Actualidad Info Actualidad

La jornada tuvo lugar el pasado 11 de febrero en Madrid

Alter Technology celebra con éxito su jornada sobre certificación de Centrales Receptoras de Alarmas

María Fernández Peláez19/02/2020

El pasado 11 de febrero, Alter Technology organizó en Tres Cantos (Madrid) una jornada sobre certificación de Centrales Receptoras de Alarmas, de acuerdo con la Norma EN 50518:2019, dirigida a los responsables de CRAs. Además de analizar los requisitos reflejados en la norma EN 50518, el evento contó con expertos que analizaron la seguridad de Data Center (EN 50600), gestión de riesgos (ISO 31000) y cumplimiento del GDPR, de aplicación para la certificación de las CRAs.

La jornada trató sobre el proceso de certificación de una Central Receptora de Alarmas de acuerdo con la norma europea EN 50518:2019. La exposición de los temas corrió a cargo de ponentes de la compañía expertos en cada materia. Se contó con un extenso programa que abarcó todos los aspectos clave del proceso de certificación de una CRA y se analizaron los contenidos más importantes de la norma como el entorno, construcción, sistemas de seguridad, organización y operación.

Julián Gallego, director comercial de Alter Technology TÜV Nord S.A.U., fue el encargado de dar la bienvenida a los asistentes e inició la jornada haciendo una breve introducción al grupo TÜV Nord y a las empresas del mismo, Alter Technology y TÜViT.

Según señaló Gallego, Alter Technology es una empresa enfocada a la calidad, que ofrece servicios de ensayos, calificación, homologación o certificación de componentes electrónicos y equipos eléctricos, electrónicos y electromecánicos para sectores de alta fiabilidad como pueden ser el Espacio, el sector Aeronáutico, RPAS-Drones, Defensa, Seguridad y Ciberseguridad, Incendios, Energía, Telecomunicaciones, Robótica, Ferroviario, Transporte, Tráfico y Marítimo, entre otros.

Julián Gallego, director comercial de Alter Technology TÜV Nord S.A.U., durante la inauguración de la jornada
Julián Gallego, director comercial de Alter Technology TÜV Nord S.A.U., durante la inauguración de la jornada.

“En la calificación de componentes para el espacio somos líderes. La mayor parte de los componentes electrónicos de los satélites lanzados por la ESA (Agencia Europea del Espacio) son calificados en nuestro laboratorio. Alter califica directamente el producto terminado. Uno de los requisitos es que los productos tengan el marcado CE. Nosotros hacemos el seguimiento de las normas que se aplican en el equipo y ayudamos al fabricante a ir a un solo lugar. En cuanto a la evaluación y certificación de las CRAs, podemos colaborar en cuatro aspectos: en la evaluación rápida de la instalación, del diseño de la CRA, en la Auditoría y Certificación de la CRA conforme a la norma EN 50518 y también tenemos otros servicios disponibles como la certificación TSI/EN 50600 para el Centro de Proceso de Datos, la implementación y certificación de sistemas de gestión ISO 27001 y la supervisión del cumplimiento del GDPR”, indicó Julián Gallego.

Por su parte, TÜV IT, con sede central en Essen (Alemania), es la división especializada en la evaluación, auditoría y certificación de las áreas de Tecnologías de la Información del grupo TÜV Nord, desde el componente hasta la infraestructura, ofreciendo certificaciones especializadas en estos ámbitos tales como Trusted Site Alarm Receiving Centers, para Centrales Receptoras de Alarma conforme a la norma EN 50518, Trusted Site Infrastructure, para Centros de Procesos de Datos, conforme a EN 50600, y otras acreditaciones tales como Common Criteria o IEC 62443 para productos y dispositivos en entornos industriales.

En cuanto al sector de las Centrales de Alarma, Alter Technology ha desarrollado junto con TÜViT, una serie de servicios orientados a la certificación de estas importantes instalaciones. Esta certificación está acreditada por la entidad de acreditación alemana DAKKS y supone una prueba objetiva de cumplir con los requisitos de esta norma.

Evaluación de las CRAs conforme a la Norma EN 50518

A continuación, Amor Domínguez, de TÜViT, explicó los requisitos de la Norma EN 50518 abordando los objetivos y el contexto regulatorio, el alcance, las consecuencias e implicaciones normativas, el calendario de aplicación de la norma, el detalle de la misma y el proceso de certificación de CRAs.

“Las Centrales Receptoras de Alarma (CRA) son entidades autorizadas por el Ministerio del Interior para gestionar aquellos avisos sobre hechos físicos, accidentales o delictivos que pongan en peligro la vida, hacienda o bienes de personas e instituciones”, comenzó afirmando Domínguez para explicar, a continuación, el contexto regulatorio en el que arranca esta norma, que comenzó con el Real Decreto 2364/1994 por el que se aprobó el Reglamento de Seguridad Privada y que, tras diversas modificaciones, concluyó en la Ley 5/2014 de Seguridad Privada.

“Vemos, pues -continuó señalando Amor Domínguez-, que es una orden necesaria ya que unifica criterios de implantación y operación, establece criterios comunes de construcción e integra los elementos tecnológicos necesarios para la operación de CRAs con el objetivo de definir los requisitos mínimos para monitorizar, generar o transmitir mensajes procedentes de sistemas de alarma generados por situaciones de incendio o de inseguridad física o lógica y recogidos en otros sistemas de alarma”.

Esta norma puede detectar mensajes procedentes de detección de incendios, intrusión, control de accesos, sistemas de videovigilancia o la combinación de todos ellos, con la finalidad de garantizar la fiabilidad, integridad y confidencialidad de los mensajes de entrada a la CRA y asegurar los mensajes de salida para desencadenar las intervenciones necesarias. “Cumplir con la norma supone contar con una infraestructura sólida, utilizar la tecnología necesaria de manera segura y fiable, definir procesos claros de operación que permitan la intervención adecuada frente a una emergencia y, en definitiva, preservar la calidad, integridad, disponibilidad y fiabilidad de los mensajes que entran y salen de la propia CRA”, apuntó Domínguez.

Amor Domínguez, de TÜViT
Amor Domínguez, de TÜViT.

A continuación, Amor Domínguez hizo alusión al Ecosistema normativo de la EN 50518 aludiendo a los siguientes puntos:

  • ISO 9001: Procedimientos de calidad
  • ISO 31000: Evaluación y gestión de riesgos
  • ISO 27001: Seguridad de la información
  • EN 50600: Centros de Procesos de Datos
  • Cumplimiento con el Reglamento Europeo de Protección de Datos (GDPR)

“La norma considera dos categorías de CRAs conforme a los tipos de mensajes que reciben: mensajes procedentes de aplicaciones de seguridad y mensajes procedentes de otras fuentes. La categoría se define desde el principio. La estructura de la norma cuenta con 10 apartados y 3 anexos”, afirmó la experta explicando, a continuación, cada uno de ellos: el apartado de Construcción (descripción detallada de los requisitos estructurales de la CRA para todos sus elementos, incluidos los requisitos respecto a la infraestructura tecnológica), la seguridad de la CRA (proteger a la CRA de un ataque a sus instalaciones), el Suministro eléctrico (principal fuente de suministro con capacidad para garantizar el suministro al menos 24 horas), el Sistema de Gestión de Alarmas (sistema encargado de almacenar, organizar, controlar, gestionar y recuperar los datos del cliente/usuario y comunicarse con el equipo responsable de la gestión automática de los mensajes de alarma), la operación de la CRA (procedimientos operativos suficientes y disponibles para todos aquellos involucrados en su operación, indicando el responsable de cada proceso) y los Principios Generales de Liderazgo, Gestión, Buen Gobierno y Gestión y Asignación de Recursos (herramientas y procesos necesarios para la gestión de la CRA, considerándose una referencia aceptable los requisitos exigidos por ISO 9001).

En definitiva, “cumplir con la norma supone fortalecer con criterios objetivos un sector crítico para la sociedad. Además, la norma aúna los requisitos técnicos, físicos, lógicos y operativos ayudando a crear una organización segura y eficaz e incorpora la utilidad y complejidad del entorno tecnológico en la gestión de estas importantes estructuras”, sentenció Amor Domínguez.

EN 50600 en el contexto de las CRAs

Tras la pausa para el café, Amor Domínguez continuó explicando los antecedentes, características generales, la situación actual y evolución prevista, el detalle de la Norma, el proceso de certificación y los servicios relacionados de la EN 50600. En este sentido, aseguró que “la EN 50600 es el primer estándar europeo para Centros de Procesos de Datos” cuyo objetivo es definir las características físicas y mecánicas del Centro de Proceso de Datos como infraestructura de misión crítica. En lo que respecta a las implicaciones en la norma EN 50518, Domínguez aseguró que “la norma EN 50518 es altamente dependiente del entorno tecnológico y exige una infraestructura de la misma robustez que para la propia CRA. El cumplimiento del estándar EN 50600 permite valorar de manera objetiva el grado de redundancia (y por tanto de resiliencia) de la instalación de IT y es especialmente útil para las CRAs que utilizan instalaciones remotas para su gestión de alarmas”.

De las cuatro clases de disponibilidad, el cumplimiento de EN 50600 en el contexto de la EN 50518 tiene que ser a partir del nivel 2. Y, ¿qué se evalúa en la norma EN 50600? Según indicó la experta, “se evalúan todas aquellas áreas con impacto en la disponibilidad del CPD, los criterios de infraestructura identificando elementos vulnerables, aporta datos muy concretos respecto al cableado en los CPDs, pone especial atención a las medidas de prevención y extinción de incendios, los procedimientos tienen que estar bien documentados y disponibles, incorpora aspectos organizativos y de mantenimiento de la instalación y tiene redundancia suficiente para garantizar la disponibilidad”.

La norma ISO 31000 sobre gestión de riesgos y aplicación en la CRA

La norma EN 50518, así como la norma para Centros de Procesos de Datos donde se aloja el equipamiento IT, exige una evaluación rigurosa de riesgos. De hecho no puede abordarse la certificación sin este estudio pormenorizado. Por esta razón, Juanjo Alemany, colaborador de Alter Technology, habló de los riesgos de la norma EN 50518 señalando que, lo que entiende la norma por riesgo, es el tratamiento de la incertidumbre ante la conservación de objetivos. “Hay que diferenciar entre gestión de riesgo y de emergencias: el riesgo significa una actuación preventiva. No hay que correr más o menos riesgos para conseguir los objetivos, sino correr riesgos inteligentes para evitar un posible riesgo peor. La norma, en concreto, hace referencia a la ISO 31000”, explicó Alemany quien abordó asimismo los cinco estadios de la ISO 31000:

  1. Lo primero es definir el contexto
  2. A continuación, se pasa a hacer una identificación de los riesgos
  3. Se analizan los posibles escenarios, se identifican los riesgos vinculados, activos, procesos…
  4. Y, en base a eso, se emplea una metodología de evaluación de riesgos (no hay una metodología adecuada y/o única para tratamiento de CRAs)
  5. Y, por último, hay que plantearse qué tipo de tratamiento se va a utilizar: evitar el riesgo, minimizarlo, transferir el riesgo o, cuando todo esto falla, lo último es aceptarlo.
Juanjo Alemany, colaborador de Alter Technology

Juanjo Alemany, colaborador de Alter Technology.

Aplicación del cumplimiento del GDPR en las CRAs

El broche final de la jornada lo puso Juan Miguel Pulpillo, colaborador de Alter Technology, explicando cómo afecta el GDPR a las centrales receptoras de alarma bajo la EN 50518. Para ello, hizo una breve introducción al ecosistema desde el GDPR haciendo alusión a la reciente reforma de la protección de datos, con las nuevas reglas adaptadas a la era digital. Ahora se aborda desde dos perspectivas: la Visión IT (en los sistemas IT corporativos: protección de la información) y la Visión OT (en los sistemas de control industrial o empresarial: protección de infraestructuras y dispositivos) sobre el tratamiento de los datos personales, los contenidos y nuevos servicios TI, las infraestructuras y servicios y las personas.

En esta línea, Juan Miguel Pulpillo aseguró que hay un cambio de enfoque y que, en el futuro presente, los problemas de seguridad y privacidad los podremos clasificar en seis categorías:

  1. Seguridad de Infraestructura proactiva y flexible.
  2. Seguridad de Aplicaciones proactiva y flexible.
  3. Gobierno y datos.
  4. Integridad y Seguridad de la Información proactiva y flexible.
  5. Seguridad de Personas proactiva y flexible.
  6. Marcos normativos cambiantes y muchas implicaciones normativas y regulatorias derivadas de la accountability que hace imprescindible utilizar sistemas de Compliance global (RGPD, LSP, NIST, infraestructuras críticas, LOPDGGD, EN 50600, EN 15713 de destrucción segura de material confidencial, ISO 27001, etc.).

Según señaló, la responsabilidad de empresas e instituciones se ha visto incrementada con la entrada en vigor de la GDPR. Las organizaciones estarán obligadas a implementar sistemas de monitorización, documentar los procedimientos de recogida, almacenamiento y uso de datos personales, reportar cualquier brecha de seguridad o ataque que sufran los organismos responsables en 72 horas o incluso contratar a un responsable de protección de datos en empresas que manejen grandes cantidades de información sensible. Y, en algunos casos, a la gestión de un Registro de Actividades de Tratamiento.

Juan Miguel Pulpillo, colaborador de Alter Technology

Juan Miguel Pulpillo, colaborador de Alter Technology.

Como principales conclusiones, Juan Miguel Pulpillo expuso las siguientes:

  • Gobierno: determine cómo traducir el GDPR en acciones, normas y valores. Considere las medidas necesarias que deben tomarse si son efectivas y cómo mejorarlas.
  • Personas y comunicación: forme a sus empleados sobre los requisitos del GDPR. Es necesario que comprendan los riesgos y las consecuencias de un uso indebido de los datos.
  • Procesos: examine sus procesos (cómo les influye el GDPR, cuál es su impacto y cómo puede gestionar los cambios necesarios).
  • Datos: controle y asegure la calidad de sus datos, evalúe qué datos tiene, para qué los utiliza y considere cómo puede interactuar con los clientes individuales o terceros. Este aspecto es clave para ofrecer la transparencia y confianza que exige el GDPR. El complejo entramado de actores involucrados pide/implica la necesidad de una asignación precisa de responsabilidades legales entre ellos en lo que respecta al tratamiento de datos personales de la persona, en base a as características específicas de sus respectivas intervenciones.
  • Seguridad: protección de la seguridad y confidencialidad de los datos personales, pero también proporcionar un uso adecuado, avisos, consentimiento, opciones, acceso, rectificación y borrado, entre otros.
  • Certificaciones: ISO 27701:2019; EuroPryse; Trusted Site Provacy de TÜViT.
Asistentes a la jornada
Asistentes a la jornada.
Todas las charlas tuvieron gran aceptación entre el público al que iban dirigidas, superándose la participación prevista. Dado el interés despertado, Alter Technology ha previsto organizar jornadas similares en Barcelona y Sevilla en los próximos meses.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

TOP PRODUCTS

NEWSLETTERS

  • Newsletter Seguridad

    17/12/2024

  • Newsletter Seguridad

    10/12/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

ENTIDADES COLABORADORAS

OTRAS SECCIONES

SERVICIOS