Comentarios sobre la ciberseguridad en la seguridad privada
Jorge Salgueiro, presidente de la Asociación Aecra
14/03/2019Los servicios de seguridad privada previstos en la Ley 5/2014 de 4 de abril de Seguridad Privada, prestados por Empresas de Seguridad autorizadas, deben verse adaptados a la evolución de las tecnologías de la información, todo ello para garantizar que la seguridad privada como actividad subordinada y complementaria de la seguridad pública cumpla con los fines del artículo 4 de dicho texto legal.
Los usuarios de seguridad privada, no sólo los establecimientos obligados a adoptar medidas de seguridad privada así como las infraestructuras críticas, se encuentran inmersos en procesos de transformación digital en el desarrollo de sus servicios, a través de tecnológicas tales como Internet de las Cosas, Cloud, Big Data, que implica la necesaria integración de las medidas de seguridad privada homologadas ofertadas por las Empresas de Seguridad con estas nuevas soluciones de seguridad informática que no son específicamente las exclusivas de la seguridad privada.
Recordemos que, con buen criterio, el regulador de la Seguridad Privada contempla en el artículo 6 de la Ley de Seguridad Privada, como actividades o servicios compatibles que pueden ofertar y prestar las empresas de seguridad frente a sus clientes sea de forma aislada o de forma conjunta con este tipo operadores, para proteger el patrimonio velando por indemnidad, añado sea material o inmaterial, como la actividad de seguridad informática la cuál conceptúa de forma literal: “como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquéllos prestan, por su incidencia directa en la seguridad de las entidades públicas y privada”.
Sin duda alguna que las Empresas de seguridad en la ejecución de sus servicios tasados frente a los usuarios de seguridad privada contratistas, deben introducir en el contenido de sus servicios estos servicios de ciberseguridad a través de la seguridad informática, contando en la ejecución con operadores de telecomunicaciones o comunicaciones las denominadas por la Ley de Seguridad Privada, Empresas de seguridad informática que protejan adecuadamente los sistemas de información de dichos usuarios como bien patrimonial privado a proteger, siendo la fiabilidad y seguridad lógica de dichas medidas clave para que los sistemas de seguridad privada de carácter físico, electrónico y organizativas se revelen eficaces ante nuevas amenazas deliberadas y riesgos accidentales o derivados de dicha naturaleza.
El carácter transversal e interconectado de las tecnologías de la información y de la comunicación limita la eficacia de las medidas de seguridad privada a emplearse también por las Empresas de Seguridad privada cuando se toman de modo aislado.
Por ello, los incidentes que, al afectar a las redes y sistemas de información de los usuarios de seguridad como una parte integrante del bien o lugar a proteger, representan una grave amenaza, pues tanto si son fortuitos como si provienen de acciones deliberadas y pueden generar pérdidas financieras e impedir que el servicio de las Empresas de seguridad se revele eficaz frente a dichos clientes.
Sin duda alguna que el carácter transversal e interconectado de las tecnologías de la información y de la comunicación, que también caracteriza a sus amenazas y riesgos, limita la eficacia de las medidas de seguridad privada a emplearse también por las Empresas de Seguridad privada cuando se toman de modo aislado.
Si nos centramos en el origen del Real Decreto Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información proviene de la iniciativa de la Comisión Europea con la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión Europea, conocida como la Directiva NIS. Dicha iniciativa fue celebrada como un gran acontecimiento por los Estados miembros de la Unión Europea, para regular el sistema que preveniera las amenazas a la seguridad nacional europea en el espacio común europeo como suma de seguridades nacionales y de forma particular para evitar que se vean interrumpidos los servicios esenciales (agua, luz etc)
Esta directiva contempla cuatro objetivos principales:
- Administrar el riesgo de seguridad.
- La protección contra ciberataques.
- Detectar eventos de ciberseguridad.
- Minimizar el impacto de los incidentes.
Como consecuencia de dicha Directiva, el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. transpone al ordenamiento jurídico español esta Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, a través de la adopción de las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
El Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, es aplicable a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad.
El real decreto-ley se apoya igualmente en las normas, en los instrumentos de respuesta a incidentes y en los órganos de coordinación estatal existentes en esta materia, lo que, junto a las razones señaladas en el apartado I, justifica que su contenido trascienda el de la propia Directiva.
Tal y como se expone en el preámbulo del citado Real Decreto, la Estrategia de Ciberseguridad Nacional con la que España cuenta desde el año 2013, sienta las prioridades, objetivos y medidas adecuadas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información.
Dicha Estrategia seguirá desarrollando el marco institucional de la ciberseguridad que este real decreto-ley esboza, compuesto por las autoridades públicas competentes y los CSIRT de referencia, por una parte, y la cooperación público-privada, por otra.
El Real Decreto-ley es aplicable a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad.
Su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva para darle a este Real Decreto-ley un enfoque global, aunque se preserva su legislación específica. El Real Decreto-ley se aplica únicamente en lo que respecta a los operadores críticos y a los proveedores de determinados servicios digitales.
El Real Decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información y establece procedimientos para identificar a los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, cumpliendo así con el plazo máximo establecido para ello por la Directiva, de 9 de noviembre de 2018.
De ahí que adquiere especial relevancia en dicho ámbito de los sectores industriales, comerciales o de servicios, que deben garantizar la seguridad de las redes y sistemas de información, la extensión en cuanto medidas de seguridad privada que pueda hacer el nuevo Reglamento de Seguridad Privada, siguiendo el mandato de la Ley 4/2015 de protección de seguridad ciudadana en su artículo 26 cuando se afirma literalmente:
“Reglamentariamente, en desarrollo de lo dispuesto en esta Ley, en la legislación de seguridad privada, en la de infraestructuras críticas o en otra normativa sectorial, podrá establecerse la necesidad de adoptar medidas de seguridad en establecimientos e instalaciones industriales, comerciales y de servicios, así como en las infraestructuras críticas, con la finalidad de prevenir la comisión de actos delictivos o infracciones administrativas, o cuando generen riesgos directos para terceros o sean especialmente vulnerables”.
A medida que los sistemas heredados y las nuevas tecnologías continúan ampliando la superficie de ataque, los operadores de infraestructuras críticas deben asegurarse de tener los controles y procesos establecidos para mantenerlos seguros.
Sin duda que las infraestructuras nacionales críticas que también cuenta con su normativa específica (ley y Reglamento de Protección de infraestructuras críticas del año 2011) desempeñan un papel esencial para que cualquier sociedad funcione y por ello se centra su protección en origen en la adopción y contratación de los servicios y medidas de seguridad privada prestados por Empresas y personal autorizado.
El cambio del modelo de los sistemas de gestión de dichas infraestructuras, consecuencia de la transformación digital, provoca el cambio de amenazas y riesgos que puedan afectar a su quehacer diario siendo el objetivo principal para romper y quebrar las medidas de seguridad informática a través de hacktivistas, grupos de cibercrimen e incluso cada vez más Estados.
A medida que los sistemas heredados y las nuevas tecnologías, como el Internet de las Cosas (IoT), continúan ampliando la superficie de ataque, los operadores de infraestructuras críticas deben asegurarse de tener los controles y procesos establecidos para mantenerlos seguros.
Pero la combinación de las herramientas modernas con sistemas heredados los expone a un mayor riesgo de ataque. Los defectos del software, los puertos de red abiertos, los cambios de archivos no detectados, la autenticación deficiente y los protocolos de red inseguros están listos para ser explotados por aquellos que tengan el conocimiento adecuado.
Por consiguiente, a fin de integrar todas las seguridades en el modelo de seguridad privada como actividad complementaria y subordinada a la seguridad publica dentro del modelo de seguridad nacional, se revela fundamental que se cumpla por el legislador el mandato del artículo 6,6 de la Ley de la Seguridad Privada respecto de las Empresas de seguridad informática, sean o no empresas de seguridad, cuando se afirma: “A dichas empresas se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten”.
