El modelo de protección de infraestructuras críticas (PIC) y servicios esenciales continúa cumpliendo etapas. La más reciente se ha materializado este año con la aprobación del último plan estratégico sectorial, que cierra el círculo de los 12 sectores que abarca la Ley PIC. Pero el proyecto evoluciona como consecuencia de la aparición de nuevas amenazas, normativas y actores involucrados. Todo ello ha motivado que ahora “la visión de protección de las infraestructuras críticas esté cambiando hacia una concepción más holística”, destacó Ana Borredá, presidenta de la Fundación Borredá, en la inauguración del 9º Congreso PICSE.
“La PIC se orienta actualmente hacia las amenazas del momento, que son las procedentes del ciberespacio, que alcanza unas dimensiones extraordinarias con efectos devastadores. Pero no creemos que sea necesaria una superespecialización que deje de lado otras áreas de la seguridad”, advirtió Borredá.
La energía: protagonista del 9º Congreso PICSE
De este modo arrancó el 9º Congreso PICSE, que estuvo dedicado íntegramente al sector de la energía con el objetivo de ofrecer un “enfoque vertical” que continuará en sucesivas ediciones. Más de 150 profesionales asistieron al evento de manera presencial, a los que se sumaron más de 500 inscritos a la retransmisión online simultánea. Todos ellos pudieron escuchar las ideas de profesionales de referencia en el ámbito de la seguridad en el sector de la Energía.
Pero antes, César Álvarez, coordinador de Proyectos de la Fundación Borredá, puso en contexto de dónde viene el modelo PIC y analizó los cambios producidos en dicho ámbito. “Donde antes teníamos un robusto sistema PIC coordinado por la Secretaría de Estado de Seguridad, ahora nos encontramos con dos sistemas diferentes: uno de infraestructuras críticas que depende del Ministerio del Interior y un sistema de seguridad de las redes y sistemas de la información que depende del ministerio de Defensa”, reflexionó Álvarez.
En base a esta afirmación, recordó que la estrategia 20/25 de la Unión Europea “reconoce que la mayor interconexión e interdependencia entre las infraestructuras críticas físicas y digitales pone de manifiesto la necesidad de un enfoque más coherente entre las Directivas PIC y NIS«. Algo que, desde su punto de vista, España ya había conseguido con la Ley PIC, pero que normas como el Real Decreto Ley NIS ha cambiado.
La crisis de la energía
Seguidamente tuvo lugar una mesa redonda donde tres expertos analizaron la crisis energética actual, moderada por David Marco Freire, Iberia Resources Security Lead de Accenture Security. En este espacio, Juan Bogas Gálvez, director de Seguimiento de Mercado de Operador del Mercado Ibérico de Energía (OMIE), sostuvo que actualmente vivimos una crisis de precios, no tanto de suministro. Este profesional puso además el acento en el “error estratégico” de la Unión Europea al aumentar durante más de una década su dependencia del gas procedente de Rusia, hasta el punto de proceder de allí el 41,5 por ciento del total de esta fuente de energía antes de la guerra en Ucrania.
En la misma línea se pronunció Ignacio Araluce, presidente de Foro Nuclear, para quien el problema ha sido el “cortoplacismo” por el cal “no se han tomado decisiones en Europa cuando se veía lo que iba a suceder”. También defendió la energía nuclear como “necesaria” para poder llevar a cabo la transición energética que pretende la Unión Europea.
Finalmente, Carlos García, jefe del CECOA del CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), defendió que las infraestructuras del gas y electricidad “están muy bien protegidas” en España.
“Donde antes teníamos un robusto sistema PIC coordinado por la Secretaría de Estado de Seguridad, ahora nos encontramos con dos sistemas diferentes”, sostuvo César Álvarez (Fundación Borredá)
Vallados inteligentes integrados
El 9º Congreso PICSE contó tamién con la participación de varios proveedores que mostraron una serie de soluciones de seguridad enfocadas en el sector energético. Fue el caso de Magal S3 España, cuyo Sales & Deputy Director, José Manuel Alcázar, se encargó de mostrar los dos nuevos vallados de la compañía: el DTAC 5G y el DTAC ECO.
Entre las principales características del primero destacan, según este profesional, su panel antisalto y su poste de seguridad, la nula visibilidad de los elementos que puedan ser manipulados y el zócalo antiarrastre. «Son sistemas prácticamente imposibles de traspasar sin ser detectados. Además, se puede diferenciar entre alarmas técnicas y de sabotaje y permiten ver a través de ellos para anticiparse a una potencial intrusión. Incluso hemos reducido más de un 90 por ciento las falsas alarmas con los algoritmos que integra», explicó el ponente.
Ecosistema multicapa de seguridad
Oscar Rubí Fernández, director del Departamento de Ingeniería de By Demes Group, mostró el ecosistema multicapa que puede formar su empresa alrededor de una infraestructura crítica. En concreto, este estaría formado por las soluciones de varios fabricantes que trabajan codo con codo con By Demes Group.
En una primera capa, la infraestructura crítica podría contar con un anillo de seguridad exterior que protege tanto el vallado como el suelo. Un anillo de seguridad interior, por su parte, albergaría soluciones como cámaras térmicas duales, que hacen un seguimiento de las personas y que pueden detectar incendios. Y por último, una seguridad en espacios interiores con controles de accesos, intrusión y protección de los servidores. Todo ello, teniendo muy en cuenta la ciberseguridad.
Subsector de la electricidad
Tras la pausa del café, el congreso volvió con una serie de mesas redondas que abordaron los riesgos para la continuidad del servicio y los retos de futuro de una serie de subsectores energéticos. El primer turno fue para la electricidad en una mesa redonda formada por Patxi Blázquez, director de Seguridad Corporativa y CISO de España e Internacional de Iberdrola; José María Rico, director de Seguridad Corporativa de Redeia; Raúl Castaño, CISO de Redeia; Juan Atanasio Carrasco, CISO de CNAT; y la moderación de David Marco, Iberia Resources Security Lead de Accenture Security.
Estos profesionales mencionaron como principales desafíos la disponibilidad de la red, la ciberseguridad, la gestión de la cadena de suministro, la coordinación entre la seguridad física y la ciberseguridad, la inteligencia y la colaboración. Además tuvieron tiempo para ofrecer sus puntos de vista sobre la realización de ejercicios y ciberejercicios, la resiliencia, la continuidad de negocio y la falta de talento.
Vídeo en infraestructuras críticas
El vídeo también fue uno de los temas destacados en los paneles dedicados a las soluciones de seguridad. La empresa encargada de abordarlo fue Milestone; en concreto, a través de Jaime Durbán, EMEA Business Developing Manager. Este profesional comenzó su exposición mencionando algunos motivos por los que las infraestructuras críticas energéticas están seriamente amenazadas. «El principal es la complejidad y conectividad de estas instalaciones», señaló.
No obstante, y aunque «el cibercrimen esté progresando», para Durbán, el sector «está cada vez más preparado para afrontar este tipo de amenazas». Un ejemplo de ello, tal y como destacó, es la plataforma de vídeo de Milestone. Eso sí, la seguridad desde el diseño debe ser un elemento fundamental en todo este proceso.
Herramientas y soluciones de gestión de crisis
«Everbridge ayuda a que el proceso de gestión de crisis sea más rápido y a que los mensajes lleguen a las personas oportunas por el medio adecuado para que sean protegidas. Y lo hace a través de su Plataforma de Gestión de Eventos Críticos». Esta fue una de las principales ideas que ofreció José Manuel Villanueva, Sales Manager para España y Portugal de la mencionada compañía, durante su intervención en el 9º Congreso PICSE. Además, según explicó, la solución de Everbridge también da la posibilidad a las organizaciones de realizar simulacros.
Y es que, tal y como afirmó Villanueva tomando como fuente a Gartner, «coordinar la respuesta a incidentes en toda la organización es el mayor desafío para la mayoría de las empresas».
Subsector del gas
El segundo de los subsectores estudiados fue el del gas. A través de la moderación de Alberto Alonso, Solution Engineer de Axis Communications; José Juan Meaza, responsable de Seguridad Patrimonial de BBG; y José Márquez, Global Head Security Risks & Resilience de Naturgy, analizaron el despliegue de la seguridad integral y el potencial de amenazas a las que se enfrentan las infraestructuras críticas.
En concreto, sobre este último tema, Márquez puso el punto de mira en el perímetro de protección: «Pensamos que el perímetro de protección es de la valla hacia adentro. Pero en el sector del gas, la tubería va por el agua, que son otros países». Y esto puede entrañar numerosos problemas.
Seguridad electrónica y servicios
De vuelta a las nuevas tecnologías aplicadas al entorno de las infraestructuras críticas y los servicios esenciales, Ignacio Rojo, director de negocio de Seguridad de Dorlet, resaltó la importancia de «combinar la seguridad física con la ciberseguridad». Según opinó este profesional, los sistemas de seguridad integral requieren estrategias centralizadas de los sistemas de seguridad y adaptadas al sector del que se trate, en este caso el de Energía.
Para ello, su compañía aplica medidas adaptadas a normativas como la de accesos EN de Grado 3 y 4, las ISO 27001 y 9001, el Esquema Nacional de Seguridad o las acreditaciones Common Criteria. Ejemplo de ello es su solución de control de accesos Sheld.
Después de este invitado, Roberto Hermida, jefe técnico de Servicios de Resiliencia de Eulen Seguridad, reflexionó en torno a los servicios de seguridad en infraestructuras críticas. El ponente defendió la necesidad de crear “un mapa de conocimiento para que las compañías suministradoras tengan el equipo humano y las herramientas necesarias”. Sin embargo, lamentó que haya limitaciones a la hora de que los vigilantes de seguridad desempeñen algunas funciones.
Hermida apuntó además que «externalizar funciones no significa externalizar responsabilidades» y resumió su intervención apuntando que lo que necesitan las infraestructuras críticas y servicios esenciales son «proveedores confiables» para los servicios de seguridad.
Subsector del petróleo
Alberto Torreño, director de Seguridad de Repsol; y Alberto Tovar, director de Seguridad Corporativa de Cepsa; bajo la moderación de Pablo Álvarez, Manager de Risk Advisory Cyber de Deloitte, fueron los encargados de mostrar el punto de vista del subsector del petróleo. En concreto, hablaron de regulación, de continuidad de negocio y del futuro de las infraestructuras críticas.
Sobre este último tema, Torreño realizó una reflexión que no dejó indiferente a nadie: «En Europa, dentro de unos años no se van a fabricar más motores de combustión, por ejemplo. Por tanto, nos dicen que algunas infraestructuras no van a tener futuro, pero hay normativa que asegura que todavía son esenciales y que las debemos proteger», observó.
Papel de las FCSE en las infraestructuras críticas
Las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) son actores imprescindibles de la protección de las infraestructuras críticas. Por ello el 9º Congreso PICSE contó con la participación de representantes de la Policía Nacional y la Guardia Civil, que aportaron algunos aspectos sobre su participación en el Sistema PIC. De manera específica el coronel Félix González Román, jefe de la Agrupación de Reserva y Seguridad de la Guardia Civil, explicó los motivos de la presencia de su unidad en las instalaciones nucleares españolas. Según el coronel que «no hay agrupación más polivalente» que esta y «su despliegue territorial le permite un apoyo rápida a cualquier comunidad autónoma».
Por su parte, el inspector jefe Gustavo Adolfo Hernández, miembro de la Unidad de Planificación Estratégica y Coordinación de la Policía Nacional, desgranó el contenido de los Planes de Apoyo Operativo, donde queda recogida la actuación de las FCSE ante las amenazas a las infraestructuras críticas.
Ciberseguridad de los servicios esenciales
El colofón al 9º Congreso PICSE lo puso la mesa redonda dedicada a la ciberseguridad. En ella participaron Elena de la Calle, consejera técnica del Departamento de Seguridad Nacional; Javier Candau, jefe de ciberseguridad del CCN; Guillermo Fernández, jefe de la Oficina de Coordinación de Ciberseguridad; y Francisco Lago, responsable de Servicios Proactivos de Incibe.
Estos expertos abordaron temas como la inversión en ciberseguridad, los efectos de la guerra de Ucrania en este ámbito, los esquemas de certificación como el ENS, la capacitación de profesionales de empresas estratégicas en ciberseguridad, así como las acciones que lleva a cabo el Ministerio del Interior en la materia.
La entrada El 9º Congreso PICSE degrana las principales claves de la seguridad en el sector de la Energía se publicó primero en Seguritecnia.
