Esta tarde los compañeros de AVADISE organizan, en la Universidad Politécnica de Valencia, una jornada sobre la Ley de Seguridad Privada (Ley 5/2014, de 4 de abril de 2014): la nueva LSP. Vamos a participar en una mesa redonda junto a representantes del SEPROSE (Guardia Civil) y la UCSP (Cuerpo Nacional de Policía) a la que han invitado a diferentes representantes de la Seguridad Privada, en el sentido más amplio de ésta. Y este amplio sentido incluye, por supuesto, la ciberseguridad, seguridad informática, seguridad de la información… o como ahora le llamemos a “esto”.
La nueva LSP se publicó hace algo más de dos meses y en ella se hace referencia directa a los servicios de seguridad informática (en muchos blogs de seguridad se habló del tema en su momento); el Reglamento de Desarrollo regulará ciertos ámbitos de nuestra actividad, lo cual a priori, al menos bajo mi punto de vista, es muy interesante (otra cosa será lo que el Reglamento depare en su momento, que ya discutiremos).
La anterior LSP data de 1992; 22 añitos han pasado entre una y otra, periodo que desde un punto de vista legal no es nada (ahí tenemos la Ley de Enjuiciamiento Criminal, con alguna revisión pero que data de 1882 -sí, 1882-) pero que, en seguridad, es una eternidad. A principios de los 90 no sabíamos lo que era el phishing, el grooming, el timo nigeriano ni nada de eso -al menos no con esos nombres-; no teníamos media casa conectada a Internet (con suerte un módem que encendíamos por la noche con miedo a la factura telefónica para tirar a una BBS o a algún dialup de estrangis); no teníamos móviles, ni tabletas, ni USB ni nada parecido. Parece claro que las cosas han cambiado bastante, y la legislación tiene que ir adaptándose a ello, a los nuevos delitos -o a los delitos clásicos cometidos con nuevos medios- y, especialmente, a los nuevos roles en el mundo de la seguridad.
Y es que no es de recibo que para vigilar el perímetro físico de una fábrica de cerámica se requiera un determinado perfil y para auditar las tripas de la tecnología sobre la que se basa una central nuclear no se pida nada oficial. No se trata de comenzar de nuevo el flame de si esto lo puede/debe hacer un Ingeniero Informático, un CISA, un CPP, un Director de Seguridad Privada o un tipo de Cuenca que se tiene que llamar Paco. Se trata de que alguien con la suficiente autoridad determine de una u otra forma quién puede hacerlo y bajo qué circunstancias (y con qué responsabilidades, que muchas veces nos gusta olvidarnos de este tema) y a partir de ahí discutiremos.
Sé que el CCN está trabajando ya en un esquema de acreditación de personas para definir roles de trabajo en el ámbito de la seguridad, al margen de certificaciones generalmente estadounidenses que nos pueden gustar más o menos, pero no son “nuestras”. Desconozco los detalles y el estado de esta iniciativa, también interesante (si alguien los sabe, se agradecerán ;), y por supuesto no sé si la LSP tratará de aprovechar este trabajo -no lo sé, pero lo intuyo-. En cualquier caso, tendremos que estar atentos a ambas líneas, porque provienen justamente de dos de los actores que bajo mi punto de vista deben marcar las pautas de ciberseguridad en España, cada uno en su ámbito de actuación, por encima de empresas, asociaciones, grupos de interés y demás (escuchando la opinión de éstos, por supuesto, pero con independencia).
Esperaremos a ver qué nos depara el Reglamento de Desarrollo; aprovechando que esta tarde estará por la jornada Esteban Gándara, Comisario Jefe de la UCSP y uno de los padres de la criatura, pediré pistas sobre el rol de la seguridad informática en ese nuevo Reglamento. Seguro que da para algún post más :)
No debe ser fácil legislar estos temas pero si en Seguridad Física se ha hecho, quién puede instalar, quién puede conectarse a una CRA, que registros hay que llevar, etc. no veo la razón para que no se haga en seguridad cibernética o como se llame.