Red Seguridad 081

actualidad tecnológica noticias red seguridad marzo 2007 35 requisitos específicos para garantizar la calidad de sus servicios en función de los usuarios concretos a quie- nes los presten". Asimismo, indica que esas obligaciones se establecen sin detrimento de la futura Ley de Seguridad de redes y Sistemas de la Información (Ley NIS). Las medidas que podrían tener que implantar las empresas de servi- cios de seguridad TIC son documen- tales, organizativas, físicas, electróni- cas e informáticas. Adicionalmente, tendrán que inscribirse en el Registro Nacional de Seguridad Privada y, en algunos casos, contar con un director de seguridad, responsable de la aplicación de las medidas establecidas. Especial incidencia tendrá este reglamento para aquellas empresas que presten servicios de seguridad lógica a proveedores de servicios de la sociedad de la información establecidos en España, así como operadores estratégicos y críticos. No en vano, estarán obligadas a someterse a una auditoría externa para demostrar que cumplen con los requerimientos establecidos. Según el borrador del RSP, las empresas de seguridad TIC debe- rán disponer "de las certificaciones E l M inisterio del I nterior dio a conocer, el 22 de mayo, el borrador de proyecto del nuevo Reglamento de Seguridad Privada (RSP), que afectará a la seguridad TIC en una doble ver- tiente. Por un lado, considera "sujetos obligados" a cumplirlo a las empresas de "seguridad informática" –como las denomina el texto–, para las que establece determinadas medidas de seguridad. Por otro, obligará a otras muchas compañías también sujetas a esta norma a implantar nuevas herramientas de seguridad de la infor- mación. El borrador del RSP establece que estarán obligadas a su cumplimiento las empresas dedicadas a la instala- ción, integración y mantenimiento de seguridad informática; los servicios de alojamiento o almacenamiento, los centros de control de seguridad y los CERT, los fabricantes y desarrollado- res de software y hardware de segu- ridad, las consultoras y las auditoras. No obstante, la norma (que al cie- rre de esta edición se encuentra en proceso de consulta pública) aclara que las empresas de seguridad infor- mática tendrán que cumplir "unos El Reglamento de Seguridad Privada obligará a proveedores de servicios y tecnologías Tx: Enrique González Herrero. de calidad, seguridad, continuidad de negocio y gestión de riesgos, expe- didas por entidades de certificación acreditadas, en los términos que esta- blezca una orden ministerial, que, en todo caso, incluirá como exigencia común a todas ellas, la obligación de disponer de un sistema de gestión de calidad certificado en base a la norma UNE-EN ISO/IEC 9001". Nuevas oportunidades Si bien el RSP supondrá un mayor control y exigencia para las empresas prestadoras de servicios de seguridad TIC, también abrirá oportunidades de negocio dadas las medidas de este tipo impuestas al resto de sujetos obli- gados. Entre ellos se encuentran enti- dades financieras, hospitales, empre- sas de seguridad privada o despachos de detectives, que tendrán que adop- tar nuevas herramientas de seguridad informática. El RSP señala diferentes medidas de seguridad de la información para ellas, entre las que se encuentra la detec- ción y protección frente al software dañino, configuración segura de sus sistemas, cifrado y control de acceso, prevención de malware, soluciones y procedimientos de respuesta a inci- dentes, etc. E spaña no ha transpuesto aún (al cierre de esta edición) la Directiva europea relativa a las medidas destinadas a garantizar un eleva- do nivel común de seguridad de las redes y sistemas de informa- ción en la Unión, conocida como "Directiva NIS", aprobada hace dos años. La norma comunitaria establecía el 9 de mayo de 2018 como la fecha "a más tardar" para que los Estados miembros adop- taran y publicaran las disposicio- nes necesarias para adaptación. A pesar de que el Ministerio de Industria, Comercio y Turismo publicó el borrador del antepro- yecto de Ley sobre Seguridad España no llega llega a tiempo de transponer la Directiva NIS de las Redes y Sistemas de Información en noviembre del año pasado, la norma se encuen- tra en tramitación. De este modo, España se arriesga al estableci- miento de multas por parte de la Comisión Europea debido a este incumplimiento. La Directiva NIS tiene por obje- tivo alcanzar un nivel mínimo de seguridad de las redes y siste- mas de información en todos los países de la UE. Establece requi- sitos para los propios Estados miembros, así como para los operadores de servicios esencia- les y los proveedores de servicios digitales. A grandes rasgos, esta direc- tiva establece la obligación para todos los Estados miembros de adoptar una estrategia nacio- nal de seguridad de las redes y sistemas de información, crear un grupo de cooperación para el intercambio de información, crear una red de equipos de respuesta a incidentes de segu- ridad informática, implantar medi- das de seguridad en operadores de servicios esenciales y pro- veedores de servicios digitales y la designación de autoridades nacionales competentes como punto de contacto único, entre otras medias.