La protección de infraestructuras críticas y el criminólogo

 Vicente Soto Pelegrín

Criminólogo

Diplomado en planes de autoprotección

 

Resumen

El presente artículo versa sobre  la forma de  tratar la seguridad física en ciertas instalaciones que por su contenido o dedicación adquieren el carácter de críticas. Los riesgos y las amenazas que tiene nuestra sociedad, hace que se deba atender  a la preservación y continuidad de la prestación  de los servicios esenciales en caso de crisis o ataques. Por ello es necesario reivindicar la figura del criminólogo como profesional conocedor del delito a la hora de trabajar los riesgos de seguridad.

PALABRAS CLAVE: instalaciones críticas, seguridad, riesgos, prevención, criminólogo

 Abstract

This article discusses how to handle security at certain facilities for their dedication content or acquire the character of reviews. The risks and threats that our society makes it must attend to the preservation and continued provision of essential services in the event of crisis or attack. Therefore it is necessary to claim the figure of knowledgeable professional criminologist crime work when security risks.

KEYWORDS: critical facilities, security, risk, prevention, criminologist

Después de los atentados de Estados Unidos en el 2001, y  de Madrid y Londres en el 2004 y 2005 respectivamente,  se abrió la conciencia pública y política con la vulnerabilidad de los países desarrollados ante la amenaza terrorista. Más concretamente, la existencia de una debilidad en la seguridad de las instalaciones críticas y consecuentemente con el riesgo también para las personas que usan o trabajan en esas instalaciones. La prevención había quedado en entredicho. No eran suficientes las políticas de seguridad que se llevaban a cabo, simplemente, porque no contemplaban un enemigo nuevo, un agresor que no venía de frente y que no “iba” a por los poderosos.

En Europa se comenzó a trabajar en ello. La directiva europea 2008/114 marca que son los estados miembros los responsables de proteger este tipo de instalaciones. En España se publicó la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.  En el preámbulo de la Ley se señala   a la globalización como la causante de los nuevos riesgos, riesgos como el  terrorismo internacional, como la fabricación y mercadeo de armas de destrucción masiva o  como el crimen organizado.

¿Qué son las infraestructuras críticas?

Son “aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas”. Es decir el criterio  que se sigue para definir una estructura crítica es que preste un servicio esencial al ciudadano, por otro lado que se garantice el ejercicio de la autoridad de los poderes públicos, y  finalmente el impacto negativo que produciría en el País la destrucción de estas infraestructuras.

El Catálogo está conformado por más de 3.000 instalaciones que comprenden centrales de energía, nucleares, tecnológicas, industria química, biológica y radiológica, transporte, suministro de agua, centros sanitarios, laboratorios, banca y alimentación.

Este catálogo (que no es público por razones lógicas) se basa en el análisis de riesgos sobre las amenazas potenciales y el estudio de las vulnerabilidades. También se rige por la gravedad de la perturbación en cuanto al posible número de personas afectadas en un ataque, al impacto medioambiental, a  las pérdidas económicas y al posible impacto moral en la población y a la alteración en la vida cotidiana.

Se crea con la Ley 8/2011 el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) con el fin de  coordinar y supervisar todo lo relacionado con las infraestructuras críticas. Se establece la necesidad de elaborar planes de Seguridad para entes públicos y privados. Más concretamente la elaboración de un plan de seguridad para el operador (PSO) y un plan de protección específico (PPE) para prevenir, proteger y, en su caso, reaccionar ante la amenaza.

Estamos ante una estrategia de protección que abarca la protección documental, la seguridad en el personal y la seguridad física. Esto es, la manera de proteger la información, organizando quién accede, quién la maneja y  dónde, cómo y  cuando se accede a ella. Para acceder a esa información se exigen tres requisitos: 1-Que al sujeto le hayan concedido una Habilitación Personal de Seguridad adecuada. 2-Que tenga una Necesidad de Conocer la información, y así se especifique. 3-Que tenga la formación en Seguridad pertinente. Así, la información con la que se va a trabajar presenta unas características de  secreta, reservada y confidencial. La nomenclatura varía dependiendo la organización de la que hablemos (OTAN, AEE, UE, etc.)

El solicitante de  la habilitación y su entorno será investigado. Sin embargo deberá autorizarlo y conocerá que va a ser investigado como condición indispensable para la obtención de la habilitación.

El Real Decreto 704/2011, establece la necesidad de contemplar  un análisis de riesgos que abarque tanto las amenazas físicas como lógicas existentes. En cuanto a la protección física, teniendo presente las características del lugar a proteger y de la clasificación de la información, los medios humanos deben ser especialmente profesionales (al igual que los responsables de la seguridad) y los medios técnicos o electrónicos deben ser de gran calidad. No es lo mismo establecer un plan de seguridad para una cadena de ropa que para un ministerio o una central de energía.

Los  12 sectores estratégicos en los que se divide el tipo de Infraestructuras Críticas son tan importantes e imprescindibles en la sociedad que es necesario un plan de seguridad que recoja de manera exhaustiva, si cabe, los riesgos, amenazas y vulnerabilidades del lugar a proteger.

Un análisis o evaluación de riesgos nos dará el conocimiento sobre la probabilidad de que una amenaza se manifieste y el impacto de su materialización en la infraestructura crítica, sacando a la luz la vulnerabilidad del complejo crítico, esta vulnerabilidad no es otra cosa que el grado de destrucción recibido por la amenaza efectiva. Es decir, nos da el conocimiento sobre el peligro potencial. Se trata de evitar que se convierta en un peligro real.

Las amenazas a considerar son variadas y pueden provenir por causas naturales (terremotos, tormentas, etc.), por la acción del hombre (robo, sabotaje, vandalismo, agresión, terrorismo etc.), o por accidentes, que pueden repercutir en la Seguridad física de las instalaciones, en la seguridad informática, en la seguridad en las telecomunicaciones, en la seguridad de la información o en la seguridad del personal, tanto del propio como del usuario o visitante.

Realizando una definición y un análisis del riesgo (Riesgo nuclear, riesgo laboral, riesgo biológico, riesgos sociales, riesgos tecnológicos, riesgo de incendios…) identificaremos la clase de amenaza que puede sufrir la instalación crítica y podremos valorar los riesgos. Como elementos de riesgo humanos hay que considerar el posible  consumo de drogas por parte de los trabajadores, la delincuencia organizada (con el ejemplo del espionaje industrial y tecnológico) el terrorismo (buscando la destrucción física del lugar, la propaganda y minar la moral de la población)  los grupos organizados (aquí hablamos de personas que sin ser delincuentes habituales sí pueden realizar algún acto ilegal especialmente el sabotaje o vandalismo), el paro (bien por causa de un trabajador despedido, bien por motivos de “justicia social”)

Para realizar un plan de seguridad integral habrá que trabajar en campos organizativos, operativos y técnicos. Sin olvidar que se debe trabajar en primer lugar desde la prevención.

El proceso organizativo comprende el análisis de riesgos, la planificación, la implementación de los planes, la actualización de los planes y el cumplimiento de la normativa aplicable.

Dentro del procedimiento operativo debemos contemplar la formación en seguridad técnica y cultural, la elaboración de planes de contingencias, la auditoría interna continúa  con el fin de evaluar los sistemas de seguridad, la selección del personal de seguridad, la gestión de acceso del personal autorizado en todas sus variantes, el protocolo  de acceso de objetos (paquetería, correspondencia, equipos tecnológicos, etc.), la operativa de seguridad del personal de seguridad y los planes de autoprotección y evacuación.

Por lo que se refiere al procedimiento de protección se contempla los medios anti-intrusión, la seguridad física, la seguridad electrónica[1], los sistemas de detección, los controles de accesos[2] de personas, vehículos y mercancías  efectivos, sistemas de cctv y un centro de control.[3]

Ya hemos dicho que desde la prevención emana todo el sistema de seguridad y se comienza a materializar con el análisis de riesgos. En el caso de las infraestructuras críticas es muy recomendable realizar un análisis de riesgos una vez al año mínimo, cuando se haya producido una vulnerabilidad grave en la seguridad, y cada vez que se cambien las contratas que prestan servicios en las infraestructuras críticas.[4]

 Con una buena prevención se puede detectar con mayor eficacia una amenaza y reaccionar con una respuesta también eficaz.

¿Por qué no trabajar con criminólogos?

El director de seguridad es la máxima autoridad en materia de seguridad en una empresa, entidad u organismo público o privado. No obstante deberá seguir los criterios que marque la Ley y la política de empresa. El RD 1123/2001, de 19 de octubre, por el que se modifica parcialmente el Reglamento de Seguridad Privada, aprobado por RD 2364/1994, de 9 de diciembre, establece en su artículo 95 las siguientes funciones del director de seguridad:

• El análisis de situaciones de riesgo y planificación y programación de las actuaciones precisas para la implantación y realización de los servicios de seguridad.
• La organización, dirección e inspección del personal y servicios de seguridad privada.
• La propuesta de los sistemas de seguridad que resulten pertinentes, así como la supervisión de su utilización, funcionamiento y conservación.
• La coordinación de los distintos servicios de seguridad que de ellos dependan con actuaciones propias de protección civil, en situaciones de emergencia, catástrofe o calamidad pública.
• Asegurar la colaboración de los servicios de seguridad con los de las correspondientes dependencias de las Fuerzas y Cuerpos de Seguridad.
• En general, velar por la observancia de la regulación de seguridad aplicable.

    Sin embargo quiero remarcar que el conocimiento que tiene el criminólogo del delito le capacita para la prevención del mismo, para la disminución de la criminalidad, para el estudio del delincuente, para hacer investigaciones y peritajes, etc.

Es cuando menos curioso, que las instalaciones en infraestructuras críticas no contemplen en su apuesta por la seguridad con la figura del criminólogo como gestor de la prevención de la criminalidad. El libro blanco de criminología explica que una de las funciones que puede desarrollar este profesional está enmarcada en la Seguridad Privada. El carácter científico de la criminología viene avalado por la Universidad, con una preparación multidisciplinar que convierte al criminólogo en el único profesional con una visión de 360º sobre la criminalidad y su amenaza.

Las amenazas (al margen de accidentes y causas naturales) provienen de personas que presentan conductas desviadas. Se hace pues, imprescindible dotar a los diferentes departamentos de seguridad de un criminólogo que no sólo pueda adoptar una política de seguridad, sino una política criminal en relación al organismo o entidad potencialmente amenazada.

En España los trabajos generales realizados sobre las vulnerabilidades en las infraestructuras críticas están basados en ciberataques, como por ejemplo el informe realizado por la empresa S2 Grupo en el año 2012. Como apunta  Antonio Villalón, Director de Seguridad de este grupo,” puede resultar más fácil un ciberataque contra la infraestructura que un ataque tradicional contra la misma”. Las vulnerabilidades físicas quedan en un segundo plano, de hecho no se realizan estudios generales sobre ciertos tipos de contingencias. Vuelvo a insistir en que la prevención es la base del éxito en la protección.

Como vimos al principio del artículo, la protección de las infraestructuras críticas se planteó pensando en una amenaza concreta, la terrorista. Se olvidó que cualquier sujeto puede cometer un ataque si está suficientemente motivado, si tiene la oportunidad para hacerlo y si el objetivo está insuficientemente vigilado, siguiendo la teoría de la prevención situacional.

 Anticiparse al hecho criminal no es fácil, pero el criminólogo con el análisis y estudio  de la criminalidad de la zona (puntos calientes), de las estadísticas, de la cualidad del delito, del aumento del paro en determinada zona, de problemas socio-económicos-familiares de los trabajadores de estos centros críticos, incluso del cambio de leyes, de la geografía del terreno, del vecindario industrial, etc., eleva la calidad de la seguridad. La seguridad no se puede garantizar al 100%, pero se debe buscar minimizar la gravedad de los efectos de un acto delictivo.

Las preguntas que se plantea el criminólogo en este campo de actividad son: ¿A quién beneficiaría un ataque? ¿Quién puede alcanzar el objetivo con éxito? ¿Cómo lo haría? ¿Cuándo lo haría? ¿Con qué lo haría?

Estamos ante la necesidad de evitar preguntarnos ¿Cómo lo han hecho?

Conclusión

En los últimos años ha surgido la figura del director de seguridad formado en criminología o del criminólogo formado en seguridad. Esto debe ser aprovechado por las empresas y entidades públicas o privadas. Hasta la fecha, el criminólogo en España se considera un profesional menor, fruto de la escasa cultura en seguridad que caracteriza a nuestro País. Lo cierto que estamos ante profesionales muy preparados en diferentes campos de la seguridad y de la criminología y no se está sabiendo cultivar esta nueva coyuntura social. Una magnífica oportunidad se presenta a las más de 3500 infraestructuras críticas presentes en España.

Fuentes:

CNI http://www.cni.es/es/ons/documentacion/normativa/

Directiva europea 2008/114

Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas

Método Mosler de cálculo de riesgos

RD 1123/2001, de 19 de octubre, por el que se modifica parcialmente el Reglamento de Seguridad Privada, aprobado por RD 2364/1994, de 9 de diciembre

Libro blanco de criminología

Introducción a la investigación criminológica. Horacio Roldán Barbero

---