redseguridad 071

66 red seguridad cuarto trimestre 2015 ciberseguridad opinión la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, que introduce en nuestro ordenamiento la responsabilidad penal de las perso- nas jurídicas. Como consecuencia de lo ante- rior, cualquier empresa que base su negocio en algún tipo de tecno- logía de doble uso, debería tener muy muy presente que los mayores riesgos en los tiempos en los que vivimos son los cibernéticos, por lo que tanto la respuesta al punto 5.3 sobre medidas de seguridad en programas informáticos y tecnología como la parte de compliance IT de la empresa han de ser contundentes. Quizá va siendo hora de que alguien se pare a contar cuántas de las organizaciones que desarrollan tecnologías de doble uso garanti- zan la seguridad de sus sistemas a través de un sistema de gestión de seguridad de la información (ISO 27001), de gestión de la continuidad de negocio (ISO 22301) o de ciber- seguridad industrial (ISA99, evolucio- nando a IEC 62443), o bien incluso, implantando una UNE-ISO 19600 de Sistemas de Gestión de Compliance. Por otra parte, las Administraciones públicas incentivan y promueven a todos los niveles, las estrategias de innovación apropiadas para que las empresas puedan emprender acti- vidades transfronterizas innovadoras, al mismo tiempo que favorecen el crecimiento del mercado interior. De hecho, las políticas públicas en nues- tro país están destinando un impor- tante capítulo de inversión a recursos económicos, humanos y organizati- vos, que deberán revertir en el desa- rrollo económico y progreso social. La Administración pública tiene que confiar, pero también tiene la obliga- ción de verificar. Para ello, necesita un marco específico de colaboración dinámica entre los sectores público y privado que permita prevenir de un modo efectivo el desvío de las tecnologías de doble uso para fines perniciosos y destructivos. Al fin y al cabo, de lo que estamos hablando es que la seguridad nacio- nal depende del todo de la debida diligencia de estas empresas y orga- nizaciones. Indudablemente, el procedimiento, los mecanismos de simplificación y reducción de cargas administrati- vas, implantado por la Subdirección General de Comercio Exterior de Material de Defensa y de Doble Uso, beneficia enormemente a las empre- sas por la inmediatez en la tramita- ción de las solicitudes y la pronta obtención de la certificación. Pues bien, entre los criterios exigi- dos para la certificación se pide a las empresas que rellenen un cuestio- nario para la solicitud de certificado. El compromiso adquirido con este cuestionario y el desarrollo del PCI de la empresa solicitante recae sobre una persona designada por la empresa que deberá nombrar a un ejecutivo dentro de la empresa, responsable personal y específicamente de las transferencias y exportaciones. El cuestionario en concreto recoge un apartado 5, referido a la seguridad física y técnica, a saber: “5.1 ¿Su empresa tiene acreditada la seguridad por un organismo públi- co apropiado? Especifíquese. 5.2 Si no existe dicha acreditación de seguridad oficial, ¿qué medidas de seguridad existen para garantizar los registros y procedimientos de exportación y transferencia? 5.3 ¿Cuáles son las medidas de seguridad en lo relativo a los progra- mas informáticos y la tecnología?” Las preguntas 5.1 y la 5.2 hacen referencia a la evaluación de las com- petencias técnicas y la posibilidad de obtención de una acreditación que facilite a la empresa los mecanismos de aceptación internacional a través de la oportuna certificación. Mientras que la 5.3 es la única cuestión rela- cionada con las medidas de “segu- ridad informática” (¡ojo!, que no de seguridad de la información). En cuanto al PCI, está claro que por su propia naturaleza involucra y compromete la responsabilidad de la propia empresa exportadora que solicita la licencia y, por tanto, se tiene que integrar con el propio Programa de Compliance (o cumplimiento nor- mativo) de la empresa. Muchos de ellos han nacido a razón de la entrada en vigor de la Ley Orgánica 5/2010, de 22 de junio, por la que se modifica La consideración de este progra- ma PCI, parte de la base de que: Ω Es necesario para ayudar a los exportadores a aplicar la legis- lación y los procedimientos de control de las exportaciones nacionales Ω El método en el que se desarrolle e implemente el PCI dependerá del tamaño, la estructura orga- nizacional y las circunstancias propias de cada exportador. Ω El objetivo es promover el control responsable de las transferencias de tecnología militar para preser- var la estabilidad internacional. Con este PCI soportado en un manual de procesos y una serie de procedimientos (que han de ser conocidos por el personal respon- sable de su ejecución), el exporta- dor adquiere el compromiso de dar efectivo cumplimiento a los requeri- mientos de control a la exportación. Resulta imprescindible que el PCI esté plenamente integrado en los sistemas de gestión y procedimien- tos de la organización, al tiempo que debe ser auditado regularmente. Ahora bien, queda al arbitrio de cada Estado participante el motivar o no a los exportadores, según corresponda a su propia normati- va, para desarrollar e implementar el PCI. Es decir, cada país puede recortar o añadir sus propios ele- mentos de control a los PCI de los exportadores, e incluso requerirlos como condición para otorgar o no el permiso general a un exportador. ¿Qué ocurre en España? Actualmente nos aplica el Real Decreto 844/2011, de 17 de junio, por el que se modifica el Real Decreto 2061/2008, de 12 de diciembre, por el que se aprueba el Reglamento de control del comercio exterior de material de defensa, de otro material y de produc- tos y tecnologías de doble uso. En base al mismo, las empresas exportadoras de estas tecnologías de doble uso que quieran seguir el pro- ceso de certificación para obtener una licencia deberán seguir una serie de trámites solicitándolos ante Secretaría de Estado de Comercio Exterior.