Se abren los plazos para que los operadores críticos elaboren sus respectivos Planes de Seguridad del Operador y los Planes de Protección Específicos que establece la Ley.


El secretario de Estado de Seguridad, Francisco Martínez, se reúne con directivos y responsables de seguridad de los operadores críticos

Ministerio del Interior

Madrid, 06/07/2014

Las Primeras Jornadas para los Operadores Críticos han tenido lugar inmediatamente después de la constitución por vez primera de la Comisión Nacional para la Protección de las Infraestructuras Críticas

Los operadores críticos recientemente designados pertenecen a los sectores de la energía, nuclear y financiero, y son responsables tanto los servicios esenciales que se prestan a la población como de la operación de sus infraestructuras

El secretario de Estado de Seguridad, Francisco Martínez, se reunió, el pasado viernes, 4 de julio, con los responsables de seguridad y altos directivos de los 37 operadores críticos designados por la Comisión Nacional para la Protección de las Infraestructuras Críticas en su sesión constitutiva del día 30 de junio. Estos operadores gestionan más de 150 infraestructuras críticas de la electricidad, el gas, el petróleo, el sector nuclear y el sector financiero.

El secretario de Estado de Seguridad es el máximo responsable de las políticas que en esta materia desarrolla el Gobierno, conforme a lo establecido por la Ley 8/2011, que regula la protección de infraestructuras críticas. Además, ejerce la presidencia de la Comisión Nacional para la Protección de las Infraestructuras Críticas, que es el órgano colegiado responsable de tomar las decisiones estratégicas en esta materia.

La reunión con los operadores críticos tuvo como objetivo principal el transmitirles, de primera mano, las decisiones tomadas por dicha Comisión y el discutir la hoja de ruta a seguir en los próximos meses. Además de ello, Francisco Martínez hizo entrega de las resoluciones de designación como operadores críticos a los responsables de las 37 organizaciones seleccionadas.

Los operadores críticos, pieza básica del sistema de seguridad

En su intervención ante los nuevos operadores críticos, el secretario de Estado de Seguridad argumentó que el complejo carácter que la seguridad nacional ha adquirido en los últimos años, junto con la enorme dependencia que la sociedad actual tiene del sistema de infraestructuras que asegura la prestación de los servicios esenciales, evidencia la necesidad de poner en práctica nuevas estrategias y políticas para garantizar dichos servicios ante las amenazas derivadas de posibles ataques deliberados, con origen tanto físico como cibernético.

“Dado que el 80% por ciento de nuestras infraestructuras están gestionadas por organizaciones ajenas a las Administraciones Públicas, esto hace que el papel de los operadores sea fundamental en el nuevo esquema de seguridad que el Ministerio del Interior quiere implantar” – razonó Martínez.

La figura del operador crítico viene recogida en el artículo 2 de la Ley 8/2011, y es otra de las inclusiones originales de la normativa española sobre protección de infraestructuras críticas, no existiendo precedentes en nuestra legislación. Esta figura responde al principio de colaboración público-privada que preside la nueva normativa sobre seguridad que se está aprobando en nuestro país.

Un club “exclusivo”

La designación de un operador como crítico conlleva la obligación de éste de desarrollar una planificación donde se plasmen las políticas de seguridad y las metodologías y análisis de riesgos que permitan la protección de unos activos que son especialmente importantes para la prestación de los servicios esenciales para la sociedad. Para ello, contará en todo momento con el asesoramiento, experiencia y supervisión del Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).

La condición de operador crítico supone su inclusión automática en el Sistema de Protección de Infraestructuras Críticas, traduciéndose, entre otros aspectos, en su participación en grupos de trabajo especializados, en la posibilidad de intercambio con el CNPIC de información y buenas prácticas relevantes a través de la nueva plataforma HERMES creada a este fin, o en la atención directa y exclusiva del CERT de Seguridad e Industria que opera en León, cuando se trate de asuntos relacionados con la ciberseguridad. En general, las infraestructuras gestionadas por un operador crítico recibirán una especial consideración para la seguridad pública, que las integrarán en sus propios sistemas de planificación y en los servicios proporcionados por las Fuerzas y Cuerpos de Seguridad.

Las I Jornadas para los Operadores Críticos se cerraron con la fijación de un calendario de trabajos en el que el primer hito será la designación de  un Responsable de Seguridad y Enlace por cada operador, con el fin de establecer un canal de comunicación oficial que permanecerá abierto en todo momento con el CNPIC. A partir de este momento, se abren  también los plazos para que los operadores críticos elaboren sus respectivos Planes de Seguridad del Operador y los Planes de Protección Específicos que establece la Ley.

Constituida la Comisión Nacional para la Protección de las Infraestructuras Críticas

La Comisión Nacional para la Protección de las Infraestructuras Críticas, presidida por el secretario de Estado de Seguridad, es el órgano competente para aprobar los Planes Estratégicos Sectoriales y designar a los operadores críticos. Tras la publicación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, la elaboración de los Planes Estratégicos Sectoriales ha supuesto un trabajo intenso y una labor de coordinación sin precedentes para el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) que ha culminado su primera fase con la constitución de esta Comisión.

Los planes estratégicos tienen por objetivo definir las actividades desarrolladas en cada uno de los doce sectores contemplados en la normativa española (Administración, Agua, Alimentación, Energía, Espacio, Industria Química, Industria Nuclear, Instalaciones de Investigación, Salud, Sistema Financiero y Tributario, Tecnologías de la Información y las Comunicaciones, y Transporte) y que prestan los servicios esenciales para la comunidad.

Como paso previo a la aprobación de los primeros planes, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) se reunió con las entidades que han sido posteriormente propuestas a la Comisión Nacional para su nombramiento como operadores críticos, con un alto grado de consenso y colaboración. Las propuestas y recomendaciones establecidas en los planes estratégicos servirán de base para la elaboración de otros instrumentos de planificación que deberán desarrollar los propios operadores.

Apuesta por la seguridad
Desde la Secretaría de Estado de Seguridad del Ministerio del Interior se apuesta por una cultura de la seguridad basada en la integralidad de los sistemas. Su papel de coordinación y centralización, garantizando en todo momento la intervención objetiva del Estado, tiene como objetivo estimular la colaboración pública y privada e incentivar la confianza mutua, dotando a todos los actores de un canal de intercambio de información y buenas prácticas que asegurará los elementos necesarios para la consecución de las metas comunes.

La mayoría de operadores designados ya tienen mucho trabajo avanzado en esta materia y cuentan con departamentos de seguridad dirigidos por personal cualificado, que integrarán los puntos de contacto con la Secretaría de Estado de Seguridad del Ministerio del Interior en materia de protección de infraestructuras críticas. Los 37 nuevos operadores críticos designados tendrán, a su vez, en el CNPIC, el punto directo de interlocución con la Secretaría de Estado de Seguridad en lo relativo a sus responsabilidades, funciones y obligaciones.

Además, el secretario de Estado de Seguridad, Francisco Martínez, se reunirá en los próximos días con los responsables de seguridad de los recientemente designados operadores críticos, con el fin de planificar las próximas acciones de implantación de la legislación sobre protección de infraestructuras críticas de forma conjunta.

Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI

Encuesta de calidad de contenidos.Respuesta a Incidentes en Infraestructuras Críticas

El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC  (se abre en nueva ventana)) es competente en la Protección de las Infraestructuras Críticas según la Ley 8/2011 y el Real Decreto 704/2011.

La Secretaría de Estado de Seguridad y la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información han suscrito un acuerdo en el que, entre otros aspectos, se sientan las bases para la colaboración de CNPIC e Instituto Nacional de Tecnologías de la Comunicación (INTECO) en materia de Respuesta a Incidentes para las Tecnologías de la Información de las Infraestructuras Críticas ubicadas en España. De esta forma INTECO se convierte en una herramienta de apoyo al CNPIC en la gestión de incidentes de ciberseguridad.

Ambas entidades han puesto en marcha un Equipo de Respuesta a Incidentes de Seguridad especializado en el análisis y gestión de problemas e incidencias de seguridad tecnológica. De este modo, este Equipo de Respuesta se convierte en el CERT especializado en la gestión de incidentes relacionados con las Infraestructuras Críticas a nivel nacional.
En caso de que una Infraestructura Crítica sufra un problema de seguridad cibernético , el operador responsable de la misma podrá beneficiarse de los servicios del equipo de respuesta, informando de la incidencia a través del Punto de Contacto Único habilitado para esta finalidad.

En este sentido, se entiende por problema de seguridad cibernético cualquier incidente que, empleando o estando dirigido a elementos tecnológicos, afecte al correcto funcionamiento de la infraestructura afectada, como por ejemplo ataques para la parada o inutilización de servicios tecnológicos, acceso a información privilegiada, alteración de información para manipular de forma fraudulenta los sistemas tecnológicos y la información que manejan, etc.

Para reportar el incidente a CNPIC e INTECO se debe remitir un correo electrónico a: Buzón de PIC de INTECO-CERT. Se va a deletrear: P I C arroba c e r t punto i n t e c o punto e s. En el mismo se debe detallar la información de contacto y una descripción lo más completa posible del incidente.

Si la incidencia contiene información sensible, le recomendamos que la envíe cifrada con una clave PGP. Encontrará la clave pública en el contenido específico de Claves públicas PGP de CNPIC e INTECO.

Una vez recibida la notificación el equipo de respuesta a incidentes se pondrá en contacto con los responsables de la infraestructura afectada y comenzará el proceso de gestión del incidente.

Puede consultar la sección de Preguntas Frecuentes, para aclarar las cuestiones iniciales que le puedan surgir.

Fuente: INTERIOR.GOB.ES

Haz click
Haz click

 

Morenés anuncia que en 2015 priorizará la partida destinada a ciberdefensa

El ministro de Defensa, Pedro Morenés, ha anunciado hoy que, dentro del presupuesto que corresponda en 2015 a su departamento, va a priorizar la partida destinada a ciberdefensa y ciberseguridad.

Morenés ha clausurado el XXVI Seminario Internacional de Seguridad y Defensa que se ha celebrado ayer y hoy en Toledo, con el título “Ciberamenazas y respuestas”, organizado por la Asociación de Periodistas Europeos.

El ministro, además de asegurar que dará prioridad a la ciberdefensa en las cuentas de su ministerio para el año próximo, ha explicado que las fuerzas armadas se encuentran en permanente adaptación a las amenazas que se producen.

En ese sentido ha comentado que, por ejemplo, la OTAN recibe al día miles de ataques a su red, y contra eso hay que estar prevenidos y, además, compartir objetivos los países aliados y la sociedad.

Ningún país o institución es capaz de hacer frente por sí solo a una acción global, ni siquiera Estados Unidos, por lo que es necesario integrar capacidades de los países, cooperar en ciberseguridad.

Para Morenés, la anticipación es la mejor respuesta a un ciberataque y para conseguirla hay que hacer un esfuerzo común en innovación tecnológica, en investigación y en aprendizaje.

Y ha señalado también que es una responsabilidad compartida entre el Estado, la sociedad civil y las empresas el desarrollar una autodefensa frente a los ataques cibernéticos.

El ministro ha indicado que hay que estar en permanente adaptación a las amenazas, es una “carrera permanente de I+D+i en la que tenemos que estar siempre por delante”.

Para ello ha recordado que desde el gobierno se han puesto en marcha varias iniciativas relacionadas con la ciberseguridad, como el mando conjunto de la ciberdefensa desde 2013 y la estrategia de ciberseguridad nacional desde el pasado diciembre, todo con el objetivo de coordinar esfuerzos para garantizar la seguridad, un aspecto en el que España está a la vanguardia, ha resaltado.

Preguntado por las prioridades de defensa, Morenés ha afirmado que “hay que estar a todo”. “No podemos elegir una amenaza porque la amenaza es la que te elige a ti”, ha dicho.

También en la necesidad de la cooperación en materia de seguridad en el ciberespacio ha incidido el presidente de la empresa Indra, Javier Monzón, quien ha explicado que ante los cada vez más numerosos y potentes ataques cibernéticos se impone la dinámica de la cooperación en tres niveles: intersectorial, entre clientes y proveedores y entre grandes y pequeñas empresas.

Asimismo, ha dicho Monzón, se impone la relación entre los ámbitos público y privado. El director del Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), el teniente coronel de la Guardia Civil Fernando José Sánchez, ha resaltado la importancia de la cooperación público-privada en la prevención y respuesta ante un ciberataque.

Tras recordar que la estrategia de ciberseguridad nacional se puso en práctica por primera vez el día de la proclamación de Felipe VI, ha explicado que el éxito de esta colaboración entre la Administración y las empresas radica en la confianza mutua para el intercambio de información y en la confidencialidad, para que las empresas tengan la seguridad de que los datos que aporten no se difundirán.

10 comentarios en “Se abren los plazos para que los operadores críticos elaboren sus respectivos Planes de Seguridad del Operador y los Planes de Protección Específicos que establece la Ley.

  1. El secretario de Estado de Seguridad, Francisco Martínez, se reunió, el pasado viernes, 4 de julio, con los responsables de seguridad y altos directivos de los 37 operadores críticos designados por la Comisión Nacional para la Protección de las Infraestructuras Críticas en su sesión constitutiva del día 30 de junio. Estos operadores gestionan más de 150 infraestructuras críticas de la electricidad, el gas, el petróleo, el sector nuclear y el sector financiero.

    Me gusta

  2. INTECO – CERT, Infraestructuras críticas
    http://www.inteco.es/CERT/Infraestructuras_Criticas/
    El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es competente en la Protección de las Infraestructuras Críticas según la Ley …
    Infraestructuras Críticas – CCN-CERT
    https://ccn-cert.cni.es/ic
    Las Infraestructuras Críticas (IC), según se definen en la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras …
    [PDF]
    Ley 8/2011 – CCN-CERT – Centro Nacional de Inteligencia
    https://www.ccn-cert.cni.es/…/InfraestructurasCriticaspublico/Ley82011-…
    29/4/2011 – 7630. Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. JUAN CARLOS I.

    Me gusta

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s