La nueva política de seguridad de la información del Ministerio de Defensa
EDICIÓN
| INFODRON | INFOESPACIAL | MUNDOMILITAR | TV
Firma invitada >

La nueva política de seguridad de la información del Ministerio de Defensa

|

(Infodefensa.com) Por Juan Carlos Hurtado – La normativa reguladora de la seguridad de la información del Ministerio de Defensa tiene su origen en la Ley 9/1968, de 5 de abril, de secretos oficiales, que nació con el espíritu de llenar el vacío legislativo que existía en el Estado español relativo a la protección de los secretos oficiales. El marco conceptual que inauguraba, introduciendo definiciones como confidencialidad de la información y necesidad de conocerla, amén de resultar de aplicación directa al propio departamento era, y sigue siendo, vinculante para la industria del sector, que ha de acomodar su forma de hacer a las exigencias del manejo de una información tan sensible.

El primer desarrollo legislativo del nuevo sistema de protección vio la luz al año siguiente mediante el Decreto 242/1969, de 20 de febrero, el cual, por un lado, reconocía la particularidad de las Fuerzas Armadas y, por otro, facultaba a los departamentos ministeriales involucrados en la Defensa Nacional para la elaboración de normas específicas que permitieran el mejor cumplimiento de sus misiones.

Así, en el seno del Ministerio de Defensa y mediante sendas Órdenes Ministeriales del año 1982, se aprobaron las normas para la protección de la documentación y material clasificado y el manual de seguridad industrial de las Fuerzas Armadas, que organizaba las relaciones entre el Ministerio y las empresas, cuya colaboración cada vez más estrecha aumentaba la necesidad de compartir información clasificada.

Sin embargo, la vertiginosa evolución que ha sufrido la tecnología desde la promulgación de la primera ley de secretos oficiales inevitablemente ha traído consigo nuevas necesidades relativas a la protección de la información. Con este trasfondo, durante los últimos años, se han ido promulgando normas vinculantes al Ministerio, algunas veces por la necesidad de incluir en la legislación española directivas europeas y otras por iniciativa propia. Las más relevantes (entre otras) son:

La Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal. La Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica. La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia (CNI). Orden Ministerial Comunicada 17/2001, de 29 de enero, por la que se aprueba el manual de protección de materias clasificadas del Ministerio de Defensa en poder de las empresas. La Orden Ministerial 81/2001, de 20 de abril, por la que se aprueban las normas de protección de contratos del Ministerio de Defensa. La Orden Ministerial 76/2002, de 18 de abril, por la que se establece la política de seguridad para la protección de la información del Ministerio de Defensa almacenada, procesada o transmitida por sistemas de información y telecomunicaciones y en la que se establece de manera explícita los conceptos de confidencialidad, integridad y disponibilidad.

Este marco normativo tan amplio y variopinto, pero sobre todo complejo, aconsejaba un ejercicio de actualización y unificación, proceso para el que se dio el pistoletazo de salida con la Orden Ministerial 76/2006, de 19 de mayo, por la que se aprueba la política de seguridad de la información del Ministerio de Defensa, y cuyo objetivo primordial es alcanzar una protección adecuada, proporcionada y razonable de la Información del Ministerio de Defensa, mediante la preservación de su confidencialidad, integridad y disponibilidad. Con este planteamiento, la nueva Orden Ministerial estableció las grandes directrices en la materia, pero no descendió a un detalle realmente palpable para los operadores económicos.

Ha sido en este segundo semestre de 2013 cuando se ha visto desarrollada por la Instrucción 52/2013, de 24 de junio, del Secretario de Estado de Defensa, que aprueba las Normas de Seguridad de la Información en los Documentos (SEGINFODOC), y por la Resolución 320/14546/13, de 23 de septiembre, del Director General de Armamento y Material, por la que se aprueban los procedimientos para la implementación de la Instrucción 52/2013.

La Instrucción configura el sistema de protección de la información al máximo detalle, designa los Órganos de Control de la información sensible, establece cómo ha de tratarse la información clasificada, tanto la del propio Ministerio como la que generen los contratistas, fija el procedimiento para realización de Transportes Clasificados, así como las inspecciones de seguridad, etc.

Pero la piedra angular sobre la que gira todo el sistema consiste en la obligación de obtener una serie de acreditaciones para todo aquel licitador que por razón de la adjudicación de un contrato administrativo del Ministerio de Defensa se vea en la necesidad de manejar información clasificada. En cuanto a la responsabilidad de conceder, modificar y revocar las acreditaciones ésta recae en el Director del Centro Nacional de Inteligencia como Autoridad Nacional de Seguridad Delegada.

Las modalidades de acreditación de seguridad a obtener, en función del contrato que se suscriba, son:

HSEM: reconocimiento formal de la capacidad y fiabilidad de un contratista para generar y acceder a Información Clasificada hasta un determinado grado, sin que pueda manejarla o almacenarla en sus propias instalaciones. HSES: reconocimiento formal de la capacidad y fiabilidad de un contratista poseedor de una HSEM para manejar y almacenar Información Clasificada hasta un determinado grado en aquellas de sus propias instalaciones habilitadas al efecto. HPS: Habilitación Personal de Seguridad, individual e intransferible, del personal del contratista, para tener acceso a Información Clasificada, en el ámbito o ámbitos y grado máximo autorizado. SIT: Acreditación de los Sistemas de Información y Telecomunicaciones. Las empresas que tengan HSES y vayan a manejar información clasificada del MINISDEF en los SIT dentro de sus instalaciones deberán tener concedida la correspondiente acreditación de los mismos emitida por la autoridad de acreditación competente.

Una vez fijados los parámetros de acceso a la información, ¿qué consecuencias tienen éstos sobre el sistema de contratación del Sector Público? Pues bien, es la propia Ley de contratos del sector público en los ámbitos de la defensa y de la seguridad la que les da entrada elevando la exigencia de acreditación a la categoría de requisito de Solvencia Técnica y Profesional para formalizar los contratos.

Consecuentemente, desde el punto de vista de la empresa, se han de tener en cuenta varias repercusiones.

La primera consiste en que, de no aportar la acreditación procedente en cada licitación, su oferta se va a ver rechazada en el acto de apertura del sobre de documentación general por no cumplir con los requisitos de solvencia exigibles.

En el acto de firma del contrato, el adjudicatario deberá suscribir una “Comunicación de Contrato Clasificado", en el que se detallen qué partes del mismo son clasificadas y qué partes no están afectadas por la clasificación, dándose por enterado tanto del grado de clasificación del contrato como de su guía de clasificación, con el fin de que pueda aplicar las medidas de protección correspondientes.

Asimismo, si durante el plazo de vigencia de un contrato ya suscrito sus acreditaciones caducasen o, por otro lado, se vieran canceladas o suspendidas por la Autoridad Nacional de Seguridad Delegada, el órgano de contratación debería proceder a la resolución del mismo por falta de solvencia.

En cuanto a la subcontratación, el contratista principal deberá comunicar el grado de protección que afecte al objeto del subcontrato al aspirante a subcontratista, quien deberá firmar, previamente a la contratación con el contratista principal, un Compromiso de Seguridad que garantice el establecimiento de las medidas físicas y organizativas necesarias.

Una vez ejecutado en su totalidad el objeto del contrato, el adjudicatario deberá proceder a la devolución de toda la información clasificada que se encuentre en su poder al mismo órgano del que la obtuvo bajo responsabilidad de que, en caso contrario, la Administración procederá a la cancelación temporal o definitiva de sus acreditaciones de seguridad, sin perjuicio de cualesquiera otras responsabilidades que pudieran derivarse del incumplimiento.

Finalmente, para todas aquellas empresas que tuviesen firmados los ahora derogados Acuerdos de Seguridad, se establece un régimen transitorio por el que se les concede un plazo no superior a seis meses a partir de la entrada en vigor de la Instrucción52/2013 para regularizar su situación de acuerdo con el nuevo sistema y obtener la correspondiente Habilitación de Seguridad de Empresa y, en su caso, de Establecimiento.

Juan Carlos Hurtado es Capitán del Cuerpo de Intendencia del Ejército de Tierra y está destinado en la Dirección General de Asuntos Económicos del Ministerio de Defensa.



Recomendamos