La regulación LSP como oportunidad

El pasado verano se dispararon las alarmas porque, al parecer, representantes del Ministerio del Interior habían estado pulsando la opinión de un círculo reducido de expertos de grandes organizaciones para conocer su sensibilidad acerca de la reglamentación del sector de la Ciberseguridad en base a lo dispuesto en la Ley de Seguridad Privada.

Como es sabido, la ciberseguridad ha crecido globalmente sin regulación específica (salvo en algunos ámbitos muy concretos). Es un sector a caballo entre la industria y los servicios que en España alcanza una cifra de negocio anual estimada en 1.000 millones de euros. La mayoría de los fabricantes de herramientas tecnológicas son de fuera, los grandes integradores, proveedores de servicios y consultoras tienen en su accionariado una importante representación de inversores extranjeros (en nuestro país tienen a magníficos especialistas de la tierra), y las pymes son de aquí, al igual que los expertos autónomos –muchos de ellos háckeres–. En las organizaciones usuarias, casi todos los que trabajan en los cuarteles generales de España son españoles.

José de la Peña Múñoz
Director
Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

La clasificación de los distintos agentes de este sector industrial (y su regulación) es lo que, en última instancia, se pensaba que iba a hacer Interior en la recién acabada legislatura. A lo mejor lo ejecuta en la próxima. Si es así, conviene que el proceso se lleve a efecto con luz y taquígrafos y no cometer los errores en los que se hubiera podido incurrir en su momento al regular el sector de la seguridad clásica, noqueado hoy por el auge imparable de la seguridad TIC, que demanda expertos de altísima cualificación que no admiten paralelismo con la estratificación de la seguridad tradicional, su formación y capacitación, por mucho que sus patriarcas consideren toda la finca de la protección de su propiedad. Las armas, aquí, son las TIC usadas como arma. Y las construyen (en plan churrera) y cargan quienes saben y pueden. Y los malos (todos, no solo quienes las encargan) también pueden estudiar otras artes y ciencias como la Criminología. De hecho, muchos de ellos, además de entender de TIC, son expertos en las debilidades de la naturaleza humana, que es la mejor munición conocida.

Sucede, para mayor abundamiento, que la ciberseguridad se hibrida con los ejecutivos responsables de la dirección de los negocios digitales, el control interno, el control de fraude, la auditoría, la asesoría jurídica y el área de TIC, que son procesos corporativos bien diferenciados del de la “seguridad corporativa”, que debe cambiar a marchas forzadas y no refugiarse en una concepción simplista y fosilizada de la función “integral”.

Que el ramo de Ciberseguridad va a ser regulado no lo duda casi nadie informado (guste o no). Pero hay que hacerlo bien, con visión, sin que el peso de la historia pudiera hacernos caer en la tentación de fabricar cursillos, a un pastón, para dar placas a CISOs y crear el estrato de, pongamos, “háckeres jurados”.

No obstante, la transformación digital y la colaboración público-privada están pidiendo a gritos la clasificación de la actividad y la creación de nuevos perfiles profesionales igual de exigentes para expertos de las estructuras de los estados (militares, policías y otros empleados públicos) y el sector privado. ¿Se lo planteará la UE antes de que la Humanidad ponga el pie en Marte?

Ley de Seguridad Nacional

Esta pieza es paradigmática, porque pone el marcador a cero en lo que toca a la organización de la Seguridad Nacional y, en su seno, de la Ciberseguridad Nacional. Dicho de otro modo: prepara el camino para una nueva organización en la que quizá España tenga una autoridad nacional en seguridad “ciber” a la altura de una secretaría de estado, de la que pudiera depender un centro nacional en la materia.

Ley Orgánica 13/2015 / Real Decreto 951/2015

Hay momentos en los que un profesional responsable de TIC y de ciberseguridad debe darse un garbeo por las páginas del BOE. Si se atreve, no deje de estudiar por lo menudo el Real Decreto 951/2015 –que modifica el Esquema Nacional de Seguridad, ENS– y la Ley Orgánica 13/2105 que modifica la Ley de Enjuiciamiento Criminal. El legislador en esta segunda ha estado también fino, seguramente inspirado por, entre otras estructuras, la Fiscalía en materia de Criminalidad Informática. Analice esta Ley. Si se apura, lector, la terminará antes de que entre en vigor.

Documento en PDF