HSES
La seguridad industrial en las empresas de sectores estratégicos
Marco práctico de las habilitaciones HSEM y HSES exigidas por la ANPIC a las empresas españolas de sectores estratégicos, con el procedimiento de acreditación de sistemas y el régimen normativo aplicable.
Pedro Sebastián · CEO ESRM Consulting · Febrero 2020 · 8 min de lectura
Muchas empresas españolas de ámbito estratégico están obligadas a firmar ante la Autoridad Nacional para la Protección de Información Clasificada (ANPIC) un Compromiso de Seguridad, que emite el Centro Nacional de Inteligencia (CNI), y cumplir unos requisitos a través de la Oficina Nacional de Seguridad (ONS). Esta última depende orgánicamente de la ANPIC, al frente de la cual se encuentra el Secretario de Estado director del CNI.
Han de acatarlo de esta manera compañías pertenecientes a industrias como la Defensa, Naval, Aeroespacial o Logística, así como empresas auxiliares, infraestructuras críticas y proveedores o subcontratistas de las anteriores, que sean adjudicatarios de un contrato, programa, proyecto o actividad que implique el acceso a Información Clasificada.
La ONS se creó en 1983 como órgano de trabajo del Secretario de Estado director del CNI para apoyarle en el cumplimiento de todos los cometidos y la normativa relacionados con la protección de Información Clasificada. Las funciones más notorias de la ONS son:
- Conclusión de tratados internacionales para la protección de la Información Clasificada.
- Participación en comités y grupos de trabajo internacionales (UE, ESA, OTAN, etc.).
- Relaciones con autoridades nacionales de seguridad de otros países.
- Expedición de Habilitaciones Personales de Seguridad.
- Expedición de Habilitaciones de Empresa y Establecimiento.
- Acreditación y autorización de los órganos, instalaciones y sistemas que manejan Información Clasificada.
Las empresas u organismos que tengan necesidad de acceder o manejar Información Clasificada deben de cumplir unos requisitos, así como su personal.
Todo este ámbito al que nos referimos se denomina "Seguridad Industrial". Se define como la condición que se alcanza cuando se aplican las medidas y procedimientos necesarios para acceder, manejar o generar Información Clasificada durante la ejecución de un contrato o programa clasificado.
HSEM
Cuando una empresa u organismo tiene la necesidad o desea participar en un proyecto, contrato o programa clasificado que implique el acceso, manejo o custodia de Información Clasificada de grado Confidencial, Reservado, Secreto o equivalente (ámbito OTAN, Unión Europea, Agencia Espacial Europea, etc.), debe disponer con carácter previo de una "Habilitación de Seguridad de Empresa" (HSEM), siguiendo el procedimiento establecido por la ONS.
La posesión de la HSEM reconoce a la empresa u organismo la capacidad y fiabilidad (confiabilidad) de un contratista que posee de dicha habilitación para generar y acceder a Información Clasificada hasta el grado que se le haya concedido, sin que pueda manejarla o almacenarla en sus propias instalaciones o dependencias.
Para que se le conceda una HSEM a una empresa u organismo, deberá reunir unas condiciones generales, como son:
- Tener plena capacidad de obra.
- Acreditar solvencia económica, financiera y técnica o profesional.
- Ser fiable desde el punto de vista de la seguridad.
- Tener establecido un Servicio de Protección de Información Clasificada.
- Que los propietarios, administradores, miembros del consejo de administración y cualquier otra persona que pueda conocer, participar o estar presente en las deliberaciones del órgano ejecutivo del contratista estén en posesión de la "Habilitación Personal de Seguridad" (HPS) correspondiente al grado asignado al contratista.
- A criterio de la ANPIC, las HPS de las personas antes mencionadas podrá ser sustituida por un acta notarial de renuncia al conocimiento de Información Clasificada.
HSES
Si la empresa u organismo tiene la necesidad o requisito de manejar y almacenar (custodia y trazabilidad) Información Clasificada de acuerdo al grado autorizado previamente en aquellas de sus propias instalaciones habilitadas al efecto, será preceptivo disponer de una autorización, denominada "Habilitación de Seguridad de Establecimiento" (HSES), también expedida por la ONS. En este caso, será preceptivo haber obtenido con anterioridad y como paso previo la autorización HSEM.
La HSES se define como el reconocimiento o autorización expresa, mediante certificado escrito, de la capacidad de un determinado local, edificio, oficina, habitación u otra área para que se pueda almacenar o manejar en dicha estancia Información Clasificada en unas condiciones establecidas. De esta manera, se constituye como Zona de Acceso Restringido, configurada como Área Clase I o Área Clase II, que especifica los tipos y grado máximo de clasificación de la Información Clasificada que puede ser almacenada o manejada en la misma.
Un único contratista que disponga de HSEM puede tener HSES para diferentes instalaciones o emplazamientos independientes para el manejo de Información Clasificada.
Dentro de los requisitos a cumplir por las empresas u organismos para obtener la HSES, se encuentra disponer en las instalaciones de la empresa de una Zona de Acceso Restringido. Esto implica adecuar sus instalaciones a las exigencias de seguridad física con criterios de defensa en profundidad establecidas en las normas de la ANPIC. Estas exigencias vendrán determinadas, entre otras muchas, por:
-
Grado de la Información Clasificada que se maneje y custodie.
- En soporte físico.
- En sistemas o soportes CIS.
-
Requisitos de seguridad física.
- Muros y paredes.
- Ventanas y rejas.
- Pasamuros.
- Cajas fuertes.
- Puertas de seguridad, etc.
-
Seguridad electrónica.
- Sistema de seguridad (intrusión, CCTV).
- Comunicaciones.
-
Procedimientos.
- Acceso, manejo y custodia de Información Clasificada.
- Permanencia y visitas.
- Empresas de mantenimiento.
- Vigilancia.
- Conexión con CRA.
Acreditación de sistemas
Dentro de la importancia que tiene para una empresa disponer de una HSES porque necesite manejar y custodiar Información Clasificada en sus instalaciones, esta deberá seguir un proceso minuciosamente de acuerdo a las normas establecidas por la ANPIC.
Un requisito para obtener dicha HSES es tener, como mínimo, una estación de trabajo aislada (ordenador, servidor o similar). Esta estación deberá estar acreditada siguiendo las siguientes fases:
- Inicio del proceso de acreditación.
- Elaboración y aprobación de la documentación de seguridad.
- Implementación del sistema y de su entorno de seguridad.
- Inspección del sistema y de su entorno de seguridad.
- Acreditación.
- Explotación del sistema.
"Se entiende por acreditación la certificación de la capacidad para manejar Información Clasificada hasta un grado determinado."
Se entiende por acreditación la certificación (otorgada a un sistema de información por la autoridad responsable de acreditación) de la capacidad para manejar Información Clasificada hasta un grado determinado, o en unas determinadas condiciones de integridad o disponibilidad, con arreglo a su documento "Concepto de Operación".
Para cumplir con la acreditación, será necesario instalar, poner en marcha y configurar software, programas, parches, antivirus, etc., en el ordenador, así como en los periféricos y dispositivos asociados que se vayan a acreditar, así como sus modificaciones o no conformidades que puedan detectarse en las inspecciones que realizará la entidad acreditadora.
Además, es necesario redactar, cumplimentar y actualizar los documentos "Declaración de Requisitos Específicos de Seguridad", "Concepto de Operación", "Procedimientos Operativos de Seguridad", así como redactar un análisis de riesgos formal, teniendo en cuenta los documentos mencionados.
También habrá que cumplir los requisitos exigidos en materia TEMPEST, con la emisión de la preceptiva certificación ZONING por parte del organismo competente.
La Acreditación de Sistemas de seguridad de las tecnologías de la información y las comunicaciones que manejen Información Clasificada OTAN/UE o de otros Estados con los que España tiene suscrito acuerdos bilaterales es responsabilidad de la ANPIC, mientras que los aspectos técnicos de la acreditación son responsabilidad del Centro Criptológico Nacional, también adscrito al CNI.
Plan de Protección
El Plan de Protección pretende dejar evidencia objetiva de que las medidas de seguridad implantadas dentro de la Zona de Acceso Restringido de la empresa son conforme a las normas que exige la ANPIC. En este documento se definen tanto las medidas de seguridad física, como las de seguridad del personal y de la información, así como los Procedimientos Organizativos de Seguridad, de obligado cumplimiento. Todo ello constituye un entorno de seguridad definido, estudiado y adaptado a la normativa vigente, que permite el manejo o almacenamiento seguro de la Información Clasificada. Así quedarán reflejadas las acciones y actuaciones de protección a realizar a partir del estudio y observación de los posibles riesgos en cuanto a la protección de las materias clasificadas (documentos, informaciones y materiales) nacional, OTAN, UE y/o ESA encomendados al Servicio de Protección de la empresa.
El propósito general del Plan de Protección y los conceptos básicos de actuación son conocer con antelación, mediante dispositivos de disuasión, vigilancia y reacción, los posibles actos de sabotaje, manifestaciones, intentos de robo, transferencias de información, etc., a base de establecer canales de información para neutralizar el acceso y la apropiación indebida de documentos y materiales en sus diferentes entornos de seguridad (global y local) y, por ende, en su Zona de Acceso Restringido.
Consta de los documentos siguientes: Informe de Instalaciones, Procedimientos de Seguridad y Plan de Emergencia.
Legislación
Desde la Ley 9/1968 de 5 de abril, sobre Secretos Oficiales, actualmente en vigor, se ha desarrollado multitud de normativa que aplicar, que va desde el desarrollo de las disposiciones de la Ley de Secretos Oficiales, la Ley de Transparencia, acceso a la Información pública y buen gobierno, la Ley de contratos del sector público en los ámbitos de la defensa y de la seguridad, la Ley y el Reglamento por la que se establecen medidas para la Protección de las Infraestructuras Críticas, hasta las normas de la ANPIC, multitud de Guías y Orientaciones.
Intercambio de información
Para que las empresas y organismos españoles puedan intercambiar Información Clasificada con organismos internacionales, como la Unión Europea, la OTAN, la ESA o la Organización Conjunta de Cooperación en Materia de Armamento (OCCAR, que es una organización intergubernamental europea que facilita y gestiona programas de armamento colaborativos a través de su ciclo de vida entre Bélgica, Francia, Alemania, Italia, España y el Reino Unido) y terceros países (empresas, organismos e instituciones), el gobierno de España tiene firmados acuerdos multilaterales, internacionales y bilaterales.
La ONS tiene por misión fundamental velar por el cumplimiento de la normativa relativa a la protección de la Información Clasificada tanto nacional como aquella que se entrega a la Administración o a las empresas en virtud de tratados o acuerdos internacionales suscritos por España (artículo 4 f de la Ley 11/2002, de 6 de mayo, Reguladora del CNI).