Entorno de la Protección de IC ENISE - T15 : Infraestructuras Críticas (2ª parte)

Transcripción

1 Entorno de la Protección de IC ENISE - T15 : Infraestructuras Críticas (2ª parte) Ventura de Miguel Vicen Responsable Seguridad-Redes Departamento de Infraestructura para Seguimiento de Situaciones de Crisis () Presidencia Gobierno

2 Índice 1. Introducción 2. SNGSC (EES) 3. Ambiente Acciones Panorama actual nivel Europeo 6. Conclusiones 2

3 1. Introducción Anteproyecto de ley PIC EL RD que estuvo en exposición pública sobre Protección de Infraestructuras Críticas (IC) se ha convertido, por consejo del Consejo de Estado, en un Anteproyecto de Ley. En la exposición de motivos de su actual redacción dice: Hasta tal punto es así, que cualquier interrupción no deseadaincluso de corta duración y debida bien a causas naturales o técnicas, bien a ataques deliberados- podría tener graves consecuencias en los flujos de suministros vitales o en el funcionamiento de los servicios públicos esenciales, además de provocar perturbaciones y disfunciones graves en materia de seguridad, lo que es objeto de especial atención para el Sistema Nacional de Gestión de Situaciones de Crisis. 3

4 2. El Sistema Nacional de Gestión de Situaciones de Crisis (SNGSC) Composición Es el conjunto de órganos, infraestructuras e instrumentos a disposición del Gobierno de la Nación, para la prevención, control y conducción de las situaciones de crisis que puedan atentar contra la vida, la seguridad y el bienestar de los ciudadanos y la estabilidad del Estado de Derecho. ÓRGANOS INFRAESTRUCTURAS INSTRUMENTOS OPERATIVOS ESENCIALES 4

5 2. Órganos del SNGSC Comisión Delegada del Gobierno para Situaciones de Crisis. Comisión de Apoyo. Comité Nacional de Planes Civiles de Emergencia. Departamento de Infraestructura y Seguimiento para Situaciones de Crisis (). 5

6 2.CNGSC Centro Nacional de Gestión de Situaciones de Crisis Es el punto central de la red nodal de centros del SNGSC. Ubicado en Presidencia de Gobierno Es la sede del Departamento de Infraestructura y Seguimiento para Situaciones de Crisis Los órganos del SNGSC que se activen o configuren para la gestión de una crisis El equipamiento de los sistemas de comunicación e información del SNGSC (Portal Crisis y MallaB ) En determinados Ministerios, existen Centro Ministeriales de gestión de Crisis conectados con el CNGSC 6

7 2. Qué es una Crisis? Concepto general : Situaciones de grave riesgo, catástrofe o calamidad pública, tales como desastres naturales o industriales. Crisis internas que afecten al desarrollo normal de la vida de la nación. Crisis internacionales que afecten al desarrollo normal de la vida de la nación. Situaciones de conflicto armado. Cualquier otra situación de crisis nacional o internacional que sea considerada como tal por la Comisión Delegada del Gobierno para Situaciones de Crisis. Para la OTAN por crisis se entiende una situación nacional o internacional en la que se amenazan los valores, los intereses y los objetivos prioritarios de las partes en cuestión. 7

8 2. Qué tengo que hacer para gestionar una crisis? Sensores que me determinen la peligrosidad de la situación Detección ASAP y notificación a un Centro de Coordinación (-> Vigilancia) Identificación, registro y evaluación incidentes y comunicación Respuesta coordinada a los incidentes (La preparación para lo posible, requiere mucho trabajo dossieres, estrategias, escenarios, capacidad de respuesta.) Para engrasar el Sistema es necesaria la realización de tests, ejercicios y Simulacros 8

9 3. Ambiente Sucesos ocurridos el NY 11S, Madrid 11M y que ocurrirán Londres 2005, Estonia, Bombay e Iran 9

10 3. Término Infraestructura Crítica El término Critical Infrastructure o Infraestructura Crítica fue acuñado en la directiva Presidencial (HSPD) del Presidente Clinton tras el atentado del 19 de Abril de 1995 que destruyó un edificio federal en Oklahoma City 10

11 3. PIC Plan de Protección de Infraestructuras Críticas Con enfoque minimalista los gobiernos tienen que proteger: - Su territorio - Sus ciudadanos - Su forma de vida (valores etc.) Para un Gobierno la PIC es un Business Continuity Plan de su negocio que es que la nación funcione. La orientación : la misma que un banco u otra empresa identificar los procesos esenciales y proteger especialmente ese núcleo. 11

12 4. Inicio formal en la Unión Europea CONSEJO EUROPEO DE BRUSELAS (17 y 18 de junio de 2004) en CONCLUSIONES DE LA PRESIDENCIA Se pide al Consejo que para finales de este año elabore, sobre la base de una orientación coordinada formulada por el Secretario General/Alto Representante y la Comisión, una estrategia global para mejorar la protección de Infraestructuras esenciales Como consecuencia de eso y de diferentes actuaciones (reuniones, seminarios etc.) se produjo 11 de Noviembre de 2005 titulado Libro Verde sobre un Programa Europeo para la Protección de Infraestructuras Críticas 12

13 4. Tipo de preguntas en el Libro Verde Qué planteamiento debe adoptar el PEPIC? Por qué? Son aceptables estos principios básicos? Hay alguno superfluo? Cabe introducir algún otro? Para el fortalecimiento de la PIC sería eficaz un marco común? En caso de que sea necesario un marco legislativo de qué elementos debe constar? Es conveniente que cada Estado miembro adopte un programa nacional de PIC basado en el PEPIC? Están de acuerdo en que los Estados miembros sean responsables únicos de la designación y gestión de las ICN dentro del marco común del PEPIC? Es conveniente designar en cada Estado miembro un Organismo de coordinación de PIC que sea responsable de la coordinación general de las medidas en este ámbito, sin perjuicio de las responsabilidades ya existentes en cada sector (autoridades de aviación civil, Directiva Seveso, etc.)? Son aceptables las posibles responsabilidades de los propietarios/operadores de infraestructuras críticas en el sentido de aumentar la seguridad de dichas infraestructuras? Cuál sería su coste probable? 13

14 4. Diciembre del 2006 PEPIC Principios básicos PEPIC PROGRAMA EUROPEO PARA LA PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS EPCIP EUROPEAN PROGRAMME FOR CRITICAL INFRASTRUCTURES PROTECTION Subsidiaridad enfoque global europeo mas que nacional o regional Complementariedad. Evitar duplicidad de esfuerzos Confidencialidad Tanto a nivel europeo como a nivel nacional de los datos relacionados. Cooperación con las partes interesadas. Dado que la gran mayoría de la IC son propiedad privada se fomenta el enfoque cooperativo públicoprivado tanto a nivel nacional como europeo. Proporcionalidad en las medidas tomadas siguiendo un análisis de riesgos efectuado. Enfoque Sectorial El análisis y la Implementación tiene que ser paulatino y coordinado en base sectorial. 14

15 15

16 4. Y en otros países? Y en España? Prácticamente todos los países occidentales con EEUU de forma pionera han empezado en sus sistemas de protección de sus Infraestructuras Críticas Lo han hecho bien en un Plan específico, o dentro del Plan de Estrategia Nacional. También muchos han publicado un Plan de Protección de Infraestructuras Críticas de Información En España en 2005 y 2006 se hizo un Catálogo de Infraestructuras Estratégicas. El 7 de Mayo de 2007 se emitió el Plan de Protección de Infraestructuras Críticas vigente y en el Consejo de Ministros del 2 de Noviembre se creó el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). 16

17 4. Directiva Europea 114/ Diciembre Problema - Infraestructuras críticas para un país fuera de este Al final la Directiva define: - ICE (Infraestructura Crítica Europea) es la afecta de forma importante a más de un país. Importancia se mide en términos de personas heridas/muertas, impacto económico o medioambiental (Nucleares se sacan fuera) 17

18 4. Plan de Acción Europeo Se definen un Plan de Acción secuencial por sectores. Se seleccionan Energía y Transporte. Se está en espera de definición de criterios de inclusión (no está transpuesta todavía la directiva) Se añadió un nuevo Sector que es el TIC y se considera ENISA la Agencia que liderará este sector. Se está a punto de terminar el plazo para definición de criterios para la inclusión de ICEs en dichas áreas (la TIC termina a final de 2011) 18

19 4. Infraestructuras Críticas de Información Se perciben como un sector especialmente importante próximo a la Ciberseguridad Afecta a todos los demás sectores. (horizontal) Se ve especialmente vulnerable debido a la asimetría de la amenaza y dificultad de detección y de protección. Se engloba en este sector a los Sistemas de Control Industrial (SCI) o SCADA de las demás Infraestructuras Críticas. 19

20 5. Orientación Europea Para hacer frente a estos problemas se proponen cinco pilares: (1) Preparación y prevención: garantizar la preparación a todos los niveles. (2) Detección y respuesta: proporcionar suficientes mecanismos de alerta temprana. (3) Mitigación y recuperación: fortalecer los mecanismos comunitarios de defensa de las ICI. (4) Cooperación internacional: fomentar internacionalmente las prioridades comunitarias. (5) Criterios para el sector de las TIC: apoyar la aplicación de la Directiva sobre la identificación y designación de infraestructuras críticas europeas. 20

21 5. Infraestructuras Críticas de Información La Comisión propone la modificación del mandato de ENISA (European Network for Information Security Agency) para liderar y coordinar el proceso Crea el European Forum for Member States (EFMS) Junio 2009 (Reuniones cada 3 meses ) de difusión/coordinación Crea el E3PR European Public-Private Partnership for Resiliency (cada tres meses) Gobernanza a nivel Europa y nacional CIWIN ha dado paso a la ERN-CIP European Reference Network for Critical Infrastructure Protection. Promociona y prepara Ciberejercicios de protección (el primero se celebrará el 3 de Noviembre) 21

22 2010 STUXNET A pesar de las barreras importantes interpuestas el ataque las ha pasado y parece que ha conseguido su objetivo. Ya ha modificado la perspectiva y se tienen que ver cambios en el enfoque de protección. Hay que prepararse para detectar y evitar estos impactos. Demuestra que en el lado oscuro hay mucha Investigación y Desarrollo 22

23 6. Conclusiones La PIC es una parte muy importante de los esfuerzos del gobierno para la protección del bienestar de la nación El camino se ha iniciado, pero es un proceso que tendrá que integrarse en el día a día de nuestra sociedad, y ya no se abandonará. España ha elegido la opción normativa y está a punto de salir la Ley correspondiente pero ya hace tiempo que empezó la preparación. Es un esfuerzo en que la colaboración con el sector privado es esencial. Formamos parte de nuestro entorno y tenemos que coordinarnos con los países amigos. Vamos juntos 23

24 Fin de la presentación Muchas gracias 24