8 aspectos clave para desarrollar los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE)

Como se ha comentado en anteriores entradas, dentro del marco normativo asociado a la ciberseguridad industrial, tiene especial importancia en España la Ley de Protección de Infraestructuras Críticas (Ley PIC 8/2011) complementada por el Real Decreto 704/2011 y sucesivas disposiciones adicionales (la última de 18 de septiembre de 2015).

Los dos grandes objetivos de esta norma son catalogar el conjunto de infraestructuras que prestan servicios esenciales a nuestra sociedad y diseñar un planeamiento que contenga medidas de prevención y protección eficaces contra las posibles amenazas hacia tales infraestructuras, tanto en el plano de la seguridad física como en el de la seguridad de las tecnologías de la información y las comunicaciones.

No cabe duda, que tras las últimas noticias que recogía un diario de tirada nacional, en el que se describía que se habían producido 63 ‘ciberataques’ en lo que va de año contra infraestructuras críticas del Estado, esta Ley se está convirtiendo en un marco de actuación obligatorio para las empresas designadas como operadores críticos y en un conjunto de mejores prácticas a desplegar para cualquier empresa que esté preocupada por proteger sus activos.

Como es conocido, aquellas empresas que son designadas como operadores críticos, tienen la obligación de presentar en un plazo de seis meses un Plan de Seguridad del Operador (PSO) y tras su aprobación por la Secretaría Estado u órgano delegado tras informe del CNPIC, un Plan de Protección Específico (PPE).

La elaboración de los PSO y los PPE es una tarea compleja que requiere la coordinación e involucración de diferentes áreas de una organización. Además, aunque el plazo proporcionado para presentar dichos planes (6 meses para los PSO y 4 meses para los PPE)  parece razonable, las tareas cotidianas vinculadas al operador crítico, pueden hacer que dichos planes no se lleven a cabo en el tiempo determinado o con el alcance más completo y adecuado.

Por este motivo en esta entrada, queremos recoger ocho aspectos clave que desde nuestro punto de vista, tienen que tenerse en cuenta a la hora de que un operador crítico lleve a cabo el proceso de desarrollo y entrega del Plan de Seguridad del Operador (PSO) y del Plan de Protección Específico (PPE).

• El desarrollo de los PSO y los PPE es un proceso, no es un proyecto. El marco normativo invita a realizar un ciclo de mejora continua basado en proceso PDCA. Además, los planes deben revisarse cada 2 años, obligando a una actualización casi constante.
• Se debe tener en cuenta el carácter integral de la seguridad. Seguridad física y lógica (IT y OT).
• La involucración de la alta dirección es obligatoria. De hecho la Ley ayuda a acercar la seguridad a los máximos decisores de las organizaciones.
• Las personas asumen responsabilidades específicas al firmar los contenidos de los PSO y los PPE. Por este motivo, es imprescindible llevar a cabo acciones de formación previas al inicio del proceso.
• La formación y concienciación es un aspecto clave. Para el equipo que realiza los PSO y los PPE y para todas las personas involucradas en incrementar la seguridad de las infraestructuras críticas designadas.
• La identificación de servicios esenciales e interdependencias es una tarea muy importante. Sobre todo la parte de interdependencias es clave en el proceso.
• La metodología de análisis de riesgos utilizada es una piedra angular para que los contenidos de los PSO y los PPE sean los adecuados. En este sentido, la Ley apunta a que las amenazas con baja probabilidad de ocurrencia y alto impacto, deben tratarse de una forma singular.
• Las medidas a adoptar para la prevención de ataques deben ser de diferente naturaleza. Técnicas, operacionales y organizativas

Para más información sobre cómo Logitek Industrial Cybersecurity by Logitek ayuda a los operadores críticos a desarrollar los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE) asociados al cumplimiento de la Ley 8/2011 de Protección de Infraestructuras Críticas, puedes acceder a nuestro whitepaper.