SG31

57 dos a autorización previa, contenidos en la Orden del Ministerio de Interior 314/2011 de empresas de seguridad privada, y en las de los medidas de seguridad utilizados por personal acre- ditado y habilitado. Este personal integrado en empre- sas de seguridad, deberá ejercer sus funciones no en régimen de tele- trabajo sino mediante un régimen de presencia o asistencia física en la sede operativa de la Empresa de Seguridad, tales como por ejemplo los operadores de seguridad en una Central Receptora de Alarmas de una empresa de seguridad. Dicho esto, indicar que entiendo que es un hecho más que probado, que las empresas de seguridad deben comenzar a adaptar sus medidas de seguridad para prevenir cibera- taques, al no ser ajenos a las nuevas amenazas que pueden afectar a su funcionamiento y a la continuidad de sus negocios. Así por razón de normativas espe- cíficas tales como la normativa de la protección de datos, deben ela- borar Políticas de Seguridad de la Información y dotarse en relación a los datos personales que puedan ser objeto de tratamiento, de medidas de seguridad específicas adecuadas para su debida protección por razón del contenido de los servicios de segu- ridad privada. En cuanto a los modelos para pro- tección de sistemas de información reseñar que aparte de las herramientas o medidas de ciberseguridad, tanto a nivel de software como de hardware, existen una serie de certificaciones indis- pensables a nivel de gestión empresarial de incidencia en dichos procesos que deseo invocar por su aplicabilidad al caso, tales como las ISO 27001 de segu- ridad de la información como la ISO 22301 de continuidad de negocio. Por consiguiente, las empresas de seguridad como cualquier empresa en España, deben diseñar sus políticas de seguridad partiendo de conceptos generales a nivel organizativo a tra- vés de su Departamento de Recursos Humanos (Cultura de seguridad en la organización) frente a sus emplea- dos con la clara implicación de su Departamento de Seguridad como medida organizativa. En dicho diseño de sus políticas de seguridad se revela fundamental por parte de la empresa de seguri- dad, definir y seleccionar el lugar de almacenamiento de la información, conociendo los requisitos impues- tos por la normativa de seguridad privada ya reseñada a nivel de cus- todia de la información o datos que recaban durante la prestación de sus servicios con intervención policial en territorio nacional. No debemos ignorar también, que la seguridad pública de la que forma integrante la seguridad pri- vada, como actividad subordinada y complementaria de la primera, es competencia de cada Estado miembro de la Unión Europea no siendo objeto actual de armoniza- ción normativa a nivel europeo con lo que todas las operaciones de tratamiento que pueda realizarse bajo estas circunstancias tienen ámbito de actuación restringido tanto a nivel de competencia terri- torial como material. En este mismo sentido es razonable que la empresa de seguridad haga un análisis de riesgos previo, clasificando de forma razonada la información objeto de tratamiento, separando la información o datos que pueda ser sensibles de los que no lo son. Todo lo anteriormente expresado determina que la empresa de seguridad debe ser especialmente escrupulosa en la selección del pro- veedor de servicios cloud como back up y que el mismo cuente con cer- tificaciones acreditadas a nivel de la Unión Europea en España, dado que los datos personales recogidos en los servicios de seguridad cuando impli- que participación de las FCS tiene un ámbito territorio restringido al territorio nacional tal y como he manifestado. Por último, la empresa de seguridad debe verificar de forma motivada las herramientas empleadas en la gestión de datos particularmente a nivel de seguridad informática. Así, la contratación de consulto- res cualificados en la selección e implantación de las aplicaciones específicas-actualizadas a nivel de software para la prestación de servi- cios de seguridad privada adquiere enorme importancia, por ser una vía de acceso más que razonable de futuros ciberataques contra la información de la empresa de segu- ridad, dada su importancia. Todas estas políticas y medidas antes citadas deberán hallarse recogi- das a través de un Plan Director de Seguridad. n Las empresas de seguridad deben comenzar a adaptar sus medidas de seguridad para prevenir ciberataques, al no ser ajenos a las nuevas amenazas que pueden afectar a su funcionamiento y a la continuidad de sus negocios