SECRETARA DE ESTADO

DE SEGURIDAD
GABINETE DE COORDINACIN
Y ESTUDIOS

GUA DE BUENAS PRCTICAS

PLAN DE SEGURIDAD DEL OPERADOR

(PSO)

MINISTERIO SECRETARA DE ESTADO DE

DEL INTERIOR SEGURIDAD
GABINETE DE COORDINACIN Y
ESTUDIOS

1. INTRODUCCIN .............................................................................................................................................................3
1.1. Base legal ........................................................................................................................................................3
1.2. Objetivo de este documento ............................................................................................................................4
1.3. Proteccin de la informacin ............................................................................................................................4
2. POLTICA GENERAL DE SEGURIDAD DEL OPERADOR Y MARCO DE GOBIERNO..................................................................5
2.1. Poltica General de Seguridad del Operador ...................................................................................................5
2.1.1. Objeto ... 5
2.1.2. mbito o Alcance...............................................................................................................................6
2.1.3. Compromiso de la Alta Direccin ......................................................................................................6
2.1.4. Carcter Integral de la Seguridad ......................................................................................................7
2.1.5. Actualizacin .....................................................................................................................................8
2.2. Marco de Gobierno de seguridad .....................................................................................................................8
2.2.1. Organizacin de seguridad ................................................................................................................8
2.2.2. Formacin y Concienciacin ...........................................................................................................10
2.2.3. Modelo de gestin aplicado .............................................................................................................11
3. RELACIN DE SERVICIOS ESENCIALES PRESTADOS POR EL OPERADOR CRTICO...........................................................13
3.1. Identificacin de los servicios esenciales .......................................................................................................13
3.2. Mantenimiento del inventario de servicios esenciales ...................................................................................14
3.3. Estudio y Consecuencias de la Interrupcin del Servicio Esencial ................................................................14
3.4. Interdependencias..........................................................................................................................................15
4. METODOLOGA DE ANLISIS DE RIESGOS .....................................................................................................................15
4.1. Descripcin de la metodologa de anlisis .....................................................................................................15
4.2. Identificacin y valoracin de los activos que soportan los servicios esenciales ...........................................16
4.3. Identificacin y evaluacin de amenazas .......................................................................................................16
4.4. Valoracin y Gestin de riesgos.....................................................................................................................17
5. CRITERIOS DE APLICACIN DE MEDIDAS DE SEGURIDAD INTEGRAL ..............................................................................18
6. DOCUMENTACIN COMPLEMENTARIA ..........................................................................................................................21
6.1. Normativa, Buenas Prcticas y Regulatoria ...................................................................................................21
6.2. Coordinacin con Otros Planes......................................................................................................................21
7. ANEXO 1: EJEMPLOS. ............................................................................................................................................22
7.1. Poltica de Seguridad .....................................................................................................................................22
7.2. Matriz RACI ....................................................................................................................................................28
7.3. Designacin de Responsables .......................................................................................................................29
8. ANEXO 2: RELACIN DE ESTNDARES Y MEJORES PRCTICAS ..................................................................................31
8.1. Estndares y mejores prcticas nacionales ...................................................................................................31
8.1.1. Sistemas SCADA y Esquema Nacional de Seguridad ....................................................................32
8.1.2. Seguridad Fsica.....31
8.2. Estndares y mejores prcticas internacionales ............................................................................................32
8.2.1. Gobernanza y Gestin de TI incluida la calidad y la cadena de suministro.....................................32
8.2.2. Seguridad de TI ...............................................................................................................................34
8.2.3. Desastre y Recuperacin ................................................................................................................35
8.2.4. Mtricas e Indicadores ....................................................................................................................36
8.2.5. Auditora y Control ...........................................................................................................................36
8.2.6. Gestin de Riesgos .........................................................................................................................36
8.2.7. Seguridad Laboral ...........................................................................................................................37
8.2.8. Certificacin y Acreditacin .............................................................................................................37
8.2.9. Coordinacin y Respuesta ..............................................................................................................38

MINISTERIO DEL INTERIOR

2 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
1. INTRODUCCIN
1.1 BASE LEGAL
El normal funcionamiento de los servicios esenciales que se prestan a la
ciudadana descansa sobre una serie de infraestructuras de gestin tanto pblica como
privada cuyo funcionamiento es indispensable y no permiten soluciones alternativas: las
denominadas infraestructuras crticas. Por ello, se hace necesario el diseo de una
poltica de seguridad homognea e integral en el seno de las organizaciones que est
especficamente dirigida al mbito de las infraestructuras crticas, en la cual se definan
los subsistemas de seguridad que se van a implantar para la proteccin de las mismas
con el objetivo de impedir la destruccin, interrupcin o perturbacin que perjudiquen la
prestacin de los servicios esenciales a la ciudadana y asegure la continuidad de los
mismos.

En este sentido, la Ley 8/2011, de 28 de abril por el que se establecen medidas

para la proteccin de las infraestructuras crticas tiene como objeto el establecer las
estrategias y las estructuras organizativas adecuadas que permitan dirigir y coordinar las
actuaciones de los distintos rganos de las administraciones pblicas en materia de
proteccin de infraestructuras crticas, previa identificacin y designacin de las mismas,
impulsando adems la colaboracin e implicacin de los organismos y empresas
gestoras y propietarias (operadores crticos) de dichas infraestructuras, a fin de optimizar
el grado de proteccin de stas contra ataques deliberados tanto fsicos como lgicos,
que puedan afectar a la prestacin de los servicios esenciales.

Dicha Ley tiene su desarrollo mediante el Real Decreto 704/2011 de 20 de mayo,

por el que aprueba el Reglamento de medidas para la proteccin de las infraestructuras
crticas.

Del art. 13 de esta Ley se derivan una serie de compromisos para los operadores
pblicos y privados, entre los que se encuentran la elaboracin de un Plan de Seguridad
del Operador (en adelante PSO) y Planes de Proteccin Especficos (en adelante PPE).

Respecto a los contenidos del PSO, segn se recoge en el artculo 22.4 del Real
Decreto 704/2011, el Secretario de Estado de Seguridad estableci, mediante
Resolucin de fecha 15 de noviembre de 2011 y su modificacin con Resolucin de
fecha 29 de noviembre de 2011, los Contenidos Mnimos con los que debe contar todo
PSO, as como el modelo en el que basar la elaboracin de los mismos.

MINISTERIO DEL INTERIOR

3 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
1.2 OBJETIVO DE ESTE DOCUMENTO
Con el presente documento se pretende orientar a aquellos operadores
designados como crticos en la elaboracin de su PSO, sirviendo como complemento a
las Resoluciones del Secretario de Estado de Seguridad sobre Contenidos Mnimos del
PSO. Por lo tanto, se trata de un documento de carcter voluntario que no incluye
requisitos adicionales a los establecidos por la legislacin vigente o por las Resoluciones
mencionadas previamente.

En esta gua se incluyen una serie de Anexos (ejemplos, relacin de estndares y

buenas prcticas, etc.) que podrn ser de ayuda a los operadores crticos para la
confeccin de alguno de los puntos de los contenidos mnimos del Plan de Seguridad
del Operador.

1.3 PROTECCIN DE LA INFORMACIN

Tras la aprobacin del PSO, su grado de clasificacin ser de Difusin Limitada,
debiendo el Operador Crtico (en adelante OC) definir sus procedimientos de gestin y
tratamiento de la informacin conforme a unos estndares de seguridad que garanticen
una adecuada y eficaz proteccin de dicha informacin.

Para ello, el OC tomar como referencia las orientaciones dictadas por la Autoridad
Nacional de Seguridad, para la Proteccin de la Informacin clasificada con grado de
difusin limitada entre las que cabe destacar 1 :

Seguridad documental
o OR-ASIP-04-01.03 Orientaciones para el Manejo de Informacin
Clasificada con Grado de Difusin Limitada.
Seguridad en el personal
o OR-ASIP-02-02.02 Instruccin de Seguridad del Personal para acceso a
Informacin Clasificada.
Seguridad fsica
o OR-ASIP-01-01.02 Orientaciones para el Plan de Proteccin de una
Zona de Acceso Restringido.
o OR-ASIP-01-02.02 Orientaciones para la Constitucin de Zonas de
Acceso Restringido.

1
Los documentos mencionados pueden consultarse en la direccin: http://www.cni.es/es/ons/documentacion/normativa/
MINISTERIO DEL INTERIOR
4 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
2. POLTICA GENERAL DE SEGURIDAD DEL OPERADOR Y MARCO DE
GOBIERNO
2.1 POLTICA GENERAL DE SEGURIDAD DEL OPERADOR
El marco normativo de cualquier organizacin estar compuesto, habitualmente,
por un conjunto de polticas de alto nivel, normas o estndares de desarrollo y
procedimientos operativos o instrucciones de trabajo. La Poltica de Seguridad 2 a la que
se refiere el PSO se trata del documento de mayor nivel de este conjunto mencionado
que debera reunir una serie de requisitos que detallaremos a continuacin.

Esta Poltica de Seguridad puede adoptar formas diversas, todas ellas,

igualmente vlidas: Documento en papel, manifestacin en la Intranet de la
Organizacin y, en general, cualquier soporte que permita comprobar los aspectos
recogidos en los apartados siguientes.
2.1.1 Objeto
El objeto de la Poltica marca de manera fundamental todo el desarrollo posterior
del cuerpo normativo, la organizacin de la funcin y las actividades relacionadas con la
seguridad, as como, de manera muy clara, qu indicadores se utilizarn para medir la
eficacia y eficiencia de las medidas implantadas. Este objeto es la estrategia de la
funcin de seguridad, por lo que debera recoger cul es su misin y su visin en el
contexto de la estrategia global de la organizacin, aunque tambin podra adoptar otras
formas (declaracin de objetivos, etc.).

Normalmente, la estrategia de seguridad reflejar la intencin de la organizacin

de cumplir sus objetivos a largo plazo minimizando los riesgos, cumpliendo las normas
de seguridad que le sean aplicables y previniendo y anticipando los incidentes que
pudieran afectar a dichos objetivos organizativos. Dado que la seguridad absoluta no es
factible, es lgico que se asuma en el objeto que van a existir incidentes y que se
realizar una gestin de los mismos que permita minimizar su impacto en la consecucin
de los objetivos de la organizacin.

El objeto de la poltica debera resaltar la proteccin de las infraestructuras

crticas (IICC) especialmente frente a ataques deliberados. Dado que este tipo de
amenazas presentan un perfil de baja probabilidad y alto impacto, su proteccin no
responde a los parmetros habituales de eficacia y eficiencia. Por lo tanto, se debera

2 Ver Anexo 1, apartado 7.1

MINISTERIO DEL INTERIOR
5 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
recoger en esta poltica para la proteccin de las IICC qu criterios se aplicarn para
responder adecuadamente a la materializacin de estas amenazas de alto impacto de
forma que se minimice el dao sobre las personas, el medio o el servicio esencial que se
provee.
2.1.2 mbito o alcance
La Poltica de Seguridad puede tener un alcance limitado en distintos ejes:
geogrficos (pases, regiones), mbitos de aplicacin (fsico, lgico), organizativos
(unidades, filiales), etc.

Lgicamente, cada operador puede decidir cul es la mejor forma para

organizarse y no existen, a priori, modelos mejores o peores. En cualquier caso, para
que la poltica de seguridad sea relevante para el PSO debera incluir en su alcance los
servicios esenciales y las IICC operadas por la organizacin.

Los requisitos que existen en este sentido es que la(s) poltica(s) de seguridad
debe(n) cubrir exhaustivamente todas las IICC operadas por la organizacin incluyendo
la proteccin de las personas, los procesos y la tecnologa (enfoque integral de la
seguridad).

En relacin con el alcance de la poltica, se debera prestar atencin especial a

aspectos tales como los siguientes:

Consideracin integral de la seguridad incluyendo los aspectos lgicos y fsicos.

Inclusin, tanto de los sistemas de informacin TIC de gestin, como de los
sistemas de informacin para el control de los procesos industriales.
Aplicacin a los servicios esenciales y a las localizaciones y ubicaciones
consideradas como crticas.
Inclusin de las relaciones de dependencia como, por ejemplo, las empresas
filiales que operen los servicios esenciales y las IICC.
2.1.3 Compromiso de la alta direccin
El compromiso de la Alta Direccin es un factor esencial para garantizar la
aplicacin de medidas de seguridad en una organizacin, por lo que debera implicarse,
desde el inicio, en el propio proceso de definicin de la Poltica.

Dicho compromiso puede adoptar formas diversas, pero normalmente, el ms

habitual es la sancin por el mximo rgano directivo de la Poltica de Seguridad que se
va a aplicar, idealmente, con la firma del documento.

MINISTERIO DEL INTERIOR

6 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 Adems de este aspecto formal, el compromiso de la Direccin tiene otras formas
de reflejarse en relacin a la seguridad:

Aspectos organizativos:
Si existe un compromiso de la Direccin con la seguridad, la funcin responsable
de la misma debera ser independiente de la operacin / produccin de manera
que se pudiera producir un sano conflicto de intereses entre operatividad y
seguridad. Por ejemplo, el responsable de seguridad de la informacin no
dependera del responsable de sistemas de informacin.
Por otra parte, la Direccin fomentara y participara en los Comits / Grupos de
Trabajo que se establecieran para una adecuada toma de decisiones y gestin de
la seguridad en conjunto con las reas productivas y de soporte de la
organizacin.
Dotacin de recursos:
La Direccin aportara los medios suficientes, dentro de las posibilidades de la
organizacin, para implementar, operar y mantener los mecanismos de seguridad
que se definan en lnea con el objeto de la funcin de seguridad.
Concienciacin:
La Direccin apoyara, participara e impulsara las actividades relacionadas con
la sensibilizacin en materia de seguridad para los empleados y usuarios
externos implicados en la seguridad, en particular, de las infraestructuras crticas.
Relaciones con terceros :
La Direccin facilitara el establecimiento de relaciones con otras organizaciones,
privadas o pblicas, que contribuyan a la seguridad (CERTs, FFCCS, etc.).
2.1.4 Carcter integral de la seguridad
Con independencia de cmo se organice la seguridad en otros mbitos del
operador, es esencial abordar la proteccin de las IICC con un enfoque integral (es
decir, tener una visin nica de las amenazas fsicas y cibernticas sobre las mismas y
disear e implementar una estrategia de proteccin que integre medidas fsicas,
informticas, operativas y del personal).

Este enfoque integral no presupone que se deba implementar una organizacin

nica de seguridad (aunque sera recomendable pues simplificara los procesos de
integracin) sino que deberan existir mecanismos para abordar una proteccin con un
enfoque integral (de hecho, una organizacin unificada de seguridad no garantiza que
no persista un enfoque dual de la proteccin).

MINISTERIO DEL INTERIOR

7 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 En este sentido, el operador deber indicar las medidas que garantizan este
enfoque integral como, por ejemplo:

Existencia de una organizacin unificada con objetivos, procesos y medios

unificados.
Procedimientos de trabajo (reuniones, elaboracin de procedimientos,
mecanismos de monitorizacin conjuntos) enfocados a dotarse de una visin
global.
Existencia de rganos de coordinacin.
2.1.5 Actualizacin
La Poltica de Seguridad debe ser un documento vivo que recoja las variaciones
del entorno, de las infraestructuras y, tambin, del propio operador.

Por tanto, la organizacin debera indiciar los mecanismos de actualizacin de

dicha poltica lo que, normalmente, se debera traducir en un procedimiento de revisin
bienal (en lnea con lo establecido en el RD) que establezca la responsabilidad para la
realizacin de dicha revisin, los aspectos a analizar, los mecanismos de propuesta de
modificaciones, as como la aprobacin, publicacin y difusin de los cambios
(incluyendo, para el mbito de la proteccin de las IICC, la pertinente comunicacin con
el CNPIC).

Dado que existe la posibilidad de que el proceso de revisin concluya sin

cambios, el procedimiento existente debera generar las evidencias necesarias para
poder verificar que la revisin ha tenido lugar (actas de reuniones, punto en el orden del
da del Comit de Seguridad, etc.), aunque finalmente no hubiera generado
modificaciones en la Poltica.
2.2 MARCO DE GOBIERNO DE SEGURIDAD
2.2.1 Organizacin de Seguridad
La Direccin de la Organizacin deber formalizar los nombramientos del
responsable y delegado/s de seguridad de acuerdo a sus procedimientos internos. La
funcin de seguridad, en particular, debera permitir dar cobertura de manera transversal
a toda la Organizacin, para que se puedan cumplir los requerimientos establecidos.

Adems de la documentacin que se debera aportar sobre la organizacin de la

seguridad, bsicamente, organigrama del operador y de la funcin de seguridad donde

MINISTERIO DEL INTERIOR

8 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
se pueda comprobar el nivel jerrquico de los distintos roles y los comits existentes en
materia de seguridad, existen dos aspectos que tambin deberan ser considerados.

Por una parte, el operador debera reflejar cmo la organizacin propuesta

permite suficientemente la aplicacin y el cumplimiento de la Poltica. En este sentido,
hay que considerar que existen funciones dentro de las organizaciones que colaboran
en la implantacin de medidas de seguridad, como por ejemplo, la funcin de auditora
interna que, en muchas organizaciones, tienen una responsabilidad clara en asegurar
que se cumplen las polticas internas y los marcos normativos de aplicacin a la
organizacin. Por este motivo, se debera considerar su inclusin en los organigramas
mencionados anteriormente.

Por otra parte, existen herramientas que pueden ayudar a demostrar la

suficiencia requerida. Por ejemplo, se pueden utilizar matrices RACI 3 para la clarificacin
de roles y responsabilidades dado que permiten reflejar, precisamente, quin se
responsabiliza y encarga de cada tarea en una organizacin. Estas matrices se
construyen indicando las distintas responsabilidades que existen (en este caso, se
tratara de tareas relacionadas con la aplicacin y comprobacin de la Poltica de
Seguridad) en filas y, en columnas, las funciones (los puestos) que existen dentro de la
organizacin. Finalmente, las intersecciones se utilizan para indicar, donde aplique, el rol
de una funcin en la ejecucin de una determinada tarea. Los roles que se utilizan son
los que dan nombre a la matriz (por su inicial en ingls):

R Responsable (responsable)
A Autorizador (accountable)
C Consultado (consulted)
I Informado (informed)
Para construir dichas matrices hay que considerar algunas reglas muy simples:

Solo puede existir una A (un autorizador) por cada tarea / responsabilidad.
Pueden dejarse celdas en blanco, indicando que determinada funcin no
interviene en la ejecucin de una tarea.
Todos los actores deben aprobar la matriz RACI que se elabore.
Finalmente, en caso de que se subcontraten algunas tareas en un tercero, en
primer lugar, dicho tercero debera figurar en la matriz RACI con su correspondiente rol
para las tareas asignadas y, por otra parte, se deberan indicar los compromisos
existentes.

3
Ver Anexo 1, apartado 7.2.
MINISTERIO DEL INTERIOR
9 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 Normalmente, la manera ms adecuada de recoger esta informacin es en el
contrato de prestacin de servicios aunque existen otras opciones:

Puede existir un catlogo de servicios que recoja el encargo al proveedor o

proveedores.
Para los compromisos existentes, se pueden utilizar acuerdos de nivel de
servicio como mecanismos de control y seguimiento del desempeo del
proveedor (mtricas que deberan incluir tambin elementos de seguridad).
En cualquier caso, el operador debera recoger los mecanismos que utiliza para
controlar el cumplimiento de los compromisos existentes con el proveedor y, en
particular, cmo gestiona la subcontratacin de tareas por el propio proveedor y la
notificacin de incidentes.

En el caso de que exista un Comit de Seguridad dentro de la Organizacin de

Seguridad, sera recomendable que, al menos un miembro o representante de la
Direccin, perteneciera a dicho Comit, de forma que las decisiones que se adopten en
el, cuenten implcitamente con el respaldo de la Direccin.

Responsable de Seguridad y Enlace / Delegado de Seguridad 4

El operador debe aportar la informacin solicitada en este apartado y

adicionalmente, tambin podra informar de los mecanismos de contingencia y
continuidad adoptados para garantizar la comunicacin con el Responsable de
Seguridad y Enlace en caso de incidentes o que dicha persona se vea afectada por
cualquier tipo de suceso adverso que no le permitan estar accesible.
2.2.2 Formacin y Concienciacin
El plan de Formacin y Concienciacin aportado por el operador debera estar
alineado con el objeto de la Poltica de Seguridad. Dicho plan, deber recoger la
informacin solicitada adems de la informacin habitual de cualquier plan de este tipo:

Duracin. Normalmente los planes de formacin y concienciacin se realizan a

lo largo de perodos plurianuales.
Objetivos. Es decir, las mejoras en la capacitacin y concienciacin que se
persigue obtener con la ejecucin del plan.
Pblico objetivo. Clasificacin y segmentacin de la audiencia a la que se
dirige el plan. En este punto sera importante considerar los colectivos implicados

4
Ver Anexo 1, apartado 7.3
MINISTERIO DEL INTERIOR
10 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 en la proteccin de los servicios esenciales, tanto directa como indirectamente, y
con independencia de que se trate de personal propio o subcontratado.
Medios - Mensajes. Para cada uno de los pblicos objetivos anteriormente
identificados, se debera reflejar el mensaje que se le desea transmitir, as como
el medio que se utilizar para hacrselo llegar (formaciones presenciales, vdeos,
cursos online, boletines peridicos, seccin especfica en la Intranet, campaas
de comunicacin interna).
Seguimiento. Es decir, los mecanismos de evaluacin que se utilizaran para
comprobar que las acciones que se han emprendido contribuyen a la
consecucin de los objetivos marcados por el plan (como, por ejemplo, mtricas
de adecuacin y aprovechamiento, poltica de firma de los asistentes, celebracin
de pruebas de aprovechamiento, etc.). Asimismo, se podra incluir quin se
encarga de recoger la informacin, la metodologa que utilizar, la periodicidad de
las acciones, as como las acciones correctivas previstas.
Actualizacin. Como todo plan, el Plan de Formacin y Concienciacin tiene
una duracin temporal, por lo que debera ser actualizado peridicamente para
revisar sus objetivos, mensajes, etc. El Plan debera incluir el procedimiento de
revisin utilizado: responsable, elementos a revisar y mecanismo de aprobacin y
publicacin y difusin de los cambios al mismo.
En relacin a la concienciacin de los usuarios no hay que olvidar que no slo los
cursos y los elementos de difusin tienen un efecto sobre el nivel de concienciacin de
las personas, los elementos punitivos tambin tienen efecto sobre nuestras pautas de
comportamiento, por lo que, los planes de concienciacin tambin pueden incluir
elementos como:

Procedimientos sancionadores en caso de incumplimiento de la Poltica de

Seguridad.
Difusin de sanciones, incidentes relacionados con la seguridad.
Publicacin de informacin relativa a controles de monitorizacin implantados.
Por ltimo, no se debera olvidar la necesidad de compromiso de la Direccin
mediante la disposicin de los medios y recursos necesarios, pero tambin con
muestras de apoyo pblico y notorio que ayudarn a desarrollar y garantizar el xito de
los planes establecidos.
2.2.3 Modelo de gestin aplicado
El modelo de gestin de la seguridad empleado por la organizacin para asegurar
la aplicacin y cumplimiento de la Poltica de Seguridad incluye todos los elementos

MINISTERIO DEL INTERIOR

11 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 tpicos de estos esquemas normalmente asociados a un ciclo de mejora continua PDCA
(Plan Do Check Act) o ciclo de Deming con la particularidad, de que deberan
considerar de manera concreta la proteccin de las IICC:

Establecer el Sistema de Gestin (Planificar)

o Establecer los objetivos y la poltica del sistema.
o Crear los procesos y procedimientos necesarios para una adecuada
gestin del riesgo.
o Crear los mecanismos para el alineamiento de los objetivos del sistema
con los objetivos del negocio.
Implantar y operar el Sistema de Gestin y sus distintos componentes (Hacer)
o Polticas y procedimientos.
o Controles.
o Procesos.
Monitorizar y revisar el Sistema de Gestin (Comprobar).
o Evaluar y, cuando sea posible, medir el funcionamiento de los procesos
respecto a lo definido en la poltica y los objetivos del sistema.
o Notificar los resultados de la evaluacin a la Direccin para su revisin.
o Realizar acciones preventivas.
o Abordar acciones correctivas a partir de los resultados de revisiones y
auditoras internas.
Por lo que respecta a las propias medidas de seguridad, adems del sistema de
gestin anterior, deben cubrir todos los momentos en que son necesarias. Por ejemplo,
se podran clasificar en las siguientes categoras:

Prevencin y Deteccin
o Responsabilidad sobre la seguridad.
o Anlisis y gestin de riesgos.
Proteccin y Defensa
o Controles de la Direccin.
o Adquisicin / aprovisionamiento de sistemas e infraestructuras.
Alertas y Auditorias: Evaluacin y cumplimiento normativo.
Medicin y mejora contina.
Coordinacin y Respuesta: Relacin entre la gestin de la seguridad y el resto
de la organizacin.
En este contexto, es de especial importancia todo lo relacionado con los
mecanismos de seguimiento de implantacin de medidas de seguridad, as como, las

MINISTERIO DEL INTERIOR

12 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
mtricas de eficacia y eficiencia que se utilicen, sin el menoscabo de otros mecanismos
de control como los llevados a cabo por las reas de auditora interna y/o cumplimiento.
Por este motivo, la funcin de auditora debera incluir en su planificacin de trabajos,
revisiones relacionadas con la proteccin de las IICC en todas sus dimensiones y sin
olvidar elementos, como el software de control industrial.

En esta misma lnea, la consideracin de la seguridad desde el inicio en la

adquisicin y el aprovisionamiento de nuevos sistemas e infraestructuras sera esencial
para evitar errores derivados del diseo de las mismas. De esta forma, antes de que
cualquier sistema o infraestructura est operativa se debera verificar que cumple los
requisitos de seguridad necesarios en funcin del Plan de Seguridad adoptado por la
organizacin.

3. RELACIN DE SERVICIOS ESENCIALES PRESTADOS POR EL OPERADOR

CRTICO
El principal objetivo es que el operador pueda realizar una presentacin y breve
descripcin de la compaa o grupo al que pertenece dicho operador, pudiendo tenerse
en cuenta aspectos como:

Razn Social y matriz.

Desglose de la estructura societaria.
Desglose de la composicin accionarial y grado de participacin.
Sedes principales y ubicacin geogrfica.
Sector/es al que pertenece en funcin de la actividad desarrollada.
Subsector/es para cada actividad desarrollada.
Actividad desarrollada.
Proveedores necesarios para la prestacin de los servicios esenciales
identificados (incluyendo informacin como, por ejemplo, nombre de los
proveedores y tipo de suministros prestados).
Clientes finales de los servicios prestados identificado/s como esencial/es
(incluyendo informacin como, por ejemplo, pases, administraciones, empresas,
particulares, etc.).
3.1 IDENTIFICACIN DE LOS SERVICIOS ESENCIALES
El OC debe realizar una breve descripcin de los servicios esenciales prestados a
la ciudadana en relacin al concepto de servicio esencial recogido en el Art. 2 a) de la
Ley, dentro del sector o subsector estratgico en el que se encuentra incluido. Para ello,
podra aportar informacin como la siguiente:

MINISTERIO DEL INTERIOR

13 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 Identificacin de los servicios y reas de actividad que son o pueden ser
esenciales para los ciudadanos.
Tipologa de los activos o infraestructuras crticas sobre las que descansa
dicho servicio o rea de actividad.
Medios materiales, personales y recursos de los que dispone para la
prestacin del servicio.
Ubicacin geogrfica en la que se presta el servicio identificado como esencial,
(por ejemplo: pas, comunidad autnoma, ciudad, etc.), identificando localidades y
estimacin del volumen de poblacin en su rea de influencia.
Empresas con las que comparte la ubicacin geogrfica.
3.2 MANTENIMIENTO DEL INVENTARIO DE SERVICIOS ESENCIALES
Se debera realizar una descripcin del procedimiento de mantenimiento del
inventario de los servicios identificados como esenciales como consecuencia de la
evolucin normal que cualquier empresa experimenta respecto a los servicios que
ofrece. Se deberan describir las formas y procedimientos de identificacin,
mantenimiento, revisin y actualizacin, as como el rgano responsable encargado de
los mismos. En dicho mantenimiento se debera tener en cuenta al menos:

El ajuste de cartera de servicios, fusiones, adquisiciones, ventas de activos...

La internalizacin de procesos operativos.
Los periodos establecidos en el Plan conforme al punto 1.4 incluido en la gua
de contenidos mnimos del PSO (la legislacin establece perodos de
actualizacin bienales o cuando se produzcan cambios significativos).
3.3 ESTUDIO Y CONSECUENCIAS DE LA INTERRUPCIN DEL SERVICIO
ESENCIAL
El estudio de consecuencias que debe llevar a cabo el OC, debe realizarse
conforme a lo que se entiende en la legislacin por interrupcin que excede a la simple
indisponibilidad del servicio ya que considera la no disponibilidad del servicio esencial
[] motivado por alguna alteracin o interrupcin en el tiempo o una destruccin parcial
o total de las infraestructuras que gestionan dicho servicio.

Se debera realizar un anlisis de los resultados del estudio de las consecuencias

que supondra la interrupcin y no disponibilidad para cada uno de los servicios
identificados como esenciales en caso de:

Alteracin de su funcin.
Interrupcin en el tiempo.
Destruccin parcial o total de la infraestructura que gestiona el servicio.
Etc.
MINISTERIO DEL INTERIOR
14 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 Adicionalmente, se debera identificar claramente, para cada uno de los casos, la
siguiente informacin:

Extensin geogrfica y nmero de personas que pueden verse afectadas.

Efectos en el tiempo.
Impacto econmico.
Impacto medioambiental.
Impacto en la vida y salud de las personas.
Efecto sobre operadores y servicios esenciales dependientes.
Existencia de alternativas de prestacin del servicio esencial o mecanismos de
contingencia proporcionados por el propio operador y nivel de degradacin que
conllevan.
3.4 INTERDEPENDENCIAS
Se debera realizar una descripcin de las posibles interdependencias entre
servicios esenciales e infraestructuras crticas que los soportan, as como con las de
otros operadores dentro del mismo sector o diferente, que deban ser consideradas en el
anlisis de riesgos. Algunos ejemplos de interdependencias a considerar seran los
siguientes:

Entre las propias instalaciones o servicios del operador.

Con proveedores dentro de la cadena de suministros del propio operador.
Con servicios esenciales prestados por otros operadores del mismo sector con
una breve explicacin del motivo que origina dichas interdependencias.
Con servicios esenciales prestados a otros operadores de distinto sector.
Con servicios esenciales prestados por operadores de otros pases.
Etc.
4. METODOLOGA DE ANLISIS DE RIESGOS
El operador debe contar con una metodologa de anlisis de riesgos que permita
identificar y gestionar los principales riesgos a los que se encuentran expuestos los
servicios crticos derivados de cada operador.
4.1 DESCRIPCIN DE LA METODOLOGA DE ANLISIS
Cualquiera de las metodologas internacionalmente reconocidas que los
operadores quieran utilizar para la identificacin y posterior gestin de sus riesgos
debera tomar en consideracin, al menos, las fases incluidas en los apartados
siguientes.

MINISTERIO DEL INTERIOR

15 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 Un aspecto fundamental de las metodologas de anlisis de riesgos es que los
distintos valores que se utilizan y las estimaciones de los diferentes parmetros
(vulnerabilidad, impacto) sean repetibles y con un mismo criterio a lo largo del tiempo
para poder obtener valores comparables.
4.2 IDENTIFICACIN Y VALORACIN DE LOS ACTIVOS QUE SOPORTAN LOS
SERVICIOS ESENCIALES
El nivel de detalle debera cubrir, al menos, lo siguiente:

Servicios prestados; pudindose agrupar por clases uniformes a efectos de

impacto en terceros.
Dependencias de elementos que estn redundados de forma que, en principio,
no seran crticos para la prestacin de los servicios, pero que se convertiran en
crticos si fallara alguno de ellos.
Dependencias de servicios de terceros, indicando la dependencia entre servicios
y la posible complementariedad cuando un servicio puede reemplazar a otro (plan
de contingencia).
Instalaciones fsicas, en particular edificios, recintos y canalizaciones susceptibles
de ataques o incidentes.
Equipos de personas con roles crticos.
Sistemas de informacin de soporte, como sistema, sin entrar en componentes
salvo que alguno sea singular.
Sistemas de control industrial de instalaciones (Sistemas SCADA)
La valoracin de los activos estriba, principalmente, en la estimacin de las
consecuencias derivadas de la interrupcin del servicio. Desde el punto de vista de los
criterios para realizar esta valoracin se deber tener en consideracin lo establecido
por la ley 8/2011 en lo relativo a criterios horizontales de criticidad.

Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para
obtener una modelizacin tpica de activos que podr ser utilizada a modo de gua para
la realizacin de esta actividad.
4.3 IDENTIFICACIN Y EVALUACIN DE AMENAZAS
A partir del listado de activos identificados, se debera realizar la identificacin de
amenazas que pudieran llegar a afectar a estos activos con el fin de tratar de cubrir el
mayor nmero de potenciales situaciones de riesgo.

MINISTERIO DEL INTERIOR

16 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 Para realizar esta identificacin se recomienda establecer una taxonoma con un
cdigo que identifique a cada tipo de amenaza y contar con una estructura jerrquica
que pueda ser refinada segn sea necesario.

Ante cada posible amenaza que se considere, se debera establecer una escala
de probabilidad de ocurrencia, a efectos de realizar el posterior anlisis (ya sea este
cualitativo o cuantitativo).

Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para
obtener una modelizacin tpica de amenazas que podr ser utilizada a modo de gua
para la realizacin de esta actividad.
4.4 VALORACIN Y GESTIN DE RIESGOS
El objetivo de esta actividad es la identificacin de las combinaciones de activos y
amenazas que puedan afectar la prestacin de los servicios crticos, precisndose
dichas consecuencias, en general y especialmente sobre la disponibilidad de los
servicios.

Para cumplir con este objetivo, sera necesario estimar el impacto potencial que
provocara la materializacin de cada amenaza sobre los activos identificados por el
operador. El impacto potencial mide el posible dao, independientemente de que sea
ms o menos probable. Simplemente, se determina si es posible.

Es posible que haya que definir niveles degradados de servicio que, sin prestar la
calidad exigible en condiciones normales, faciliten un nivel de supervivencia.

A partir de esta estimacin se calcular el riesgo potencial como resultado de la

combinacin del impacto potencial con la probabilidad de que la amenaza se materialice
en incidente o un ataque.

De la totalidad de riesgos potenciales que se hayan identificado, ser necesario

proceder a la gestin de los mismos. Dicha gestin consiste en la identificacin de las
medidas de seguridad que reduzcan los riesgos potenciales. Sern de especial inters
los controles en caso de incidentes. Los riesgos resultantes de la aplicacin de estas
medidas de control determinarn los riesgos residuales a los que est expuesto cada
operador.

En particular, dada la naturaleza de las amenazas de origen intencionado, el

operador debe indicar el tratamiento que va a dar a las amenazas de baja probabilidad y
alto impacto (en cualquiera de sus dimensiones de valoracin). En este sentido, debera
indicar la combinacin de medidas de seguridad que va a aplicar para prevenir, detectar
o actuar en caso de que se materialice alguna de dichas amenazas, como, por ejemplo:
MINISTERIO DEL INTERIOR
17 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 Sistema de deteccin de alerta temprana.
Procedimientos de respuesta ante incidentes.
Mecanismos de contingencia.
Etc.
Sera recomendable, como parte de la metodologa de anlisis de riesgos, indicar
la forma en la que se plasmarn los resultados de dicho anlisis y que recoja la
informacin esencial para la evaluacin posterior del mismo por el CNPIC.

5. CRITERIOS DE APLICACIN DE MEDIDAS DE SEGURIDAD INTEGRAL 5

Como buenas prcticas para la aplicacin de medidas de seguridad integral, el
Operador puede seleccionar las medidas de seguridad a implementar, por ejemplo,
entre los estndares de seguridad reconocidos internacionalmente y en la legislacin
especfica aplicable a su sector o con carcter general.

En el mbito de la seguridad lgica se establece como buena prctica, realizar la

seleccin de los controles de seguridad a implementar y gestionar de la ISO 27002:

Definir la Poltica de Seguridad Corporativa

Organizacin de la seguridad de la informacin
Gestin de Activos
Seguridad de los RRHH
Gestin de las comunicaciones y operaciones
Control de Acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de incidentes de seguridad
Gestin de la continuidad del negocio
Cumplimiento de la legislacin aplicable
Revisin y auditora de sistema de gestin de la seguridad integral implantado.
En el mbito de la seguridad fsica no existe normativa referente al catlogo de
medidas de seguridad previo, pero se deber seguir lo especificado por la legislacin de
Seguridad Privada, especialmente lo recogido en la Orden Ministerial 316/2011 del
Ministerio del Interior y su referencia a la normativa UNE/EN.

5
En el apartado 8. Anexo 2 Relacin de Estndares y Mejores Prcticas se incluye una relacin de
documentacin que puede ser utilizada como soporte para la identificacin de medidas de seguridad
integral.
MINISTERIO DEL INTERIOR
18 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 En este sentido, ser especialmente til seguir las recomendaciones de la norma
UNE/CLC TS 50131-7 (Sistemas de alarma. Sistemas de alarma de intrusin. Parte 7.
Gua de aplicacin).

Dado el enfoque integral que se pretende dar a las medidas de seguridad y

conforme a la clasificacin de medidas genrica establecida en el apartado 4.2 Medidas
de Seguridad de la Gua de Contenidos Mnimos del PPE, sera recomendable reflejar
los criterios de aplicacin de las diferentes medidas recogidas en dicha clasificacin y
que reproducimos en la tabla siguiente con algunos detalles adicionales.

Respecto a dichos criterios, resaltar una vez ms que la prioridad debe ser aplicar
dichas medidas en funcin del impacto que las amenazas puedan tener sobre los
servicios esenciales (es decir, la probabilidad juega un papel secundario ya que el
objetivo perseguido es la prevencin y la proteccin de las infraestructuras crticas).

Los OC y resto de agentes con un inters legtimo podrn dirigirse al CNPIC para
obtener una modelizacin de rbol de salvaguardas que podr ser utilizada a modo de
gua para la realizacin de esta actividad.

A continuacin se muestra un registro de ejemplos de medidas de seguridad

aplicadas a activos fsicos y de seguridad de la informacin:

MINISTERIO DEL INTERIOR

19 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 ACTIVOS
FSICOS SISTEMAS DE INFORMACIN
ORGANIZATIVAS O DE GESTIN
Evaluacin y valoracin de las amenazas, impactos y
Anlisis de Riesgos
probabilidades para obtener un nivel de riesgo
Identificacin de objetivos y programacin de las
Planificacin
actividades para conseguirlos
Definicin de roles y responsabilidades Asignacin de responsabilidades en materia de seguridad
Elaboracin de polticas, estndares y procedimientos
Cuerpo normativo
de seguridad
Identificacin de normativa aplicable y cumplimiento
Cumplimiento normativo
con las mismas
Revisiones peridicas de los sistemas para evaluar su
Certificacin, acreditacin y evaluacin de seguridad
nivel de seguridad
OPERACIONALES O PROCEDIMENTALES
Gestin de activos y de la configuracin Identificacin de activos, control de inventario
Formacin y concienciacin Planes de formacin y concienciacin en seguridad
Planes de Contingencias Planes de Contingencias informticas y fsicas
Supervisin continua Evaluacin / auditora continua de los sistemas
Procesos de seleccin, rgimen interno, procedimientos
Seguridad del personal
de cese
Gestin de acceso - Gestin de usuarios Altas, bajas y modificaciones
Identificadores de usuario
De personas, vehculos,
Gestin de acceso - Control de accesos temporales temporales de los sistemas
etc.
(mantenimiento)
Paquetera, Soportes, equipos e
Gestin de acceso - Control de entradas y salidas
correspondencia informacin (DLP, DRM)
Procedimientos operacionales del personal de Control de rondas de
N/A
seguridad seguridad
Evacuacin Plan de evacuacin N/A
DE PROTECCIN O TCNICAS
Medidas de prevencin y deteccin
Seguridad fsica y Firewalls, DMZs, IPSs,
electrnica perimetral, segmentacin de redes,
Anti-intrusin
sistemas de deteccin proteccin del puesto de
perimetral trabajo, cifrado, VPNs
De personas, vehculos,
Registro de usuarios, gestin
paquetera y mercancas
de privilegios, gestin de
(medios humanos,
claves secretas, revisin de
Control de accesos (incluye autenticacin) tarjetas activas, lectores
derechos de acceso,
de tarjetas, lectores de
identificadores de usuario
matrculas, tornos,
acceso a SSII
scanner, etc.)
Configuracin segura de los equipos y sistemas con
carcter previo a su entrada en operacin,
Instalacin y configuracin segura mantenimiento de los equipos y control de los cambios.
Aseguramiento de las condiciones ambientales para su
operacin (temperatura, humedad)
Instalacin de sistemas anti-
Proteccin frente a malware N/A*
virus, antispyware, etc.
Desarrollo basado en
Desarrollo seguro de aplicaciones N/A* mejores prcticas,
auditoras preproduccin
Medidas de coordinacin y monitorizacin
IDSs, sistemas de integridad
Sistemas CCTV (cmaras, de software y sistemas de
Monitorizacin
video vigilancia) monitorizacin y gestin de
logs
Centro de Control, Creacin de equipos de
central de alarmas respuesta a incidentes
Coordinacin (gestin de incidencias)
propia, sistemas de (CSIRT), infraestructuras
comunicacin SOC
MINISTERIO DEL INTERIOR
20 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
6. DOCUMENTACIN COMPLEMENTARIA

6.1 NORMATIVA, BUENAS PRCTICAS Y REGULATORIA

El operador recoger en una breve referencia toda aquella normativa y buenas
prcticas que regulen el buen funcionamiento de los servicios esenciales prestados por
todas y cada una de sus infraestructuras, as como los motivos por los cules les son de
aplicacin.

Las normativas a incluir comprenden tanto las de rango nacional, autonmico,

europeo e internacional, como las sectoriales, relativas a:

Seguridad Fsica
Seguridad Lgica
Seguridad de la Informacin en cualquiera de sus mbitos
Seguridad Ambiental
Autoproteccin y Prevencin de Riesgos Laborales.
6.2 COORDINACIN CON OTROS PLANES
Se identificarn todos aquellos Planes diseados por el operador relativos a
diferentes aspectos como la continuidad de negocio, gestin del riesgo, respuesta,
autoproteccin, emergencias que puedan coordinarse con el Plan de Seguridad del
Operador y los respectivos Planes de Proteccin Especficos, y que seran activados en
el caso de fallo de los mecanismos de prevencin una vez que se hubiera producido el
incidente.

MINISTERIO DEL INTERIOR

21 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7. ANEXO 1: EJEMPLOS.
7.1 POLTICA DE SEGURIDAD
7.1.1 APROBACIN Y ENTRADA EN VIGOR

Texto aprobado el da <da> de <mes> de <ao> por <rgano que la aprueba>.

Esta Poltica se Seguridad Integral es efectiva desde dicha fecha y hasta que sea
reemplazada por una nueva Poltica.
Este texto anula el anterior, que fue aprobado el da <da> de <mes> de <ao>
por <rgano> qu lo aprob.

7.1.2. INTRODUCCIN

El normal funcionamiento de los servicios esenciales que <el operador crtico>

presta a la ciudadana descansa sobre una serie de infraestructuras cuyo
funcionamiento es indispensable y no permite soluciones alternativas denominadas
infraestructuras crticas. Por ello, se hace necesario el diseo de una poltica de
seguridad homognea e integral, en la cual se definan los subsistemas de seguridad que
se van a implantar para la proteccin de las mismas con el objetivo de impedir su
destruccin, interrupcin o perturbacin, con el consiguiente perjuicio de la prestacin de
los servicios esenciales a la poblacin, o con consecuencias catastrficas para las vidas
de las personas o el medio ambiente.

Para defenderse de estas amenazas, se requiere una estrategia que se adapte a

los cambios en las condiciones del entorno para garantizar la prestacin continua de los
servicios. Esto implica que los departamentos deben aplicar las medidas de seguridad
definidas, as como realizar un seguimiento continuo de los niveles de prestacin de
servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta
efectiva a los incidentes para garantizar la continuidad de los servicios prestados.

Los diferentes departamentos deben cerciorarse de que la seguridad es una parte

integral de cada etapa del ciclo de vida del servicio esencial, desde su concepcin hasta
su retirada de servicio, pasando por las decisiones de desarrollo o adquisicin y las
actividades de explotacin.

7.1.3 ALCANCE

Esta poltica se aplica a todas las infraestructuras crticas del <el operador
crtico> y a todos los miembros de la organizacin, sin excepciones.

MINISTERIO DEL INTERIOR

22 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7.1.4 MISIN

Describir los objetivos de servicio del operador crtico.

7.1.5 MARCO NORMATIVO

Listar leyes, reglamentos y otra normativa, nacional o internacional, a la que el

operador crtico est sujeto.

7.1.6 ORGANIZACIN DE LA SEGURIDAD

7.1.6.1 Comits: Funciones y Responsabilidades

El Comit de Seguridad Integral estar formado por <>. Aqu aparecen cargos
corporativos y designaciones de departamentos dentro del organismo cuando proceda.

El Secretario del Comit de Seguridad TIC ser <> y tendr como funciones
<>.

El Secretario del Comit de seguridad Fsica ser <> y tendr como funciones
<>.
El Comit de Seguridad Integral informar a <>.

El Comit de Seguridad Integral tendr las siguientes funciones: <>.

7.1.6.2 Roles: Funciones y Responsabilidades

Cuando proceda, se detallar el nombramiento de los Delegados de Seguridad y

las funciones que les son delegadas.
Se detallarn igualmente las funciones del Responsable de Seguridad y Enlace.

7.1.6.3 Revisin

Ser misin del Comit de Seguridad Integral la revisin de esta Poltica de

Seguridad y la propuesta de revisin o mantenimiento de la misma.

La Poltica ser aprobada por <rgano que la aprueba> y difundida para que la
conozcan todas las partes afectadas.

MINISTERIO DEL INTERIOR

23 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7.1.7 MANEJO DE INFORMACIN

<El operador crtico> trata datos de carcter personal. El <documento de

seguridad> que se puede encontrar en <indicar la forma de localizar y acceder al
documento de seguridad> recoge los ficheros afectados y los responsables
correspondientes. Todos los sistemas de informacin de <el operador crtico> se
ajustarn a los niveles de seguridad requeridos por la normativa para la naturaleza y
finalidad de los datos de carcter personal recogidos en el mencionado Documento de
Seguridad.

Por otra parte, la informacin relativa al Plan de Seguridad Integral ser tratada y
custodiada segn se indica en los procedimientos especficos (acorde a la
reglamentacin que sea de aplicacin en cada momento) conforme a su consideracin
como informacin de difusin limitada.

7.1.8 GESTIN DE RIESGOS

Todos los servicios sujetos a esta Poltica debern realizar un anlisis de riesgos,
evaluando las amenazas y los riesgos a los que estn expuestos. Este anlisis se
repetir:
regularmente, al menos una vez al ao,
cuando cambien los servicios prestados,
cuando ocurra un incidente grave de seguridad,
cuando se reporten vulnerabilidades graves.
Para la armonizacin de los anlisis de riesgos, el Comit de Seguridad Integral
establecer una valoracin de referencia para los diferentes tipos de informacin
manejados y los diferentes servicios prestados. El Comit de Seguridad Integral
dinamizar la disponibilidad de recursos para atender a las necesidades de seguridad de
los diferentes servicios, promoviendo inversiones de carcter horizontal.

7.1.9 PREVENCIN, DETECCIN, REACCIN Y RESPUESTA

Los departamentos deben estar preparados para prevenir, detectar, reaccionar y

recuperarse de incidentes de acuerdo a la Ley de Proteccin de Infraestructuras
Crticas.

MINISTERIO DEL INTERIOR

24 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7.1.9.1 Prevencin

Los departamentos deben evitar, o al menos prevenir en la medida de lo posible,

que la informacin, los servicios, las vidas de las personas o el medio ambiente se vean
perjudicados por incidentes derivados de actos malintencionados. Para ello los
departamentos deben implementar medidas de seguridad, as como cualquier control
adicional identificado a travs de una evaluacin de amenazas y riesgos. Estos
controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar
claramente definidos y documentados.

7.1.9.2 Deteccin

Dado que los servicios se pueden degradar rpidamente debido a incidentes, que
van desde una simple desaceleracin hasta su detencin, los servicios deben
monitorizar la operacin de manera contina para detectar anomalas en los niveles de
prestacin de los servicios y actuar en consecuencia.

La monitorizacin es especialmente relevante cuando se establecen lneas de

defensa a distintos niveles, por tanto, se establecern mecanismos de deteccin,
anlisis y reporte que lleguen a los responsables regularmente y cuando se produce una
desviacin significativa de los parmetros que se hayan preestablecido como normales.

7.1.9.3 Respuesta

Los departamentos deben:

Establecer mecanismos para responder eficazmente a los incidentes de

seguridad.
Designar punto de contacto para las comunicaciones con respecto a incidentes
detectados en otros departamentos o en otros operadores crticos.
Establecer protocolos para el intercambio de informacin relacionada con el
incidente.
Ponerse en contacto con las Fuerzas y Cuerpos de Seguridad segn los
procedimientos especficos previstos.
Establecer comunicacin con los cuerpos de emergencias y proteccin civil.
7.1.9.4 Recuperacin

Para garantizar la disponibilidad de los servicios crticos, los departamentos

deben desarrollar planes de continuidad de los sistemas como parte de su plan general
de continuidad de negocio y actividades de recuperacin.
MINISTERIO DEL INTERIOR
25 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7.1.10 OBLIGACIONES DEL PERSONAL

Todos los miembros de <el operador crtico> tienen la obligacin de conocer y

cumplir esta Poltica de Seguridad Integral, siendo responsabilidad del Comit de
Seguridad Integral disponer los medios necesarios para que la informacin llegue a los
afectados.

Todos los miembros de <el operador crtico> atendern a una sesin de

concienciacin en materia de seguridad integral al menos una vez al ao. Se
establecer un programa de concienciacin continua para atender a todos los miembros
de <el organismo>, en particular a los de nueva incorporacin.

Las personas con responsabilidad en el uso, operacin o administracin de

servicios esenciales recibirn formacin para el manejo seguro de los sistemas en la
medida en que la necesiten para realizar su trabajo. La formacin ser obligatoria antes
de asumir una responsabilidad, tanto si es su primera asignacin o si se trata de un
cambio de puesto de trabajo o de responsabilidades en el mismo.

7.1.11 TERCERAS PARTES

Cuando <el operador crtico> preste servicios a otros <> o maneje informacin
de terceros <>, se les har partcipe de esta Poltica de Seguridad Integral, se
establecern canales para reporte y coordinacin de los respectivos Comits de
Seguridad Integral y se establecern procedimientos de actuacin para la reaccin ante
incidentes de seguridad.

Cuando <el operador crtico> utilice servicios de terceros o ceda informacin a

terceros, se les har partcipe de esta Poltica de Seguridad que ataa a dichos servicios
o informacin. Dicha tercera parte quedar sujeta a las obligaciones establecidas en
dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para
satisfacerla. Se establecern procedimientos especficos de reporte y resolucin de
incidencias. Se garantizar que el personal de terceros est adecuadamente
concienciado en materia de seguridad, al menos al mismo nivel que el establecido en
esta Poltica.

Cuando algn aspecto de la Poltica no pueda ser satisfecho por una tercera
parte segn se requiere en los prrafos anteriores, se requerir un informe del
Responsable de Seguridad que precise los riesgos en que se incurre y la forma de
tratarlos. Se requerir la aprobacin de este informe por los responsables de la
informacin y los servicios afectados antes de seguir adelante.

MINISTERIO DEL INTERIOR

26 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7.1.12 DESARROLLO DE LA POLTICA DE SEGURIDAD INTEGRAL

Esta Poltica de Seguridad Integral complementa las polticas de seguridad de <el

operador crtico> en diferentes materias:

Listar referencias a otras polticas en materia de seguridad.

Esta Poltica se desarrollar por medio de normativa de seguridad que afronte
aspectos especficos. La normativa de seguridad estar a disposicin de todos los
miembros de la organizacin que necesiten conocerla, en particular para aquellos que
utilicen, operen o administren los sistemas de informacin y comunicaciones.

La normativa de seguridad estar disponible en la intranet: URL e impresa en

(LOCALIZACIN).

MINISTERIO DEL INTERIOR

27 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7.2 MATRIZ RACI

CIO - Chief Information Officer

CEO - Chief Executive Officer

CSO - Chief Security Officer

Comit de Seguridad

Recursos Humanos

reas de negocio
Elaboracin de poltica de Seguridad A C I R

Ejecucin del Plan de Formacin y Concienciacin I A R

Elaboracin y mantenimiento de anlisis de riesgos I A R C

Elaboracin Plan de Tratamiento del Riesgo A I R C

MINISTERIO DEL INTERIOR

28 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
7.3 DESIGNACIN DE RESPONSABLES

Responsable de Seguridad y Enlace

<Nombre organizacin> designa a <nombre y apellidos> como responsable de seguridad y enlace.

Este responsable podr ser sustituido por <nombre y apellidos>.

Los datos de los asignados son:

Responsable Sustituto
Nombre
Direccin
Telfonos
Email
Nmero de la tarjeta
identificativa de Director de
Seguridad expedida por el
Ministerio del Interior.
Referencia o copia del
nombramiento.

El responsable, y en su defecto el sustituto, tendrn las siguientes funciones:

Representar al operador crtico ante la Secretaria de Estado de Seguridad

- En materia relativas a la seguridad de sus infraestructuras

- En materia relacionada con los diferentes planes especificados en el real decreto

Canalizar las necesidades operativas e informativas que surjan.

FIRMA

MINISTERIO DEL INTERIOR

29 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
Delegados de Seguridad de las Infraestructuras Crticas.

<Nombre organizacin> designa para cada infraestructura los siguientes responsables y su

correspondiente sustituto.

Los datos de los delegados y sus sustitutos son:

Infraestructuras Responsable Sustituto

Infraestructura X Nombre
Direccin
Telfonos
Email
Referencia o copia del
nombramiento.
Infraestructura Y Nombre
Direccin
Telfonos
Email

El responsable, y en su defecto el sustituto, tendrn las siguientes funciones:

Ser el enlace operativo y el canal de informacin con las autoridades competentes en materia
relativas a la seguridad de sus infraestructuras.
Canalizar las necesidades operativas e informativas que surjan.

FIRMA

MINISTERIO DEL INTERIOR

30 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
8. ANEXO 2: RELACIN DE ESTNDARES Y MEJORES PRCTICAS
A continuacin se enumeran y describen una serie de estndares, guas y
mejores prcticas que existen a nivel nacional e internacional.
8.1 ESTNDARES Y MEJORES PRCTICAS NACIONALES
8.1.1 Sistemas SCADA y Esquena Nacional de Seguridad
La presente tabla recoge las diferentes guas de seguridad sobre sistemas de
control industrial (SCADA) y relativas al Esquema Nacional de Seguridad. Estas guas
han sido elaboradas por el Centro Criptolgico Nacional del Centro Nacional de
Inteligencia del Ministerio de la Presidencia, y estn dirigidas a las diferentes
administraciones pblicas. El listado presenta en su mayora guas en su versin
definitiva actual si bien hay otras en formato borrador, siendo de acceso pblico 6 :
SERIES CCN-STIC NOMBRE VERSIN

480A Seguridad en Sistemas SCADA Gua de buenas prcticas feb-10

480B Seguridad en Sistemas SCADA Comprender el riesgo del negocio mar-10
480C Seguridad en Sistemas SCADA Implementar una arquitectura segura mar-10
480D Seguridad en Sistemas SCADA Establecer capacidades de respuesta mar-10
480E Seguridad en Sistemas SCADA Mejorar la concienciacin y las habilidades ene-10
480F Seguridad en Sistemas SCADA Gestionar el riesgo de terceros mar-09
480G Seguridad en Sistemas SCADA Afrontar proyectos mar-09
480H Seguridad en Sistemas SCADA Establecer una direccin permanente mar-10
800 800 Glosario de trminos y abreviaturas del ENS (BORRADOR) mar-11
Esquema 801 Responsabilidades y Funciones en el ENS feb-11
Nacional de 802 Auditora del Esquema Nacional de Seguridad jun-10
Seguridad 803 Valoracin de Sistemas en el ENS ene-11
804 Medidas de Implantacin del ENS (BORRADOR) jul-10
805 Poltica de Seguridad de la Informacin sep-11
806 Plan de Adecuacin del ENS ene-11
807 Criptologa de Empleo en el ENS sep-11
808 Verificacin del Cumplimiento de las Medidas en el ENS (BORRADOR) oct-10
809 Declaracin de conformidad del ENS (BORRADOR) jul-10
810 Gua de Creacin de CERT,s (BORRADOR) sep-11
811 Interconexin en el ENS (BORRADOR) sep-11
812 Seguridad en Servicios Web en el ENS (BORRADOR) oct-11
813 Componentes Certificados en el ENS
814 Seguridad en Servicio de Correo en el ENS (BORRADOR) ago-11
815 Indicadores y Mtricas en el ENS (BORRADOR) dic-11
816 Seguridad en Redes Inalmbricas en el ENS
817 Gestin de Incidentes de Seguridad en el ENS
818 Herramientas de seguridad en el ENS
Pendientes de publicar

6
Guas CCN-STIC relacionadas con sistemas SCADA: https://ccn-cert.cni.es/ic
Guas CCN-STIC de la serie 800 relativas al Esquema Nacional de Seguridad: https://ccn-cert.cni.es/ens
MINISTERIO DEL INTERIOR
31 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
8.1.2 Seguridad Fsica
UNE-EN 50131-1:2008/A1:2010 Sistemas de alarma contra intrusin y atraco

Parte 1: Requisitos del sistema. Norma multi-parte especfica de los sistemas de

alarma

Proporciona una descripcin general de los sistemas de Deteccin de Intrusin

especificando los grados de Seguridad.

UNE/CLC TS 50.131.7 Sistemas de alarma. Sistemas de alarma de intrusin.

Parte 7. Gua de aplicacin

Expone una gua para implementar correctamente un Sistema de Seguridad

frente a Intrusin, indicando los pasos a seguir en el Proyecto, la Instalacin, la puesta
en marcha y el mantenimiento y explotacin
8.1.3 Mtricas e Indicadores
UNE 66175 Sistemas de gestin de la Calidad. Gua para la implantacin de
sistemas de indicadores

Esta norma facilita el establecimiento de indicadores y cuadros de mando, que

contribuyen activamente a la medicin de los fenmenos concernientes al
funcionamiento de una organizacin y facilita la toma de decisiones. As mismo explica
la relacin existente entre cuadros de mando, indicadores y objetivos.

8.2 ESTNDARES Y MEJORES PRCTICAS INTERNACIONALES

8.2.1 Gobernanza y Gestin de TI incluida la calidad y la cadena de suministro
ISO/IEC 20000 Information technology -- Service management

Es una norma multi-parte basado en ITIL (IT Infrastructure Library) para la gestin
de los servicios prestados por IT. Es un conjunto de buenas prcticas aplicables a los
sectores pblicos y privados. Es posible la certificacin, la formacin acreditada y la
utilizacin de herramientas para facilitar su implementacin.

MINISTERIO DEL INTERIOR

32 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 ISO/IEC 20000 Part 1:2005 Information technology service management.
Describe los requerimientos de gestin de los servicios de IT frente a los cuales se
puede certificar una organizacin.

ISO/IEC 20000 Part 2:2005 Information technology service management. Code of

Practice for Service Management. Proporciona una gua prctica para los
implementadores y un conjunto de buenas prcticas para la gestin de los servicios.

ISO/IEC 38500 -- Corporate governance of information technology - a

standard for corporate governance of information technology

Proporciona los principios directrices a los responsables de las organizaciones

para el uso aceptable, efectivo y eficiente de las Tecnologas de la Informacin en la
organizacin. El estndar hace referencia a al proceso de gestin del gobierno de TI y
las decisiones relativas a los servicios de informacin y comunicaciones de la
organizacin.

ISO/IEC 13335 IT security management

Es una norma multi-parte que proporciona un conjunto de directrices para la

gestin de la seguridad de TI, centrndose especialmente en controles tcnicos de
seguridad. Estas normas estn siendo en parte sustituidas por la familia 270xx.

ISO 9003:2004 Software engineering - Guidelines for the application of ISO

9001:2000 to computer software.

Contempla los aspectos de calidad desde el desarrollo, suministro, adquisicin,

operacin y mantenimiento para software.

ISO/IEC 28000 Specification for security management systems for the

supply chain.

Su objetivo es mejorar la seguridad de la cadena de suministro mediante el

anlisis de los riesgos y los planes de reaccin adecuados. Para ello, se requiere que la
organizacin evale el entorno de seguridad en el que opera relativos a la financiacin,
manufactura, gestin de la informacin y las ubicaciones de embalaje almacenamiento,
transporte y localizacin. De forma que determine si se implementan unas medidas de
seguridad adecuadas y si ya existen otros requisitos reglamentarios que la organizacin
cumpla.

MINISTERIO DEL INTERIOR

33 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
8.2.2 Seguridad de TI
ISO/IEC 27000:2009

Es la introduccin y descripcin de las normas de la familia 270xx.

ISO/IEC 27001:2005, Information security management systems

Requirements

Es el conjunto formal de especificaciones que describe el Information Security

Management System (ISMS) (SGSI en espaol) contra el cual se puede certificar una
organizacin.

ISO/IEC 27002:2005, Code of practice for information security management

Es el conjunto de buenas prcticas y controles aplicables a la gestin de la

Seguridad de los sistemas de informacin.

ISO/IEC 27003, Information security management system implementation

guidance

Gua facilitadora para la implantacin de la ISO 27001. Describe el proceso de

diseo y especificacin del ISMS desde el inicio hasta la implementacin final.

ISO/IEC 27006:2007, Requirements for bodies providing audit and

certification of information security management systems

Este estndar sirve de gua a los cuerpos de certificacin para especificar los
procesos formales de certificacin de los sistemas de gestin de la seguridad de la
informacin como terceras partes implicadas en el proceso.

ISO/IEC 27007, Guidelines for information security management systems

auditing

Norma directamente relacionada con la ISO 19011. Proporciona las directrices

para las competencias de los acreditadores y auditores de sistemas ISMS y las
necesidades de cumplimiento del estndar ISO/IEC 27001.

MINISTERIO DEL INTERIOR

34 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 ISO 21827 Systems Security Engineering Capability Maturity Model (SSE
CMM)

Describe las caractersticas esenciales del proceso de ingeniera de Seguridad

que debe existir en una organizacin y recoge prcticas existentes en la industria.

8.2.3 Desastre y Recuperacin

ISO/IEC 24762 Guidelines for information and communications technology
disaster recovery services

Proporciona directrices para la provisin de servicios de recuperacin de

desastres para las tecnologas de la informacin y las comunicaciones (ICT DR)
aplicable a servicios propios (in house) como externos (outsourced).

BS 25999 Business Continuity Management

Norma multi-parte Britnica de la Gestin de Continuidad del Negocio. La parte

primera establece los procesos, principios y terminologa junto con un conjunto de
buenas prcticas para todo el ciclo de vida de la gestin de la continuidad. La parte
segunda proporciona las especificaciones formales frente a las cuales auditar el
cumplimiento de las organizaciones. Se convertir en la futura ISO 22301 Societal
security - Preparedness and continuity management systems Requirements.

ISO/IEC 27031:2011 Information technology Security techniques

Guidelines for information and communications technology readiness for
business continuity

Basado en la antigua BS 25777:2008 Information and communications technology

continuity management. Code of practice. Proporciona directrices sobre los conceptos y
principios que subyacen en los aspectos de la informacin y las comunicaciones en el
aseguramiento de la continuidad de negocio. Este estndar abarca todos los eventos e
incidentes y no slo los relacionados con la seguridad de la informacin apoyndose en
el concepto ICT Readiness for Business Continuity (IRBC).

ISO/PAS 22399 Societal security - Guideline for incident preparedness and

operational continuity management

Proporciona directrices para desarrollar por parte de una organizacin sus

propios criterios de rendimiento para la preparacin de incidentes, la continuidad de las
MINISTERIO DEL INTERIOR
35 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
operaciones, y el diseo de un sistema de gestin permite a una organizacin medir su
resiliencia de forma consistente.

8.2.4 Mtricas e Indicadores

ISO/IEC 27004, Information security management Measurement

Proporciona directrices sobre el desarrollo y uso de medidas y mtricas para evaluar la

efectividad de los controles establecidos y del propio ISMS implantado en la
organizacin.

8.2.5 Auditora y Control

ISO 19011:2002 Guidelines for quality and/or environmental management
systems auditing ISO 19011 Directrices para la auditora de los sistemas de
gestin de la calidad y/o ambiental

Esta Norma Internacional proporciona orientacin sobre la gestin de los

programas de auditora, la realizacin de auditoras internas o externas de sistemas de
gestin de la calidad y/o ambiental, as como sobre la competencia y la evaluacin de
los auditores.

8.2.6 Gestin de Riesgos

ISO/IEC 27005:2008, Information security risk management

Proporcionar directrices para la gestin de riesgos en Seguridad TI y apoya el

enfoque basado en riesgos de los conceptos propuestos por la ISO/IEC 27001 y
ISO/IEC 27002.

ISO 31000 Risk management Principles and guidelines

Esta norma sustituye a la AS/NZS 4360. Proporciona las directrices y principios

para la implementacin de una gestin de riesgos estableciendo como una organizacin
debera entender su contexto especfico en el que implementar la gestin de riesgos.
Por tanto, la norma cubre la gestin de riesgos en un sentido amplio y no centrada
especficamente en la seguridad de la informacin o los riesgos de IT.

MINISTERIO DEL INTERIOR

36 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
 ISO/IEC 31010 Risk management Risk assessment techniques

Proporciona directrices para la seleccin y aplicacin sistemtica de tcnicas para

la evaluacin de riesgos como una parte integral de la gestin de riesgos para que los
gestores puedan entender los riesgos que pueden afectar los objetivos del negocio de
forma que se puedan evaluar y proporcionar controles efectivos y adecuados para la
mitigacin de los mismos.

8.2.7 Seguridad Laboral

OHSAS 18001 Sistemas de gestin de la seguridad y salud en el trabajo

Especifica los requisitos para un sistema de gestin de la Seguridad y Salud en el

Trabajo (SST), destinados a permitir que una organizacin controle sus riesgos de SST
y mejore su desempeo proteccin de la SST.

8.2.8 Certificacin y Acreditacin

ISO/IEC 15408:2008 (Information technology -- Security techniques --
Evaluation criteria for IT security

Esta norma multi-parte describe los criterios comunes (CC) de evaluacin para la
seguridad de las tecnologas de informacin (IT). Los productos que evalan contra esta
norma logran un nivel definido de aseguramiento en cuanto a la capacidad de seguridad
de la informacin se refiere. Este nivel de evaluacin es reconocido por todos los
miembros adheridos al acuerdo (arreglo) de Common Criteria.

ISO/IEC TR 19791:2010 Information technology Security techniques

Security assessment of operational systems

Este informe tcnico extiende la evaluacin de productos establecida en la norma de

ISO/IEC 15408 de Common Criteria, a los sistemas operacionales proporcionado las
guas y criterios de evaluacin de seguridad para estos sistemas al tener en cuenta el
entorno del sistema operacional a evaluar as como la posibilidad de descomponer un
sistema operacional complejo en dominios de seguridad que pueden ser evaluados
independientemente.

MINISTERIO DEL INTERIOR

37 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD
8.2.9 Coordinacin y Respuesta
ISO/IEC 18043 Selection, deployment and operations of Intrusion Detection
Systems (IDS)

Proporciona un gua para entender los beneficios y limitaciones de un IDS: como

realizar la integracin de las deteccin de intrusos en la organizacin, el desarrollo de
una estrategia y plan de implementacin para un IDS, cmo gestionar efectivamente las
salidas, as como integrar el sistema IDS en las practicas de la organizacin teniendo en
cuenta las necesidades legales y de privacidad que afectan a un IDS.

ISO/IEC 27035:2011 Information technology -- Security techniques --

Information security incident management

Los incidentes siempre van a ocurrir de una u otra forma debido a las
imperfecciones e inefectividad de los controles preventivos. Por lo que la gestin efectiva
de incidentes implica controles defectivos y correctivos designados para minimizar el
impacto adverso y aprender las lecciones en trminos de la mejora del ISMS,
especialmente la implementacin de controles preventivos ms eficientes.

-----oo00oo-----

MINISTERIO DEL INTERIOR

38 ______________________
SECRETARIA DE ESTADO
DE SEGURIDAD