Ciberseguridad e Infraestructuras Críticas. Reflexiones para las empresas de seguridad
Me ha parecido conveniente en este artículo situar mis reflexiones ante el nuevo escenario de riesgos y amenazas acelerado por la pandemia denominada COVID-19 en el ámbito de la seguridad pública y su incidencia más que probable tanto en los prestadores de servicios como en los destinatarios de servicios dentro de un modelo común de seguridad nacional.
En el caso de las infraestructuras críticas en España, es claro que para los que integramos la Seguridad Privada, los operadores críticos se hallan enmarcados legalmente en el concepto de usuarios de servicios de seguridad privada del artículo 2 de la Ley 5/2014 de 4 de abril de Seguridad Privada.
Entre dichos operadores críticos como recordamos, se encuentran incluidos sectores esenciales para el funcionamiento de nuestro país tales como la Administración Pública, Espacio, Industrial Nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y de las comunicaciones, transporte, alimentación y sistema financiero y tributario.
Todos estos sectores como operadores críticos constituyen servicios esenciales, de conformidad con la definición prevista en la Ley 8/2011 por la que se establecen medidas para la protección de las infraestructuras críticas, como “el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas”.
Así mismo, muchos de estos operadores críticos vienen obligados por su normativa específica o bien porque así lo impone el Ministerio de Interior o órgano autonómico competente, a dotarse de medidas y servicios de seguridad privada del artículo 52 de la Ley 5/2014 de 4 de abril de Seguridad privada.
Obviamente cuando se produce la contratación o adopción de dichas medidas de seguridad privada, las empresas de seguridad participan en el modelo de protección de estas infraestructuras críticas, y a tal fin se les exige como mínimo en la Ley de seguridad privada en su artículo 19,4 dentro de sus requisitos generales: “Para la contratación de servicios de seguridad privada en los sectores estratégicos definidos en la legislación de protección de infraestructuras críticas, las empresas de seguridad privada deberán contar, con carácter previo a su prestación, con una certificación emitida por una entidad de certificación acreditada que garantice, como mínimo, el cumplimiento de la normativa administrativa, laboral, de Seguridad Social y tributaria que les sea de aplicación”.
Es algo indudable, que dicho requisito mínimo debería haberse complementado en un futuro Reglamento de Seguridad Privada por otras exigencias a nivel de requisitos como contratista, a nivel de certificaciones en el ámbito de seguridad de la información, y ello sin duda era el espíritu del legislador del año 2014, ante las nuevas amenazas como el ciberataque o el cibercrimen y las nuevas medidas de ciberseguridad que debieran implementarse.
La situación de confinamiento ocasionada por la pandemia está suponiendo un cambio en el contenido de los servicios de la seguridad privada. Recientemente en otro artículo publicado en esta Revista tuve la oportunidad de exponer los cambios que en los modelos organizativos de las empresas de seguridad estaba implicando el COVID-19 así como la necesaria transformación digital asociada a dichos cambios.
Sin duda alguna que el modelo normativo y operativo de las infraestructuras críticas de la Unión Europea viene trabajando en un apartado que ahora se revela fundamental en la protección de dichas infraestructuras como servicios esenciales, tal y a través de la Directiva NIS aprobada por el Parlamento Europeo en el año 2016 traspuesta en España en septiembre de 2018 mediante Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, que busca implementar medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea.
Pues bien, es indudable que las empresas de seguridad en la ejecución de los servicios de seguridad a estos operadores críticos deben blindarse y dotarse de políticas y herramientas informáticas seguras adecuadas dentro del nivel común de seguridad de redes y sistemas de información exigido por la Directiva NIS.
Para dotarse de dichos esquemas de seguridad ante ciberamenazas o ciberataques que puedan interrumpir sus servicios, frente a clientes tan fundamentales para el funcionamiento de nuestro país como las infraestructuras críticas, es esencial que las Empresas de Seguridad asuman certificaciones tales como la ISO 27001 y la ISO 22301 así como que sigan de forma permanente las Guías y recomendaciones emitidas en materia de Ciberseguridad tanto por el INCIBE como por el Centro Criptológico Nacional dentro del Plan Nacional de Ciberseguridad.
En este sentido, hay dos ámbitos básicos de mejora inmediata a adoptarse por las empresas de seguridad a nivel de ciberseguridad dentro de sus servicios de seguridad informática, centrados tanto en medidas de seguridad en el teletrabajo a nivel comunicaciones o conexiones remotas cifradas por VPN contratando con proveedores de servicios digitales certificados tanto a nivel de mercado en línea, como motor de búsqueda en línea o en los servicios de computación en la nube, como a nivel de portales de servicio para clientes, con conexiones a paginas protegidas mediante cifrado SSL con sistemas de acceso por doble autenticación.
Igualmente a nivel operativo en estas políticas de mejora y recomendaciones dentro de una Empresa de Seguridad estimo fundamental, una Política formativa para sus empleados así como que las mismas asuman los programas de Corporate Compliance desarrollados con el objetivo de evitar conductas delictivas en el seno de las empresas como una buena oportunidad para la adopción de protocolos y políticas empresariales en lo que respecta al uso de medios tecnológicos y sistemas de gestión para la seguridad de la información (SGSI).
Con estas premisas, Aecra, conforme a sus objetivos y fines asociativos, promoverá de forma inmediata una cultura de conocimiento, que prevenga en el presente inmediato situaciones que puedan afectar a nuestra seguridad nacional con la clara búsqueda de integración en la seguridad privada de todas las seguridades.