, e incluirán, por sectores, los criterios definidores de las medidas a adoptar para hacer frente a una situación de riesgo.
c) Los Planes de Seguridad del Operador: Serán elaborados según su necesidad.
d) Los Planes de Protección Específicos: Los Planes de Protección Específicos deberán ser elaborados por los operadores críticos respecto a todas sus infraestructuras clasificadas como Críticas. Serán instrumentos de planificación a través de los cuales aquéllos asumirá la  obligación de colaborar en la identificación de dichas infraestructuras, especificar las políticas a implementar en materia de seguridad de las mismas, así como implantar las medidas generales de protección, tanto las permanentes como aquellas de carácter temporal que, en su caso, vayan a adoptar para prevenir, proteger y reaccionar ante posibles ataques deliberados contra aquéllas
e) Los Planes de Apoyo Operativo: Estos, deberán ser elaborados por el Cuerpo Policial estatal o
autonómo, con competencia en la demarcación, para cada una de las infraestructuras clasificadas como Críticas dotadas de un Plan de Protección Específico, debiendo contemplar las medidas de vigilancia, prevención, protección o reacción a prestar, de forma complementaria a aquellas previstas por los operadores críticos.

 https://www.grupocontrol.com/sites/default/files/images/CicloCISIC.jpg
Como en cualquier organización, la protección de estos sistemas debería contemplar al menos:
1)      Identificación de infraestructuras críticas locales
2)      Análisis de riesgos sobre estas infraestructuras
3)      Identificación de sistemas críticos sobre estas infraestructuras
4)      Identificación de amenazas sobre las infraestructuras y sus sistemas
5)      Análisis de impacto de cualquier amenaza identificada
6)      Contemplar escenarios de ataques y posibilidades de realización
7)      Contemplar soluciones y costos (relación eficacia y eficiencia)
8)      Crear planes de recuperación de desastres y de contingencia
9)      Analizar vulnerabilidades de los sistemas y crear un equipo de respuesta ante incidentes con conexiones internacionales
10)  Capacitarse e informar a la sociedad sobre los planes creados
11)  Creación de planes de protección civil y apoyo logístico

Fuentes:
- https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2687&lang=es
- https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/BOE-A-2011-8849.pdf

- https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/Ley82011-de28deabril-PIC.pdf


No hay comentarios:

Publicar un comentario