Protección de infraestructuras críticas

Soto & Poveda Asociados CONSULTORÍAS Y AUDITORÍAS DE SEGURIDAD – PERITAJES – CRIMINÓLOGOS – ABOGADOS

La protección de infraestructuras críticas y el criminólogo

Vicente Soto Pelegrín

Criminólogo

Diplomado en planes de autoprotección

Resumen

El presente artículo versa sobre la forma de tratar la seguridad física en

ciertas instalaciones que por su contenido o dedicación adquieren el carácter

de críticas. Los riesgos y las amenazas que tiene nuestra sociedad, hace que

se deba atender a la preservación y continuidad de la prestación de los

servicios esenciales en caso de crisis o ataques. Por ello es necesario

reivindicar la figura del criminólogo como profesional conocedor del delito a la

hora de trabajar los riesgos de seguridad.

PALABRAS CLAVE: instalaciones críticas, seguridad, riesgos, prevención,

criminólogo

Abstract

This article discusses how to handle security at certain facilities for their

dedication content or acquire the character of reviews. The risks and threats

that our society makes it must attend to the preservation and continued

provision of essential services in the event of crisis or attack. Therefore it is

necessary to claim the figure of knowledgeable professional criminologist crime

work when security risks.

KEYWORDS: critical facilities, security, risk, prevention, criminologist

Correo electrónico: [email protected] Web: www.sotoypovedaasociados.esGregorio Marañón, 31 03202 Elche

1

mailto:[email protected]


Después de los atentados de Estados Unidos en el 2001, y de Madrid y

Londres en el 2004 y 2005 respectivamente, se abrió la conciencia pública y

política con la vulnerabilidad de los países desarrollados ante la amenaza

terrorista. Más concretamente, la existencia de una debilidad en la seguridad

de las instalaciones críticas y consecuentemente con el riesgo también para las

personas que usan o trabajan en esas instalaciones. La prevención había

quedado en entredicho. No eran suficientes las políticas de seguridad que se

llevaban a cabo, simplemente, porque no contemplaban un enemigo nuevo, un

agresor que no venía de frente y que no “iba” a por los poderosos.

En Europa se comenzó a trabajar en ello. La directiva europea 2008/114

marca que son los estados miembros los responsables de proteger este tipo de

instalaciones. En España se publicó la Ley 8/2011, de 28 de abril, por la que se

establecen medidas para la protección de las infraestructuras críticas. En el

preámbulo de la Ley se señala a la globalización como la causante de los

nuevos riesgos, riesgos como el terrorismo internacional, como la fabricación y

mercadeo de armas de destrucción masiva o como el crimen organizado.

¿Qué son las infraestructuras críticas?

Son “aquellas instalaciones, redes, servicios y equipos físicos y de

tecnología de la información cuya interrupción o destrucción tendría un impacto

mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o

en el eficaz funcionamiento de las instituciones del Estado y de las

Administraciones Públicas”. Es decir el criterio que se sigue para definir una

estructura crítica es que preste un servicio esencial al ciudadano, por otro lado

que se garantice el ejercicio de la autoridad de los poderes públicos, y

finalmente el impacto negativo que produciría en el País la destrucción de estas

infraestructuras.


2



El Catálogo está conformado por más de 3.000 instalaciones que

comprenden centrales de energía, nucleares, tecnológicas, industria química,

biológica y radiológica, transporte, suministro de agua, centros sanitarios,

laboratorios, banca y alimentación.

Este catálogo (que no es público por razones lógicas) se basa en el análisis

de riesgos sobre las amenazas potenciales y el estudio de las vulnerabilidades.

También se rige por la gravedad de la perturbación en cuanto al posible

número de personas afectadas en un ataque, al impacto medioambiental, a las

pérdidas económicas y al posible impacto moral en la población y a la

alteración en la vida cotidiana.

Se crea con la Ley 8/2011 el Centro Nacional para la Protección de las

Infraestructuras Críticas (CNPIC) con el fin de coordinar y supervisar todo lo

relacionado con las infraestructuras críticas. Se establece la necesidad de

elaborar planes de Seguridad para entes públicos y privados. Más

concretamente la elaboración de un plan de seguridad para el operador (PSO)

y un plan de protección específico (PPE) para prevenir, proteger y, en su caso,

reaccionar ante la amenaza.

Estamos ante una estrategia de protección que abarca la protección

documental, la seguridad en el personal y la seguridad física. Esto es, la

manera de proteger la información, organizando quién accede, quién la maneja

y dónde, cómo y cuando se accede a ella. Para acceder a esa información se

exigen tres requisitos: 1-Que al sujeto le hayan concedido una Habilitación

Personal de Seguridad adecuada. 2-Que tenga una Necesidad de Conocer la

información, y así se especifique. 3-Que tenga la formación en Seguridad

pertinente. Así, la información con la que se va a trabajar presenta unas

características de secreta, reservada y confidencial. La nomenclatura varía

dependiendo la organización de la que hablemos (OTAN, AEE, UE, etc.)

El solicitante de la habilitación y su entorno será investigado. Sin embargo

deberá autorizarlo y conocerá que va a ser investigado como condición

indispensable para la obtención de la habilitación.


3



El Real Decreto 704/2011, establece la necesidad de contemplar un análisis

de riesgos que abarque tanto las amenazas físicas como lógicas existentes. En

cuanto a la protección física, teniendo presente las características del lugar a

proteger y de la clasificación de la información, los medios humanos deben ser

especialmente profesionales (al igual que los responsables de la seguridad) y

los medios técnicos o electrónicos deben ser de gran calidad. No es lo mismo

establecer un plan de seguridad para una cadena de ropa que para un

ministerio o una central de energía.

Los 12 sectores estratégicos en los que se divide el tipo de Infraestructuras

Críticas son tan importantes e imprescindibles en la sociedad que es necesario

un plan de seguridad que recoja de manera exhaustiva, si cabe, los riesgos,

amenazas y vulnerabilidades del lugar a proteger.

Un análisis o evaluación de riesgos nos dará el conocimiento sobre la

probabilidad de que una amenaza se manifieste y el impacto de su

materialización en la infraestructura crítica, sacando a la luz la vulnerabilidad

del complejo crítico, esta vulnerabilidad no es otra cosa que el grado de

destrucción recibido por la amenaza efectiva. Es decir, nos da el conocimiento

sobre el peligro potencial. Se trata de evitar que se convierta en un peligro real.

Las amenazas a considerar son variadas y pueden provenir por causas

naturales (terremotos, tormentas, etc.), por la acción del hombre (robo,

sabotaje, vandalismo, agresión, terrorismo etc.), o por accidentes, que pueden

repercutir en la Seguridad física de las instalaciones, en la seguridad

informática, en la seguridad en las telecomunicaciones, en la seguridad de la

información o en la seguridad del personal, tanto del propio como del usuario o

visitante.

Realizando una definición y un análisis del riesgo (Riesgo nuclear, riesgo

laboral, riesgo biológico, riesgos sociales, riesgos tecnológicos, riesgo de

incendios…) identificaremos la clase de amenaza que puede sufrir la

instalación crítica y podremos valorar los riesgos. Como elementos de riesgo

humanos hay que considerar el posible consumo de drogas por parte de los

trabajadores, la delincuencia organizada (con el ejemplo del espionaje


4



industrial y tecnológico) el terrorismo (buscando la destrucción física del lugar,

la propaganda y minar la moral de la población) los grupos organizados (aquí

hablamos de personas que sin ser delincuentes habituales sí pueden realizar

algún acto ilegal especialmente el sabotaje o vandalismo), el paro (bien por

causa de un trabajador despedido, bien por motivos de “justicia social”)

Para realizar un plan de seguridad integral habrá que trabajar en campos

organizativos, operativos y técnicos. Sin olvidar que se debe trabajar en primer

lugar desde la prevención.

El proceso organizativo comprende el análisis de riesgos, la planificación, la

implementación de los planes, la actualización de los planes y el cumplimiento

de la normativa aplicable.

Dentro del procedimiento operativo debemos contemplar la formación en

seguridad técnica y cultural, la elaboración de planes de contingencias, la

auditoría interna continúa con el fin de evaluar los sistemas de seguridad, la

selección del personal de seguridad, la gestión de acceso del personal

autorizado en todas sus variantes, el protocolo de acceso de objetos

(paquetería, correspondencia, equipos tecnológicos, etc.), la operativa de

seguridad del personal de seguridad y los planes de autoprotección y

evacuación.

Por lo que se refiere al procedimiento de protección se contempla los medios

anti-intrusión, la seguridad física, la seguridad electrónica1, los sistemas de

detección, los controles de accesos2 de personas, vehículos y mercancías

efectivos, sistemas de cctv y un centro de control.3

Ya hemos dicho que desde la prevención emana todo el sistema de

seguridad y se comienza a materializar con el análisis de riesgos. En el caso de

1 No es suficiente con establecer la seguridad física y electrónica perimetral. Esta sólo es el segundo anillo de la seguridad.2 Los controles de accesos pueden estar conformados por medios humanos que identifican al personal que accede al recinto o compuestos por identificación electrónica como tarjetas anti passback, lectores de tarjetas, de matriculas, etc.3 El centro de control se encarga de coordinar la comunicación, de las anomalías y de las alarmas que se puedan producir para dar respuesta rápida a la incidencia.


5



las infraestructuras críticas es muy recomendable realizar un análisis de

riesgos una vez al año mínimo, cuando se haya producido una vulnerabilidad

grave en la seguridad, y cada vez que se cambien las contratas que prestan

servicios en las infraestructuras críticas.4

Con una buena prevención se puede detectar con mayor eficacia una

amenaza y reaccionar con una respuesta también eficaz.

¿Por qué no trabajar con criminólogos?

El director de seguridad es la máxima autoridad en materia de seguridad en

una empresa, entidad u organismo público o privado. No obstante deberá

seguir los criterios que marque la Ley y la política de empresa. El RD

1123/2001, de 19 de octubre, por el que se modifica parcialmente el

Reglamento de Seguridad Privada, aprobado por RD 2364/1994, de 9 de

diciembre, establece en su artículo 95 las siguientes funciones del director de

seguridad:

El análisis de situaciones de riesgo y planificación y programación de

las actuaciones precisas para la implantación y realización de los

servicios de seguridad.

La organización, dirección e inspección del personal y servicios de

seguridad privada.

La propuesta de los sistemas de seguridad que resulten pertinentes,

así como la supervisión de su utilización, funcionamiento y

conservación.

La coordinación de los distintos servicios de seguridad que de ellos

dependan con actuaciones propias de protección civil, en situaciones

de emergencia, catástrofe o calamidad pública.

4 Esto también es aconsejable en cualquier instalación, organismo, entidad o particular que tenga un sistema de seguridad sea del tipo que sea.


6



Asegurar la colaboración de los servicios de seguridad con los de las

correspondientes dependencias de las Fuerzas y Cuerpos de

Seguridad.

En general, velar por la observancia de la regulación de seguridad

aplicable.

Sin embargo quiero remarcar que el conocimiento que tiene el

criminólogo del delito le capacita para la prevención del mismo, para la

disminución de la criminalidad, para el estudio del delincuente, para hacer

investigaciones y peritajes, etc.

Es cuando menos curioso, que las instalaciones en infraestructuras críticas

no contemplen en su apuesta por la seguridad con la figura del criminólogo

como gestor de la prevención de la criminalidad. El libro blanco de criminología

explica que una de las funciones que puede desarrollar este profesional está

enmarcada en la Seguridad Privada. El carácter científico de la criminología

viene avalado por la Universidad, con una preparación multidisciplinar que

convierte al criminólogo en el único profesional con una visión de 360º sobre la

criminalidad y su amenaza.

Las amenazas (al margen de accidentes y causas naturales) provienen de

personas que presentan conductas desviadas. Se hace pues, imprescindible

dotar a los diferentes departamentos de seguridad de un criminólogo que no

sólo pueda adoptar una política de seguridad, sino una política criminal en

relación al organismo o entidad potencialmente amenazada.

En España los trabajos generales realizados sobre las vulnerabilidades en

las infraestructuras críticas están basados en ciberataques, como por ejemplo

el informe realizado por la empresa S2 Grupo en el año 2012. Como apunta

Antonio Villalón, Director de Seguridad de este grupo,” puede resultar más fácil

un ciberataque contra la infraestructura que un ataque tradicional contra la

misma”. Las vulnerabilidades físicas quedan en un segundo plano, de hecho no

se realizan estudios generales sobre ciertos tipos de contingencias. Vuelvo a

insistir en que la prevención es la base del éxito en la protección.


7



Como vimos al principio del artículo, la protección de las infraestructuras

críticas se planteó pensando en una amenaza concreta, la terrorista. Se olvidó

que cualquier sujeto puede cometer un ataque si está suficientemente

motivado, si tiene la oportunidad para hacerlo y si el objetivo está

insuficientemente vigilado, siguiendo la teoría de la prevención situacional.

Anticiparse al hecho criminal no es fácil, pero el criminólogo con el análisis y

estudio de la criminalidad de la zona (puntos calientes), de las estadísticas, de

la cualidad del delito, del aumento del paro en determinada zona, de problemas

socio-económicos-familiares de los trabajadores de estos centros críticos,

incluso del cambio de leyes, de la geografía del terreno, del vecindario

industrial, etc., eleva la calidad de la seguridad. La seguridad no se puede

garantizar al 100%, pero se debe buscar minimizar la gravedad de los efectos

de un acto delictivo.

Las preguntas que se plantea el criminólogo en este campo de actividad son:

¿A quién beneficiaría un ataque? ¿Quién puede alcanzar el objetivo con éxito?

¿Cómo lo haría? ¿Cuándo lo haría? ¿Con qué lo haría?

Estamos ante la necesidad de evitar preguntarnos ¿Cómo lo han hecho?

Conclusión

En los últimos años ha surgido la figura del director de seguridad formado en

criminología o del criminólogo formado en seguridad. Esto debe ser

aprovechado por las empresas y entidades públicas o privadas. Hasta la fecha,

el criminólogo en España se considera un profesional menor, fruto de la escasa

cultura en seguridad que caracteriza a nuestro País. Lo cierto que estamos

ante profesionales muy preparados en diferentes campos de la seguridad y de

la criminología y no se está sabiendo cultivar esta nueva coyuntura social. Una

magnífica oportunidad se presenta a las más de 3500 infraestructuras críticas

presentes en España.


8



Fuentes:

CNI http://www.cni.es/es/ons/documentacion/normativa/

Directiva europea 2008/114

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la

protección de las infraestructuras críticas

Método Mosler de cálculo de riesgos

RD 1123/2001, de 19 de octubre, por el que se modifica parcialmente el

Reglamento de Seguridad Privada, aprobado por RD 2364/1994, de 9 de

diciembre

Libro blanco de criminología

Introducción a la investigación criminológica. Horacio Roldán Barbero


9


http://www.boe.es/buscar/doc.php?id=BOE-A-2011-7630

http://www.boe.es/buscar/doc.php?id=BOE-A-2011-7630

http://www.cni.es/es/ons/documentacion/normativa/

Protección de infraestructuras críticas

Documents

Transcript of Protección de infraestructuras críticas