Como ayer adelantábamos, estuvimos compartiendo mesa redonda con Esteban Gándara, uno de los padres de la nueva LSP, y como también comentamos ayer, aprovechamos para preguntarle sobre el papel de la seguridad “informática” en esta nueva Ley o, más concretamente, en el Reglamento de Desarrollo asociado… Dijimos que iba a dar juego para otro post, aquí lo tenéis :)
Personalmente, me impresionaron y mucho dos cosas de Gándara, al que no conocía en persona: la primera, su conocimiento sobre Seguridad Privada; aunque parecerá algo obvio pensando que es el máximo responsable del CNP en la materia, escucharlo hablar y responder a las dudas que todos planteábamos te dejaba con la boca abierta… Y la segunda, al hilo de las explicaciones y respuestas que daba al auditorio, su capacidad para explicar estos temas de forma amena, demostrando algo que a muchos nos parecía hasta ayer imposible: hablar de una Ley, con sus disposiciones, títulos, preámbulos y todo eso, sin hacerse en absoluto pesado ni tirar de términos que sólo los juristas conocen y que nosotros, comunes mortales, jamás entenderemos… Chapeau!!
Dejando de un lado el continente y centrándonos en el contenido, el Comisario Jefe de la UCSP dejó una cosa muy clara: la seguridad informática no es seguridad privada. La nueva Ley abre las puertas a que empresas de seguridad “clásicas” presten servicios de lo que denominan seguridad informática, pero como “nuestra seguridad” no es “seguridad privada” el Reglamento apenas regulará temas que nos conciernen. La LSP, como cualquier legislación, está acotada a un ámbito concreto del que no se va a salir y, en este caso, no se mojará en nuestro sector; sí que ha abierto las puertas a introducirse en él a empresas de seguridad “clásicas” -algo que en teoría no podían hacer, pero que en la práctica podían hacer de mil maneras-, pero poco más…
Además, el dejar fuera a seguridad “informática” había sido algo completamente consciente: por un lado, nuestras actividades no están alineadas con el concepto de Seguridad Privada, como comentaba, y además, el impacto que se podría causar en el sector si de la noche a la mañana se regula en la LSP podría ser de aúpa… Creo que estamos todos de acuerdo en que si esto se hace de la noche a la mañana no sería muy positivo, pero en algún momento habrá que plantearlo, no sé si en la LSP o en otra Ley, planificarlo correctamente y abordar el desbarajuste que tenemos ahora mismo en nuestro sector.
Al hilo de lo anterior, Gándara estaba de acuerdo -o eso me pareció- en que el sector necesita algún tipo de regulación, dada la importancia de la seguridad TIC hoy en día: una Ley de Ciberseguridad o como la quieran llamar en su momento, que sería estupenda pero que NO tiene nada que ver con la LSP ni con Seguridad Privada. Podría ser del Ministerio del Interior, del Ministerio de Defensa, de Presidencia o de cualquier sitio, porque en ciberseguridad muchos trabajamos en varios frentes menos acotados que en Seguridad Privada, pero ya se verá… si se ve.
El Reglamento de Desarrollo que algún día se publicará lo que vendrá a hacer es detallar las directrices de la Ley: básicamente, las empresas de seguridad “informática” podremos -algo completamente voluntario, al contrario de lo que sucede en Seguridad Privada- darnos de alta en un registro del Ministerio del Interior. Aparte de pagar las tasas, este registro obligará a, de una forma u otra, remitir las alertas (no sabemos cuáles, ni cómo, ni dónde…) al MIR de manera periódica y poco más. Si no se remiten no pasará nada: se sanciona a la empresa y punto :)
¿Y qué obtenemos a cambio, si esto es voluntario? Aparentemente un cierto reconocimiento: el sello de la UCSP, del Ministerio o de quien corresponda dando fe de que estamos dados de alta y reconocidos, y por tanto cubrimos nuestras obligaciones al respecto. ¿Esto nos diferenciará de la competencia, por ejemplo comercialmente? No lo sé, pero si todos estamos dados de alta en el registro, tengo mis reservas. En cualquier caso, toca esperar a la publicación del Reglamento de Desarrollo y a partir de ahí resolveremos alguna duda…
Para acabar, y como curiosidad, estuvimos comentando por qué nos llaman “seguridad informática”, a lo que la respuesta fue que es el término más extendido en el sector (frente a seguridad TIC, seguridad lógica, seguridad de la información, ciberseguridad…). En esto no estoy muy de acuerdo, pero bueno: sepamos que para “los de seguridad física” seguiremos siendo “los de seguridad informática” (y dando gracias que no nos llaman otra cosa… eso sí, o nosotros a ellos ;)