Doing business in Spain? Interempresas Media is the key
Canales Sectoriales
Seguridad y Vigilancia
Tribuna de opinión

Analisis básico sobre la ciberseguridad en el teletrabajo en las empresas de seguridad

Jorge Salgueiro Rodriguez, presidente de Aecra

16/02/2021

Como bien saben los lectores de la revista Interempresas Seguridad, llevo durante toda la pandemia haciendo referencia permanente a fenómenos y conceptos que vienen a quedarse, con las limitaciones propias de su alcance y desarrollo, tales como teletrabajo, desconexión digital y ciberseguridad.

Pues bien debo comenzar mi artículo agradeciendo el trabajo que viene desarrollando el INCIBE en materia de ciberseguridad, particularmente en relación a lo que es objeto de esta introducción, cómo ha sido su reciente publicación de su ‘Guía de ciberseguridad en el teletrabajo: una guía de aproximación para el empresario’.

Esta Guía constituye una herramienta obligatoria de consulta para aquellas empresas que han asumido de forma inmediata el reto de su transformación digital, y que deben integrar en sus servicios, medidas de ciberseguridad para prevenir ataques que puedan afectar a su negocio.

foto

En el caso de las empresas de Seguridad, muchas de estas recomendaciones contenidas en dicha Guía son plenamente vigentes, no tanto en relación al régimen del teletrabajo, que obviamente se hallan limitado por razón de los requisitos específicos de las medidas fisicas de los locales en dónde se prestan los servicios sometidos a autorización previa, contenidos en la Orden del Ministerio de Interior 314/2011 de empresas de seguridad privada, y en las de los medidas de seguridad utilizados por personal acreditado y habilitado.

Este personal integrado en empresas de seguridad, deberá ejercer sus funciones no en régimen de teletrabajo sino mediante un régimen de presencia o asistencia física en la sede operativa de la Empresa de Seguridad, tales como por ejemplo los operadores de seguridad en una Central Receptora de Alarmas de una empresa de seguridad.

Dicho esto, indicar que entiendo que es un hecho más que probado, que las empresas de seguridad deben comenzar a adaptar sus medidas de seguridad para prevenir ciberataques, al no ser ajenos a las nuevas amenazas que pueden afectar a su funcionamiento y a la continuidad de sus negocios.

Así por razón de normativas específicas tales como la normativa de la protección de datos, deben elaborar Políticas de Seguridad de la Información y dotarse en relación a los datos personales que puedan ser objeto de tratamiento, de medidas de seguridad específicas adecuadas para su debida protección por razón del contenido de los servicios de seguridad privada.

En cuanto a los modelos para protección de sistemas de información reseñar que aparte de las herramientas o medidas de ciberseguridad, tanto a nivel de software como de hardware, existen una serie de certificaciones indispensables a nivel de gestión empresarial de incidencia en dichos procesos que deseo invocar por su aplicabilidad al caso, tales como las ISO 27001 de seguridad de la información como la ISO 22301 de continuidad de negocio.

Por consiguiente, las empresas de seguridad como cualquier empresa en España, deben diseñar sus políticas de seguridad partiendo de conceptos generales a nivel organizativo a través de su Departamento de Recursos Humanos (Cultura de seguridad en la organización) frente a sus empleados con la clara implicación de su Departamento de Seguridad como medida organizativa.

En dicho diseño de sus políticas de seguridad se revela fundamental por parte de la empresa de seguridad, definir y seleccionar el lugar de almacenamiento de la información, conociendo los requisitos impuestos por la normativa de seguridad privada ya reseñada a nivel de custodia de la información o datos que recaban durante la prestación de sus servicios con intervención policial en territorio nacional.

foto

No debemos ignorar también, que la seguridad pública de la que forma integrante la seguridad privada, como actividad subordinada y complementaria de la primera, es competencia de cada Estado miembro de la Unión Europea no siendo objeto actual de armonización normativa a nivel europeo con lo que todas las operaciones de tratamiento que pueda realizarse bajo estas circunstancias tienen ámbito de actuación restringido tanto a nivel de competencia territorial como material.

En este mismo sentido es razonable que la empresa de seguridad haga un análisis de riesgos previo, clasificando de forma razonada la información objeto de tratamiento, separando la información o datos que pueda ser sensibles de los que no lo son.

Todo lo anteriormente expresado determina que la empresa de seguridad debe ser especialmente escrupulosa en la selección del proveedor de servicios cloud como back up y que el mismo cuente con certificaciones acreditadas a nivel de la Unión Europea en España, dado que los datos personales recogidos en los servicios de seguridad cuando implique participación de las FCS tiene un ámbito territorio restringido al territorio nacional tal y como he manifestado.

Por último, la empresa de seguridad debe verificar de forma motivada las herramientas empleadas en la gestión de datos particularmente a nivel de seguridad informática. Así, la contratación de consultores cualificados en la selección e implantación de las aplicaciones específicas-actualizadas a nivel de software para la prestación de servicios de seguridad privada adquiere enorme importancia, por ser una vía de acceso, más que razonable de futuros ciberataques contra la información de la empresa de seguridad, dado su importancia.

Todas estas políticas y medidas antes citadas deberán hallarse recogidas a través de un Plan Director de Seguridad.

Empresas o entidades relacionadas

Asociación Europea de Profesionales para Conocimiento y Regulación de Actividades de Seguridad Ciudadana

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.