180 likes | 598 Views
Plan de Seguridad del Operador T25: Contenidos mínimos de Planes de seguridad del Operador (PSO), Planes de Protección Específicos (PPE). Elena Maestre Socio PwC. Índice. Introducción Desarrollo Conclusiones Bibliografía Glosario. 1 – Introducción. Marco Legislativo.
E N D
Plan de Seguridad del Operador T25: Contenidos mínimos de Planes de seguridad del Operador (PSO), Planes de Protección Específicos (PPE) Elena Maestre Socio PwC
Índice • Introducción • Desarrollo • Conclusiones • Bibliografía • Glosario
1 – Introducción Marco Legislativo • PEPIC (Programa Europeo de Protección de Infraestructuras Críticas) aprobado en diciembre de 2004 • PNPIC (Plan Nacional de Protección de Infraestructuras Críticas) aprobado el 7 de mayo de 2007 • Catálogo Nacional de Infraestructuras Estratégicas custodiado por el CNPIC y con más 3.700 infraestructuras en España • Directiva 2008/114/CE, de 8 de diciembre, sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección. • Ley 8/2011 de 28 de Abril, por la que se establecen las medidas de protección de las infraestructuras críticas • RD 704/2011 de 21 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas
1 – Introducción Sectores
1 – Introducción Ley 8/2011 • “Artículo 13. Operadores críticos. • Los operadores considerados críticos en virtud de esta Ley deberán colaborar con las autoridades competentes del Sistema, con el fin de optimizar la protección de las infraestructuras críticas y de las infraestructuras críticas europeas por ellos gestionados. Con ese fin, deberán: • a) … • b) … • c) Elaborar el Plan de Seguridad del Operador en los términos y con los contenidos que se determinen reglamentariamente. • d) Elaborar, según se disponga reglamentariamente, un Plan de Protección Específico por cada una de las infraestructuras consideradas como críticas en el Catálogo. • e) … • f) … • g)…”
1 – Introducción RD 704/2011 • “Artículo 13. Operadores críticos. • Los operadores críticos serán los agentes integrantes del Sistema, que, procedentes tanto del sector público como del sector privado, reúnan las condiciones establecidas en el artículo 13 de la Ley 8/2011, de 28 de abril. • 2. En aplicación de lo previsto en la citada Ley, corresponde a los operadores críticos: • a) … • b) … • c) Elaborar el Plan de Seguridad del Operador y proceder a su actualización periódicamente o cuando las circunstancias así lo exijan, conforme a lo que establece el Capítulo III, Título III del presente reglamento. • d) Elaborar un Plan de Protección Específico por cada una de las infraestructuras consideradas como críticas en el Catálogo así como proceder a su actualización periódicamente o cuando las circunstancias así lo exijan, conforme a lo establecido en el Capítulo IV, Título III del presente reglamento. • e) … • f) … • g)… ”
1 – Introducción Calendario (*) Planes Estratégicos Sectoriales 05/2012 (*) Plan de Seguridad Operador (*) Planes Protección Específicos (*) Planes Apoyo Operativo 1 Año 6 Meses 4 Meses 04/2011 Publicación Ley 8/2011 05/2011 Publicación RD 704/2011 2013? Implantación Planes de Seguridad 2 Meses Designación Operador Crítico 3 Meses 3 Meses Designación Delegado de Seguridad Designación Responsable de Seguridad (*) Revisar al menos bienalmente
2 – Desarrollo Plan de Seguridad del Operador (PSO) • Plan de Seguridad del Operador (PSO): “Los Planes de Seguridad del Operador son los documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.” • El PSO definirá la política general del operador para garantizar la seguridad integral del conjunto de instalaciones o sistemas de su propiedad o gestión. • El PSO como instrumento de planificación del Sistema de Protección de Infraestructuras Críticas deberá de contener al menos la siguiente información: • Política general de seguridad del operador y marco de gobierno. • Relación de servicios Esenciales prestados por el operador critico. • Metodología de análisis de riesgo (amenazas físicas y lógicas). • Criterios de aplicación de Medidas de Seguridad Integral. • Documentación Complementaria. Finalidad y Contenido
2 – Desarrollo 1. Política general de seguridad del operador y marco de gobierno • Política General de Seguridad del Operador • Marco de Gobierno de seguridad • Organización de seguridad • Responsable de Seguridad y Enlace • Delegados de Seguridad • Formación y concienciación • Modelo de gestión aplicado • Identificación de los servicios esenciales • Mantenimiento del inventario de servicios esenciales • Estudio y consecuencias de la interrupción del servicio esencial • Interdependencias 2. Relación de servicios Esenciales prestados por el operador critico
2 – Desarrollo 3. Metodología de análisis de riesgo (amenazas físicas y lógicas) • Descripción de la metodología de análisis • Tipologías de activos que soportan los servicios esenciales • Identificación y evaluación de amenazas • Valoración y Gestión de riesgos • Dentro del ámbito de la seguridad integral, el operador definirá a grandes rasgos los criterios utilizados en su organización para la aplicación y administración de la seguridad. En este sentido, incluirá de forma genérica las medidas de seguridad implantadas sobre el conjunto de sus activos y recursos sobre los que se apoyan los servicios esenciales y que se recogerán en sus respectivos Planes de Protección Específicos, al objeto de hacer frente a aquellas amenazas tanto físicas como lógicas identificadas en los oportunos análisis de riesgos sobre cada una de las tipologías de sus activos. • Normativa, Buenas prácticas y Regulatoria • Coordinación con otros planes 4. Criterios de aplicación de Medidas de Seguridad Integral 5. Documentación Complementaria
2 – Desarrollo Método de revisión y actualización Revisión: Bienal. Actualización: Cuando se produzca algún tipo de modificación en lo datos incluidos en el PSO. En este caso, el PSO quedará actualizado cuando dichas modificaciones hayan sido validadas por el CNPIC, o en las condiciones establecidas en su normativa sectorial específica. El operador debe definir sus procedimientos de gestión y tratamiento de la información, así como los estándares de seguridad precisos para prestar una adecuada y eficaz protección de la información, independientemente del formato en el que ésta se encuentre. Además, los operadores designados como críticos, deberán tratar los documentos que se deriven de la aplicación de la Ley 08/2011 por la que se establecen medidas para la protección de las infraestructuras críticas. Protección y gestión de la información y documentación
3 – Conclusiones Si no se cumple … El reglamento que desarrolla la Ley está mismo no establecen un régimen sancionador, puesto que el espíritu de la normativa PIC se basa en la confianza mutua y la confidencialidad de la información que se comparte. Aún así , en caso de incumplimiento de las obligaciones que establece tanto la Lay como su desarrollo normativo, podrían ser aplicables en la mayor parte de los casos los distintos regímenes sancionadores sectoriales y eventualmente la normativa existente en materia de Seguridad Privada y Seguridad Civil.
4 – Bibliografía • Ley 8/2011 • RD 704/2011 • Borrador Contenidos mínimos Plan de Seguridad del Operador (PSO)
5 – Glosario • PEPIC – Programa Europeo de Protección de Infraestructuras Críticas • PNPIC – Plan Nacional de Protección de Infraestructuras Críticas • Ley 8/2011 – Ley de Protección de Infraestructuras Críticas, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. • RD 704/2011 – Real Decreto ,de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas • PSO – Plan de Seguridad del Operador
Fin de la presentación Muchas gracias