El contexto en el que se está operando, y la importancia que está asumiendo y asumirá la seguridad global, requiere nuevos tipos de análisis y conocimiento multidisciplinar de situación y las medidas a adoptar.
En este sentido, la persistencia, el agravamiento o la complejidad creciente de algunos riesgos y amenazas, así como la irrupción de otros, como los conflictos armados y las transformaciones económicas y tecnológicas que se están operando a nivel global, explican una mayor sensación de inseguridad ante una realidad aún más incierta y de crisis continuas.
Por ello, este planteamiento de seguridad global, integral e integrada, debe formar parte de los conocimientos de los profesionales de la seguridad, teniendo en cuenta, principalmente, los aspectos estratégicos y de gestión para aportar las bases de una visión integral de la seguridad física y la seguridad lógica, que permitan identificar, conocer, entender y gestionar el entorno holístico de la seguridad, teniendo en cuenta los diferentes departamentos, por lo que también se plantea un problema de diseño organizacional, que requiere tanto un fuerte liderazgo como una gestión eficaz.
Los retos importantes en el desarrollo de un nuevo concepto de Seguridad Global, son: la convergencia de las seguridades, la transformación digital y la digitalización para la gestión operativa de la seguridad integral e integrada, pública y privada.
Hay que tener en cuenta que el concepto de seguridad global es especialmente importante en el ámbito de la Protección de las Infraestructuras Críticas (PIC). Para ello, se ha de establecer una Política General de Seguridad Global donde han de considerarse aspectos fundamentales, como: la protección de los servicios esenciales; la gestión estratégica de la seguridad alineada con la política de riesgos; la estructura organizativa y de responsabilidades en materia de seguridad integral; la responsabilidad, compromiso y participación de todo el personal; la formación especializada y concienciación de los recursos humanos adscritos a la prevención y protección; el desarrollo y gestión de capacidades para la prevención, detección, protección, respuesta, resiliencia y recuperación; la colaboración con las Fuerzas y Cuerpos de Seguridad; el cumplimiento normativo y aplicación de buenas prácticas; y la mejora continua de los procesos de seguridad implementados.
Igualmente, ante la gran variedad de riesgos inherentes a las Infraestructuras Críticas y su protección, basada en esta Seguridad Global, ha de ser abordada como una gestión integral del riesgo, implementando un modelo holístico de seguridad e incorporando la cultura proactiva de prevención y protección.
Nuevos retos y exigencias de seguridad global
Ante los nuevos retos y exigencias de seguridad, hemos de estudiar los grandes cambios y tendencias que vivimos, diferenciando los riesgos económicos, políticos y de seguridad que nos amenazan, para diseñar un nuevo escenario de futuro en el que un modelo de gobernanza global de seguridad sea capaz de adaptarse y responder a los nuevos retos y exigencias de prevención y protección.
En las últimas décadas, la seguridad se ha configurado como una prioridad fundamental en España. Retos como la lucha contra el terrorismo y la delincuencia organizada o la especial incidencia en la ciberseguridad, resultan primordiales dentro de nuestra política interior y exterior.
Actualmente, los riesgos y las amenazas globales se presentan con muchas dimensiones y formas, derivadas de la inestabilidad geopolítica, la delincuencia y terrorismo, las catástrofes naturales y, más recientemente, las pandemias mundiales, la guerra en Ucrania y el conflicto de Gaza.
Nuevos retos y nuevas respuestas globales que hacen precisa también una visión compartida, junto a la preparación adecuada de cada vez más profesionales, ejecutivos y operativos, que han de acreditar una formación y capacitación especializada, no lineal, basada en estrategias y pensamientos exponenciales, abiertos y flexibles, que les convierta en los lideres de la seguridad que venimos precisando.
Especial importancia es la protección de los datos e información, ya que se ha convertido en la base de toda estrategia y su seguridad requiere anticipación, eficacia, eficiencia y transparencia en su tratamiento.
Con el aumento de los riesgos cibernéticos en los sistemas de seguridad electrónica, las organizaciones están mostrando una mayor conciencia de la ciberseguridad y están adoptando mejores prácticas para enfrentar estos desafíos.
No obstante, aumentan las preocupaciones sobre la ciberseguridad A pesar de implementar procesos para enfrentar los desafíos, el nivel de preocupación por las ciberamenazas continúa en alza.
Es previsible el aumento de ataques a las cadenas logísticas, datos e infraestructuras digitales, así como el blanqueo y las extorsiones de tipo ransomware.
Las organizaciones han de priorizar una mejor estrategia de ciberseguridad y seguir aumentando sus implementaciones de herramientas relacionadas con la protección en sus entornos.
Las preocupaciones cibernéticas sobre la nube disminuyen y el actual movimiento de trabajo híbrido está cambiando el panorama de la fuerza laboral en las cadenas de suministro, que siguen experimentando cierta inestabilidad e incertidumbre, aún con un enfoque cada vez mayor en la transformación digital y la conectividad en la nube.
Por último, no son descartables la aparición en forma de amenazas híbridas: desinformación, sabotajes y ataques a sectores e infraestructuras críticas, cyberwarfare, etcetera.
Nuevos planteamientos y tendencias de Seguridad Global
Como se ha demostrado, a medida que evoluciona la adopción de tecnologías, se abren oportunidades para toda la industria. Los nuevos enfoques de trabajo y conjuntos de funcionalidades impulsados por una mayor conectividad y disponibilidad de nube híbrida pueden facilitar una mayor escalabilidad, seguridad y agilidad en las implementaciones de seguridad en los próximos años.
Según recientes informes, las principales tecnologías de seguridad en las que los usuarios finales planean invertir son: Control de acceso, sistemas de ciberseguridad, videovigilancia inteligente, control y seguimiento de activos/personas, controles de visualización de datos, sistemas de reconocimiento facial y gestión de evidencias digitales.
La seguridad se ha de entender, por tanto, como un proceso global, integral e integrado, constituido por todos los elementos técnicos, materiales, humanos y organizativos relacionados con el sistema y su funcionamiento.
Cuando hablamos de seguridad integral e integrada nos referimos a un sistema global y activo caracterizado por el establecimiento de los adecuados niveles de prevención y protección. Para conseguir este objetivo se necesita poner en marcha estrategias así como un sistema de gestión que permita prevenir y controlar los riesgos y amenazas a los que están expuestas las organizaciones.
Las estrategias y tácticas de seguridad deben reformularse en función de la actividad y de lo que está sucediendo. Los viejos modelos no serán inspiradores de nuevas soluciones, ya que se quedan obsoletos ante las grandes transformaciones que se vienen produciendo.
El avance de la conectividad en la nube ha sido gradual en la industria de la seguridad electrónica, pero ahora se está acelerando con las aplicaciones de Inteligencia Artificial (IA).
La inteligencia artificial generativa es la que más preocupa a nivel de ciberseguridad, porque es capaz de evolucionar y crear cosas nuevas a partir de los datos. No ha habido nada que nos supere como humanos a la hora de poner inteligencia.
No obstante, a medida que aumenta la adopción de sistemas de seguridad electrónica, también aumentan las amenazas a la ciberseguridad, la gestión de datos y los requisitos de cumplimiento normativo.
Para completar lo antes posible la transición hacia una nueva cultura de la seguridad integral e híbrida que aborde la seguridad física, digital, reputacional y económica, se requiere de organizaciones más colaborativas, flexibles y adaptativas en una red resiliente que garantice la continuidad de negocio. Las organizaciones que asumen y fomentan esa cultura reciben una mayor confianza de los ciudadanos.
Organización y gestión de la Seguridad Global
Uno de los proyectos destacables actualmente es el desarrollo de los sistemas gestión integral del riesgo (global y convergente), como base de un análisis que integre todo el catálogo de riesgos que puedan afectar a los procesos críticos de nuestras organizaciones. No obstante, a día de hoy no existe una plataforma o metodología lo suficientemente completa que integre los riesgos procedentes de varias disciplinas de seguridad.
Con ello nos aseguraríamos que todos los tipos de incidencias de seguridad se gestionen desde una plataforma única y en tiempo real, para dar una solución integral y minimizar cualquier riesgo asociado, unificando criterios, interrelacionando datos y teniendo una visión en conjunto. Las herramientas a utilizar dependerán de la madurez de las mismas, que serán adaptadas a las necesidades de cada tipo de actividad/protección a la que vaya dirigido el servicio.
A modo de conclusiones
Solo una seguridad global, integral e integrada, garantiza una protección eficiente frente a amenazas globales y, para ello, hemos de redefinir las políticas de seguridad, crear una nueva cultura de seguridad integral, establecer los mecanismos de control y gestión de la seguridad física y lógica, monitorear el sistema de seguridad y evaluar la resiliencia.
Es precisa una aplicación globalizadora de la seguridad, en la que se tengan en cuenta los aspectos humanos, legales, sociales, económicos y técnicos de todos los riesgos y amenazas que pueden afectar a las personas y bienes integrantes en la actividad de una organización.
Ante la implantación o evolución de nuevos medios tecnológicos y medidas organizativas y operativas de seguridad, hemos de plantear la revisión y reinvención de nuevos indicadores o métricas que permitan realizar una evaluación sobre la eficiencia y eficacia del tratamiento y gestión del riesgo y las seguridades.
Todo ello basado en los nuevos planteamientos de transformación digital y digitalización, con nuevas herramientas de gestión operativa en Seguridad Pública y Seguridad Privada así como, mediante la implantación de nuevas soluciones en sistemas y servicios integrados.
En definitiva, la seguridad global debe ser vista como un fractal: un servicio integrado autoproyectivo en donde el conocimiento de la actividad y el entorno, el factor humano, los procedimientos y la seguridad física y lógica integren un buen sistema esquematizado, imprescindible para la generación de esa cultura de seguridad (prevención + protección) que creemos necesaria en todos los niveles de la organización.
La receta general consiste en recurrir al pensamiento sistémico y proactivo para crear redes de resiliencia contra la inestabilidad e incertidumbre.
Los beneficios que esta visión de la seguridad global aporta, principalmente son: aproximación integral a los riesgos de la seguridad personal o de una organización; integración de las seguridades física y lógica que proporciona eficiencia y racionalización al proceso general de protección de activos y personas; mejora de la cultura de la seguridad en la organización facilitando la reducción del número de incidentes y su intensidad; eficiencia en la respuesta y resiliencia ante las vulnerabilidades; mejora en la reputación e imagen de la organización, tanto a nivel interno como externo.
Además, este enfoque de seguridad global aporta una visión más completa a la hora de minimizar los riesgos derivados de cumplimientos normativos en España como es el caso de la Ley de Seguridad Privada (Ministerio del Interior, 2014), la Ley Orgánica de Protección de Datos Personales de Carácter Personal (Ministerio de Justicia, 1999) o la Ley para la Protección de las Infraestructuras Críticas (Ministerio del Interior, 2011).
Pero, ninguno de todos los nuevos planteamientos y soluciones para los nuevos retos y exigencias de seguridad serán posibles sin la revisión, adecuación y adaptación al cambio de la reglamentación, por otras exigencias a nivel de requisitos como: tipo de contratistas homologados, certificaciones en el ámbito de seguridad de la información ante las nuevas amenazas (como el ciberataque o el cibercrimen) y las nuevas medidas de seguridad y ciberseguridad que debieran implementarse, así como la adecuación de la capacitación y formación especializada.
En una visión global, el nuevo año 2024 comienza con los permanentes desafíos, derivados de conflictos, tanto nuevos, como longevos o casi olvidados, que siguen forzando el desplazamiento desordenado de millones de personas. Una amenaza alimentada por otras, como las desigualdades, la miseria y los desastres ambientales, sin contar con las sempiternas vulneraciones de los derechos humanos, que desencadenan o agravan la situación de inseguridad en todo el planeta.
Según destaca el Barcelona Centre for International Affairs (CIDOB) en su anuario, “2023, ha sido uno de los años más conflictivos en el mundo desde el fin de la Segunda Guerra Mundial" y subraya que "en solo doce meses, la violencia política ha aumentado un 27%". Así, los pronósticos para 2024 no son precisamente alentadores.
Las guerras y la violencia impulsaron el desplazamiento mundial de poblaciones hasta una cifra estimada de 114 millones de personas a finales de septiembre de 2023.
El éxodo al que tantos millones de seres se ven forzados va acompañado de riesgos y peligros también crecientes, muchas dificultades y pocas garantías de protección y de éxito en su lícita huida hacia espacios y sociedades más habitables.
Presente de grandes riesgos y amenazas
El Foro Económico Mundial, en su reciente informe sobre los Riesgos Mundiales para 2024, advierte de un panorama global en el que los avances en el desarrollo humano se están reduciendo lentamente en muchos países, dejando a los estados y a las personas amenazadas sin recursos frente a riesgos nuevos o resurgentes, teniendo en cuenta que, al aumento de los conflictos armados entre estados, se suma la creciente indigestión informativa que resulta de la desinformación intencionada e interesada, que llena de ruido las mentes humanas, interviene en su toma de decisiones desde el miedo, potenciando los propios conflictos, reduciendo su resiliencia e incrementando las vulnerabilidades.
Dentro de este panorama, la polarización social está entre las causas y los efectos de más difícil abordaje. La creciente desigualdad da lugar a que la porción social más desfavorecida viva en una tensión explosiva, contemplando la ostentación de los más pudientes, y preocupada por una crisis económica persistente, el incremento constante del coste de la vida y los riesgos y amenazas entrelazadas, sin que la información circulante pueda prevenir los focos de ignición.
Esta situación pone de manifiesto, además, que la solidaridad y la ayuda humanitaria no dan abasto ante el aumento de conflictos y la ONU se revela impotente para rebajar las escaladas bélicas o conflictos de todo tipo.
Tendencias en seguridad para 2024
Ante el aumento de la desinformación y los conflictos las organizaciones tienen que ser dinámicas y creativas en cuanto a la forma en que realizan la protección de sus activos, ya sean estos tangibles o intangibles y, para ello, se ha de integrar una serie de medidas estratégicas y de controles físicos y tecnológicos claves para la prevención y protección de las propias organizaciones o infraestructuras.
Así, cabe destacar aspectos clave como:
Todo lo anterior merece desarrollo aparte, pero podemos concluir que, para dar respuesta a los nuevos retos y exigencias ante los riesgos y amenazas emergentes es necesario aceptar que la actualización de las tecnologías de seguridad es cada vez más necesaria y debe integrarse como una parte más de la organización, considerándola como una inversión que permite obtener un retorno, a través de la búsqueda de soluciones que ayuden a optimizar las tareas, automatizar los procesos y mejorar la eficiencia del equipo y la organización.
Hemos de convocar a los líderes sectoriales para que se dispongan a repensar las medidas necesarias para abordar los nuevos retos y exigencias ante los riesgos globales y amenazas emergentes, y centrar la cooperación global público-privada en la creación rápida de defensas (prevención + protección) con soluciones y acuerdos que aborden la integración de la inteligencia artificial (IA) en la gestión y la toma de decisiones en materia de seguridad.
Todo ello sin olvidar que el motor de actualización y cambio eficiente pasa por educar para un mundo en paz y especializar nuestras herramientas de capacitación y nuestras aptitudes y actitudes para conseguirlo.
Estos nuevos requisitos, junto con la expansión exponencial de la digitalización, los nuevos dispositivos de Internet de las Cosas (IoT) y las aplicaciones de la Inteligencia Artificial (IA), están ampliando los límites de la red a la vez que aumentan las vulnerabilidades y el riesgo de ciberataques.
Nuevos riesgos y amenazas
Estamos ante la necesidad de una revisión de la realidad de nuestras seguridades por un incremento de nuevas amenazas al desarrollo de la vida social y sus infraestructuras estratégicas y críticas, principalmente por un aumento de la ciberdelincuencia y otras consecuencias derivadas de los conflictos armados como los existentes en Ucrania y la Franja de Gaza e Israel. A esto se suman los fenómenos meteorológicos severos y los desastres naturales derivados del cambio climático.
En este sentido, los ciberataques contra instituciones públicas aumentaron un 95 por ciento solo en la última mitad de 2022 y, para 2025, se estima que el 30 por ciento de las infraestructuras críticas experimentarán una brecha de seguridad.
El incremento de los riesgos y amenazas y la significación de las vulnerabilidades pone de manifiesto, de nuevo, que gobiernos y entidades públicas y privadas deben mejorar su capacidad para prevenir y proteger contra los riesgos y reaccionar ante las amenazas.
No hacer nada ya no es una opción. Continuar confiando en sistemas no actualizados u obsoletos, y redes y tecnologías de las comunicaciones aisladas, al tiempo que los riesgos continúan multiplicándose, no es un enfoque viable, y ya no se puede confiar en estrategias anteriores para construir la seguridad y resiliencia que el Siglo XXI impone.
Cabe destacar algunas consideraciones y desafíos especiales para las redes y tecnologías para la protección de la información y de las comunicaciones, así como aplicar nuevas formas de pensar sobre las vulnerabilidades que, con el desarrollo de la digitalización, están más expuestas a riesgos y amenazas que pueden propagarse rápidamente.
La digitalización también estrecha la conexión entre los riesgos físicos y cibernéticos. La convergencia entre TI y las tecnologías operativas (OT) crea nuevas vulnerabilidades y oportunidades para ataques.
Nuevas exigencias de seguridad y resiliencia
El desarrollo de iniciativas de digitalización aumenta la agilidad operativa, la eficiencia y la productividad, pero han de revisarse y plantearse nuevas seguridades para proteger a los ciudadanos y las operaciones públicas y privadas, y se ha de fortalecer su resiliencia para que puedan garantizar la continuidad del funcionamiento en cualquier circunstancia.
Las organizaciones son un objetivo potencial para los ataques y, por tanto, se requiere una atención renovada al riesgo, la resiliencia y la seguridad para:
En este sentido, los sistemas de notificaciones masivas pueden alertar rápidamente a las personas sobre los procesos a implementar ante emergencias, para que puedan tomar las medidas necesarias y realizar las acciones apropiadas basadas en su seguridad y las de los suyos.
Una red institucional y empresarial segura y resiliente admite comunicaciones y acciones de misión crítica, así como IoT, tecnologías de seguridad física y cibernética, que son esenciales para operaciones confiables.
Para incrementar la seguridad y protección en edificios y espacios públicos se requiere una red multiservicio segura para soportar las aplicaciones y procesos necesarios para proteger contra riesgos y amenazas y mantener la disponibilidad y continuidad del servicio en todo momento, con aumento de la confiabilidad.
Cada organización, pública o privada, debe desarrollar, con enfoque holístico, estratégico y táctico, procesos estandarizados para la seguridad y la resiliencia adaptados a su perfil personalizado de riesgo, ubicación, objetivos, etc.
Para aumentar la seguridad y la resiliencia, teniendo en cuenta la evolución de las inseguridades se han de perfilar y elegir las soluciones adecuadas reevaluando los riesgos cibernéticos y físicos, áreas de exposición y posibles consecuencias, así como las diferentes opciones para prevenir, proteger y reaccionar ante ataques en cada caso, comenzando por una auditoría para evaluar los riesgos y el potencial de pérdida para cada vulnerabilidad identificada.
Para contrarrestar la amenaza que cambia rápidamente el panorama, es importante reevaluar periódicamente los riesgos y monitorear continuamente los riesgos cibernéticos y físicos con los recursos también para las nuevas vulnerabilidades.
Nuevas tecnologías y procedimientos
Como ya hemos comentado, el rápido desarrollo de la digitalización traerá beneficios, además de nuevos riesgos y vulnerabilidades, en un mundo y una sociedad globalmente digitalizada, en los que las personas, los objetos, los sistemas y los procesos están conectados.
Esta especial conexión facilita el aprovechamiento de la tecnología IoT y, la información que proporciona, automatiza los flujos de trabajo para aumentar la eficiencia y acelerar las respuestas para que organizaciones y ciudadanos utilicen datos precisos y en tiempo real para poder, tanto aumentar su visibilidad, como tomar decisiones informadas.
Sin embargo, es preciso repetir que las tecnologías también introducen un nuevo conjunto de riesgos físicos y cibernéticos que deben abordarse, puesto que pueden utilizarse a favor y en contra de las organizaciones.
Podemos tomar como ejemplo la inteligencia artificial (IA). La IA ayuda a prevenir, proteger y acelerar las respuestas ante amenazas cibernéticas y físicas, pero también pone de manifiesto vulnerabilidades para malas acciones, como descifrar contraseñas de sistemas o la propia manipulación de datos.
El aprovechamiento de la innovación e integración de servicios y tecnología para la mitigación de riesgos de procesos y personas reducirá los peligros hacia la mejora continua con las mismas soluciones avanzadas que ayudan a proteger a los ciudadanos, infraestructuras y espacios públicos seguros, a base de soluciones flexibles y compatibles desde las primeras etapas de diseño.
Fortalecer la seguridad y la resiliencia es objetivo prioritario de instituciones y organizaciones públicas y privadas, siguiendo el enfoque y proceso holístico recomendado, y las nuevas oportunidades para aprovechar las soluciones de redes y comunicaciones son esenciales para permitir una toma de decisiones más eficiente, efectiva y colaborativa, protegiendo y garantizando la seguridad ciudadana.
Las discrepancias en las posiciones respecto al enfrentamiento entre Israel y el grupo palestino Hamás impidieron ningún tipo de acuerdo. Los participantes coincidieron en la necesidad de reactivar una solución política que pasa por la coexistencia de dos estados (en línea con las resoluciones de la ONU), proteger a la población civil y asegurar el envío de ayuda humanitaria a la Franja de Gaza de forma continuada, evitando, en todo caso, la amenaza de ampliar el conflicto árabe-israelí.
En síntesis, de nuevo estamos ante una amenaza a la seguridad global, con conflictos armados, incremento de la violencia, del crimen organizado y de las acciones de radicales independientes, con las graves consecuencias que provocan sus impactos (crisis humanitarias, refugiados, carencia de bienes básicos, miseria, desesperación, etc.).
La guerra entre Israel y Hamás reaviva el fantasma de la yihad en Europa. Así, a la hora en que se escribe esta crónica, apenas han pasado 48 horas desde que un tunecino matara a tiros en Bruselas a dos suecos aficionados al fútbol. También se han producido más de 70 amenazas de bomba y evacuaciones de grupos de viajeros en diez aeropuertos franceses, así como la evacuación y cierre temporal del Palacio de Versalles y del Museo del Louvre en París por equivalentes amenazas de bomba.
En sólo unos días, tras el comienzo de la violencia, se puso a circular de nuevo por Europa el espectro de la Yihad. Sin embargo, transcurrido ya más de medio mes de renovada tensión bélica en Oriente Medio, y pese a que el doble asesinato lo ha reivindicado Isis, nadie puede sostener aún que ese estallido esté implicando un renacimiento de ese movimiento o de Al Qaeda.
No obstante, la UE teme que el conflicto entre Israel y Hamás provoque una escalada regional pues, siempre que se han desarrollado conflictos en Oriente Medio en los que Occidente ha intervenido, se han sucedido después ataques terroristas en Europa o América.
Los Ministros de Interior de la Unión Europea han debatido sobre las acciones que se deben implementar tras los atentados y amenazas terroristas acaecidas en Europa en solo una semana, y prometen mayor cooperación ante la amenaza terrorista.
España no ha aumentado su nivel de alerta antiterrorista -que se mantiene en el nivel 4 desde el año 2015-, aunque sí ha reforzado la seguridad en entornos significativos e infraestructuras críticas, y ordenado medidas complementarias de seguridad dentro del nivel 4 que implican implantar una serie de acciones estrictas de refuerzo de los dispositivos de seguridad y de las capacidades de control y seguimiento por parte de todos los organismos implicados en garantizar la seguridad.
Así, el Ministerio del Interior intensifica las medidas por conflicto en Oriente Medio, “Se refuerzan las medidas de protección en legaciones diplomáticas y las actividades de los países con mayor nivel de amenaza, a raíz del ataque terrorista de Hamás a Israel y las operaciones de respuesta de Israel ante esa agresión”.
Entre otras actuaciones, se activan determinadas unidades especiales, se refuerzan los dispositivos de protección, se incrementan las medidas de vigilancia sobre las infraestructuras críticas, se coordinan las actuaciones de cibervigilancia y se realizan evaluaciones periódicas sobre todas estas medidas. Especial hincapié se hace sobre medidas de carácter complementario referidas a la utilización de las nuevas tecnologías informáticas.
En este sentido, nuevas exigencias y retos de seguridad se ponen de manifiesto, y el aumento de riesgos y amenazas no tradicionales, especialmente el terrorismo internacional y los ciberataques, han tenido como objetivos principales tanto a los individuos como a las infraestructuras esenciales, incrementando la vulnerabilidad de éstas y produciendo graves perturbaciones en el normal funcionamiento de la sociedad.
Por todo ello, la Gestión Integral del Riesgo es el principal objetivo pues, según la Estrategia de Seguridad Nacional, “Los ciberdelitos y ciberespionaje, el hacktivismo, y la vulnerabilidad en infraestructuras críticas y servicios, son los riesgos principales a los que se enfrenta España”. Si tenemos en cuenta que pone éstos al mismo nivel que el terrorismo y las crisis migratorias, se hace patente que la seguridad en infraestructuras críticas es algo a tener en muy en cuenta ante una amenaza terrorista.
Seguridad Global, Integral e Integrada
Hay que destacar que el nivel 4 sobre 5, además de que implica una serie de medidas especiales pone de manifiesto la necesidad de aplicar y gestionar el concepto de seguridad global, que se viene configurado como una prioridad fundamental para España y, retos como la lucha contra el terrorismo y contra la delincuencia organizada o la agresión a la ciberseguridad resultan primordiales dentro de nuestra política interior y exterior.
Hemos de aplicar herramientas de gestión del riesgo y activar el enfoque de una seguridad, integral e integrada que permitan el abordaje de todos los aspectos que afectan al ámbito de la prevención y protección, y que deben contar, al menos, con las siguientes características:
Nuevas bases. Planes de Seguridad
En España se viene estableciendo planes de seguridad, generales y sectoriales que pueden considerarse modelos de éxito para garantizar la seguridad, principalmente en infraestructuras críticas y estratégicas, tanto en el ámbito público como en el privado.
Modelos basados en la colaboración público-privada, con los que las organizaciones y sus directivos de seguridad son conscientes de que la prevención y la protección garantizan los servicios esenciales para la sociedad, sus usuarios, clientes, intermediarios y colaboradores, así como el funcionamiento de todas las actividades y operaciones con plenas garantías y confianza.
Las infraestructuras en general, y las críticas y estratégicas en particular, necesitan herramientas de gestión que sean transversales en relación a la protección de las instalaciones, teniendo en cuenta las principales áreas afectadas por la seguridad, sobre todo a nivel de indicadores críticos.
En este sentido, la evolución de los sistemas de seguridad y sus nuevas aplicaciones, son una especial base para garantizar la continuidad del funcionamiento ante la amenaza terrorista, así como la convergencia entre las Fuerzas y Cuerpos de Seguridad y las empresas de seguridad privada.
Esta convergencia entre distintos entes/ámbitos está avanzando en un nuevo modelo, más allá de la colaboración, hacia una integración operativa público-privada, que permite tomar una mayor conciencia y corresponsabilidad en las decisiones a adoptar.
Sectores de Infraestructuras Críticas. Áreas prioritarias
La Seguridad Nacional y las Infraestructuras Críticas pueden considerarse un objetivo global muy especial para el terrorismo, y la prevención y la protección se ha de abordar a nivel institucional, siguiendo políticas nacionales, además de un enfoque internacional.
Por definición, las infraestructuras críticas son vitales para el funcionamiento de la sociedad. Sin suministros confiables de energía o transporte o el seguro funcionamiento de sus estructuras esenciales (sanitarias, financieras, suministros, etc.), nuestra forma de vida actual no sería posible.
Contra la amenaza terrorista hemos de pensar en global, pero hemos de actuar en local, en nuestra dimensión ciudadana, pues la fragilidad y las vulnerabilidades se ponen de manifiesto y, para abordar la seguridad de las Infraestructuras Críticas y Estratégicas, resulta imprescindible disponer de una visión integral del entorno, interno y externo, que tenga en cuenta todos los aspectos de la actividad y sus objetivos, con una perspectiva panorámica, identificando todos los riesgos, amenazas y vulnerabilidades de la organización ante cualquier amenaza, especialmente la que puede planear en tiempos convulsos.
En definitiva, se trata de establecer una metodología que permita transformar los datos en información y éstos en inteligencia. Aunque, en un contexto global, estas herramientas sean una pequeña parte de la seguridad, en el singular campo de las Infraestructuras Críticas, sin duda ayuda de forma significativa a afrontar las amenazas previsibles, identificadas dentro de un campo de probabilidades ya estudiado.
Por todo ello, es fundamental disponer de métodos de análisis para su procesamiento, a fin de poder transformar el conjunto de los datos en inteligencia que permita conocer tendencias, tomar decisiones y optimizar recursos acordes con esa escala de cinco niveles, complementarios y asociados a los niveles de alerta del Plan de Prevención y Protección Antiterrorista.
La Protección de Infraestructuras Críticas. Nuevo marco europeo de cooperación
La guerra de Ucrania y sus actuales amenazas, sabotajes y consecuencias está provocando un nuevo planteamiento de Seguridad Global y de Protección de Infraestructuras Críticas, principalmente en el ámbito de la Unión Europea.
Ante las constantes nuevas exigencias y retos, las organizaciones públicas y privadas han de asumir la por hoy irreversible circunstancia de que frente a las infraestructuras críticas deben ir por delante y, para ello, alinear e integrar los sistemas y planes de seguridad física y lógica, incluido la ciberseguridad, necesarios para proteger sus actividades frente a los riesgos y las amenazas en evolución permanente, así como cumplir con las nuevas regulaciones que las distintas instituciones, nacionales e internacionales, están implementando para proteger la seguridad global de tan esenciales elementos estructurales.
En junio 2022 se celebró en Madrid la XXX Cumbre de la Alianza Atlántica (OTAN) con la presencia de 40 líderes internacionales. Durante este encuentro de alto nivel se aprobó el nuevo “Concepto Estratégico de la OTAN”, un documento clave que define los desafíos de la organización internacional para la próxima década, y que finalizó con un acuerdo para reforzar las capacidades de la Alianza.
Para estar a la altura de estos nuevos objetivos, hemos de redefinir las políticas de seguridad, crear una nueva cultura de seguridad integral e integrada, establecer los mecanismos de control y gestión de la seguridad física y lógica, monitorear el sistema de seguridad y, sobre todo, hacer hincapié en la resiliencia.
Nuevos retos y exigencias que también para la Seguridad Pública y Privada y su especial integración operativa se ponen de manifiesto y requieren de una revisión y actualización de medios tecnológicos y medidas organizativas de las que disponen para dar respuesta a estos nuevos riesgos y amenazas.
El Programa Europeo para la Protección de las Infraestructuras Críticas (PEPIC), que se estableció en 2006 sobre la base de la Comunicación de la Comisión, es el principal vehículo de la UE para garantizar su salvaguarda y resiliencia.
Con las nuevas directivas, la Comisión busca reforzar la capacidad de los estados miembros para proteger y recuperar sus infraestructuras y servicios críticos nacionales y, progresivamente, avanzar en la armonización de los recursos y planes europeos. Para ello, aumenta las obligaciones de los integrantes para elaborar estrategias, llevar a cabo análisis de riesgos e identificar y supervisar las entidades críticas, entre otras.
Catálogo de Infraestructuras y Sectores Estratégicos y Críticos
Por definición, las infraestructuras críticas son vitales para el funcionamiento de la sociedad. Sin suministros confiables de energía o transporte o el seguro funcionamiento de sus estructuras esenciales (sanitarias, financieras, suministros, etc.), nuestra forma de vida actual no sería posible. Por esta razón, la UE y sus Comisiones se han dedicado durante mucho tiempo a fomentar la protección y resiliencia de las infraestructuras críticas frente a todo tipo de riesgos naturales o provocados por el hombre.
Así, se han determinado cuáles eran los Sectores Estratégicos y Críticos, como las infraestructuras relacionadas con Servicios Esenciales: Sector Energético (Eléctrico, hidrocarburos, gas); Sector Tecnologías Información (Telefonía, radio, televisión); Sector Transportes (Aeropuertos, puertos, FFCC, carreteras); Sector Hídrico. Agua (Depósitos, embalses, estaciones, tratamiento); Sector Salud (Biológico, asistencia hospitalaria, vacunas); Sector Alimentación (Producción, almacenamiento y distribución); Sector Finanzas (Entidades bancarias, valores e inversiones).
Así mismo, las infraestructuras sensibles relacionadas con la seguridad de especial atención, como son: Sector Nuclear (Producción y almacenamiento de residuos); Sector Químico (sustancias químicas, armas y explosivos); Sector Instalaciones de Investigación (materiales químicos, biológicos, etc.); Sector Espacio (Cecom, telecomunicaciones); Sector Administración (Altas Instituciones del Estado, Defensa, Interior, Servicios Emergencia, Patrimonio Nacional).
Sectores, localización y seguridad
Hoy la inseguridad y la violencia están globalizadas y reflejan una organización social también en crisis, que involucra a individuos y a instituciones. Cabe decir que los ciudadanos han perdido los referentes para hallar las soluciones a los problemas más comunes, entre otras razones, porque la seguridad se difumina al no estar globalizada ni suficientemente organizada.
Hemos de pensar en global como ciudadanos del mundo pero, hemos de actuar en local, en nuestra dimensión ciudadana pues la fragilidad y las vulnerabilidades se han puesto de manifiesto y, para abordar la seguridad de las Infraestructuras Críticas y Estratégicas, resulta imprescindible disponer de una visión integral del entorno, interno y externo, que tenga en cuenta todos los aspectos de la actividad y sus objetivos con una perspectiva panorámica, identificando todos los riesgos, amenazas y vulnerabilidades de la organización.
En cuanto a qué seguridades se ha de contemplar, cabe destacar que debe existir un único sistema de seguridad y protección integral en cada organización en la que queden comprendidas:
Así, las medidas a adoptar y los medios a disponer estarán directamente relacionados con:
Seguridad Global, integral e integrada
Hemos de redefinir la Seguridad pues los desafíos que sugiere el nuevo contexto global de riesgos y amenazas requieren soluciones innovadoras, que incorporen a la inteligencia y la tecnología como bases de una estrategia de seguridad necesaria para operar en las organizaciones y la sociedad en su conjunto.
En especial, hemos de analizar el posible impacto en lo que se refiere a los riesgos y amenazas en las infraestructuras críticas, y reestudiar las complejidades de la toma de decisiones y liderazgo de la seguridad global como tarea imprescindible para un futuro esperable de la prevención y la protección.
Solo la puesta en marcha de una seguridad global, integral e integrada puede garantizar una protección eficiente frente a amenazas globales, y eso supone tener en cuenta los aspectos geoestratégicos, humanos, legales, sociales, económicos y técnicos de todos los riesgos y amenazas que pueden afectar a las personas y bienes integrantes en la actividad de unos países aliados por el bien común y la seguridad conjunta.
Ante la gran variedad de riesgos inherentes a las Infraestructuras Críticas, su protección debe tener un enfoque basado en la seguridad integral, y ser abordada como una gestión de riesgos, implementando un modelo holístico de seguridad, incorporando la cultura proactiva de prevención y protección.
Sin duda hoy hay que dar una respuesta con una Seguridad Única con mayúscula, integral e integrada, pública y privada.
En definitiva, hemos de fomentar una cultura de seguridad, identificando las oportunidades y debilidades de los diferentes actores que abarcan el espectro global, nacional y local de la seguridad pública y privada.
Todo ello sin olvidar que una moderna organización y dirección de seguridad debe estar estructurada actualmente en torno a valores y su liderazgo debe ser una consecuencia de la expresión de estos.
No podemos pretender tener organizaciones seguras y resilientes si las personas que forman parte de las mismas no lo son. Por ello, debemos trabajar en la resiliencia individual proactiva, aprovechando los recursos y experiencia de la que ya disponemos, aplicando los buenos resultados ya obtenidos con ellos y apoyándonos en los valores de los modelos de éxito ya implantados.
Planes y soluciones de seguridad
Todo el desarrollo se basa en el Esquema del Plan Nacional de PIC (Protección de Infraestructuras Críticas) y su desarrollo:
PES – Plan Estratégico Sectorial: instrumentos de estudio y planificación para todo el territorio nacional, que permitirán conocer, en cada uno de los sectores contemplados, cuáles son los servicios esenciales proporcionados a la sociedad, el funcionamiento de éstos, las vulnerabilidades del sistema, las consecuencias potenciales de su inactividad y las medidas estratégicas necesarias para su mantenimiento.
PSO – Plan de Seguridad del Operador: documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.
PPE – Planes de Protección Específicos: documentos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a implementar por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.
PAO – Plan de Apoyo Operativo: documentos donde se deben plasmar las medidas organizativas y operativas concretas a poner en marcha por las Administraciones Públicas para apoyo de los operadores críticos, para la mejor protección de sus infraestructuras.
Todo ello con un enfoque integral de seguridad física y seguridad lógica, con la misión fundamental de coordinar las actividades de los agentes implicados en la protección de las infraestructuras esenciales o críticas, tanto en el sector público, como en el privado, adoptando las medidas legislativas, normativas, buenas prácticas, planes generales y específicos de cada sector, en coordinación con las Fuerzas y Cuerpos de Seguridad y la cooperación internacional
En este sentido, el Ministerio de Interior en España ha renovado la Web del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) con mejoras en su accesibilidad y seguridad. Entre las principales novedades, ofrecerá el Nivel de Alerta de las Infraestructuras críticas (NAIC), una escala de cinco niveles complementarios y asociados a los niveles de alerta del Plan de Prevención y Protección Antiterrorista.
Con todo ello, y como recomendaciones finales, debemos potenciar una nueva cultura de seguridad con visión holística sobre la base de las amenazas complejas; incrementar los recursos de análisis y liberarlos de viejas patologías y rigideces; y desarrollar el esquema de gestión integral del riesgo y las seguridades, partiendo de esquemas básicos o decálogos para el desarrollo desde el pensamiento global y la actuación local.