1. LOS ESTÁNDARES, UNA AYUDA A LA HORA DE DAR RESPUESTAS
Uno de los problemas a los que nos enfrentamos a la hora de diseñar la implantación y el despliegue de
medidas de seguridad es, por una parte, estar seguro de “que no estamos matando moscas a
cañonazos” y, por otra, asegurarnos que estamos implantando las medidas de seguridad necesarias para
garantizar que alcanzaremos el nivel de protección óptimo.
Si las medidas de protección que diseñamos e implantamos están por encima del nivel de protección
necesario, estaremos incurriendo en sobrecostes que tienen muy difícil justificación. Por otra parte, si
las medidas de protección que diseñamos e implantamos son insuficientes para mantener el nivel de
protección necesario, estaremos exponiendo a la organización a riesgos que pueden poner en peligro la
continuidad de las operaciones de la organización, e incluso pueden comprometer su propia
supervivencia.
La única ayuda que tenemos a la hora de enfrentarnos a este problema, además de la legislación
vigente, son las normas, los estándares y las buenas prácticas profesionales generalmente aceptadas por
el sector.
Como hemos dicho, una ayuda a la hora de tomar decisiones, puede ser la legislación vigente, como es
el caso de la Orden INT/317/2011, de 1 de febrero, sobre medidas de seguridad privada. Un ejemplo de
aplicación puede ser cuando necesitamos decidir qué características tiene que tener una caja fuerte. Si
se trata de una instalación en la que es obligatorio el cumplimiento de la citada orden que establece
que: “las cajas fuertes han de estar construidas con materiales con grado de seguridad 4 según la Norma
UNE‐EN 1143‐1”, no hay duda ninguna. Si estamos ante una instalación en la que no existe la obligación
de aplicar dicha orden, es una buena decisión utilizarla como referencia a la hora de decidir el grado de
seguridad de la caja fuerte que vamos a instalar.
Pero muchas veces, con las disposiciones legales no es suficiente, nos tendremos que enfrentar a
preguntas a las que no nos proporcionan respuestas ni referencias, como puede ser: ¿qué altura debe
tener la valla de una instalación? En este caso, podemos utilizar como referencia las condiciones que se
establecen para obtener la certificación TAPA FSR (Freight Security Requirements) de la Transported
Asset Protection Association, ya que para obtenerla es necesario tener implantadas en la instalación
ciertas medidas de seguridad, que se valoran individualmente en una escala de 0, 1 y 2, y la suma de la

2. valoración de todas las medidas tiene que superar el umbral establecido. En el caso de la altura del
vallado los criterios de puntuación son:
0. La altura del vallado es inferior a 1,8 metros
1. La altura del vallado es de 1,8 metros o superior
2. La altura del vallado es como mínimo de 2,4 metros o su altura es superior a 1,8 metros y
además tiene instalado un sistema electrónico de alarma
Pero no sólo debemos enfrentarnos a preguntas tan sencillas como qué caja fuerte elijo o qué altura
tiene que tener una valla, sino que a veces nos enfrentamos a decisiones más complejas que tenemos
que justificar. Un caso podría ser la siguiente cuestión: ¿qué medidas de seguridad debo implantar para
proteger una instalación contra un intento de intrusión utilizando un vehículo? Se nos pueden ocurrir
muchas soluciones, pero analizando éstas, ahora la pregunta es: ¿cuál es la más eficaz y eficiente?.
Una ayuda para la toma de estas decisiones pueden ser las disposiciones elaboradas por organismos con
gran experiencia y necesidades de seguridad muy exigentes. En este caso podríamos utilizar la
Regulatory Guide 5.68 de la U.S. Nuclear Regulatory Commission “Protection against malevolent use of
vehicles at nuclear power plants”.
A la hora de diseñar e implantar medidas de protección no sólo debemos proteger a nuestra
organización de amenazas de carácter físico, también deberemos protegerla de las amenazas de
carácter lógico a las que está expuesta, de las ciberamenazas.
Proteger la información de nuestra organización, uno de sus activos más valiosos, es una tarea ardua y
compleja, y en el diseño e implantación de las medidas de protección necesarias nos debemos apoyar
en normas y estándares internacionales como son las de la familia ISO‐27000, junto con publicaciones
de organismos oficiales, tanto nacionales como internacionales como pueden: la OR‐ASIP‐04‐01.03,
“Orientaciones para el Manejo de Información Clasificada con Grado de Difusión Limitada” de la
Autoridad Nacional de Seguridad y la guía publicada por The European Network and Information Security
Agency (ENISA) “Appropriate security measures for smart grid ‐ Guidelines to assess the sophistication of
security measures implementation”.
Sin embargo, el mero hecho del cumplimiento estricto de la legislación no es suficiente. En la mayoría de
los casos lo que establece es una exigencia de mínimos y, por lo tanto, no es suficiente, hay que ir un
paso más adelante e implantar medidas de seguridad que garanticen a nuestra organización un nivel de
seguridad mayor que el mínimo exigido por la legislación vigente.
Nuestra experiencia nos demuestra que el conocimiento y el uso de las normas, los estándares y las
buenas prácticas profesionales generalmente aceptadas por el sector, nos facilitan las toma de
decisiones, apoyando nuestro criterio profesional y permitiéndonos diseñar e implantar las medidas de
seguridad más apropiadas para proteger a todos los activos, tanto tangibles como intangibles, de la
organización y garantizar la continuidad de sus operaciones.
Ricardo Cañizares Sales
Director de Consultoría de EULEN Seguridad