plan de seguridad del operador t25: contenidos mínimos de planes de seguridad del operador (pso),...
TRANSCRIPT
Plan de Seguridad del OperadorT25: Contenidos mínimos de Planes de seguridad del Operador (PSO), Planes de Protección Específicos (PPE)
Elena Maestre
Socio
PwC
2
1. Introducción
2. Desarrollo
3. Conclusiones
4. Bibliografía
5. Glosario
Índice
3
1 – Introducción
• PEPIC (Programa Europeo de Protección de Infraestructuras Críticas) aprobado en diciembre de 2004
• PNPIC (Plan Nacional de Protección de Infraestructuras Críticas) aprobado el 7 de mayo de 2007
• Catálogo Nacional de Infraestructuras Estratégicas custodiado por el CNPIC y con más 3.700 infraestructuras en España
• Directiva 2008/114/CE, de 8 de diciembre, sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección.
• Ley 8/2011 de 28 de Abril, por la que se establecen las medidas de protección de las infraestructuras críticas
• RD 704/2011 de 21 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas
Marco Legislativo
4
1 – Introducción
Sectores
5
Ley 8/2011
1 – Introducción
“Artículo 13. Operadores críticos.
1.Los operadores considerados críticos en virtud de esta Ley deberán colaborar con las autoridades competentes del Sistema, con el fin de optimizar la protección de las infraestructuras críticas y de las infraestructuras críticas europeas por ellos gestionados. Con ese fin, deberán:
a) …b) …c) Elaborar el Plan de Seguridad del Operador en los términos y con los contenidos que se determinen reglamentariamente.d) Elaborar, según se disponga reglamentariamente, un Plan de Protección Específico por cada una de las infraestructuras consideradas como críticas en el Catálogo.e) …f) …g)…”
6
RD 704/2011
1 – Introducción
“Artículo 13. Operadores críticos.
1.Los operadores críticos serán los agentes integrantes del Sistema, que, procedentes tanto del sector público como del sector privado, reúnan las condiciones establecidas en el artículo 13 de la Ley 8/2011, de 28 de abril.2. En aplicación de lo previsto en la citada Ley, corresponde a los operadores críticos:
a) …b) …c) Elaborar el Plan de Seguridad del Operador y proceder a su actualización periódicamente o cuando las circunstancias así lo exijan, conforme a lo que establece el Capítulo III, Título III del presente reglamento.d) Elaborar un Plan de Protección Específico por cada una de las infraestructuras consideradas como críticas en el Catálogo así como proceder a su actualización periódicamente o cuando las circunstancias así lo exijan, conforme a lo establecido en el Capítulo IV, Título III del presente reglamento.e) …f) …g)… ”
7
1 – Introducción
Calendario
04/2011
Publicación Ley 8/2011
05/2011
Publicación RD 704/2011
(*) Planes Estratégicos Sectoriales
05/2012
2013?
Implantación Planes de Seguridad
Designación Operador Crítico
(*) Planes Protección Específicos
6 Meses 4 Meses
1 Año
(*) Plan de Seguridad Operador
Designación Delegado de
Seguridad
Designación Responsable de
Seguridad
3 Meses 3 Meses
(*) Planes Apoyo
Operativo
(*) Revisar al menos bienalmente
2 Meses
8
Plan de Seguridad del Operador (PSO)
2 – Desarrollo
Plan de Seguridad del Operador (PSO): “Los Planes de Seguridad del Operador son los documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.”
El PSO definirá la política general del operador para garantizar la seguridad integral del conjunto de instalaciones o sistemas de su propiedad o gestión.
El PSO como instrumento de planificación del Sistema de Protección de Infraestructuras Críticas deberá de contener al menos la siguiente información:
1. Política general de seguridad del operador y marco de gobierno.2. Relación de servicios Esenciales prestados por el operador critico.3. Metodología de análisis de riesgo (amenazas físicas y lógicas).4. Criterios de aplicación de Medidas de Seguridad Integral.5. Documentación Complementaria.
Finalidad y Contenido
9
1. Política general de seguridad del operador y marco de gobierno
2 – Desarrollo
Política General de Seguridad del Operador Marco de Gobierno de seguridad
• Organización de seguridad Responsable de Seguridad y Enlace Delegados de Seguridad
• Formación y concienciación• Modelo de gestión aplicado
Identificación de los servicios esenciales Mantenimiento del inventario de servicios esenciales Estudio y consecuencias de la interrupción del servicio esencial Interdependencias
2. Relación de servicios Esenciales prestados por el operador critico
10
3. Metodología de análisis de riesgo (amenazas físicas y lógicas)
2 – Desarrollo
Descripción de la metodología de análisis Tipologías de activos que soportan los servicios esenciales Identificación y evaluación de amenazas Valoración y Gestión de riesgos
Dentro del ámbito de la seguridad integral, el operador definirá a grandes rasgos los criterios utilizados en su organización para la aplicación y administración de la seguridad. En este sentido, incluirá de forma genérica las medidas de seguridad implantadas sobre el conjunto de sus activos y recursos sobre los que se apoyan los servicios esenciales y que se recogerán en sus respectivos Planes de Protección Específicos, al objeto de hacer frente a aquellas amenazas tanto físicas como lógicas identificadas en los oportunos análisis de riesgos sobre cada una de las tipologías de sus activos.
Normativa, Buenas prácticas y Regulatoria Coordinación con otros planes
4. Criterios de aplicación de Medidas de Seguridad Integral
5. Documentación Complementaria
11
Método de revisión y actualización
2 – Desarrollo
Revisión: Bienal.
Actualización: Cuando se produzca algún tipo de modificación en lo datos incluidos en el PSO. En este caso, el PSO quedará actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial específica.
El operador debe definir sus procedimientos de gestión y tratamiento de la información, así como los estándares de seguridad precisos para prestar una adecuada y eficaz protección de la información, independientemente del formato en el que ésta se encuentre.
Además, los operadores designados como críticos, deberán tratar los documentos que se deriven de la aplicación de la Ley 08/2011 por la que se establecen medidas para la protección de las infraestructuras críticas.
Protección y gestión de la información y documentación
12
Si no se cumple …
3 – Conclusiones
El reglamento que desarrolla la Ley está mismo no establecen un régimen sancionador, puesto que el espíritu de la normativa PIC se basa en la confianza mutua y la confidencialidad de la información que se comparte.
Aún así , en caso de incumplimiento de las obligaciones que establece tanto la Lay como su desarrollo normativo, podrían ser aplicables en la mayor parte de los casos los distintos regímenes sancionadores sectoriales y eventualmente la normativa existente en materia de Seguridad Privada y Seguridad Civil.
13
4 – Bibliografía
Ley 8/2011
RD 704/2011
Borrador Contenidos mínimos Plan de Seguridad del Operador (PSO)
14
5 – Glosario
PEPIC – Programa Europeo de Protección de Infraestructuras Críticas
PNPIC – Plan Nacional de Protección de Infraestructuras Críticas
Ley 8/2011 – Ley de Protección de Infraestructuras Críticas, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
RD 704/2011 – Real Decreto ,de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas
PSO – Plan de Seguridad del Operador
15
Fin de la presentación
Muchas gracias