El Ministerio del Interior ha hecho público oficialmente el borrador del nuevo reglamento de seguridad privada, por fin un texto sobre el que trabajar, y con una previsión de aplicación inminente. En el sector de la seguridad privada es una normativa muy necesaria puesto que teníamos una ley de 2014 y un reglamento de 1994 (las leyes marcan directrices y los reglamentos especifican como llevarlas a cabo), un chorreo de órdenes ministeriales de adaptación a los tiempos y normativas varias. Esto impedía la transparencia en una actividad en la que interfieren: derechos fundamentales de la ciudadanía, derechos de los clientes que contratan los servicios y la seguridad ciudadana. Me atrevo a realizar este análisis debido a que la extensión del documento, 444 páginas, y lo heterogéneo de su contenido, no lo hacen apetecible para los responsables de empresas de seguridad informática. Las empresas de informáticas en general, en las que destaca el dinamismo y la capacidad de adaptación, van a ser engullidas por un sector muy encorsetado y sometido a régimen sancionador, auditorías externas, etcétera.
DISCLAIMED: Yo no he hecho el reglamento, únicamente me dedico a su estudio de impacto para la comunidad de seguridad informática.
Para las empresas de seguridad informática tiene un lado positivo y otro negativo:
1. PARTE NEGATIVA: Las obligaciones que llegan a las empresas de seguridad informática no son pocas, y además conceptos desconocidos. Para empezar a tomarnos esto un poquito en serio os pongo el cuadro de medidas obligatorias tanto organizativas, físicas, electrónicas e informáticas, que más adelante se desarrolla. Con conceptos como “plan integral de seguridad”, “procedimientos de seguridad”...Estarás pensando “esto va a costar dinero”.
PREÁMBULO
Esta es la justificación:
Otra de las novedades más importantes de este título viene constituida por la definición de las actividades que, a efectos de este reglamento, se consideran de seguridad informática, imponiendo a las empresas que las lleven a cabo, sean o no de seguridad privada, el cumplimiento de requisitos específicos para garantizar la calidad de sus servicios en función de los usuarios concretos a quienes los presten. De esta manera, la seguridad informática encuentra su primer desarrollo reglamentario en España, desde el más absoluto respeto a la normativa sobre protección de las redes y sistemas de información que pueda elaborarse.
Siguiendo con el preámbulo te va cortando el cuerpo cuando habla del Título IX (Control e inspección):
Otra importante novedad introducida en este título es el establecimiento de un régimen de auditoría externa obligatorio para las empresas de seguridad informática, las empresas de seguridad privada que pretendan prestar servicios de seguridad privada en sectores estratégicos definidos en la normativa de protección de infraestructuras críticas y las empresas de seguridad privada prestadoras de determinados servicios, así como para ciertos sujetos obligados al cumplimiento de medidas de seguridad privada.
Si tenemos en cuenta que el Título X detalla el Régimen sancionador, creo que el interés en este análisis debería de ir subiendo por parte del lector.
Pues empecemos, ¿Qué se hace al principio del primer día de clase? Pasar lista:
Disposición transitoria decimocuarta. Anotación registral de actividades de seguridad informática.
1. Las empresas que lleven a cabo las actividades de seguridad informática definidas en este real decreto, a su entrada en vigor deberán proceder a interesar su anotación en el registro correspondiente dentro del plazo de adecuación fijado en el mismo.
“””Pueden vestir a la mona de seda, pero esto se llama control. Siendo evidente que nace de la preocupación general sobre la seguridad de la información. Había que hacer algo por parte de los responsables de garantizar la seguridad y han hecho esto, el tiempo dirá si ha sido acertado.Este control no va a ser llevado mayoritariamente por informáticos, pero se generan esos logs para identificar si fuera necesario estudiar según que escenarios...“””
Disposiciones Comunes
La Secretaría de Estado de Seguridad tiene entre sus competencias “controlar e inspeccionar a las empresas que realicen actividades de seguridad informática”. La Dirección General de la Policía, la anotación registral de las empresas de seguridad informática.
Ejercicio de funciones profesionales de seguridad privada
Veo necesario explicar la figura del Director de Seguridad para que, si el lector es profano en la materia pueda valorar este actor con la relevancia que puede tener dentro de las empresas de seguridad informática. El director de seguridad, siendo una habilitación de seguridad del Ministerio del Interior, sin embargo, trabaja en las empresas que NO son de seguridad privada. Algunas empresas tienen la obligación de tenerlo contratado (constituyendo un departamento de seguridad), como por ejemplo las infraestructuras críticas. No es el caso de las empresas de seguridad informática, aunque si podría contratarlo y formar el departamento de manera “facultativa”, incluso esta figura puede ser externa, sin tener que pertenecer a la plantilla, como si ocurre en las organizaciones que tienen la obligación de disponer de un departamento de seguridad.
Su importancia radica en la confianza que en su figura deposita la administración, sirva como ejemplo el siguiente dispendio, que los estudiosos de la constitución considerarán extraordinario:
De acuerdo con el artículo 36.1i) de la Ley, el director de seguridad podrá realizar comprobaciones tendentes a acreditar la solvencia técnica y honorabilidad de las personas que puedan tener acceso a áreas o informaciones sensibles de la misma. Estas comprobaciones podrá realizarlas por sus propios medios o mediante la contratación de servicios de investigación privada. Por su parte, las Fuerzas y Cuerpos de Seguridad podrán facilitar al director de seguridad las informaciones necesarias para prevenir un peligro real para la seguridad.
Entre sus funciones, está la de ser enlace con las Fuerzas y Cuerpos de Seguridad y con otras instituciones oficiales cuando sea requerido. Ser el responsable de la seguridad a todos los niveles y de los planes formativos y de concienciación en seguridad. Para que nos entendamos, hace de intermediario y aglutina la confianza de ambas partes, empresa/administración. Su trabajo se canaliza a través de los planes de seguridad que el mismo desarrolla.
Planes de seguridad (Textual del reglamento)
La planificación de seguridad es la principal herramienta de prevención, protección y respuesta de seguridad, destinada a realizar las previsiones oportunas sobre posibles riesgos y amenazas y la forma de atajarlos, disminuirlos o eliminarlos, mediante la programación detallada del conjunto de acciones a realizar y de los medios disponibles para alcanzar el objetivo de seguridad fijado. Los planes de seguridad privada, que podrán ser planes específicos de seguridad para eventos o acontecimientos concretos, o planes de seguridad corporativa, destinados a proteger el normal desarrollo de las actividades empresariales. La función de planificación atribuida a los directores de seguridad en el artículo 36.1c) de la Ley, se concreta en la elaboración y actualización permanente del Plan Integral de Seguridad de la empresa o entidad en la que preste sus servicios.
Un reto apasionante, más si cabe al tener que gestionar perfiles humanos creativos o con habilidades técnicas muy desarrolladas, características que no siempre van unidas al ceñimiento a este tipo de normativas.
Medidas de seguridad privada I
Ya en el artículo 199, catálogos de sujetos obligados, nos encontramos con esta clasificación, entre otros:
a) Sector seguridad:
1º. Empresas de seguridad.
2º. Despachos de detectives.
3º. Empresas de seguridad informática.
# Actividades a las que se les llama de seguridad informática, en el siguiente punto
CAPÍTULO V
Seguridad informática
Artículo 225. Actividades de seguridad informática.
1. De acuerdo con el artículo 6.6 de la Ley, se consideran actividades de seguridad informática las siguientes:
a) La instalación o integración y mantenimiento de medidas de seguridad informática, físicas o lógicas, señaladas en el artículo 52.1c) de la Ley, incluida la configuración y actualización de soluciones tecnológicas.
“””Para que no queden cabos sueltos, esto es lo que dice ese artículo de la ley:
De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.”””
b) Los servicios de alojamiento virtual y compartido o almacenamiento de datos digitales prestados a terceros.
c) Los procesos destinados al análisis, monitorización, operación y administración de los sistemas de seguridad informática y, en su caso, respuesta a incidentes o eventos de seguridad de la información en el ámbito de las tecnologías de información y de las comunicaciones, prestados a terceros, a través de centros operativos de seguridad o equipos de respuesta a incidentes de seguridad de la información.
La gestión y notificación de incidentes en este ámbito se regirá por la normativa sectorial de aplicación que regule la seguridad de las redes y sistemas de información.
d) La fabricación o desarrollo de software y hardware de seguridad, siempre que no sea de propósito general.
e) La consultoría, entendida como el asesoramiento experto en el diseño de plataformas tecnológicas, modelos de gestión de la seguridad, de soporte al cumplimiento legal, de estrategias, de gobierno, o cualquier otro relacionado con la seguridad informática.
f) La auditoría de seguridad informática y diagnósticos especializados, entendidos como las acciones de revisión del cumplimiento de la política de seguridad, de su cuerpo normativo y procedimental y de los controles establecidos, así como la verificación del cumplimiento de las obligaciones legales vigentes en cada momento. Incluye actividades de búsqueda de vulnerabilidades para su solución, análisis forense, vigilancia digital u otras de similar naturaleza.
REQUISITOS, REGISTRO, INFRACCIONES y AUDITORÍAS
Los requisitos de las empresas, registros y régimen de infracciones, deben ser producto de un análisis personalizado de cada empresa, por lo que no se incluyen en este primer análisis, aunque se puede entresacar entre otros muchos:
Las empresas prestadoras de servicios de seguridad informática, de conformidad con lo dispuesto en el artículo 6.6 de la Ley, para garantizar la calidad de los servicios que presten deberán disponer, en función de los mismos como requisitos específicos, de las certificaciones de calidad, seguridad, continuidad de negocio y gestión de riesgos, expedidas por entidades de certificación acreditadas, en los términos que establezca una orden ministerial, que, en todo caso, incluirá. como exigencia común a todas ellas, la obligación de disponer de un sistema de gestión de calidad certificado en base a la norma UNE-EN ISO/IEC 9001, relativo a los procesos operativos de sus servicios, así como, en relación a las actividades del artículo 225.1, párrafos a), b) y c)
Y como ejemplo de infracciones:
Artículo 240. Infracciones muy graves.
La prestación de servicios de seguridad privada sin haber obtenido la preceptiva autorización para la clase de actividades o servicios de seguridad privada de que se trate, o presentado la correspondiente declaración responsable.
Respecto a las auditorías, deriva a que se analizarán que se está cumpliendo, además de lo referente al propio reglamento de seguridad privada, el cumplimiento con el resto de normativa de la seguridad de la información, aunque primero dice “Digo”:
La auditoría, se realizará sobre aspectos exclusivamente relacionados con las obligaciones, requisitos y medidas de seguridad privada, a que estén obligados, o que hayan implementado adicional o voluntariamente, las empresas de seguridad informática.
En los requisitos específicos dice “Diego”:
La empresa de seguridad informática, en relación con la gestión y notificación de incidentes en este ámbito, se rige por la normativa específica de aplicación reguladora de la seguridad de las redes y los sistemas de información.
El cumplimiento de las disposiciones y protocolos de gestión y notificación de incidentes establecidos por la normativa específica de aplicación reguladora de la seguridad de las redes y los sistemas de información, se acreditará mediante presentación de declaración responsable por el representante legal de la empresa, o en su caso, por el titular del departamento de seguridad de la empresa de seguridad informática, evaluándose, al menos, un tercio de los procedimientos de gestión de incidentes, así como de las notificaciones realizadas por la empresa de seguridad informática, seleccionados aleatoriamente por el Organismo Auditor
Salvador Gamero
Director y Jefe de Seguridad
Máster en Dirección y Gestión de la Ciberseguridad
Interesante artículo donde se desentraña los vericuetos del borrador del Reglamento de Seguridad Privada en relación a la seguridad informática.
ResponderEliminar