Regulación de seguridad

Estamos cansados ya de hablar del término convergencia cuando nos referimos a la unificación, como un todo, de los diferentes ámbitos de la seguridad: física, lógica, etc. Por eso, en este post queremos hablar de divergencia, haciendo referencia a las cosas que separan los ámbitos particulares de seguridad, en especial los de seguridad lógica y seguridad física. Y una de las principales diferencias entre la seguridad física y la seguridad lógica, bajo mi punto de vista, es la regulación que tiene la primera, para lo bueno y para lo malo, y de la que adolece la segunda, de nuevo para lo bueno y para lo malo.

El sector de la seguridad privada está completamente regulado (perdón, muy regulado, no sé si completamente o casi…); los perfiles de seguridad y sus obligaciones y atribuciones se identifican claramente, así como los requisitos para acceder a dichos perfiles y poder ejercer las tareas propias de cada uno de ellos: Vigilante de Seguridad, Director de Seguridad, Jefe de Seguridad… Por contra, cuando hablamos de seguridad lógica, no existe ningún tipo de regulación: cualquiera puede hacer una auditoría, configurar un cortafuegos o gestionar un incidente, por poner unos ejemplos. Esto no es per se ni bueno ni malo ni todo lo contrario, pero introduce una condición curiosa y es el criterio particular y subjetivo que en cada caso aplicamos para decir si algo está bien o mal o para decidir si una persona o una empresa está capacitada para realizar un trabajo determinado.

Podemos discutir (y de hecho en este blog ya lo hemos hecho en más de una ocasión) de los perfiles existentes en la LSP, sus requisitos de acceso, sus atribuciones, su formación y mil cosas más; pero como hemos dicho, están perfectamente definidos, con todas las mejoras que podamos introducir sobre ellos. Podemos hablar largo y tendido de la formación, escasa en muchos casos, para obtener el TIP de Vigilante, Jefe o Director de Seguridad, sobre todo de las deficiencias que presenta, pero no podemos hablar de la formación, habilitación o lo que sea para gestionar un incidente de seguridad lógica (ojo, hablo de formación reglada, no de asociaciones, academias, certificaciones o demás). Y no podemos porque, obviamente, no existe: en ningún sitio están recogidos de forma oficial los contenidos mínimos para obtener la “habilitación” de auditor de seguridad lógica, incident handler o “director de seguridad de la información”.

Ojo, no sólo hablamos de regulación “legislativa”, sino también de normas; en seguridad física existen normas UNE o ISO para casi todo: armeros, cajas fuertes, CRA… y además muchas de ellas son de obligado cumplimiento incluso por Ley. Por contra, en seguridad de la información tenemos algunas normas puntuales, ninguna de ellas de obligado cumplimiento (en términos generales y hablando de normas UNE/ISO) y que en la mayor parte de casos no dan más que pinceladas de lo que debería ser, no de lo que debe ser: dicho de otra forma, una norma de aplicación en seguridad física marca casi siempre al detalle, por ejemplo el nivel de resistencia de una caja fuerte para que cumpla con el estándar hasta un grado determinado, mientras que la normativa de seguridad de la información es más del tipo “debemos proteger las redes”. Ya, ¿cómo? :)

Ahora la pregunta del millón: ¿sería positivo que el sector de la seguridad de la información o de la seguridad tecnológica estuviera tan regulado como el de la seguridad privada? Imagino que habrá opiniones para todos los gustos, y que esa regulación traería cosas buenas y malas. Creo -opinión particular para discutir- que una cosa negativa de la regulación excesiva es que deja poco margen a la imaginación o, incluso, a la mejora (esto se hace así porque lo dice una Ley y de ahí no te puedes salir) y eso, a la larga, convertiría esta seguridad en algo bastante estático, todo lo contrario a lo que debe ser la seguridad y más la que tiene una componente tecnológica muy fuerte. Por contra, con la regulación del sector se evitaría cierto intrusismo, al menos a priori: para abordar un proyecto se deberían cumplir unos requisitos determinados, y el que no los cumpla “no juega” (luego, a partir de ahí, ya veríamos cómo los cumple cada uno, qué requisitos son, si son mejores o peores, etc.). No cualquiera que pase por la calle podría hacer una auditoría, por poner un ejemplo, igual que no cualquiera puede montarse una CRA: hay que cumplir con una legislación estricta para empezar a hablar. Ah, y no entro al tema de las atribuciones profesionales de cada uno, que esa es otra guerra distinta (aunque también da juego, ya hablaremos ya ;).

En fin, que opiniones hay para todos los gustos… por cierto, ¿cuál es la vuestra? Seguiremos hablando de otros aspectos de la “divergencia” entre seguridad física y lógica o, en general, entre “seguridades”. Eso sí, sin olvidar que todos, se supone, vamos en el mismo barco…¿verdad?