En este artículo pretendemos analizar el ámbito de la ciberseguridad, seguridad lógica o informática y su desconocida relación con la normativa de seguridad privada en vigor y su desarrollo en el borrador del Proyecto de Reglamento de Seguridad Privada que fue recientemente publicado para el conocimiento del sector.
En primer lugar, vemos que en la Ley 5/14 de Seguridad Privada, establece una marco regulador de las actividades de seguridad informática estableciendo en su articulado referencias claras respecto de su ordenación, señalando entre ellos los siguientes::
1.- Ámbito de aplicación. (Art. 3.2)
Las disposiciones de esta ley son de aplicación a las empresas de seguridad privada, (…) en la medida que resulte pertinente en cada caso, se aplicarán a (…) las empresas prestadoras de servicios de seguridad informática …
Dicha redacción deja claro que el ámbito de aplicación de la Ley afecta directamente a las empresas prestadoras de servicios de seguridad informática.
2.- Definición de actividad de seguridad informática. (Art. 6.6)
A las empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten.
Es decir, se definen las actividades que vendrán reguladas y su finalidad.
3.- Inscripción en el Registro Nacional de Seguridad Privada. (Art. 11.4)
En los mencionados registros, nacional y autonómicos, se anotarán también los datos de las empresas que realicen actividades de seguridad informática, de acuerdo con lo que reglamentariamente se determine.
Este precepto establece la obligación de inscripción, a imagen y semejanza de las empresas de seguridad privada, de las empresas que realicen actividades de seguridad informática, si bien, requerirá de desarrollo reglamentario para establecer las condiciones y requisitos exigibles.
4.- Monitorización de sistemas de seguridad de la información (Art 47.3)
Servicios de análisis y monitorización de eventos de seguridad de la información y las comunicaciones, estarán sujetos a las especificaciones que reglamentariamente se determinen. Las señales de alarma referidas a estos eventos deberán ser puestas, cuando corresponda, en conocimiento del órgano competente, por el propio usuario o por la empresa con la que haya contratado la seguridad.
5.- Tipos de medidas de seguridad (Art. 54.1 c))
De seguridad informática, cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida.
6.- Régimen sancionador. Falta muy grave (Art. 57.1 r))
La falta de comunicación por parte de empresas de seguridad informática de las incidencias relativas al sistema de cuya protección sean responsables cuando sea preceptivo.
7.- Régimen sancionador. Falta grave (Art. 57.2 s))
El incumplimiento de los requisitos impuestos a las empresas de seguridad informática.
8.- Disposición transitoria cuarta. Plazos de adecuación.
Los sistemas de seguridad y los elementos de seguridad física, electrónica e informática que se instalen a partir de la entrada en vigor de esta ley deberán cumplir todas las exigencias y requisitos establecidos en la misma y en su normativa de desarrollo.
Por otra parte, sobre el borrador del Proyecto de Reglamento de Seguridad Privada.
1.- La seguridad informática encuentra su primer desarrollo reglamentario en España, desde el más absoluto respeto a la normativa sobre protección de las redes y sistemas de información que pueda elaborarse.
2.- Se establece un plazo para interesar su anotación en el Registro Nacional de Seguridad Privada.
3.- Importante novedad es el establecimiento de un régimen de auditoría externa obligatorio para las empresas de seguridad informática, las empresas de seguridad privada que pretendan prestar servicios de seguridad privada en sectores estratégicos definidos en la normativa de protección de infraestructuras críticas y las empresas de seguridad privada prestadoras de determinados servicios, así como para ciertos sujetos obligados al cumplimiento de medidas de seguridad privada.
4.- Se establecen las competencias sobre seguridad privada, quedando atribuidas a la Secretaría de Estado de Seguridad la función de control e inspección de empresas que realicen actividades de seguridad informática.
Este artículo precisa el tipo de servicio prestado por las empresas de seguridad informática y avanza la necesidad de desarrollo reglamentario para las especificaciones del mismo.
5.- Quedan incluidas en el Catálogo de sujetos obligado las Empresas de seguridad informática.
6.- Consideración de actividades de seguridad informática.
- La instalación o integración y mantenimiento de medidas de seguridad informática, incluida la configuración y actualización de soluciones tecnológicas.
- Los servicios de alojamiento virtual y compartido o almacenamiento de datos digitales prestados a terceros.
- Los procesos destinados al análisis, monitorización, operación y administración de los sistemas de seguridad informática y, en su caso, respuesta a incidentes o eventos de seguridad de la información en el ámbito de las tecnologías de información y de las comunicaciones, prestados a terceros, a través de centros operativos de seguridad o equipos de respuesta a incidentes de seguridad de la información.
- La fabricación o desarrollo de software y hardware de seguridad, siempre que no sea de propósito general.
- La consultoría, entendida como el asesoramiento experto en el diseño de plataformas tecnológicas, modelos de gestión de la seguridad, de soporte al cumplimiento legal, de estrategias, de gobierno, o cualquier otro relacionado con la seguridad informática.
Se abunda sobre la concreción de las actividades de seguridad informática.
6.- Concreción de fiscalización y control de actividades de ciberseguridad.
A las empresas que presten servicios en relación con las actividades descritas se les impondrán requisitos específicos, siempre que los lleven a cabo a favor de los siguientes grupos de usuarios:
Proveedores de servicios de la sociedad de la información establecidos en España, de acuerdo con la normativa sobre servicios de la sociedad de la información.
Operadores estratégicos no declarados críticos por aplicación de la normativa sobre protección de las infraestructuras críticas y sujetos obligados por este reglamento a adoptar medidas de seguridad informática.
Operadores críticos, declarados como tales por aplicación de la normativa sobre protección de las infraestructuras críticas.
Se señala la posibilidad de imposición de requisitos específicos a las empresas de seguridad informática, para la prestación de servicios en favor de usuarios concretos.
7.- Obligación de auditorías externas.
Serán obligatorias para las empresas de seguridad informática, en los términos establecidos reglamentariamente.
Se establece un marco de control externo mediante la obligación de someterse a auditorías externas.
8.- Requisitos específicos para la inscripción de las Empresas de S. informática.
Las empresas prestadoras de servicios de seguridad informática, de conformidad con lo dispuesto en el artículo 6.6 de la Ley, para garantizar la calidad de los servicios que presten deberán disponer, en función de los mismos como requisitos específicos, de las certificaciones de calidad, seguridad, continuidad de negocio y gestión de riesgos, expedidas por entidades de certificación acreditadas. Como exigencia común a todas ellas, deberán disponer de un sistema de gestión de calidad certificado en base a la norma UNE-EN ISO/IEC 9001, relativo a los procesos operativos de sus servicios, así como, en relación a las actividades del artículo 225.1, párrafos a), b) y c), y dispondrán de las siguientes certificaciones:
a. Las empresas de instalación o integración y mantenimiento de medidas de seguridad informática, físicas o lógicas, señaladas en el artículo 52.1.c) de la Ley, incluida la configuración y actualización de soluciones tecnológicas:
- Las empresas de seguridad informática dedicadas a dicha actividad, dispondrán de la certificación de seguridad de la norma UNE-EN ISO/IEC 27001 de seguridad de la información, en vigor, y UNE ISO/IEC 20000, en vigor, como sistema de gestión de los servicios de tecnología de la información que prestan, expedidas por una entidad de certificación acreditada.
Las empresas dedicadas a la prestación de servicios de integración de medidas de seguridad informáticas, o que ejercieran dicha actividad como compatible, ajustarán los proyectos de integración de dichas medidas para sus clientes, al marco de referencia establecido por los colegios profesionales que en su caso correspondan, en aquellos aspectos que le sean de aplicación en razón a la naturaleza de la actividad, servicios y procesos que desarrollen.
b. Las de servicios de alojamiento virtual y compartido o almacenamiento de datos digitales prestados a terceros.
1º. Las empresas de seguridad informática dedicadas a dicha actividad, dispondrán de la certificación de seguridad de la norma UNE-EN ISO/IEC 27001 de seguridad de la información, en vigor, y UNE ISO/IEC 20000, en vigor, como sistema de gestión de los servicios de tecnología de la información que prestan, expedida por una entidad de certificación acreditada.
Complementarán la certificación de seguridad, en relación con la seguridad de la información de la computación en nube con la aplicación de los controles de seguridad de la norma ISO/IEC 27017.
2º. En relación a los planes de continuidad y gestión de riesgos, contarán con la certificación en base a norma UNE-EN ISO/IEC 22301, en vigor, expedida por una entidad de certificación acreditada.
c. Las de procesos destinados al análisis, monitorización, operación y administración de los sistemas de seguridad informática y, en su caso, respuesta a incidentes o eventos de seguridad de la información en el ámbito de las tecnologías de información y de las comunicaciones, prestados a terceros o por personal propio del sujeto obligado, a través de centros operativos de seguridad.
1º. Las empresas de seguridad informática dedicadas a dicha actividad, dispondrán de la certificación de seguridad de la norma UNE-EN ISO/IEC 27001 de seguridad de la información, en vigor, y UNE ISO/IEC 20000, en vigor, como sistema de gestión de los servicios de tecnología de la información que prestan.
2º. En relación a los planes de continuidad y gestión de riesgos, contarán con la certificación en base a norma UNE-EN ISO/IEC 22301, en vigor, expedida como en el punto anterior, por una entidad de certificación acreditada.
El Reglamento recoge y desarrolla los requisitos exigibles tanto para la inscripción de las empresas de seguridad informática, en el Registro Nacional de Seguridad Privada, como aquellos exigibles para la prestación de servicios en las distintas modalidades o áreas de seguridad informática.
Esperamos que este artículo haya podido situarnos y aclarar las dudas relativas a la ciberseguridad y el alcance que tiene sobre ella tanto la Ley 5/14 de Seguridad Privada, como el borrador del Proyecto de Reglamento que la desarrollará.
Esperamos también vuestras visitas y aportaciones en nuestro recién estrenado Observatorio Nacional de Seguridad de la Información y Ciberseguridad (www.observatoriociber.org), donde queremos recibir y resolver las dudas o aportaciones de todos aquellos que lo deseen para avanzar y seguir completando el escenario de SEGURIDAD INTEGRAL que necesita nuestra sociedad.
AUTORES
José Andrés Vidal
Vicepresidente de Observatorio Nacional de Seguridad de la Información y Ciberseguridad
Otros artículos de José Andrés Vidal
Gustavo Romero
Gestor de Redes y Recursos Informáticos en el sector de la Seguridad
Otros artículos de Gustavo Romero
Ricardo Vidal López
Director de Seguridad, Departamento nº 967
