Seguritecnia 385

50 SEGURITECNIA Abril 2012 Gestión integral de la Seguridad ocurre con la vigilancia o la propia Di- rección de Seguridad, en favor de las compañías especializadas en seguridad integral. Sin querer jugar a futurólogo, yo veo que el sector financiero llegará a contra- tar la oficina llave en mano, con los sis- temas de seguridad y todas las insta- laciones acordes con la normativa. De este modo, la entidad financiera tendrá que proporcionar solamente el perso- nal financiero, mientras que la empresa de servicios se responsabilizará de todo lo demás: cumplimiento normativo, ac- tualización de medidas y protecciones, personal de seguridad, etc. - ¿Qué tipo de ataques informáticos están sufriendo actualmente las en- tidades financieras? ¿Piensa que el ‘hacktivismo’ puede afectarles espe- cialmente? Los ataques son variopintos. Pasan prin- cipalmente por fraudes en los medios de pago, asaltos a las redes de cajeros, lavado de cheques, falsificación de tar- jetas, etc., pero cada vez toman mayor relevancia los ataques DDoS, el spam (inundación con tráfico impropio), dife- rentes tipologías de malware (virus, tro- yanos…), pharming ( phishing automá- tico), etc. Respecto al activismo, será determi- nante si comienza a propiciar altera- ciones en las bases de datos, tanto de clientes como de saldos o movimien- tos. Si alcanzara límites de cierta impor- tancia, podría llegar a comprometer la actividad de una entidad. De ahí lo im- prescindible de las protecciones, los sis- temas de continuidad de negocio o los centros alternativos para los planes de emergencia y recuperación. - ¿Considera que el sector financiero español se encuentra preparado para hacer frente a estos riesgos? ¿Qué as- pectos habría que mejorar? Permítame que no entre en profundi- dad en este asunto. Cada uno hace lo que puede, y la concienciación de las cúpulas directivas hará que los tiem- pos cambien, resultando determinan- tes para que se provoque esa reacción donde he intervenido, haya promovido esta integración. La seguridad es una, aunque con varias vertientes, como son la protección pasiva y activa de instala- ciones y patrimonio, la prevención de riesgos laborales, ahora la protección de las infraestructuras críticas, la LOPD, etc.; y todo ha de confluir en una seguridad integral. Por consiguiente, dentro de las com- pañías debe haber un único responsa- ble de la Seguridad de la entidad, y esta entidad tiene que definir cómo quiere estructurar el Departamento, con una solución interna en la que deben estar todas las partes afectadas: tecnología, protecciones físicas, datos personales, riesgos laborales, medios de pago, etc. O como ocurre en los países más de- sarrollados, donde la tendencia es que el servicio se externalice con solucio- nes llave en mano en las que las empre- sas de seguridad que ofrecen sistemas y vigilancia integran también dentro del servicio la implantación de protec- ciones de las tecnologías de la informa- ción. Es un nuevo nicho de mercado, que se abre ante la actual situación del sector financiero y la política de ahorro y disminución de las estructuras empre- sariales. Asimismo, aporta la más que recomendable flexibilidad de externali- zar los servicios, a semejanza de lo que medidas para mejorar la protección de las infraestructuras críticas y, ape- nas un mes después, la del Real De- creto 704/2011, de 20 de mayo, por el que se aprobó el Reglamento de de- sarrollo. Creo que este recorrido clarifica la pregunta y determina la necesidad de esta legislación, así como qué trayec- toria ha seguido hasta su publicación. - Las nuevas amenazas, que van di- rigidas contra los sistemas informá- ticos, muestran la importancia de la llamada “seguridad lógica”. ¿Piensa que esta materia se encuentra de- bidamente desarrollada, particular- mente en nuestro país? Aunque me produzca un cierto des- asosiego, en España no está ni siquiera medianamente desarrollada. La Ley de Seguridad Privada del año 1992 y el Reglamento de 1994 hacen caso omiso a las tecnologías. La normativa está to- talmente orientada a la protección de los bienes, (principalmente el efectivo) dejando en completo desamparo la se- guridad del primer patrimonio de una entidad, que es sin lugar a dudas la in- formación. El paso del tiempo y los ata- ques que de forma constante sufren los sistemas de información de las em- presas están replanteando esta situa- ción de indefensión por vía normativa. Es cierto que la Ley Orgánica de Protec- ción de Datos (LOPD) ha supuesto un pequeño paso, pero solo en lo referido a datos personales. Esperemos que la realidad del momento ponga de mani- fiesto la perentoria necesidad de abor- dar de una forma total este tema. - ¿Considera necesario que las orga- nizaciones avancen hacia un modelo de seguridad en el que se integren la parte física y la lógica? ¿Cree que de- bería existir dentro de las compañías un único responsable que dirigiera ambas áreas? Veo totalmente necesario que se pro- duzca ese avance hacia una seguri- dad integral. Quizás mi raíz profesional como informático ha hecho que, desde hace muchos años y en todos los foros