Artículo Técnico
Mª Amor Domínguez Orive. Desarrollo de Negocio Certificación Ciberseguridad, CRA´s y CPD´s de TÜV IT (Grupo TÜV NORD).
Mª Amor Domínguez Orive Desarrollo de Negocio Certificación Ciberseguridad, CRA´s y CPD´s TÜV IT (Grupo TÜV NORD)

EN 50518: certificación para la competitividad

Areas CRA

Áreas de la central receptora de alarmas a evaluar. Fuente: https://www.tuvit.de/en/services/alarm-receiving-centers/.

El sector de la Seguridad Privada es una interesante área de inversión donde están empezando a aparecer empresas especializadas en respaldar las operaciones y su gestión, con un crecimiento previsto de hasta 24.000 millones de euros a nivel mundial.

Algunas razones que llevan a este incremento son:

  • Uso intensivo de la tecnología, desde los dispositivos móviles para la operación de la actividad a dispositivos IoT (Internet de las Cosas, por sus siglas en inglés).
  • Necesidad de infraestructuras tecnológicamente avanzadas que incorporen redes de comunicaciones fiables y seguras.
  • Aplicación real de la Inteligencia Artificial en la interpretación de, por ejemplo, las imágenes captadas por circuitos y cámaras de televisión.
  • Estabilidad del sector.
  • Posibilidad de ingresos recurrentes, procedentes sobre todo de una base fiel de clientes.

Sin embargo, uno de los frenos reconocidos a la expansión de este sector es estar sujeto a las regulaciones nacionales y locales, lo que crea un mercado fragmentado y no siempre preparado para responder a las distintas circunstancias.

En este contexto, normas internacionales como la EN 50518 para las Centrales Receptoras de Alarma (CRA) pueden ser una ayuda imprescindible para valorar a los proveedores de seguridad privada al tener en cuenta lo siguiente:

  1. Elementos físicos de construcción y análisis exhaustivo de riesgos medio ambientales y operativos a los que pueda estar sometida la instalación.
  2. Gestión eficaz de los medios tecnológicos utilizados, al incluir las características de las infraestructuras que los tienen que albergar, tanto el centro de procesos de datos como la seguridad de aquellos elementos que custodian datos esenciales de la operación. Entre ellos, información sensible de los clientes, del personal que ha respondido a un incidente determinado o del propio incidente.
  3. Procedimientos operativos suficientes y conocidos, lo que permite la intervención inmediata ante un determinado incidente y la reducción de falsas alarmas, que consumen tiempo y recursos.

Centro de emergencia y CRA

Los centros de emergencia, ya sean para responder a situaciones domésticas, empresariales o de protección civil, tienen una serie de características a tener en cuenta. Por ejemplo, son el punto de coordinación de todas las situaciones de crisis, y están orientados a proteger los bienes y personas de diversos tipos de incidentes: desde intencionados (como puede ser un ataque o un robo) a otros diversos tipos.

Además, deben ser capaces de recoger y difundir información relevante en un tiempo determinado y adecuado para resolver el incidente. Todo ello, con la necesidad de una coordinación con otros equipos de emergencia y de defensa tales como los sanitarios, los bomberos, la Policía o incluso, dependiendo del incidente, de voluntarios.

Por último, han de establecer los cauces de comunicación adecuados para alertar del incidente a los organismos pertinentes o a las partes interesadas.

Normas internacionales como la EN 50518 pueden ser una ayuda imprescindible para valorar a los proveedores de seguridad privada

Sus funciones pueden resumirse, por tanto, en: dirección, control y gestión de todas las actividades necesarias para responder a dicha emergencia; operación de aquellas actividades imprescindibles para soportar y reducir el incidente detectado; planificación, recogida, notificación y almacenamiento de la información indispensable para la resolución del incidente; gestión logística de aquellos elementos necesarios para la instalación de los medios adecuados para la gestión de incidentes; y gestión financiera de la operación, incluyendo cobros de clientes, pagos de proveedores, impuestos, etc.

Finalidad CRA. EN 50518.

Estandarización

Por consiguiente, dotar a nuestro entorno de infraestructuras sólidas, disponibles y fiables es de altísima prioridad para garantizar los bienes y la vida de las personas e instituciones. Por esta razón, el área de Comunicaciones de Emergencia forma parte del plan de estandarización europeo desde 2019, ya que es menester una uniformidad en todos aquellos elementos necesarios tanto para transmitir un mensaje de emergencia como para asegurar la intervención necesaria.

En este sentido, en 2018 se publicó el European Communications Code, que establece los principios para el número europeo de emergencias 112 de tal forma que cualquier ciudadano y ante cualquier circunstancia pueda llamar a un único número para resolver una situación extraordinaria de riesgo.

Según este Reglamento, las comunicaciones de emergencia deben incluir no solo mensajes de voz, sino SMS, vídeo y otros tipos de comunicaciones, como las procedentes de los sistemas de monitorización de vehículos.

En este contexto, las CRA, y en general los centros de control, deben cumplir una serie de características:

  1. Seguridad de las comunicaciones entre el punto del incidente y la central receptora.
  2. Disponibilidad de los medios técnicos para la recogida, almacenamiento y transmisión de mensajes; especialmente de las características de los centros de procesos de datos, donde se alojan los elementos de IT.
  3. Securización de los servidores que almacenan la información sobre los incidentes.
  4. Protección de la privacidad de los usuarios, operarios y personal implicado.
  5. Análisis exhaustivo de aquellos incidentes medioambientales y de operación que puedan suponer un riesgo para la disponibilidad de la central.

Este es el objetivo de la norma europea EN 50518.

Elemento diferenciador

En estas circunstancias, contar con una norma europea que defina objetivamente los criterios de las CRA es, además de un criterio diferenciador para los proveedores de servicios de seguridad, un elemento esencial para valorar el servicio que estos nos van a ofrecer. El motivo es que esta norma puede establecer la base para un entorno regulatorio común, soportando la estrategia europea de emergencias y protegiendo la disponibilidad, fiabilidad e integridad del servicio.

Asimismo, esta norma publicada por primera vez en 2013 ha ido incorporando los criterios para un uso fiable de la tecnología, incluyendo la conveniencia de otras certificaciones como la ISO 27001, para la seguridad de la información; la EN 50600, para las características de los centros de procesos de datos que incorporan los elementos de IT; y el cumplimiento del Reglamento Europeo de Protección de Datos.

Competitividad

En este contexto, la certificación acreditada de la norma EN 50518 con la metodología propuesta por Alter Technology y TÜViT, ambas pertenecientes al grupo Tüv Nord, asegura la disponibilidad, fiabilidad e integridad del servicio al identificar puntos únicos de fallo en las áreas de Entorno y Riesgos Medioambientales, Robustez de la Construcción, Suministro Eléctrico y Organización.

La certificación acreditada de la norma EN 50518 con la metodología propuesta por Alter Technology y TÜViT, ambas pertenecientes al grupo Tüv Nord, asegura la disponibilidad, fiabilidad e integridad del servicio

Todos estos criterios se recogen en un catálogo, disponible tanto para el auditor como para la empresa auditada, que ofrece una metodología objetiva cuyo objetivo es contar con infraestructuras robustas capaces de responder a las situaciones de emergencia a tiempo para, de esta forma, proteger la vida y el patrimonio de nuestra sociedad.