Pedro Sebastián Hidalgo . Consultor Internacional de Seguridad. (DSE, MIEyAE) CEO ESRM Consulting
Muchas de las empresas españolas del ámbito estratégico en la industria de Defensa, Naval, Aeroespacial, Industrial, Logística, empresas Auxiliares, Infraestructuras Críticas y proveedores o subcontratistas de las anteriores que sean adjudicatarios de un Contrato, Programa, Proyecto o Actividad que implique el acceso a Información Clasificada (IC), están obligadas a firmar ante la Autoridad Nacional para la Protección de Información Clasificada (ANPIC), de un Compromiso de Seguridad que emite el Centro Nacional de Inteligencia (CNI), cumpliendo unos requisitos a través de la Oficina Nacional de Seguridad (ONS), que depende orgánicamente de dicha ANPIC. Al frente de la ANPIC está el Secretario de Estado Director del CNI.
La ONS se creó en el año 1983, dentro del CNI como órgano de trabajo de Secretario de Estado Director del CNI para apoyarle en el cumplimiento de todos los cometidos y normativa relacionados con la protección de Información Clasificada.
Funciones más notorias de la ONS:
- Conclusión de tratados intenacionales para la protección de la información clasificada.
- Participación en comités y grupos de trabajo internacionales (UE, ESA, OTAN, etc.).
- Relaciones con Autoridades Nacionales de Seguridad de otros países.
- Expedición de Habilitaciones Personales de Seguridad (HPS).
- Expedición de Habilitaciones de Empresa y Establecimiento (HSEM y HSES).
- Acreditación y autorización de los órganos, instalaciones y sistemas que manejan información clasificada.
Las empresas u organismos que tengan necesidad de acceder o manejar IC, deben de cumplir unos requisitos, así como su personal.
Todo este ámbito al que nos referimos, se denomina “Seguridad Industrial” y se define como la condición que se alcanza cuando se aplican las medidas y procedimientos necesarios para acceder, manejar o generar IC durante la ejecución de un contrato o programa clasificado.
Cuando una empresa u organismo tiene la necesidad o desee participar en un Proyecto, Contrato o Programa clasificado que implique el acceso, manejo o custodia de IC de Grado Confidencial, Reservado, Secreto o equivalente ( ámbito OTAN, UE[1], ESA[2], etc.), deberá disponer con carácter previo a dicho acceso, de una Habilitación de Seguridad de Empresa (HSEM), siguiendo el procedimiento establecido por la Oficina Nacional de Seguridad.
La concesión de la HSEM, reconoce a la empresa u organismo, la capacidad y fiabilidad (confiabilidad) de un contratista que posee de dicha HSEM para generar y acceder a IC hasta el Grado que se le haya concedido, sin que pueda manejarla o almacenarla en sus propias instalaciones o dependencias.
Para que a una empresa o organismo se le conceda una HSEM, deberá reunir unas condiciones generales como:
- Tener plena capacidad de obra.
- Acreditar solvencia económica, financiera y técnica o profesional.
- Ser fiable desde el punto de vista de la seguridad.
- Tener establecido un Servicio de Protección de Información Clasificada.
- Que los propietarios, administradores, los miembros del consejo de administración y cualquier otra persona que pueda conocer, participar o están presente en las deliberaciones del órgano ejecutivo del Contratista estén en posesión de HPS correspondiente al grado asignado al contratista.
- A criterio de la ANPIC, las HPS de las personas antes mencionadas podrá ser sustituida por un acta notarial de renuncia al conocimiento de Información Clasificada.
Si la empresa u organismo tiene la necesidad o requisito de manejar y almacenar (custodia y trazabilidad) Información Clasificada de acuerdo al Grado autorizado previamente en aquellas de sus propias instalaciones habilitadas al efecto; será preceptivo disponer de una autorización, denominada “Habilitación de Seguridad de Establecimiento” (HSES), también expedida por la ONS. En este caso, será preceptivo haber obtenido con anterioridad y como paso previo la autorización HSEM.
La HSES se define, como el Reconocimiento o autorización expresa, mediante certificado escrito, de la capacidad de un determinado local, edificio, oficina, habitación u otra área para que en el mismo se pueda almacenar o manejar Información clasificada, en unas condiciones establecidas, constituyéndose como Zona de Acceso Restringido configurada como Área Clase I ó Área Clase II, y que especifica los tipos y grado máximo de clasificación de la IC que puede ser almacenada o manejada en la misma.
Un único contratista que disponga de HSEM, se le puede conceder HSES para diferentes instalaciones o emplazamientos independientes para el manejo de IC.
Dentro de los requisitos a cumplir por las empresas u organismos para obtener la mencionada HSES, será la de disponer en las instalaciones de la empresa de una Zona de Acceso Restringido (ZAR) y esto iimplica adecuar sus instalaciones de acuerdo con las exigencias de seguridad física con criterios de defensa en profundidad establecidas en las Normas de la ANPIC. Estas exigencias, vendrán determinadas entre otras muchas por:
- Grado de la IC que se maneje y custodie.
- En soporte físico
- En sistemas o soportes CIS
- Requisitos de seguridad física
- Muros y paredes
- Ventanas y rejas.
- Pasa muros
- Cajas fuertes.
- Puertas de seguridad, etc.
- Seguridad electrónica.
- Sistema de seguridad.
- Intrusión
- CCTV
- Comunicaciones
- Sistema de seguridad.
- Procedimientos.
- Acceso, manejo y custodia de IC
- Permanencia y Visitas
- Empresas de mantenimiento
- Vigilancia
- Conexión con CRA
Acreditación de Sistemas
Dentro de la importancia que tiene para una empresa, disponer de una HSES que tenga necesidad de manejar y por ende custodiar IC en sus instalaciones, deberá seguir un proceso de manera minuciosa de acuerdo a las Normas establecidas por la ANPIC y es un requisito para obtener dicha HSES; tener como mínimo, una estación de trabajo aislada (Ordenador, Servidor o similar).
Esta estación deberá estar Acreditada siguiendo las Fases siguientes:
- Inicio del proceso de Acreditación.
- Elaboración y aprobación de la documentación de seguridad.
- Implementación del Sistema y de su entorno de seguridad
- Inspección del Sistema y de su entorno de seguridad.
- Acreditación.
- Explotación del Sistema.
Se entiende por Acreditación, la certificación (otorgada a un Sistema de Información por la Autoridad responsable de Acreditación) de la capacidad para manejar IC hasta un grado determinado, o en unas determinadas condiciones de integridad o disponibilidad, con arreglo a su Concepto de Operación (CO).
Para cumplir con la Acreditación, habrá que realizar la instalación, puesta en marcha y configuración del Software, Programas, Parches, Antivirus, etc. en el Ordenador, Periféricos y Dispositivos asociados a Acreditar, así como sus modificaciones o No Conformidades que puedan ser detectadas en las Inspecciones que realizará la entidad Acreditadora.
Además, Redactar, Cumplimentar y Actualizar el documento Declaración de Requisitos Específicos de Seguridad (DRES), Concepto de Operación (CO), Procedimientos Operativos de Seguridad (POS), así como Redactar Análisis de Riesgos formal, teniendo la cuenta los documentos mencionados.
También habrá que cumplir con los requisitos exigidos en materia Tempest, con la emisión de la preceptiva certificación ZONING por parte del organismo competente.
La acreditación de sistemas de Seguridad de las Tecnologías de la Información y Comunicaciones que manejen información clasificada OTAN/UE o de otros Estados con los que España tiene suscrito acuerdos bilaterales es responsabilidad de la Autoridad Nacional para la Protección de Información Clasificada, mientras que los aspectos técnicos de la acreditación es responsabilidad del Centro Criptológico Nacional (CCN), también adscrito al CNI.
Plan de Protección
El objeto del Plan de Protección, pretende dejar evidencia objetiva de que las medidas de seguridad implantadas dentro de la Zona de Acceso Restringido de la empresa son conforme a las Normas que exige la ANPIC.
Se definen, tanto las medidas de seguridad física, como de seguridad en el personal y de la información, junto con los procedimientos organizativos de seguridad, de obligado cumplimiento, constituyen un entorno de seguridad definido, estudiado y adaptado a la normativa vigente, que permita el manejo o almacenamiento seguro de la IC; donde quedarán reflejadas las acciones y actuaciones de protección a realizar a partir del estudio y observación de los posibles Riesgos en cuanto a la Protección de las Materias Clasificadas (documentos, informaciones y materiales) NACIONAL/OTAN/UE/ESA encomendados al Servicio de Protección de la empresa.
El propósito general del Plan y los conceptos básicos de actuación son los de conocer con antelación, mediante dispositivos de disuasión, vigilancia y reacción, los posibles actos de sabotaje, manifestaciones, intentos de robo, transferencias de información, etc., a base de establecer canales de información para en particular neutralizar el acceso y la apropiación indebida de documentos y materiales en sus diferentes entornos de Seguridad existentes[1] y por ende en su ZAR.
Consta de los documentos siguientes:
- Informe de Instalaciones
- Procedimiento se Seguridad
- Plan de Emergencia
Legislación
Desde la ley 9/1968 de 5 de abril, sobre Secretos Oficiales actualmente en vigor; se han desarrollado multitud de normativa que aplicar y que van desde el desarrollo de las disposiciones de la ley de Secretos Oficiales; Ley de Transparencia, acceso a la Información pública y buen gobierno; Ley de contratos del sector público en los ámbitos de la defensa y de la seguridad; Ley y Reglamento por la que se establecen medidas para la protección de las Infraestructuras Críticas; para finalizar en las Normas de la Autoridad Nacional para la Protección de la Información Clasificada (ANPIC); multitud de Guías y Orientaciones.
Las Normas de la ANPIC se desarrollan en las siguientes:
Intercambio de Información Clasificada
Para que las empresas y organismos españoles puedan intercambiar Información Clasificada con organismos internacionales; como la Unión Europea (UE), Organización del Tratado del Atlántico Norte (OTAN), Agencia Espacial Europea (ESA), Organización Conjunta de Cooperación en Materia de Armamento (OCCAR)[2] y terceros países (empresas, organismos e instituciones), el gobierno de España tiene firmados acuerdos Multilaterales/Acuerdos Internacionales y Bilaterales.
La ONS tiene por misión fundamental la de velar por el cumplimiento de la normativa relativa a la protección de la IC tanto nacional como aquella que es entregada a la Administración o a las empresas en virtud de Tratados o Acuerdos internacionales suscritos por España (artículo 4 f de la Ley 11/2002, de 6 de mayo, Reguladora del CNI).
[1] Unión Europea.
[2] Agencia Espacial Europea. (por sus siglas inglesas European Space Agency).
[3] Entorno Global Seguridad y Entorno Local de Seguridad.
[4] Es una organización intergubernamental europea que facilita y gestiona programas de armamento colaborativos a través de su ciclo de vida entre Bélgica, Francia, Alemania, Italia, España y el Reino Unido.