El modelo de protección de infraestructuras críticas (PIC) y servicios esenciales continúa cumpliendo etapas. La más reciente se ha materializado este año con la aprobación del último plan estratégico sectorial, que cierra el círculo de los 12 sectores que abarca la Ley PIC. Pero el proyecto evoluciona como consecuencia de la aparición de nuevas amenazas, normativas y actores involucrados. Todo ello ha motivado que ahora «la visión de protección de las infraestructuras críticas esté cambiando hacia una concepción más holística», destacó Ana Borredá, presidenta de la Fundación Borredá, en la inauguración del 9º Congreso PICSE.
«La PIC se orienta actualmente hacia las amenazas del momento, que son las procedentes del ciberespacio, que alcanza unas dimensiones extraordinarias con efectos devastadores. Pero no creemos que sea necesaria una superespecialización que deje de lado otras áreas de la seguridad», advirtió Borredá.
La energía: protagonista del 9º Congreso PICSE
De este modo arrancó el 9º Congreso PICSE, que estuvo dedicado íntegramente al sector de la energía con el objetivo de ofrecer un «enfoque vertical» que continuará en sucesivas ediciones. Más de 150 profesionales asistieron al evento de manera presencial, a los que se sumaron más de 500 inscritos a la retransmisión online simultánea. Todos ellos pudieron escuchar las ideas de profesionales de referencia en el ámbito de la seguridad en el sector de la Energía.
Pero antes, César Álvarez, coordinador de Proyectos de la Fundación Borredá, puso en contexto de dónde viene el modelo PIC y analizó los cambios producidos en dicho ámbito. «Donde antes teníamos un robusto sistema PIC coordinado por la Secretaría de Estado de Seguridad, ahora nos encontramos con dos sistemas diferentes: uno de infraestructuras críticas que depende del Ministerio del Interior y un sistema de seguridad de las redes y sistemas de la información que depende del Ministerio de Asuntos Económicos y Transformación Digital», reflexionó Álvarez.
En base a esta afirmación, recordó que la estrategia 20/25 de la Unión Europea “reconoce que la mayor interconexión e interdependencia entre las infraestructuras críticas físicas y digitales pone de manifiesto la necesidad de un enfoque más coherente entre las Directivas PIC y NIS». Algo que, desde su punto de vista, España ya había conseguido con la Ley PIC, pero que normas como el Real Decreto Ley NIS ha cambiado.
La crisis de la energía
Seguidamente tuvo lugar una mesa redonda donde tres expertos analizaron la crisis energética actual. En este espacio, Juan Bogas Gálvez, director de Seguimiento de Mercado de Operador del Mercado Ibérico de Energía (OMIE), sostuvo que actualmente vivimos una crisis de precios, no tanto de suministro. Este profesional puso además el acento en el «error estratégico» de la Unión Europea al aumentar durante más de una década su dependencia del gas procedente de Rusia, hasta el punto de proceder de allí el 41,5 por ciento del total de esta fuente de energía antes de la guerra en Ucrania.
En la misma línea se pronunció Ignacio Araluce, presidente de Foro Nuclear, para quien el problema ha sido el «cortoplacismo» por el cal «no se han tomado decisiones en Europa cuando se veía lo que iba a suceder». También defendió la energía nuclear como «necesaria» para poder llevar a cabo la transición energética que pretende la Unión Europea.
Finalmente, Carlos García, jefe del CECOA del CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), defendió que las infraestructuras del gas y electricidad «están muy bien protegidas» en España.
«Donde antes teníamos un robusto sistema PIC coordinado por la Secretaría de Estado de Seguridad, ahora nos encontramos con dos sistemas diferentes», sostuvo César Álvarez (Fundación Borredá)
Subsector de la electricidad
Tras la pausa del café, el congreso volvió con una serie de mesas redondas que abordaron los riesgos para la continuidad del servicio y los retos de futuro de una serie de subsectores energéticos. El primer turno fue para la electricidad en una mesa redonda formada por Patxi Blázquez, director de Seguridad Corporativa y CISO de España e Internacional de Iberdrola; José María Rico, director de Seguridad Corporativa de Redeia; Raúl Castaño, CISO de Redeia; Juan Atanasio Carrasco, CISO de CNAT; y la moderación de David Marco, Iberia Resources Security Lead de Accenture Security.
Estos profesionales mencionaron como principales desafíos la disponibilidad de la red, la ciberseguridad, la gestión de la cadena de suministro, la coordinación entre la seguridad física y la ciberseguridad, la inteligencia y la colaboración. Además tuvieron tiempo para ofrecer sus puntos de vista sobre la realización de ejercicios y ciberejercicios, la resiliencia, la continuidad de negocio y la falta de talento.
Subsector del gas
El segundo de los subsectores estudiados fue el del gas. A través de la moderación de Alberto Alonso, Solution Engineer de Axis Communications; José Juan Meaza, responsable de Seguridad Patrimonial de BBG; y José Márquez, Global Head Security Risks & Resilience de Naturgy, analizaron el despliegue de la seguridad integral y el potencial de amenazas a las que se enfrentan las infraestructuras críticas.
En concreto, sobre este último tema, Márquez puso el punto de mira en el perímetro de protección: «Pensamos que el perímetro de protección es de la valla hacia adentro. Pero en el sector del gas, la tubería va por el agua, que son otros países». Y esto puede entrañar numerosos problemas.
Subsector del petróleo
Alberto Torreño, director de Seguridad de Repsol; y Alberto Tovar, director de Seguridad Corporativa de Cepsa; bajo la moderación de Pablo Álvarez, Manager de Risk Advisory Cyber de Deloitte, fueron los encargados de mostrar el punto de vista del subsector del petróleo. En concreto, hablaron de regulación, de continuidad de negocio y del futuro de las infraestructuras críticas.
Sobre este último tema, Torreño realizó una reflexión que no dejó indiferente a nadie: «En Europa, dentro de unos años no se van a fabricar más motores de combustión, por ejemplo. Por tanto, nos dicen que algunas infraestructuras no van a tener futuro, pero hay normativa que asegura que todavía son esenciales y que las debemos proteger», observó.
Papel de las FCSE en las infraestructuras críticas
Las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) son actores imprescindibles de la protección de las infraestructuras críticas. Por ello el 9º Congreso PICSE contó con la participación de representantes de la Policía Nacional y la Guardia Civil, que aportaron algunos aspectos sobre su participación en el Sistema PIC. De manera específica el coronel Félix González Román, jefe de la Agrupación de Reserva y Seguridad de la Guardia Civil, explicó los motivos de la presencia de su unidad en las instalaciones nucleares españolas. Según el coronel que «no hay agrupación más polivalente» que esta y «su despliegue territorial le permite un apoyo rápida a cualquier comunidad autónoma».
Por su parte, el inspector jefe Gustavo Adolfo Hernández, miembro de la Unidad de Planificación Estratégica y Coordinación de la Policía Nacional, desgranó el contenido de los Planes de Apoyo Operativo, donde queda recogida la actuación de las FCSE ante las amenazas a las infraestructuras críticas.
Ciberseguridad de los servicios esenciales
El colofón al 9º Congreso PICSE lo puso la mesa redonda dedicada a la ciberseguridad. En ella participaron Elena de la Calle, consejera técnica del Departamento de Seguridad Nacional; Javier Candau, jefe de ciberseguridad del CCN; Guillermo Fernández, jefe de la Oficina de Coordinación de Ciberseguridad; y Francisco Lago, responsable de Servicios Proactivos de Incibe.
Estos expertos abordaron temas como la inversión en ciberseguridad, los efectos de la guerra de Ucrania en este ámbito, los esquemas de certificación como el ENS, la capacitación de profesionales de empresas estratégicas en ciberseguridad, así como las acciones que lleva a cabo el Ministerio del Interior en la materia.
La entrada El 9º Congreso PICSE desgrana las principales claves de la seguridad en el sector de la Energía se publicó primero en Redseguridad.
