Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pedro Sebastian Compressed
Pedro Sebastian Compressed
M
uchas empresas españolas Las empresas u organismos que ten- previo de una “Habilitación de Seguri-
de ámbito estratégico es- gan necesidad de acceder o manejar In- dad de Empresa” (HSEM), siguiendo el
tán obligadas a firmar ante formación Clasificada deben de cumplir procedimiento establecido por la ONS.
la Autoridad Nacional para la Protec- unos requisitos, así como su personal. La posesión de la HSEM reconoce a
ción de Información Clasificada (AN- Todo este ámbito al que nos referi- la empresa u organismo la capacidad y
PIC) un Compromiso de Seguridad, que mos se denomina “Seguridad Indus- fiabilidad (confiabilidad) de un contra-
emite el Centro Nacional de Inteligen- trial”. Se define como la condición que tista que posee de dicha habilitación
cia (CNI), y cumplir unos requisitos a tra- se alcanza cuando se aplican las medi- para generar y acceder a Información
vés de la Oficina Nacional de Seguridad das y procedimientos necesarios para Clasificada hasta el grado que se le haya
(ONS). Esta última depende orgánica- acceder, manejar o generar Información concedido, sin que pueda manejarla o
mente de la ANPIC, al frente de la cual Clasificada durante la ejecución de un almacenarla en sus propias instalacio-
se encuentra el Secretario de Estado di- contrato o programa clasificado. nes o dependencias.
rector del CNI. Para que se le conceda una HSEM a
Han de acatarlo de esta manera com- HSEM una empresa u organismo, deberá reu-
pañías pertenecientes a industrias Cuando una empresa u organismo nir unas condiciones generales, como
como la Defensa, Naval, Aeroespacial o tiene la necesidad o desea participar son:
Logística, así como empresas auxiliares, en un proyecto, contrato o programa Tener plena capacidad de obra.
infraestructuras críticas y proveedores clasificado que implique el acceso, ma- Acreditar solvencia económica, finan-
o subcontratistas de las anteriores, que nejo o custodia de Información Clasifi- ciera y técnica o profesional.
sean adjudicatarios de un contrato, pro- cada de grado Confidencial, Reservado, Ser fiable desde el punto de vista de
grama, proyecto o actividad que impli- Secreto o equivalente (ámbito OTAN, la seguridad.
que el acceso a Información Clasificada. Unión Europea, Agencia Espacial Euro- Tener establecido un Servicio de Pro-
La ONS se creó en 1983 como órgano pea, etc.), debe disponer con carácter tección de Información Clasificada.
de trabajo del Secretario de Estado di-
rector del CNI para apoyarle en el cum-
plimiento de todos los cometidos y la
normativa relacionados con la protec-
ción de Información Clasificada. Las
funciones más notorias de la ONS son:
Conclusión de tratados internaciona-
les para la protección de la Informa-
ción Clasificada.
Participación en comités y grupos
de trabajo internacionales (UE, ESA,
OTAN, etc.).
Relaciones con autoridades naciona-
les de seguridad de otros países.
Expedición de Habilitaciones Perso-
nales de Seguridad.
Expedición de Habilitaciones de Em-
presa y Establecimiento.
Acreditación y autorización de los ór-
ganos, instalaciones y sistemas que
manejan Información Clasificada.
Acreditación de sistemas
Dentro de la importancia que tiene
para una empresa disponer de una
HSES porque necesite manejar y custo-
diar Información Clasificada en sus ins-
talaciones, esta deberá seguir un pro-
ceso minuciosamente de acuerdo a las
normas establecidas por la ANPIC.
Un requisito para obtener dicha HSES
es tener, como mínimo, una estación de
trabajo aislada (ordenador, servidor o si- Centro Criptológico Nacional, también sabotaje, manifestaciones, intentos de
milar). Esta estación deberá estar acredi- adscrito al CNI. robo, transferencias de información, etc.,
tada siguiendo las siguientes fases: a base de establecer canales de informa-
1. Inicio del proceso de acreditación. Plan de Protección ción para neutralizar el acceso y la apro-
2. Elaboración y aprobación de la docu- El Plan de Protección pretende dejar piación indebida de documentos y ma-
mentación de seguridad. evidencia objetiva de que las medidas teriales en sus diferentes entornos de se-
3. Implementación del sistema y de su de seguridad implantadas dentro de la guridad (global y local) y, por ende, en
entorno de seguridad Zona de Acceso Restringido de la em- su Zona de Acceso Restringido.
4. Inspección del sistema y de su en- presa son conforme a las normas que Consta de los documentos siguientes:
torno de seguridad. exige la ANPIC. En este documento se Informe de Instalaciones, Procedimien-
5. Acreditación. definen tanto las medidas de seguridad tos de Seguridad y Plan de Emergencia.
6. Explotación del sistema. física, como las de seguridad del per-
sonal y de la información, así como los Legislación
Se entiende por acreditación la cer- Procedimientos Organizativos de Segu- Desde la Ley 9/1968 de 5 de abril, sobre
tificación (otorgada a un sistema de in- ridad, de obligado cumplimiento. Todo Secretos Oficiales, actualmente en vigor,
formación por la autoridad responsable ello constituye un entorno de seguri- se ha desarrollado multitud de norma-
de acreditación) de la capacidad para dad definido, estudiado y adaptado a la tiva que aplicar, que va desde el desarro-
manejar Información Clasificada hasta normativa vigente, que permite el ma- llo de las disposiciones de la Ley de Se-
un grado determinado, o en unas de- nejo o almacenamiento seguro de la In- cretos Oficiales, la Ley de Transparencia,
terminadas condiciones de integridad formación Clasificada. Así quedarán re- acceso a la Información pública y buen
o disponibilidad, con arreglo a su docu- flejadas las acciones y actuaciones de gobierno, la Ley de contratos del sector
mento “Concepto de Operación”. protección a realizar a partir del estudio público en los ámbitos de la defensa y
Para cumplir con la acreditación, será y observación de los posibles riesgos de la seguridad, la Ley y el Reglamento
necesario instalar, poner en marcha y en cuanto a la protección de las mate- por la que se establecen medidas para
configurar software, programas, par- rias clasificadas (documentos, informa- la Protección de las Infraestructuras Críti-
ches, antivirus, etc., en el ordenador, así ciones y materiales) nacional, OTAN, UE cas, hasta las normas de la ANPIC, multi-
como en los periféricos y dispositivos y/o ESA encomendados al Servicio de tud de Guías y Orientaciones.
asociados que se vayan a acreditar, así Protección de la empresa. Las normas de la ANPIC son las que
como sus modificaciones o no confor- El propósito general del Plan de Pro- aparecen en la imagen de la pirámide.
midades que puedan detectarse en las tección y los conceptos básicos de ac-
inspecciones que realizará la entidad tuación son conocer con antelación, me- Intercambio de información
acreditadora. diante dispositivos de disuasión, vigi- Para que las empresas y organismos
Además, es necesario redactar, cum- lancia y reacción, los posibles actos de españoles puedan intercambiar Infor-
plimentar y actualizar los documen-
tos “Declaración de Requisitos Específi-
cos de Seguridad”, “Concepto de Ope-
ración”, “Procedimientos Operativos de
Seguridad”, así como redactar un análi-
sis de riesgos formal, teniendo la cuenta
los documentos mencionados.
También habrá que cumplir los requi-
sitos exigidos en materia Tempest, con
la emisión de la preceptiva certificación
ZONING por parte del organismo com-
petente.
La Acreditación de Sistemas de se-
guridad de las tecnologías de la infor-
mación y las comunicaciones que ma-
nejen Información Clasificada OTAN/
UE o de otros Estados con los que Es-
paña tiene suscrito acuerdos bilate-
rales es responsabilidad de la ANPIC,
mientras que los aspectos técnicos de
la acreditación son responsabilidad del
www.uab.cat/prevencion-seguridad-integral