Protección de infraestructuras críticas: planes y obligaciones de las autoridades portuarias
En este artículo se analiza la complejidad y confluencia de obligaciones a las que se ven sometidas las autoridades portuarias cuyo puerto ha sido designado infraestructura crítica.
SISTEMA PORTUARIO ESPAÑOL
Como punto de partida, conviene recordar que el sistema portuario español de titularidad estatal está constituido por 50 enclaves y 28 autoridades portuarias, entes públicos independientes que gestionan o administran uno o varios puertos. Este sistema es coordinado por Puertos del Estado, organismo público adscrito al Ministerio de Fomento.
Puertos del Estado es un organismo público, adscrito al Ministerio de Fomento, responsable del sistema portuario. Esto le convierte en responsable de la ejecución de la política portuaria del Gobierno y de la coordinación y control de eficiencia del conjunto de puertos designados como de interés general.
PLANES Y OBLIGACIONES DE LAS AUTORIDADES PORTUARIAS
Como es fácil de observar cuando se tiene la oportunidad de departir con algún responsable de protección de una autoridad portuaria, las obligaciones legales y los diversos planes que forman parte de su responsabilidad hacen de ellos unos profundos conocedores de las diversas legislaciones nacionales e internacionales a las que están sujetos.
No es un trabajo fácil estar al día de unas obligaciones cambiantes y muy exigentes, en un entorno de riesgo complicado en el que confluyen muchos actores con un objetivo común: la Seguridad del Puerto.
En el ámbito de la planificación de la Seguridad, los responsables en el ámbito de la protección y Seguridad de las autoridades portuarias, y, en general, los oficiales de protección de los puertos, se encuentran con una confluencia de obligaciones como son, entre otras, las de elaborar:
- Evaluaciones de Protección de Puertos (EPP)
- Planes de Protección de Puertos (PPP)
- Planes de Seguridad del Operador (PSO)
- Plan de Protección Específico (PPE)
Evidentemente, y según el reparto de funciones dentro de cada autoridad portuaria, otras funciones relacionadas con la Seguridad y que pueden afectar a estos planes pueden recaer sobre los mismos responsables u otras áreas:
- Aspectos relacionados con la ley NIS (Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que transpuso la Directiva 2016/1148/UE, sobre seguridad de las redes y sistemas de información). Cabe recordar que la Comisión PIC aprobó 30 de octubre de 2018, la designación de 132 Operadores Esenciales, entre los que se encontraban alguno del ámbito del subsector marítimo dentro del sector de transporte. Adicionalmente, de los 71 Servicios Esenciales definidos, se encuentran al menos 3 directamente relacionados con los puertos y su entorno:
- Seguridad de la Navegación marítima
- Actividad Portuaria
- Servicios de compañías/empresas de transporte marítimo
- Adecuación de los sistemas al Esquema Nacional de Seguridad, lo que incluye, entre otros, aspectos:
- Análisis de riesgos que será requerido para la realización del PPP-PPE
- Medidas de Seguridad de la Información que también serán incluidas en dicho documento, y las cuales deberán ser auditadas
- Protección de Datos
- Seguridad Industrial
- Seguridad Laboral
- Seguridad Medioambiental
- Continuidad de Negocio
OBLIGACIONES PBIP Y PIC EN LOS PUERTOS
La aplicación del Código PBIP (Protección de Buques e Instalaciones Portuaria), a través del Real Decreto 1617/2007, implica la obligación de presentar EPP Y PPP con una periodicidad de 5 años.
En septiembre de 2015 la Comisión Nacional para la Protección de Infraestructuras Críticas aprobó el Plan Estratégico Sectorial del Transporte, subsector marítimo, informando de su designación a aquellas autoridades portuarias que, a partir de entonces, formarían parte del grupo de entidades denominadas operadores críticos. Esta designación implicaba la obligación de presentar PSO y PPE con una periodicidad bienal.
A partir de esta doble obligación, las autoridades portuarias tenían una doble obligación de presentar planes de contenido similar, con un enfoque ligeramente diferente, y con una periodicidad distinta. Ante esta situación, se optó por diversas estrategias:
- Tratar ambas obligaciones de manera independiente, realizando los PPE sin tener en cuenta el contenido del PPP. Esto permite la realización de un PPE menos extenso, en el que se puede incluir un enfoque integral de la gestión de riesgos difícilmente obtenible partiendo de los análisis de riesgos realizados para la EPP/PPP a través de Secureport.
- Tratar ambas obligaciones de manera independiente, aunque aprovechando parte de lo realizado en los PPP para la elaboración de los PPE. En particular, fueron muchos los puertos que optaron por aprovechar el análisis de riesgos realizado con Secureport para la EPP y PPP.
- Realizar un documento unificado PPP-PPE, lo que no era el proceso previsto, pero simplificaba el trabajo a realizar y daba cumplimiento a lo estipulado en el Reglamento de Protección de las Infraestructuras Críticas.
En febrero de este año, CNPIC y Puertos del Estado presentaron una Guía de Redacción del Plan de Protección Específico, en el que se incluían instrucciones para la elaboración de Planes de Protección Específicos (PPE) de aquellos puertos considerados como críticos. La guía establece cómo deben presentarse en adelante los PPE de estos puertos, cambiando el formato habitual de los PPE exigibles para los operadores críticos de otros sectores, y que se basaban en los nuevos contenidos mínimos de los Planes de Protección Específicos aprobados mediante la Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad.
El formato que se ha escogido para ello es el de un anexo complementario al Plan de Protección del Puerto (PPP), formado por un PPE genérico, que se particulariza a través de ciertas aclaraciones adicionales que deben cumplimentarse en epígrafes claramente identificados, que permiten complementar la información aportada en el PPP en aquellos aspectos que se requieren para el PPE, pero no para el PPP. Entre los aspectos que deben añadirse destacan:
- Adaptación a Esquema Nacional de Seguridad
- Comités de Seguridad Integral
- Métodos de Aprobación por parte de la Alta Dirección
- Todos los puntos relacionados con el Análisis de riesgos y el Plan de Acción Propuesto, en lo tocante al ámbito de la Seguridad lógica
Con esto, se ha conseguido dar cumplimiento a lo establecido en el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de Protección de las Infraestructuras Críticas, en cuyo artículo 29, punto 3, se indica: “Las instalaciones portuarias, […], integrarán sus Planes de Protección Específicos en los Planes de Protección de Puertos previstos en el citado Real Decreto [1617/2007] rigiéndose, en lo relativo a su aprobación y evaluación, por lo establecido en esa norma, sin perjuicio de lo que le sea de aplicación según la Ley 8/2011, de 28 de abril.”
Con nuestra experiencia como asesores de operadores críticos en la elaboración de estos planes, estoy convencido de que estos ejercicios, con el enfoque que aporta la nueva guía, pueden ser sumamente valiosos siempre que el análisis requerido sea proporcional a la complejidad del problema y de la obligación, y que el proceso se apoye en varios principios básicos:
- Involucrar a quienes ostentan el mando en el organigrama
- Enfoque hacia la mejora continua, basado en un análisis de riesgos que permita evaluar cómo se reduce el riesgo según sea la eficacia de las medidas de Seguridad
- Visión holística de la Seguridad: tanto los responsables, como el análisis de riesgos, como las amenazas, activos y medidas a considerar deben tener en cuenta que los agentes antisociales no entienden de mundo físico y lógico. Observan, acceden, sustraen, destruyen y dañan en el ámbito más sencillo o lucrativo.
- La agregación de información, si no se realiza de manera ordenada y con un objetivo claro, complica y dificulta su elaboración, comprensión y utilización, no aportando nada a su existencia independiente.
CONSIDERACIONES SOBRE DIFERENCIAS DE ENFOQUE ENTRE LOS PPP Y PPE
No obstante, y teniendo en cuenta el marco y finalidad de ambos documentos, existen algunos aspectos importantes a tener en cuenta a la hora de integrar dos documentos con enfoques similares, pero puntos de partida diversos, así como debe valorarse la (in)compatibilidad de los análisis de riesgos que se plantea presentar conjuntamente en los nuevos documentos.
Destacamos, por su importancia, algunos que ya han sido considerados en la mencionada guía pero que en su puesta en práctica presentan una mayor dificultad para conseguir coherencia y efectividad en su implantación:
- Medidas graduales. En el marco PBIP las diversas medidas son aplicables en función del Nivel de Protección que, básicamente, diferencian la normalidad con el nivel 1 respecto a las situaciones de mayor riesgo (nivel 2) o de riesgo probable o inminente (nivel 3). Por otro lado, en el marco PIC las medidas de Seguridad permanentes son reforzadas con medidas temporales en función de varios factores, entre los que se encuentra el Nivel de Seguridad del Plan de Prevención y Protección Antiterrorista. Al tratarse de escalas diferentes —y al encontrarnos desde hace demasiado tiempo en un nivel de seguridad 4—, se hace difícil conjugar la excepcionalidad de ciertas medidas y su encaje en este doble esquema.
- Impacto o consecuencias a valorar. El artículo 2 de la Ley 8/2011 define los 4 criterios horizontales a tener en cuenta para determinar la criticidad, la gravedad y las consecuencias de la perturbación o destrucción de una infraestructura crítica; es decir, qué factores considerar para valorar el impacto derivado de la materialización de las amenazas analizadas.
Por otro lado, la metodología de Secureport tiene en cuenta varios factores que afectan a las consecuencias de cada suceso, que se evalúan a través de múltiples variables que dan lugar a 5 índices. Aunque el enfoque es muy similar, existen ciertos aspectos que los diferencian y que requerirían un análisis detallado. No obstante, el enfoque básico de ambas propuestas (recordemos que el CNPIC no establece ninguna metodología en particular en la Ley ni en las guías de contenidos mínimos), son muy similares en cuanto a analizar el impacto de cada amenaza de manera independiente según sea el activo afectado. En este caso, ambas metodologías son similares entre sí y se diferencian sustancialmente de Magerit 3.0, que considera por un lado el valor de cada activo en cuanto a cada dimensión de seguridad (de la información), considerando también la relación entre los activos, y por otro caracteriza las amenazas en cómo afectan a cada activo. El enfoque, como puede observarse, es bastante diferente y por tanto difícilmente comparable.
CONCLUSIÓN
A pesar del enorme esfuerzo realizado por el CNPIC y Puertos del Estado en la armonización de estos planes, existen algunos aspectos por resolver para que la elaboración de los planes de protección exigidos a los puertos cubra los objetivos que por separado pretendían cumplir mientras, por otro lado, sean de utilidad para sus elaboradores.
Desde INERCO Security seguimos colaborando tanto con los operadores críticos como con los agentes públicos responsables de estos marcos regulatorios, tratando de desarrollar, con la mayor eficiencia, planes que reflejen la realidad de las instalaciones, la estrategia de sus responsables y que ayuden a mejorar su seguridad.