SEGUROS| 07.07.2022
“Las empresas son el objetivo número uno de las nuevas amenazas a las infraestructuras críticas”
Entrevistamos a José Luis Pérez Pajuelo (Madrid, 1978), director del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), sobre los retos que afronta la seguridad de estos sistemas e instalaciones vitales.
El CNPIC es un organismo creado en 2007 para adaptar la seguridad de los sectores clave del país al nuevo escenario surgido tras los atentados terroristas del 11-S y el 11-M. En este tiempo, España y el CNPIC se han convertido en un “referente internacional” en esta materia, afirma el director del Centro, que ha asesorado recientemente a autoridades de países latinoamericanos y otros como el Líbano.
En la actualidad, cada vez más amenazas provienen del mundo digital, asegura Pérez Pajuelo, comandante de la Guardia Civil, que participó como ponente en las XXVIII Jornadas Internacionales de MAPFRE Global Risks, la unidad de grandes riesgos. La colaboración público-privada y el intercambio de información entre organizaciones como el CNPIC y empresas es fundamental, ya que muchas infraestructuras críticas están gestionadas por compañías privadas.
La ley española contempla doce sectores críticos, que son: administración, alimentación, agua, energía, espacio, industria nuclear, industria química, instalaciones de investigación, salud, sistema financiero y tributario, tecnologías de la información y las comunicaciones (TIC) y transporte; y las infraestructuras críticas son las que permiten su funcionamiento. En esta entrevista repasamos los principales retos que afronta su seguridad.
¿Qué son las infraestructuras críticas?
Lo importante de una infraestructura es el servicio que da, y este tipo de infraestructuras proporcionan un servicio clasificado como esencial. En primer lugar, cuando una infraestructura proporciona un servicio esencial es considerada estratégica. En segundo lugar, cuando el impacto que se generaría con su destrucción o inutilización es muy grave, es cuando se considera una infraestructura crítica. El objetivo principal del CNPIC es impulsar y coordinar los mecanismos necesarios para garantizar su seguridad.
¿Cómo han cambiado las amenazas asociadas a las infraestructuras críticas con la digitalización?
Ha cambiado de una manera radical. La introducción de las nuevas TIC (tecnologías de la información y la comunicación) y su evolución generan nuevas amenazas y nuevas vulnerabilidades, y todas ellas tienen que ser tratadas en los análisis de riesgo para ser contrarrestadas. Lo que ha hecho el avance de las TIC es aumentar los vectores de ataque hacia las infraestructuras críticas.
¿Sufrimos muchos ataques de los que no nos enteramos?
En el CNPIC, normalmente nos solemos enterar de todos los ataques, pero los ciudadanos obviamente no. Hay muchas cuestiones de seguridad que no son públicas o no se comentan porque a lo mejor el impacto ha sido mínimo o no ha tenido impacto, y efectivamente hay un gran número de amenazas y de ataques que se materializan o quedan muy cercanas a su materialización que la ciudadanía no conoce.
En su intervención hablaba de que nos encontramos de nuevo en un entorno VUCA (acrónimo de volatilidad, incertidumbre, complejidad y ambigüedad, por sus siglas en inglés), un término del que se hablaba al final de la Guerra Fría. ¿Ve paralelismos con esa época? ¿Estamos en ese escenario?
Mi opinión es que sí. Estamos en un estado en que como todo avanza tan rápido se generan nuevas situaciones y nuevos escenarios que son inciertos, porque no sabes realmente cómo va a evolucionar ese escenario mañana, en qué situación esteremos. Yo creo que a día de hoy podemos hablar perfectamente de entornos VUCA, igual que se hablaba en la época de la Guerra Fría.
¿Las empresas también son un objetivo en los ataques a las infraestructuras críticas? ¿Cuál es su papel en la seguridad?
Las empresas son, por supuesto, un objetivo principal sobre todo aquellas que proporcionan servicios esenciales. Al final el concepto, la naturaleza de las nuevas amenazas ha cambiado. El término de infraestructuras críticas se introdujo precisamente porque cambiaba de objetivos mucho más selectivos, normalmente personales, a objetivos más estratégicos, que son los servicios esenciales que proporcionan esas empresas. Por lo tanto, atacando a esas empresas, inutilizando sus sistemas y sus infraestructuras, se puede provocar un escenario de caos mucho mayor que el que se producía cuando se cometía un atentado terrorista o se atacaba a una persona. Las empresas son el objetivo número uno de estas nuevas amenazas y estas nuevas tendencias.
ARTÍCULOS RELACIONADOS:
INNOVACIÓN| 20.05.2022Ciberriesgos, el gran desafío de las pymesEn 2022 los ciberdelitos volverán a registrar cifras récord y serán las pequeñas y medianas empresas las más...
SEGUROS| 10.12.2021Desigualdades, cambio climático y ciberseguridad: los grandes riesgos en el futuro de las ciudadesEl mundo vive desde hace décadas un aumento imparable de la población, que se ha...