Seguritecnia 505

Opinión También, debe garantizarse la inaltera- bilidad de los registros en la base de da- tos del aplicativo de gestión y tramitación de alarmas. Para ello, nada mejor que trabajar con aplicativos especializados para CRA que impiden su manipulación por parte del usuario, de forma que, si fuese preciso, el proveedor puede certifi- car ante terceros que los registros son au- ténticos. Así funcionan, por ejemplo, los muy utilizados aplicativos para CRA Ma- nitou de Bold Group o SBN de IBS Iberia. Asimismo, debe asegurarse un alma- cenamiento temporal mínimo de todos los registros. En esto, la norma ayuda a definir ese tiempo mínimo si la regulación legal no define algo distinto. Los registros de clientes y acciones de operadores se mantendrán por un periodo mínimo de dos años (en Grupo On los mantenemos durante cinco) y los datos de las comu- nicaciones externas durante un periodo mínimo de tres meses (en Grupo On los almacenamos por dos años). Trabajar en ‘cloud’ Todos sabemos que la evolución tecno- lógica y la regulación legal no siempre van de la mano. La primera suele ir muy por delante de la segunda y las CRA no son una excepción; muy al contrario, el irregular y anacrónico marco legal con el que trabajamos actualmente agrava la diferencia. Los requisitos más recientes para ejercer la actividad de CRA se legis- laron hace 12 años y quedaron recogidos en la orden INT/314/2011 sobre funciona- miento de las empresas de seguridad. Cuando uno lee sus artículos 5 y 12 sobre los sistemas de seguridad que debe tener, se da cuenta de que todos los requisitos de seguridad legalmente exigidos están dirigidos a una protección física, mientras que para la seguridad ló- gica, y más aún para la ciberseguridad, no se recoge ninguna medida. Es más, se indica que debe existir un centro de control que aloje los sistemas para la recepción y verificación de las alarmas y abunda en medidas físicas de protec- ción de mayor calado. Pero una CRA recibe ciberataques constantes. De hecho, los ataques fí- sicos presenciales son prácticamente inexistentes (solo tengo constancia de uno en casi 40 años de trabajo en el sector), por lo que el sentido común del empresario hará que se proteja frente a estos nuevos riesgos mucho más proba- Medidas previstas para garantizar una correcta, eficaz e ininterrumpida prestación del servicio: – Tramitación de alarmas y señales técnicas. – Criterios para la selección de personal. – Formación inicial y continua de operadores. – Grabación, modificación y extracción de datos informáticos local o remotamente. – Gestión de la documentación en soporte papel. – Tratamiento de la información confidencial. – Verificación periódica del equipamiento interno y actuación ante fallos. – Políticas y actuaciones para la seguirdad interna, física, lógica y ciberseguridad. – Sincronización horaria. – Vinculación entre procesos operativos y administrativos. – Tipo y frecuencia de auditorías internas de control. – Frecuencia y tipo de estadísticas y KPIs de rendimiento operativo (volúmenes de trabajo, disponibilidad técnica...). – Atención a quejas y reclamaciones. – Revisión de incidentes reales. – Revisión periódica de riesgos. – Relación con proveedores esenciales. – Auditorías de conformidad, internas y externas, por organismos acreditados. Medidas previstas para la detección temprana y resolución de incidencias disruptivas: – Planes de actuación ante incidencias de impacto y resolución de incidencias disuptivas. – Plan de contingencia y recuperación ante incidentes accidentales o intencionados de gran impacto. – Plan de emergencia y evacuación. – Entrada de emergencia en la CRA. PROCEDIMIENTOS GENERALES PROCEDIMIENTOS ESPECIALES Cuadro 1. / Enero-Febrero 2024 217