Este artículo tiene por objeto esbozar la presencia e influencia de la ciberseguridad y de la seguridad informática en el borrador del nuevo reglamento de seguridad privada. Analizaremos el papel que juegan estos dos relevantes conceptos en la redacción del mismo.
Una característica positiva de este documento, en cuanto a cuestiones relativas a la información, es que se normaliza el flujo de información, además de hacia la Fuerzas y Cuerpos de Seguridad, hacia las empresas de seguridad privada, permitiendo así articular medidas de alerta temprana, prevención y protección ante riesgos y vulnerabilidades, incluso facilitando datos personales para prever amenazas hacia la seguridad.
El nuevo reglamento contempla medidas de seguridad preceptivas para las empresas de seguridad privada tales como sistemas de seguridad físicos y electrónicos, áreas restringidas dedicadas a la custodia de información sensible, la existencia de instalaciones y sistemas informáticos coherentes con la catalogación del nivel de criticidad de la información (nivel bajo, medio y alto), planes de seguridad reactivos y preventivos frente a vulnerabilidades, riesgos y amenazas y sistemas de contingencia diseñados para asegurar la continuidad del servicio, caso de materialización de una amenaza.
Estas medidas, grosso modo, eran ya necesarias en este sector, cuya evolución y estado actual exigen una firme concienciación en cuanto a la seguridad de la información se refiere. Es el primer paso para que empresas y actores implicados desarrollen protocolos, políticas e infraestructuras en los campos de la seguridad informática y la ciberseguridad.
El documento dota de más protagonismo al director de seguridad al asignarle la función de interlocutor y enlace con la Administración respecto a los siguientes ámbitos: materias clasificadas, infraestructuras críticas y seguridad de la información y las comunicaciones, entre otros
Centrándonos en la seguridad de la información y en la ciberseguridad, una gran novedad es la inclusión de la seguridad informática en el reglamento. Se establecen requisitos y condiciones a las empresas que presten servicios de seguridad de la información o ciberseguridad para garantizar la calidad de los mismos en función del tipo de cliente al que estén asesorando.
Antes de seguir abordando el tema, enfrentemos los términos de seguridad informática y ciberseguridad a fin de definirlos de forma precisa, ya que el borrador, como se ha anticipado, los cita con frecuencia. Establezcamos sus diferencias.
En la práctica, en el campo de las TIC (Tecnologías de Información y las Comunicaciones) los términos de seguridad informática, ciberseguridad, seguridad de la información o simplemente seguridad, con frecuencia son tratados de forma indistinta. La realidad es que cada uno de ellos contiene evidentes diferencias, pero, a la postre, todos tienen como objetivo proteger los activos digitales de empresas o particulares.
Seguridad informática se refiere a un conjunto de métodos, procesos o técnicas para la protección de los sistemas informáticos, desde redes, infraestructura, equipos de comunicación hasta la información en formato digital que estos almacenen. Según Kaspersky Lab, la seguridad informática es la práctica de proteger equipos, servidores, dispositivos móviles, sistemas electrónicos, redes y datos de ataques intencionados. Un término amplio y que se aplica a todo, desde la seguridad informática hasta la recuperación ante desastres y la educación del usuario final. La seguridad informática, por tanto, implica las técnicas aplicadas a sistemas y dispositivos informáticos a fin de proteger y salvaguardar su funcionamiento y la información que contienen.
Por otro lado, la ciberseguridad es el conjunto de tecnologías, procesos y protocolos diseñados para proteger redes, computadoras, programas y datos de ataques, daños o accesos no autorizados. En un contexto informático, incluye seguridad cibernética y física.
La principal diferencia reside en que la seguridad informática se limita a proteger activos de información en formato digital y los sistemas informáticos que los procesan y almacenan, al margen de si están o no interconectados. La ciberseguridad, por otro lado, se orienta a proteger a los activos de información en formato digital que circulan a través de sistemas interconectados. A diferencia de la seguridad de la información, en la ciberseguridad se aplican medidas ofensivas y no solo de defensa.
En determinados casos, ambos términos pueden utilizarse como sinónimo ya que el objetivo de cada uno es proteger la información de los riesgos que se encuentran en las redes de datos.
Puntualizado lo anterior, otra novedad del texto es la obligatoriedad de que las empresas de seguridad informática y las empresas de seguridad privada que quieran prestar servicios en sectores estratégicos definidos en la normativa de infraestructuras cíticas, se sometan a una auditoría externa obligatoria.
El capítulo III del borrador, nos habla específicamente de las medidas informáticas. Analicemos su contenido.
- Las medidas de seguridad informática a adoptar, con carácter general, por los sujetos obligados a ello, consistirán en:
a) Política de gestión de incidentes que defina su resolución y la relación con otros centros operativos de seguridad.
b) Definición de roles y funciones de seguridad que garanticen que la ciberseguridad forme parte de su estructura organizativa.
c) Plan de formación e información sobre responsabilidades asignadas al personal en materia de ciberseguridad.
La criticidad es un indicador proporcional al riesgo que permite establecer la jerarquía o prioridades de procesos, sistemas y equipos, creando una estructura que facilita la toma de decisiones acertadas y efectivas, y permite direccionar el esfuerzo y los recursos a las áreas donde es más importante y/o necesario mejorar la confiabilidad y administrar el riesgo. Dicho esto, el texto sigue de la siguiente forma:
- Los sujetos obligados a la adopción medidas de seguridad informática integrarán en sus sistemas informáticos con carácter obligatorio, en función de la clasificación de riesgo por su nivel de criticidad de la actividad que realizan, las siguientes medidas de seguridad informática:
a) Nivel bajo de criticidad:
1º Medidas específicas de detección y protección contra el software dañino.
2º Dispositivos o herramientas de monitorización y control de accesos a la red, cuya configuración permita establecer restricciones y protecciones adicionales sobre los flujos de datos permitiendo o bloqueando los accesos en función del nivel de autorización requerido.
3º Normas y procedimientos robustos específicos de protección de la información mediante técnicas de control de accesos y/o cifrado.
4º Redes privadas virtuales (VPN), con fines de extensión segura de la red local sobre una red pública o no controlada, para permitir accesos o conexiones virtuales punto a punto, autorizados.
Una conexión VPN permite crear una red local sin necesidad que sus integrantes estén físicamente conectados entre sí, lo hace a través de Internet.
5º Elementos, dispositivos o medidas de control de accesos, con sistemas de autenticación robusta o fuerte, en su caso, que permitan a las personas autorizadas el acceso a los activos, recursos del sistema o zonas o áreas protegidas e integren soluciones de detección de accesos no autorizados en tiempo real.
6º Medidas de configuración segura de elementos técnicos, mediante el establecimiento de normas de seguridad, disponiendo de planes de actualización que minimicen las eventuales vulnerabilidades detectadas.
7º Protección de activos y copias de respaldo, aplicando medidas específicas en todo su ciclo de vida, incluyendo su destrucción.
8º Medidas de protección específica de los servicios del sujeto obligado expuestos en redes públicas, como accesos remotos, servicios y aplicaciones webs, o servidores de mensajería o correo electrónico.
9º Establecimiento de normas y configuraciones seguras para los equipos portátiles y dispositivos móviles del sujeto obligado y protección de sus accesos desde redes públicas a redes internas.
b) Nivel medio de criticidad:
Adicionalmente a las señaladas en el párrafo anterior integrarán las siguientes medidas:
1º Tecnologías o dispositivos específicos de detección y prevención de intrusos, (IDS/IPS), con finalidades de detección y bloqueo de accesos no autorizados y/o actividades maliciosas y posibilidad de respuesta automatizada.
2º Zona desmilitarizada, (DMZ). Entendida como zona segura ubicada entre la red interna de una organización y una red externa o pública, para la ubicación de elementos expuestos a redes públicas o privadas ajenas al sujeto obligado con finalidades de intermediación de los accesos externos a la red protegida.
Un firewall es esencial para la implementación de un DMZ o red perimetral, ya que es responsable de las políticas adecuadas para proteger a las redes locales, mientras se mantenga accesible la zona desmilitarizada.
3º Tecnologías que permitan la captura de eventos y su correlación y gestión inteligente de logs, SIEM. Con finalidades de establecer mecanismos de supervisión, control y auditoria del uso realizado sobre los sistemas de información.
SIEM (información de seguridad y gestión de eventos) es una tecnología capaz de detectar rápidamente, responder y neutralizar las amenazas informáticas. Su objetivo principal es el de proporcionar una visión global de la seguridad de la tecnología de la información.
4º Establecimiento de medidas técnicas y organizativas para prevenir, detectar y contener ataques de denegación de servicio, sobre los sistemas de información del sujeto obligado.
c) Nivel alto de criticidad:
También, de modo adicional a las señaladas en los dos párrafos anteriores, integrarán las siguientes:
1º Monitorización de la integridad del sistema, eventos de seguridad de la información y comunicaciones y de las medidas de seguridad informáticas, entendidas como el conjunto de actividades necesarias para supervisar el funcionamiento permanente de las medidas de seguridad informática y el uso legítimo de los sistemas de información, permitiendo garantizar la disponibilidad y la continuidad de los servicios que prestan los sujetos obligados y la confidencialidad e integridad de la información tratada por estos sistemas.
2º Medidas específicas de segmentación y aislamiento de redes de datos, con la finalidad de reducir los riesgos de exposición de los activos informáticos frente a amenazas internas o externas.
3º Establecimiento de registros de accesos, con fines de almacenamiento de la información sobre los accesos y uso de los usuarios, conforme a sus privilegios o perfil.
- Las medidas de seguridad informática deberán ser integradas en los sistemas informáticos de los sujetos que resulten obligados, por empresas de seguridad informática registradas, salvo que el sujeto obligado ejerza la actividad como compatible o disponga de personal técnico informático con la cualificación requerida y de los medios técnicos necesarios.
- El proyecto de integración de las medidas de seguridad informática habrá de ajustarse, al marco de referencia establecido por los colegios profesionales que en su caso correspondan, en aquellos aspectos que le sean de aplicación en razón a la naturaleza de la actividad, servicios y procesos que desarrollen.
- Cuando el sujeto obligado disponga de personal técnico informático con la cualificación requerida y de los medios técnicos necesarios o ejerza la actividad, como principal o compatible, de monitorización de la integridad de los sistemas, eventos de seguridad de la información y comunicaciones o de servicios de alojamiento virtual y compartido o almacenamiento de datos digitales, podrá asumir la prestación por sí y para sí mismo de dichos servicios.
- Los sujetos obligados usuarios de los servicios de seguridad informática, deberán tomar como marco de referencia para la seguridad de la información y las comunicaciones de sus instalaciones y en base a su nivel de criticidad, las disposiciones contenidas en la ISO 27002, con la especificación de controles de seguridad, disponiendo, como mínimo, de las medidas específicamente señaladas, en cada caso, en el Título II, no siendo preceptivo disponer de la certificación en dicha norma, salvo los casos de determinación de nivel alto de riesgo o criticidad en relación con la actividad que desarrollan, señaladas expresamente en este reglamento.
La norma ISO 27002 proporciona diferentes recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables para iniciar, implementar o mantener sistemas de gestión de la seguridad de la información.
Como hemos comprobado, el borrador otorga a la seguridad informática y a la ciberseguridad el peso que merece actualmente en el ámbito de la seguridad privada. No podemos obviar que, para satisfacer las exigencias de este texto, las empresas han de hacer un ingente esfuerzo de inversión y reorientación, ajustando procedimientos y prácticas clásicas dentro de un marco en el que se contemple la seguridad de la información y de los sistemas que la gestionan como un activo troncal y fundamental. Dicho esfuerzo, evidentemente, no es solo estratégico, también es material y estructural.