Alfonso Bilbao. AEINSE.
Alfonso Bilbao Presidente AEINSE

Seguridad integral Una realidad indiferente a un viejo debate

Seguridad integral.

El debate subsiste, pero la realidad se impone. Realmente, hace ya varios años que está claro que la seguridad ante riesgos deliberados (Security) es un concepto único, que atiende a la protección ante amenazas voluntariamente generadas, pero que tiene diferentes formas de materializarse. El saboteador o el ladrón pueden estar saltándose una valla o un firewall. Pueden colarse en una fábrica por una puerta mal protegida o a través de un correo electrónico; es lo mismo. Es un debate ya viejo el de seguridad física y ciberseguridad o, como dicen por otros lares, “traditional security versus cybersecurity”.

Obviamente, las ciberamenazas suponen desde hace tiempo un cambio importante en la seguridad de empresas, ciudadanos y Administración. También fue un cambio el nuevo perfil de terrorismo suicida yihadista, que precisó medidas diferentes.

En el caso de las amenazas informáticas, las necesidades de protección implican una especialización formidable y muy diferente a la que tenían los técnicos de seguridad del siglo XX. Han aparecido, por lo tanto, nuevos profesionales, empresas y servicios, diferentes a los de la seguridad privada regulada (primero por la ley de 1992 y ahora por la de 2014).

Al respecto se han generado movimientos diferentes en el mercado, en las empresas y en la regulación. En el mercado hay todo un sector de servicios y productos de ciberseguridad muy pujante, con crecimiento sostenido y que, en 2019, facturó en España en torno a los 1.300 millones de euros. El mercado de la seguridad física, en ese mismo año, con crecimiento muy débil, facturaba 4.900 millones. Hay algunas empresas, muy pocas, que ofertan en ambos mercados a la vez.

Las empresas que han de dotarse de seguridad han afrontado importantes cambios en la organización de su protección interna. En algunas se mantienen dos áreas diferentes, seguridad física y ciberseguridad, con una comisión que las coordina. En otras, un departamento se integra en otro. Y en otras (las más maduras), hay un gestor de la seguridad que integra ambas “seguridades”, con especialistas en cada ámbito (como pretende la legislación sobre protección de infraestructuras críticas).

Finalmente, en el terreno de la regulación, el divorcio es casi total. La seguridad física está regulada por el Ministerio del Interior, con importantes problemas por todos conocidos: Ley de Seguridad Privada de 2014 sin desarrollar y reglamentos y órdenes ministeriales anteriores desfasados. El no desarrollo de la ley de 2014 hace que las empresas que prestan servicios de ciberseguridad no estén reguladas en ningún sentido (aunque se mencione como actividad compatible y se avance que podrá reglamentarse en el futuro), mientras que las de seguridad física, consideradas a todos los efectos empresas de seguridad privada, sí lo estén. ¿Es que las compañías de ciberseguridad no son actividad privada de seguridad? ¿Los usuarios y clientes de ciberseguridad no han de tener alguna garantía de la Administración sobre el mercado de oferta de su protección?

En el otro lado, la regulación sobre ciberseguridad recae en el Ministerio de Asuntos Económicos y de Transformación Digital, con leyes y reglamentos derivados de directivas europeas (NIS, por ejemplo). Mientras la regulación de la seguridad privada se centra más en las empresas que proveen los servicios y en los profesionales que los atienden (vigilantes, por ejemplo), la de ciberseguridad no entra en ello, sino que centra sus esfuerzos en las medidas que deben implementar los usuarios.

La seguridad integral en «la calle»

Sin entrar en las dificultades de coordinación en la Administración sobre cómo lidiar con estas realidades y la pluralidad de organismos implicados (Unidad Central de Seguridad Privada, SEPROSE, CNPIC, INCIBE, CCN, etc.), hay cuestiones importantes a solucionar, ya sea mediante regulación (lenta y difícil) o a través el mundo real, el mundo de “la calle”, donde las necesidades de protección las marca la demanda de los usuarios. Y aunque sea un poco lentamente, a remolque de los acontecimientos y los incidentes, se disponen medidas de seguridad conjuntas (físicas y cibernéticas) ante las amenazas reales.

Las empresas que instalan y mantienen medidas de seguridad en empresas y particulares no guardan los planos ni las claves de los sistemas de sus clientes en las cajas fuertes que inspecciona la Policía. Y aunque nadie les obliga, tienen medidas de ciberseguridad que protegen los archivos donde se guarda esa información, en sus servidores o en la nube (mundo real frente a tozudo y desfasado mundo legal).

Las centrales receptoras de alarmas siguen disponiendo de muros con sensores de penetración (¿es que alguien va a entrar sin que se den cuenta los operadores de 24×7?) que muestran a las inspecciones; pero hace tiempo que tienen medidas de ciberseguridad de sus sistemas hiperconectados que nadie les exige ni inspecciona.

Finalmente, las instalaciones de sistemas de seguridad de una cierta entidad, que incorporan un sistema informático desde el que se gestionan los subsistemas de control de accesos, de televisión, de detección de intrusión, etc., necesitan protegerse ante los ciberataques, que cada vez son más habituales. Hay centenares de sistemas de seguridad, muchos de ellos en instalaciones críticas, asombrosamente vulnerables a ataques que, aprovechando las “puertas” abiertas de telemantenimiento, de relación con otros sistemas de las empresas, permiten el borrado de imágenes de televisión (o su extracción), la creación de tarjetas de control de accesos, la desconexión de la detección de intrusión o de incendios, etc. Los nuevos sistemas de seguridad que se están instalado ya contemplan la ciberseguridad de ellos mismos (no todos), pero esa no es la realidad en todo el enorme campo instalado.

¡Sigue Leyendo!

Aquí te hemos mostrado tan sólo una parte de este contenido.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital