Una sola seguridad

placa_director_seguridad

El comisario Gándara no desveló la incógnita, pero aseguró que el reglamento “está alumbrado”, si bien aún depende de las consideraciones de otros órganos de la Administración para salir adelante. Este profesional es un convencido de la necesidad de observar la seguridad desde un punto de vista holístico puesto que “seguridad sólo hay una, otra cosa es desde qué ángulo o especialidad se mire”. Esa filosofía ya queda patente en la nueva Ley de Seguridad Privada al considerar la seguridad informática como una actividad compatible. Anunció, eso sí, que el nuevo reglamento incluirá el término “ciberseguidad” y otros como “servicios de ciberseguridad”, “ciberalarmas” o “cibermedidas”.

El jefe de la UCSP explicó que la norma abordará la integralidad de la seguridad “a través de cuatro conceptos que aparecen a lo largo de la nueva ley”. El primero de ellos es la “cultura de seguridad”, que “es el que va a expandir la idea de unicidad de la seguridad y va a construir el modelo”. “El articulado intenta decir que la cultura de seguridad es algo que tiene que insertarse en el ADN de una organización que quiera tener de verdad seguridad a través de su departamento”, añadió Gándara.

El segundo concepto es el de “seguridad corporativa”, que de nuevo se contempla en el reglamento “con carácter de integralidad”, indicó. Algo que guarda relación con la tercera idea a la que se refirió Gándara como parte del reglamento: el director de seguridad. Para el responsable policial, este perfil es “el protagonista” y la “figura clave sobre la que pivota la legislación”.

El cuarto elemento que influirá en la norma es el “departamento de seguridad”, que definió como “una medida de seguridad de carácter organizativo y al frente del que necesariamente ha de haber un director de seguridad habilitado”.

Desde el punto de vista de Gándara, estos cuatro elementos han de inspirar no sólo la legislación sino también la configuración de la seguridad en cualquier tipo de entidad. “Si no se entiende la seguridad así, con independencia de la normativa, estarán equivocados y estarán haciendo un flaco favor a sus organizaciones”, aseveró ante los asistentes.

Infraestructuras críticas

Para el jefe de Área del CNPIC, un organismo que desde sus inicios (en 2008) apostó por la convergencia de la seguridad, “el nuevo reglamento tiene que quedar bien definido y, sobre todo, tienen que quedar bien plasmadas la colaboración, coordinación y complementariedad entre la seguridad pública y la privada”. Carabias añadió que “hay que mejorar la eficacia de los servicios [de seguridad] que se presten, así como la profesionalidad en el ejercicio de esas actividades” y planteó la conveniencia de que las empresas que realicen sus servicios en infraestructuras críticas “cuenten con algún tipo de certificación”.

El representante del CNPIC señaló algunos aspectos de la Ley de Seguridad Privada sobre los que este organismo está expectante en cuanto a su concreción en el reglamento. Uno de ellos es conocer los requisitos “referentes a medios personales y materiales” que podrían tener que ampliar las empresas que presten servicios en infraestructuras críticas o en servicios esenciales, como marca el artículo 19.3 de la nueva ley.

Carabias también se interesó especialmente por conocer la certificación con la que tendrán que contar las empresas que quieran prestar servicios en dichas infraestructuras, así como las exigencias formativas del personal que vayan a participar en ellos.

En cuanto a la seguridad de la información, el ponente destacó el avance que supone declarar esta especialidad como “actividad compatible” con la seguridad privada y el hecho de que vayan a existir “ciertas obligaciones por parte de los proveedores y los usuarios”. “A las empresas, sean o no de seguridad privada, que se dediquen a la seguridad informática, se les podrá imponer requisitos específicos para garantizar la calidad de los servicios que presten”, recordó.

Requisitos específicos

En una de sus últimas intervenciones en público ante el sector de la Seguridad Privada como jefe del SEPROSE, el coronel César Álvarez compartió sus consideraciones en cuanto a “cómo debería ser” el nuevo reglamento respecto a la seguridad informática. En cuanto a los requisitos específicos que mencionaba el responsable del CNPIC, Álvarez concretó que dependerá de las actividades que desempeñen las empresas proveedoras, como puede ser el desarrollo de software, el mantenimiento, la operación de centros de respuestas o la consultoría. Pero, sobre todo, dichas obligaciones estarán supeditadas al tipo de usuario al que presenten esos servicios. “Podría haber tres tipos de usuarios, en base a los cuales se impondrán unas exigencias: los proveedores de servicios de seguridad y sujetos obligados, los operadores estratégicos y los operadores críticos”, precisó.

Álvarez apuntó que las medidas de seguridad informáticas que figuren en el reglamento serán “aquellas que tiendan a proteger la disponibilidad, confidencialidad o integridad de la información. No obstante, consideró que, aunque existan requisitos básicos, “no es momento de realizar una lista exhaustiva de medidas y quizá sea tiempo de dejarlas más abiertas y confiar en la capacidad de las empresas”.

En relación con la coordinación público-privada en materia de seguridad informática, el ya ex jefe del SEPROSE aclaró que existe un órgano encargado de esta misión, la Oficina de Coordinación Cibernética (OCC), que forma parte de la Secretaría de Estado de Seguridad.

También se refirió a la gestión de las ciberalarmas, que, según su definición, “serán aquellas que impliquen un impacto real en los activos o sistemas de seguridad que ponga en peligro la confidencialidad, la integridad o la disponibilidad de los datos”. De nuevo, la OCC es el órgano que debe recibir las comunicaciones, porque “la Administración quiere saber cuáles son los ataques para poner medidas que les hagan frente”, apuntó Álvarez.

Finalmente, otro de los puntos que cree que deben concretarse en el futuro reglamento es la formación de los profesionales del ámbito de la seguridad informática. Su apuesta es una capacitación similar a la del director de Seguridad, pero indicó que “no se ignorarán las titulaciones internacionales”.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s