Seguritecnia 487

/ Junio 2021 30 Seguridad Integral E l debate subsiste, pero la realidad se impone. Real- mente, hace ya varios años que está claro que la segu- ridad ante riesgos deliberados ( Security ) es un concepto único, que atiende a la protección ante amenazas voluntaria- mente generadas, pero que tiene diferen- tes formas de materializarse. El sabotea- dor o el ladrón pueden estar saltándose una valla o un firewall . Pueden colarse en una fábrica por una puerta mal protegida o a través de un correo electrónico; es lo mismo. Es un debate ya viejo el de se- guridad física y ciberseguridad o, como dicen por otros lares, “traditional security versus cybersecurity”. Obviamente, las ciberamenazas supo- nen desde hace tiempo un cambio im- portante en la seguridad de empresas, ciudadanos y Administración. También fue un cambio el nuevo perfil de terroris- mo suicida yihadista, que precisó medi- das diferentes. En el caso de las amenazas informá- ticas, las necesidades de protección implican una especialización formida- ble y muy diferente a la que tenían los técnicos de seguridad del siglo XX. Han aparecido, por lo tanto, nuevos profesio- nales, empresas y servicios, diferentes a los de la seguridad privada regulada (primero por la ley de 1992 y ahora por la de 2014). Al respecto se han generado movi- mientos diferentes en el mercado, en las empresas y en la regulación. En el mer- cado hay todo un sector de servicios y productos de ciberseguridad muy pujan- te, con crecimiento sostenido y que, en 2019, facturó en España en torno a los 1.300 millones de euros. El mercado de la seguridad física, en ese mismo año, con crecimiento muy débil, facturaba 4.900 millones. Hay algunas empresas, muy pocas, que ofertan en ambos mer- cados a la vez. Las empresas que han de dotarse de seguridad han afrontado importantes cambios en la organización de su pro- tección interna. En algunas se mantie- nen dos áreas diferentes, seguridad físi- ca y ciberseguridad, con una comisión que las coordina. En otras, un departa- mento se integra en otro. Y en otras (las más maduras), hay un gestor de la segu- ridad que integra ambas “seguridades”, con especialistas en cada ámbito (como pretende la legislación sobre protección de infraestructuras críticas). Finalmente, en el terreno de la regula- ción, el divorcio es casi total. La seguri- dad física está regulada por el Ministerio del Interior, con importantes problemas por todos conocidos: Ley de Seguridad Privada de 2014 sin desarrollar y regla- mentos y órdenes ministeriales anterio- res desfasados. El no desarrollo de la ley de 2014 hace que las empresas que prestan servicios de ciberseguridad no estén reguladas en ningún sentido (aun- que se mencione como actividad com- patible y se avance que podrá reglamen- tarse en el futuro), mientras que las de seguridad física, consideradas a todos los efectos empresas de seguridad priva- da, sí lo estén. ¿Es que las compañías de ciberseguridad no son actividad privada de seguridad? ¿Los usuarios y clientes de ciberseguridad no han de tener algu- na garantía de la Administración sobre el mercado de oferta de su protección? En el otro lado, la regulación sobre ciberseguridad recae en el Ministerio de Asuntos Económicos y de Transfor- mación Digital, con leyes y reglamentos derivados de directivas europeas (NIS, por ejemplo). Mientras la regulación de la seguridad privada se centra más en las empresas que proveen los servicios y en los profesionales que los atienden (vigilantes, por ejemplo), la de ciberse- guridad no entra en ello, sino que centra sus esfuerzos en las medidas que deben implementar los usuarios. La calle Sin entrar en las dificultades de coordi- nación en la Administración sobre cómo lidiar con estas realidades y la plurali- dad de organismos implicados (Unidad Central de Seguridad Privada, SEPROSE, CNPIC, INCIBE, CCN, etc.), hay cuestio- nes importantes a solucionar, ya sea mediante regulación (lenta y difícil) o Una realidad indiferente a un viejo debate A lfonso B ilbao P residente de la A sociación E spañola de I ngenieros de S eguridad (AEINSE)