8 de mayo de 2014

La seguridad informática en la nueva Ley de Seguridad Privada


La polémica suscitada en torno a las nuevas labores que podrán realizar los vigilantes privados –competencia exclusiva hasta ahora de las Fuerzas de Seguridad- ha centrado el debate público sobre la nueva Ley de Seguridad Privada. Sin embargo, esta ley, publicada el pasado 5 de abril y que entrará en vigor en junio, tiene también algunas implicaciones relevantes en el área de la seguridad informática, especialmente para los proveedores de servicios.
Según se indica en el preámbulo de la ley, la seguridad de la información y las comunicaciones aparece por primera vez configurada “no como actividad específica de seguridad privada, sino como actividad compatible que podrá ser desarrollada tanto por empresas de seguridad como por las que no lo sean, y que, por su incidencia directa en la seguridad de las entidades públicas y privadas, llevará implícito el sometimiento a ciertas obligaciones por parte de proveedores y usuarios”.
En el artículo 6.6, dedicado a las “Actividades compatibles”, se incluye una de las principales novedades: “alas empresas, sean o no de seguridad privada, que se dediquen a las actividades de seguridad informática, entendida como el conjunto de medidas encaminadas a proteger los sistemas de información a fin de garantizar la confidencialidad, disponibilidad e integridad de la misma o del servicio que aquellos prestan, por su incidencia directa en la seguridad de las entidades públicas y privadas, se les podrán imponer reglamentariamente requisitos específicos para garantizar la calidad de los servicios que presten”.
Aunque aún queda por ver cómo se resolverá esto en el reglamento de desarrollo de la ley que se publicará antes de su entrada en vigor, este artículo ya nos anticipa que la actividad de las empresas que presten servicios de seguridad informática se verá regulada para garantizar la calidad del servicio y la integridad de los activos de información tratados.
Otra novedad que puede tener importantes implicaciones para los prestadores de servicios de consultoría de seguridad aparece en el artículo 10, en el que se prohíbe “el empleo o utilización, en servicios de seguridad privada, de medios o medidas de  seguridad no homologadas cuando sea preceptivo, o de medidas o medios personales, materiales o técnicos de forma tal que atenten contra el derecho al honor, a la intimidad personal o familiar o a la propia imagen o al secreto de las comunicaciones, o cuando incumplan las condiciones o requisitos establecidos en esta ley y en su normativa de desarrollo”.
Entre las medidas de seguridad destinadas a la protección de personas y bienes que se definen en el artículo 52, se incluye la seguridad informática “cuyo objeto es la protección y salvaguarda de la integridad, confidencialidad y disponibilidad de los sistemas de información y comunicación, y de la información en ellos contenida”.
En el capítulo de infracciones, se contempla como infracción muy grave la falta de comunicación, por parte de las empresas de seguridad informática, de las incidencias que se produzcan en los sistemas de los que son responsables, con una multa prevista de entre 30.000 y 600.000 euros  y la extinción de la autorización para seguir prestando los servicios u ocupar cargos de responsabilidad legal en empresas de seguridad privada por un plazo de entre 1 y 2 años.