Protección de la información en el programa marco de la UE “Horizonte Europa”

Resumen (abstract): Actualmente el acceso a fondos europeos para la financiación de proyectos es uno de los objetivos más perseguidos y a la vez más complejos para todo tipo de organizaciones, debido entre otros, a las dificultades que entraña el conocimiento y la aplicación de la normativa reguladora de condiciones y requisitos que, los aspirantes, deben reunir.

El presente estudio se articula como una herramienta práctica que facilite el acceso a dichos fondos, aproximando mis conocimientos y experiencia en la función de Compliance, al concepto de “seguridad en la información”, para lo cual he tomado como referencia la normativa que regula tal cuestión en el Programa Horizonte Europa.

A lo largo del presente artículo, se hace un análisis de cuestiones normativas de interés y de cómo éstas afectan al Compliance de las organizaciones, dedicando un epígrafe específico al derecho comparado (UE vs España) en lo que se refiere a ciberseguridad, para finalmente concluir con una propuesta de buenas prácticas y recomendaciones específicas de la función de Compliance, en este plano.

Palabras clave: fondos europeos, información clasificada, seguridad, ciberseguridad, buenas prácticas.

AUTOR – Israel Galván Fernández

________________________________________________________________

 ÍNDICE:

• Introducción
• Análisis de la guía para la clasificación de la información en proyectos del Programa Marco de Investigación e Innovación “Horizonte Europa”

1. El porqué de la guía
2. Cómo aplicarla
3. La guía: una herramienta útil de Compliance

• Análisis de la Decisión (UE, Euratom) 2015/444 de la Comisión de 13 de marzo de 2015, sobre medidas de seguridad de la información clasificada UE: seguridad industrial

1. Introducción
2. Análisis-I: aspectos generales
3. Análisis-II: la seguridad industrial
4. Función de Compliance y objetivos

• Acercamiento a la perspectiva Española en Ciberseguridad, y su encaje con los objetivos de Compliance
• Buenas prácticas y recomendaciones
• Decálogo final

Protección de la información en el programa marco de la UE “Horizonte Europa”

________________________________________________________________

Introducción:

El porqué de este artículo se fundamenta en el hecho de que actualmente, todo lo relacionado con proyectos europeos, o mejor dicho proyectos financiados con fondos europeos, está en auge, ya que numerosas entidades han visto en ellos una gran oportunidad de progreso y apertura a la internacionalización de sus actividades, siendo la función de Compliance una de las llaves que abren estas puertas cuando las reglas de juego son puestas sobre la mesa. El acceso a dichos programas conlleva asumir una serie de compromisos que no siempre son conocidos y que, de alguna manera, pueden suponer un gran reto en el camino de los interesados, ya que su entendimiento y puesta en práctica suele resultar bastante compleja. A pesar de que este estudio se focalice en el programa Horizonte Europa, muchos de los puntos que voy a exponer son extrapolables a otros programas de financiación como, por ejemplo, el programa H2020 u otros equivalentes.

Centrándonos en el área competencial de la función de Compliance, tal y como se indica en la “Guía sobre el Programa Horizonte Europa” (en adelante Programa HE) (European Commission, 2022)¹ “para todas las actividades financiadas por la UE, la dimensión ética” (en el amplio sentido de la palabra) “es una parte integral de la investigación desde el comienzo hasta el final, y el cumplimiento ético es visto como esencial para conseguir realmente la excelencia investigadora”. Bajo esa perspectiva, se contempla como uno de los riesgos inherentes a la actividad investigadora de los proyectos HE, el “mal uso de los resultados”, más concretamente, su canalización hacía “actividades criminales, terroristas o incluso contra infraestructuras críticas”.

La propia Comisión Europea (CE en adelante) decidió publicar a través de su Dirección General de Investigación e Innovación, una guía específica (European Commission, 2021)² “sobre el posible mal uso de la investigación”, en la que se diferencian los casos que implican un riesgo para la seguridad de aquellos en los que el riesgo real tiene más bien connotaciones éticas stricto sensu (sirvan de ejemplo cuestiones relacionadas con la salud, inteligencia artificial o daños medioambientales). En los siguientes epígrafes, me voy a centrar en el riesgo de seguridad y el rol que la función de Compliance tiene al respecto, ya que el estudio del incumplimiento puramente ético merece su propia publicación.

A la hora de afrontar estas cuestiones, una de las primeras preguntas que suelen venir a la mente es la siguiente: ¿qué tipo de medidas se pueden tomar por parte de las organizaciones para gestionar ese riesgo al que hemos hecho referencia? La respuesta adecuada la encontraremos, entre otras, en las recomendaciones que las propias  instituciones europeas nos dan al respecto, como por ejemplo: (European Commission, 2022)³ “limitar el nivel de diseminación de la información, clasificar la misma en función del riesgo identificado,  nombrar un Project Security Officer y/o crear un Security Advisory Board”.

Puesto que el examen de todas estas medidas en profundidad implicaría elaborar un estudio mucho más amplio de lo que me permite el presente artículo, voy a ceñirme al análisis de “la clasificación y la seguridad en el manejo y tratamiento de la información, dentro de proyectos de investigación e innovación europeos”, para lo cual voy a tomar como referencia la normativa reguladora existente a nivel europeo (más concretamente la Guía para la clasificación de la información en proyectos Horizonte Europa y la Decisión (UE, Euratom) 2015/444 de la Comisión de 13 de marzo de 2015 sobre medidas de seguridad de la información clasificada UE, haciendo especial hincapié en lo que la misma plantea a nivel de seguridad industrial), a continuación dedicaré un apartado al riesgo añadido que para estas cuestiones representa el mundo digital repasando el planteamiento actual que hay sobre Ciberseguridad en España, y finalmente recopilaré algunos casos de buenas prácticas relacionados con todo lo anterior.

Como último apunte, me gustaría aclarar que mi intención con este artículo es crear una herramienta práctica que permita aplicar adecuadamente las normas e ideas mencionadas. En mi opinión, esta temática es una materia apasionante y de absoluta relevancia pero que, lamentablemente, la experiencia me dice que suele ser bastante desconocida. En cuanto a la utilidad que esta materia plantea para la función de Compliance, no se debe olvidar que la clasificación de la información en sí, es una eficaz herramienta a la hora de preservar los intereses de propios de cualquier ente, y que el manejo de datos es una de las actividades a las que más tiempo se dedica en la mayoría de las organizaciones, lo que significa que su valor e importancia está por encima del de otras muchas actividades, motivo por el que, ser capaces de garantizar la seguridad de ese bien llamado “información”, resulta sinónimo de beneficio para toda organización.

Análisis de la guía para la clasificación de la información en proyectos del Programa Marco de Investigación e Innovación “Horizonte Europa”

a) El porqué de la guía

En primer lugar, si queremos buscar el origen de este documento (European Commission, 2021)⁴ y la razón de ser del mismo, hay que acudir a las políticas del Programa HE (European Commission, 2022)⁵, por ser éstas las disposiciones en las que se especifica que “las reglas de seguridad y en particular, las reglas de protección contra la revelación no autorizada de información clasificada” “deberán aplicarse”  en  los  proyectos  financiados bajo el marco HE, haciendo  especial hincapié en la Decisión (UE, Euratom) 2015/444 de la Comisión de 13 de marzo de 2015 sobre medidas de seguridad de la información clasificada UE y sus normas de implementación.

Con la finalidad de hacer una “evaluación y conducción” adecuada de lo que la propia CE denomina “security dimension”, se especifica en las citadas políticas  que, será necesario aplicar el procedimiento llamado “Security Appraisal Procedure” o “SAP”, el cual consta de dos fases: en primer lugar una autoevaluación de seguridad, y en segundo lugar lo que se conoce como “Security Review”, fase que será llevada a cabo  por personal de la propia UE, y que a su vez se compone de tres subfases denominadas “Pre-screening”, “Screening” y “Scrutiniy”, siendo precisamente durante esa última subfase cuando se tratará de evaluar “si las cuestiones de seguridad han sido adecuadamente dirigidas por los aplicantes” o no,  intentando controlar el “potencial uso malintencionado de los resultados de los proyectos” dentro del Programa HE.

Para poner en práctica todas estas políticas, la Comisión Europea recomienda aplicar las pautas que vienen recogidas en la guía (European Commission, 2021)⁶ “Classification of information in Horizon Europe projects”. Este documento recoge una breve compilación de criterios sobre “cuándo y durante cuánto tiempo” debe la información ser clasificada, además en él se definen los diferentes niveles de clasificación de la información (por supuesto, haciendo referencia a otros documentos que más tarde repasaré), se hace una pequeña alusión a los  indicadores TRL (Technology readiness level) y la importancia que éstos tienen a la hora de clasificar la información producida, y finalmente se desgrana por materias el “cómo” clasificar  dicha información.

b) Cómo aplicarla

Desde un enfoque práctico, lo primero que recomiendo es acudir al apartado en el que se aclara “cómo clasificar” la información “en función de la materia tratada”, ya que será este apartado el que nos permita comprobar si la información del proyecto está o no incluida en una de las materias que se propone clasificar. Por todo ello, voy a empezar con ese punto.

Hay dos parámetros (European Commission, 2021)⁷ que deberemos tener en cuenta a la hora de clasificar información; por un lado, como ya he dicho, habrá que atender a la materia del proyecto HE en el que estemos envueltos. La guía se centra en ocho bloques de materias clasificables: “explosivos, NRBQ, infraestructuras críticas y suministros de servicios esenciales, seguridad en fronteras, terrorismo, crimen organizado, seguridad digital e investigación espacial”. Una vez examinada la materia en sí, el otro parámetro a tener en cuenta será el “tipo de investigación o resultados y si están siendo hechos en ambientes  simulados  o  en  el  mundo  real”,  especialmente  cuando  se  traten cuestiones como “la evaluación de amenazas y  vulnerabilidades o capacidades” dentro de cada una de las materias mencionadas. En todo caso, tal y como se indica en la guía, no se trata de un númerus clausus, sino de una lista abierta con las indicaciones más importantes a tener en cuenta.

Antes de continuar, y a fin de asentar adecuadamente las ideas vistas hasta ahora, voy a poner un ejemplo a modo de caso práctico. Imaginemos un consorcio, dentro de un proyecto, en el que se está investigando cómo mejorar el uso de explosivos en microvoladuras de rescate como las empleadas en el desafortunado caso de Totalán en 2019 (Diario La Razón, 2019)⁸. Supongamos que en ese consorcio, participan una empresa fabricante de explosivos y un laboratorio especializado en química de sustancias energéticas, y entre ellos deben intercambiar fórmulas, recetas y especificaciones para la fabricación y posible mejora de las características técnicas de los explosivos estudiados.

Si aplicamos las recomendaciones de la guía, todo lo que concierne a “especificaciones para la manufactura de explosivos debe ser clasificado como CONFIDENTIEL UE/EU CONFIDENTIAL”, y en el caso de que se acceda a recetas de los denominados HME (explosivos de fabricación casera) que “hayan sido validadas o evaluadas experimentalmente”, la información de las mismas “deberá ser clasificadas como SECRET UE/EU SECRET”.

La siguiente pregunta que surge como consecuencia natural de lo anterior, es esta: ¿qué significa y qué conlleva que una información sea clasificada con un nivel u otro? Si seguimos con el ejemplo anteriormente formulado, y aplicamos el punto “2.Classification levels” de la guía, se considerará información que debe ser clasificada como CONFIDENTIEL UE/EU CONFIDENTIAL, aquella  que pueda suponer un riesgo de “perjuicio a los intereses esenciales de la UE o de los Estados miembros”; de la misma manera que podemos definir la información que debería ser clasificada como SECRET UE/EU SECRET, como aquella que “pueda causar serios perjuicios a los  intereses esenciales de la UE o de los Estados miembros”.

Vemos que, entre ambos grados, existen diferencias en cuanto al potencial impacto que un uso malintencionado de dichas informaciones puede tener, lo cual se traducirá en diferentes medidas de seguridad a aplicar guardando la proporcionalidad debida, tal y como veremos en el siguiente punto de este artículo, cuando analicemos la Decisión (UE, Euratom) 2015/444 de la Comisión de 13 de marzo de 2015 sobre medidas de seguridad de la información clasificada UE.

Me gustaría destacar el hecho de que clasificar información conforme a las recomendaciones de la guía conlleva una serie de costes y restricciones extra que deben ser tenidos en cuenta a la hora de valorar, tanto el gasto del proyecto como la dificultad de  manejar  y  utilizar  dichas  informaciones,  motivo  por  el  que  se

aconseja implementar la clasificación per se con otras recomendaciones de seguridad, como podrían ser “limitar los niveles de detalles en las informaciones, utilizar escenarios simulados o excluir el uso de información clasificada como background information”, de tal manera que el gasto derivado de las medidas de seguridad que implica el manejo de información clasificada se vea reducido, y el acceso a los resultados de estos proyectos de investigación sea posible para aquellos que lo necesiten,  sin las restricciones o dificultades que surgen para acceder a información clasificada.

Me gustaría cerrar este apartado con la siguiente recapitulación de ideas: la guía es un documento breve, sencillo y de aplicación directa, llena de importantes conceptos claramente definidos, sin cuyo entendimiento no sería posible realizar correctamente el “Security Appraisal Procedure” impuesto por las políticas de aplicación del Programa HE.

c) La guía: una herramienta útil de Compliance

Antes de embarcarnos en un proyecto que se pueda ver afectado por estas cuestiones, es conveniente tener preparado un procedimiento específico que permita identificar, analizar y evaluar los riesgos que puedan surgir derivados del manejo de información clasificada, así como las posibles repercusiones que se puedan ocasionar en caso de incumplimiento.  Dicho procedimiento deberá contemplar una fase previa, en la que el proyecto aún no haya arrancado y sea una simple propuesta, y una fase de actividad puramente dicha (profundizaré en esto más adelante al hablar de buenas prácticas), que se llevará a cabo durante el desarrollo del propio proyecto en sí. No hay que olvidar que las cuestiones de clasificación de la información van evolucionando conforme lo hacen el propio proyecto y los resultados generados, motivo por el que puede darse la situación de que algo que a priori iba a resultar clasificable finalmente no lo sea, o viceversa.

Si nos adentramos en la aplicación práctica de la guía desde la perspectiva de Compliance, ésta debe resultar una herramienta útil a la hora de diseñar un procedimiento preventivo que nos dé respuesta a cuestiones como las que a continuación se mencionan:

• ¿Vamos a manejar información clasificable?
• ¿Qué clasificación se recomienda para la información que vamos a tratar?
• ¿El personal y las infraestructuras implicadas en el proyecto cuentan con las habilitaciones de seguridad necesarias para ese tipo de información? ¿En caso negativo, es un requisito salvable?
• ¿Trabajar con información clasificada me va a suponer un sobrecoste para poder mantener los estándares de seguridad requeridos?
• ¿Las personas que van a estar involucradas en el proyecto tienen la formación mínima requerida para trabajar con información clasificada?
• ¿El hecho de trabajar con información clasificada puede entrar en conflicto con alguna de mis políticas internas?
• ¿He llevado a cabo un proceso de Due Diligence adecuado para valorar la idoneidad del resto de partners implicados en el consorcio antes de plantear asociarme con ellos?
• En caso de incumplimiento o negligencia, ¿qué implicaciones podría tener?
• ¿Supone algún riesgo reputacional para mi actividad, el verme involucrado en este tipo de proyectos?

Nuevamente, la mejor forma de visualizar todas estas ideas es a través de un ejemplo. Imaginemos un caso en el que no se haya aplicado ningún procedimiento específico para valorar las cuestiones comentadas, y una vez comenzado el proyecto, nos encontramos con que uno de los partners del consorcio, no reúne los requisitos para poder asistir a una reunión en la que se van a tratar algunas cuestiones relacionadas con la información clasificada del proyecto. Esto nos plantearía un problema organizativo y de coordinación bastante serio ya que, en las reuniones generales del consorcio, tan solo se podría acceder a informaciones no clasificadas, o a la hora de tomar determinadas decisiones, algunos miembros no podrían participar de las mismas por no poder tener acceso a parte de la información del proyecto.

¿Qué sucedería si le doy una vuelta de tuerca al ejemplo anterior, y fuese nuestra organización la que no dispone de las habilitaciones de seguridad requeridas para el manejo de determinadas informaciones, y como consecuencia, resultase expulsada del consorcio? ¿Qué efectos a nivel reputacional y de pérdida de confianza podría tener tal extremo para nosotros? ¿Qué imagen estaríamos proyectando en el plano internacional? ¿Nos podría traer perjuicios a futuro en caso de querer formar parte de otros proyectos financiados por la misma institución?

Como se puede apreciar, tener una buena política de Compliance aplicada a esta materia, puede evitar pérdidas económicas y reputacionales de gran calado, a la vez que va a facilitar la inclusión de nuestra organización, en las listas de candidatos a formar parte de futuros consorcios financiados con fondos europeos.

Análisis de la Decisión (UE, Euratom) 2015/444 de la Comisión de 13 de marzo de 2015 sobre medidas de seguridad de la información clasificada UE: seguridad industrial

a) Introducción

La primera pregunta que nos puede surgir a la hora de analizar esta Decisión (UE, Euratom) 2015/444 (D. 2015/444 en adelante) es, el porqué nos centramos en tal norma como marco de referencia. Si acudimos a la ya citada “Guía para la clasificación de la información en proyectos Horizonte Europa”, lo primero que podemos leer es lo siguiente: “Los proyectos con información clasificada deben cumplir con la Decisión 2015/444”.

De la misma manera, durante la lectura de la “Guía sobre cómo gestionar proyectos sensibles a la seguridad”, veremos que (European Commission, 2021) ⁹

al mencionar la autoevaluación de seguridad, se especifica que el objetivo de ésta, sería “identificar los proyectos que pueden requerir la clasificación de información de la UE (EUCI) en virtud de la Decisión 2015/444 y/o otras recomendaciones de seguridad”, es decir, nuevamente se nos remite a la misma norma. Me gustaría señalar  a título informativo, y por si algún lector se pregunta cuáles serían esas otras recomendaciones, que la misma guía a la hora de pautar las medidas aplicables en la fase de implementación, cita las  “Programme Security Instructions” (European Commission, s.f.)¹⁰ (PSI por sus siglas en inglés), como las pautas complementarias a la Decisión 2015/444, si bien el estudio de éstas, excedería con creces de lo que el presente artículo puede abarcar.

b) Análisis-I: aspectos generales

 Entrando de lleno en la D. 2015/444 (Comisión Europea, 2015)¹¹, vemos que se trata de una norma que, a lo largo de todo su articulado, va marcando los diferentes preceptos reguladores de la “seguridad para la protección de la información clasificada UE” (ICUE, en adelante). El primer punto que me gustaría destacar, es el “Considerando (5)”, en el que se hace mención al hecho de que “los riesgos para la ICUE deberán gestionarse como un proceso” a través del cual se “determinarán los riesgos conocidos” y se “definirán medidas de seguridad para reducir dichos riesgos a un nivel aceptable”, medidas que deberán ser “aplicadas conforme al concepto de defensa”, y “cuya eficacia será continuamente evaluada”.

Este concepto de la “gestión de riesgos” como un “proceso”, es fácil de entender si trasladamos aquí lo que muy bien explica Casanovas (2019)¹² en el podcast sobre normas ISO que, en septiembre del 2021 publicó Berta Melet en su blog “Compliance Pills”. En el citado podcast los autores hablan sobre las novedades que la ISO 37000 aporta al mundo del Compliance, y en un momento dado de su conversación, ambos comentan la nueva concepción del “Compliance como un proceso y no como una acción concreta”, cobrando así más valor “el cómo se hace y cómo se consiguen las cosas”, es decir, “la conductas que circundan al hecho” que el hecho en sí. Si trasladamos esta idea al mencionado “Considerando (5)”, la gestión del riesgo que la D. 2015/444 plantea se basa en una suerte de proceso, definido posteriormente en el punto 18) del Artículo 1 de la Decisión, en el que no se puede hablar de una acción o medida en concreto, sino que se debe entender como una serie de pasos concatenados que adquieren sentido en su conjunto y no de manera individual.

En lo que se refiere a la determinación de riesgos y definición de medidas específicas para reducir dichos riesgos, así como al proceso de evaluación continua de la eficacia de tales medidas, vemos que son un conjunto de pautas que se encuentran en absoluta sintonía con la ISO 31000:2018, especialmente en lo que se refiere las fases de evaluación, tratamiento y seguimiento del proceso de “gestión del riesgo”.

La conclusión obvia que sacamos, tanto de este aspecto como del mencionado en el párrafo anterior, es que se trata de una norma en consonancia con los principales estándares internacionales de gestión del riesgo y Compliance, lo cual va a facilitar su adaptación e implementación al trabajo diario de cualquier empresa que venga tomándose en serio todo lo relacionado con GRC.

Si continuamos con el análisis de los distintos preceptos recogidos en la norma, vemos que el Cap. 1 se centra en los “principios básicos y estándares mínimos” que deben ser tenidos en cuenta a la hora de desarrollar un plan de seguridad para la protección de la ICUE. Básicamente, esto significa que la Decisión nos está fijando unos umbrales que no podremos rebasar, es decir, un suelo o soporte sobre el que trabajar, pero de ninguna manera nos está fijando un techo, con lo que toda implementación a mayores será bienvenida y dependerá, únicamente, de la decisión del responsable que determine aplicarla.

Conviene detenerse en los cuatro grados de clasificación existentes: EU TOP SECRET, EU SECRET, EU CONFIDENTIAL y EU RESTRICTED, siendo el primero el grado de clasificación que se otorgaría a la ICUE más sensible y el último a la de menor sensibilidad que necesitara ser clasificada. En cuanto al criterio, todos los grados tienen en cuenta el hecho que la revelación no autorizada de esas informaciones pueda tener un efecto u otro en los intereses de la Unión o de sus Estados Miembros, y el criterio a seguir para adoptar un grado concreto de clasificación sería: TOP SECRET si hay riesgo de causar perjuicio excepcionalmente grave, SECRET si el perjuicio puede ser grave, CONFIDENTIAL si se trata de un perjuicio simple, y RESTRICTED si no hablamos de perjuicio como tal sino de resultados desfavorables. Para aplicar correctamente este criterio, habrá que utilizar la ya analizada “Guía para la clasificación de la información en proyectos Horizonte Europa”, ya  que  será  esta herramienta la que nos dé la pauta concreta sobre la gravedad que puede causar una  información  determinada,  punto  que  también  menciona  la D.  2015/444  cuando en su Art 4.3 especifica que “se adoptarán normas de desarrollo” que “incluirán una guía práctica de clasificación”.

La siguiente pregunta es obvia: ¿cómo podemos identificar una información como ICUE? Para responder tal cuestión habrá que acudir al Art. 3.3, en el que se indica que “serán empleadas las marcas conforme al apartado precedente del mismo artículo”.

En cuanto a la potestad de clasificar y desclasificar, o modificar los grados de clasificación, me gustaría resaltar dos roles: el del “originador” y el del “poseedor”. El primero sería la “institución” o equivalente “bajo cuya autoridad se ha producido información clasificada o se ha introducido en las estructuras de la Unión”, siendo éste ( y sin perjuicio de lo indicado en el Art. 26) el que deba consentir,  en caso de que se desee “rebajar el grado de desclasificación, desclasificar o,  modificar o suprimir las marcas de clasificación” de seguridad que se establecen en el Art. 3 de la propia norma. Por su parte, y a diferencia del anterior, el “poseedor” sería aquél que tan sólo podrá acceder a dicha información debido a su probada necesidad de conocer, y a cambio, será responsable de su protección conforme a las normas que aquí estamos estudiando.

Desde el punto de vista de la seguridad en el personal (Capítulo 2 de la Decisión), deberemos tener en cuenta que tan solo podrá tener acceso a ICUE quien tenga necesidad de conocer (por supuesto una necesidad debidamente justificada), una vez haya sido instruido sobre la protección de la información clasificada conforme a la norma objeto de este estudio y las directrices y estándares de seguridad aplicables, y tras haber aceptado sus responsabilidades con respecto a la protección de dicha información. Por último, en el caso de que el grado de clasificación sea CONFIDENTIAL o superior, la persona en cuestión deberá tener una habilitación de seguridad (HPS) en el grado correspondiente, en vigor.

 Del mismo modo, la Decisión establece una serie de requisitos a cumplir en relación a la seguridad física, es decir, aquellos pensados para “impedir la entrada, subrepticia o por la fuerza, de intrusos, para disuadir, impedir y descubrir actividades no autorizadas y para segregar al personal en lo que respecta al acceso a ICUE”. Estos puntos, desarrollados en el Capítulo 3, deberán ser tenidos en cuenta por aquellos que se planteen adentrarse en proyectos en los que se trabaje con información clasificada conforme a estas normas, ya que el sobrecoste y las dificultades añadidas que puede suponer cumplir con todo lo que al respecto obliga la D. 2015/444, puede llegar a ser una dificultad extra con sus propios riesgos añadidos que, finalmente, haga no recomendable tal empresa para nuestra organización.

En lo que se refiere a los sistemas de información y comunicaciones (SIC), la Decisión recoge el concepto de “garantía de la información” (GI), entendiendo por tal “la confianza en que esos sistemas protejan la información que manejan y funcionen como es necesario que lo hagan, cuando así se precise, bajo el control de sus legítimos usuarios”, pasando a continuación a detallar como estándares verificables, los niveles de “autenticidad, disponibilidad, confidencialidad, integridad y no repudio”. Es decir, los sistemas de información y comunicaciones que se empleen, deberán garantizar que la información es auténtica e íntegra, se encuentra disponible, guardan la confidencialidad requerida y permiten demostrar “que un acto o suceso ha ocurrido efectivamente”.

Debido a la importancia que este apartado tiene a día de hoy, trabajando con estructuras descentralizadas, con información compartida a través de servidores y almacenajes remotos, y a través de comunicaciones no presenciales, más adelante dedicaré un epígrafe específico a la Ciberseguridad en España, buenas prácticas y recomendaciones al respecto. Baste por ahora, especificar que la D.2015/444 regula en detalle esta materia en lo que a la seguridad de la información clasificada concierne, aspecto que también deberá ser tenido en cuenta a la hora de valorar las dificultades y riesgos que tal extremo pueda presentar para nuestra organización.

c) Análisis-II: la seguridad industrial

Finalmente, me gustaría hacer alusión a lo que la Decisión denomina “seguridad industrial”, entendiendo como tal “la aplicación de medidas encaminadas a garantizar la protección de la ICUE en el marco de los contratos” y “acuerdos de subvención clasificados”, teniendo en cuenta que estos últimos, “no implicarán información clasificada UE TOP SECRET”. Las disposiciones que la D 2015/444 hace al respecto, “salvo indicación en contario” “serán también aplicables a los subcontratos clasificados o subcontratistas”. Finalmente, la norma define los contratos y acuerdos clasificados, como aquellos que impliquen la “creación, manipulación o almacenamiento de información clasificada UE”.

Respecto a este punto, me gustaría detenerme en los elementos de seguridad de dichos contratos y subvenciones, los cuales básicamente se pueden desglosar entre “instrucciones de seguridad” y “cláusulas sobres aspectos de la seguridad”. Las primeras, tal y como se definen en el Art. 42 de la Decisión, serían “una lista de procedimientos de seguridad aplicables a un programa o proyecto específico para tipificar los procedimientos de seguridad”, mientras que las segundas, serían “conjuntos de condiciones contractuales especiales impuestas por el órgano de contratación” “en las que se enumeran los requisitos de seguridad o los elementos del contrato que requieren protección de seguridad”.

En lo referente a las instrucciones cabe destacar que, inicialmente, serán de carácter “genérico”, si bien cada una de ella podría dar lugar al desarrollo instrucciones “específicas”. En todo caso, para la elaboración de estos procedimientos, habrá que atender al “alcance, la importancia, la complejidad y la multiplicidad o diversidad” de stakeholders implicados en el proceso. Por su parte, respecto a los requisitos de seguridad, habrá que tener en cuenta que “el incumplimiento de” los ya mencionados “estándares mínimos” (me remito a la primera parte de este análisis), podrá ser motivo suficiente para la rescisión del contrato o acuerdo de subvención”.

En todo caso, entre los elementos de seguridad, se deberá incluir una “guía de clasificación”, lo cual nos lleva directamente al análisis realizado en el epígrafe anterior, destacando aquí el hecho de que “antes de convocar una licitación o adjudicar un contrato clasificado” se “determinará la clasificación de seguridad de toda la información que deba proporcionarse” así como de toda la “información que haya de producir el contratista”, es decir, tales extremos  serán fijados de antemano, y si bien es cierto que estamos ante un proceso de evaluación continua, en el que se pueden revisar los grados de clasificación, especialmente en lo que incumbe a aquella  información que se haya de producir y que, en una fase inicial del proyecto, no es más que un mero propósito a futuro, las partes implicadas y los diferentes grupos de interés deberán ser consciente de las dificultades que todos este proceso entraña y de los compromisos adquiridos como consecuencia del manejo de ICUE, valorando en base a todo ello los respectivos riesgos inherentes al proceso en marcha.

Un punto que puede ser especialmente conflictivo para numerosas organizaciones, especialmente aquellas que cuenten con pocos recursos, es el de las “habilitaciones de seguridad de establecimiento”, que básicamente son “certificaciones administrativas” de que “un establecimiento puede brindar un nivel de seguridad adecuado de protección a la ICUE”. Como es obvio, tal habilitación deberá ser presentada antes de tener acceso a la información clasificada, pudiendo requerirse exhibición de la misma durante el proceso de adjudicación de contrato o de concesión de subvención, si se diera la circunstancia de que durante dichos procesos fuera necesario acceder a ICUE. En todo caso, “no se adjudicará un contrato o un acuerdo de subvención clasificado al licitador seleccionado antes de haber recibido” “confirmación de que se ha expedido a este la habilitación de seguridad de establecimiento adecuada”. Además de todo lo dicho, habrá que tener en cuenta el hecho de que “la retirada de tal certificación, “constituirá motivo suficiente para que” se “rescinda un contrato clasificado o se excluya a un licitador de la licitación”.

d) Función de Compliance y objetivos

Una vez finalizada la revisión de la norma y los distintos matices de interés para la función de Compliance que podemos encontrar en la misma, me gustaría invitar a una lectura más detallada de cada uno de los preceptos comentados, a todos aquellos profesionales que deban aplicarlos en su actividad profesional. Llegados a este punto, la pregunta es inevitable: ¿cómo pueden afectar todas estas cuestiones a la gestión de riesgos de Compliance?

Para responder a la pregunta anterior, habrá que atender a los objetivos específicos que nuestra propia organización haya establecido al efecto en su propia Política de Compliance. Puesto que el presente estudio intenta recoger aspectos aplicables a diversas organizaciones, vamos a centrarnos de forma generalista en los tres grandes bloques comúnmente aceptados: riesgos de sanción, riesgos económicos y riesgos reputacionales, intentando identificar, analizar y valorar todos aquellos que se puedan derivar del incumplimiento de la D. UE 2015/444.

Por un lado, hemos hablado de la obligatoriedad de aplicación de esta norma a los proyectos del marco HE en los que, se deba tener acceso a ICUE o se prevea generar algún tipo producto que potencialmente pueda ser ICUE. Si recordamos que, como ya se ha mencionado, la seguridad de la información clasificada, tal y como se presenta en esta Decisión UE,  es un proceso constante y no una acción u omisión concreta, el hecho en sí de tener en cuenta y aplicar eficazmente los estándares que en ella vienen pautados, u otros que no entren en conflicto con éstos y que vengan a reforzar aún más el objetivo buscado (como ya he comentado, la norma nos habla de mínimos), podremos acreditar si fuera necesario, que nuestra organización ha tenido el cuidado debido, desde el punto de vista de la seguridad, en el manejo de ICUE, lo cual vendría a protegernos en caso de “fallos de seguridad y compromentimiento de la” información clasificada.

Para entender mejor el alcance de lo comentado y siguiendo con los ejemplos creados anteriormente, imaginemos por un segundo que un miembro de nuestra organización pierde una memoria externa tipo USB con información del proyecto sobre explosivos en el que estábamos trabajando, y la receta de un nuevo explosivo de fabricación casera se difunde sin nuestro consentimiento. Siguiendo con tal supuesto, supongamos que una persona decide probar dicha receta en su domicilio, y se produce una explosión fortuita generando daños materiales y llevándose consigo la vida de personas y animales. ¿Cree el lector que los efectos de la materialización de ese riesgo, serían iguales, si se puede demostrar la correcta implementación de medidas de seguridad en el manejo de la ICUE, que si no se puede demostrar o directamente se evidencia que no se ha implementado nada?

Otro punto de los que hemos hablado ha sido el uso conjunto de la Guía de clasificación junto con la Decisión UE 2015/444, de tal manera que la primera nos indicará las pautas necesarias para determinar qué información es o no clasificable y en qué grado, mientras que la Decisión nos definirá el alcance e implicaciones que un grado de clasificación u otro tendrá. Este uso conjunto de ambos documentos, nos permitirá eliminar cualquier tipo de ambigüedades o lagunas interpretativas que pudieran conducir a una aplicación de medidas de seguridad por debajo de lo requerido, o a la inversa, una serie de medidas más restrictivas de lo necesario que, de alguna manera, tan sólo contribuirían a una mayor dificultad para trabajar, asumiendo costes y trabas innecesarios.

Es obvio que la aplicación de medidas excesivas no va a suponer, al menos en principio, sanción alguna, pero desde el punto de vista reputacional sí que podría afectar a nuestra imagen corporativa, especialmente cuando se trata de formar parte de consorcios en los que debemos trabajar con diversos partners como si fuéramos una organización única. ¿Qué imagen daríamos si nuestros socios solamente encuentran trabas innecesarias a la hora de trabajar con nosotros?  En cuanto a la posibilidad de aplicar medidas demasiado laxas para el nivel de clasificación requerida, claramente podría dar lugar a un fallo de seguridad o a que la ICUE se viera comprometida, lo cual nos redirige nuevamente al punto anterior.

En tercer lugar, entender los roles de “generador” y “poseedor” es fundamental para el uso diario que podamos hacer de ICUE. Muchas veces, los “poseedores” no son conscientes de lo que tal cuestión conlleva, y se tiene la idea de que pueden realizar acciones que en realidad tan solo competen a los “generadores”. Tener claro estos aspectos, también resulta esencial si no queremos caer en la incómoda situación de asumir responsabilidades a modo de mandato tácito, sin ser conscientes de ello. Tal y como dice el Artículo 1 de la Decisión, el poseedor será “responsable” de la protección de la ICUE que obra en su poder. Esto significa que deberá implementar las medidas necesarias para evitar cualquier tipo de extravío, sustracción o destrucción de la misma, ya que de lo contrario, las sanciones que puedan derivar de tales hechos recaerían directamente sobre él, entendiendo como es obvio que cuando hablamos de poseedor, no nos estamos refiriendo a una persona en concreto que tiene acceso a la información por necesidad de saber, sino a la organización como tal de la que dicha persona forma parte y que, realmente, será el partner o stakholder implicado.

Cambiando de punto, en lo referente a los requisitos de seguridad física y seguridad en el personal, nuestra organización deberá ser consciente de lo que esto conlleva, tanto en gastos como a nivel burocrático, además de asegurarse de  tener actualizadas y en vigor todas las certificaciones que se puedan necesitar ya que, de lo contrario, tal y como se ha comentado a la hora de hablar de seguridad industrial, el incumplimiento de estos puntos podría dar lugar a medidas de absoluta severidad, como podría ser la rescisión de contratos, y por consiguiente, la pérdida de credibilidad y el consecuente daño reputacional  y económico que tal tipo de medidas conllevaría para nuestra organización. Estos puntos deberán tenerse especialmente en cuenta a la hora de contratar nuevo personal que deba involucrarse en esas actividades con acceso a ICUE, o por ejemplo, en el caso de cambios de sede, ejecución de reformas de infraestructuras, o necesidad de acceso de personal externo o carente de HPS a las dependencias en las que se pueda encontrar dicha información clasificada.

Como hemos podido apreciar, la Decisión 2015/444 de la UE no es una norma baladí que pueda ser pasada por alto dentro del contexto aquí planteado, motivo por el que la función de Compliance deberá tenerla en cuenta a la hora de implementar el correspondiente plan, si quiere gestionar con el máximo éxito posible todos esos riesgos inherentes al trabajo de los proyectos HE que, de alguna manera, impliquen el manejo de ICUE.

Finalmente, me gustaría considerar distintos aspectos relacionados con las comentadas SIC y GI, las cuales cobran especial relevancia en los tiempos actuales por lo que, en el siguiente punto, se va estudiar la situación de la ciberseguridad en España y todo lo que, en nuestra organización, puede ser relevante para la función de Compliance.

Acercamiento a la perspectiva Española en Ciberseguridad, y su encaje con los objetivos de Compliance

 Tal y como se ha comentado en el epígrafe anterior, los sistemas de información y comunicaciones que se empleen, deberán garantizar que la información es “auténtica e íntegra, se encuentra disponible, guardan la confidencialidad” requerida y permiten demostrar “que un acto o suceso ha ocurrido efectivamente”, es decir, la garantía  de la información reunirá unos requisitos mínimos sin los cuales, no se puede considerar que la ICUE goce del nivel de seguridad y protección adecuado. Estos requisitos, no sólo se encuentran recogidos en la Directiva analizada en el epígrafe anterior, sino que son los mismos que la UNE-ISO/IEC 27000, recoge como concepto de “seguridad de la información”.

Debido a la importancia que a día de hoy tienen este tipo de cuestiones para la función de Compliance, y no me refiero solamente al ámbito del manejo  de ICUE, sino en el funcionamiento normal de cualquier organización, me gustaría detenerme a hacer un análisis de la situación  española, a través del estudio de sus normas y entes involucrados en la aplicación de la misma ya que, a fin de cuentas, por encontrarse en absoluta armonía con las del resto de países de nuestro entorno, nos serán útiles para conseguir un buen entendimiento de la dimensión que tal asunto tiene para el conjunto de la Unión Europea, cuestión perfectamente recogida en la “Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión” (conocida como Directiva NIS). Por su parte, a nivel nacional, tenemos el Real Decreto 311/2022, por el que se regula el Esquema Nacional de Seguridad, y en el que se especifica en su art. 2.2 lo siguiente: “este real decreto será de aplicación a los sistemas que tratan información clasificada”, es decir, se convierte en norma de referencia para la materia aquí estudiada.

El primer concepto que debemos entender, es el de SIC, definiéndolo la ya estudiada D. UE 2015/444 como aquél “que permite manejar la información en formato electrónico”, concepto que desarrolla con más detalle en el art. 4 del R.D. 311/2022, cuando nos dice que entenderemos por “sistema de información” el conjunto de “redes de comunicaciones electrónicas que utilice la” organización y “sobre las que posea capacidad de gestión”, igualmente se incluye en el concepto “todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales”, además de “los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos” anteriormente mencionados, “incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos”.

El empleo de estos sistemas garantizando que cualquier organización, maneje o no ICUE, pueda (art. 5 RD 311/2022) “cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias”, es el “objeto último de la seguridad de la información”, para lo cual, nos dice el mismo RD, que la cuestión será abordada “como un proceso integral” y no como “una actuación puntual o tratamiento coyuntural”, idea que vemos está en absoluta consonancia con los estándares internacionales ya vistos.

La gestión de la seguridad basada en los riesgos (art. 7 del RD), debe ser una “actividad continua y permanente actualizada”, que permita “minimizarlos a niveles aceptables”, buscando “equilibrio y proporcionalidad” en función de la “naturaleza de la información tratada” y de los “riesgos a los que esté expuesta”. Todo esto, si lo analizamos en conjunto con los grados de clasificación UE ya vistos, y lo que cada uno de esos grados conlleva, hace entendible que nuestra organización deba contar con políticas de seguridad que permitan flexibilidad y adaptabilidad de los procedimientos en función de las circunstancias de cada caso concreto, ya que de lo contrario, se correría el riesgo, como ya se ha planteado anteriormente, de sobredimensionar la seguridad o ser extremadamente laxos con la misma, situaciones ambas indeseables por las posibles consecuencias negativas que implican desde el punto de vista de Compliance, especialmente cuando estamos hablando de ICUE.

Al centrarnos en la esencia de la gestión del riesgo para los SIC, tendremos la “prevención, detección, respuesta y conservación” como pilares del proceso, siendo este último el punto que me gustaría destacar aquí, por ser el menos conocido y quizás el más específico en el ámbito de los sistemas de información y comunicación. Para ello, acudimos al art. 8 del RD 311/2022,  en el que se establece que el “sistema de información garantizará la conservación de los datos e información en soporte electrónico”, consiguiendo de esta manera que, en el caso de que una “amenaza sobre el SIC se materialice, no afecte gravemente a la información manejada”. Es decir, la a los clásicos tres pilares de gestión de riesgos, se le añade un cuarto centrado en conservar la información, ya que en el caso de que esta se pierda, los efectos de la materialización del riesgo posiblemente estarían tildados de catastróficos.

Uno de los entes públicos que más aportan en este campo es el Centro Criptológico Nacional (CCN), encargado de las funciones relativas a las seguridad de las Tecnologías de la Información (IT por sus siglas en inglés) y de la protección de la información clasificada en ese ámbito, bajo la dirección del Secretario de Estado Director del CNI,  conforme a  la Ley 11/2002 reguladora de dicho Centro. Tal y como se contempla en el documento Aproximación española a la  Ciberseguridad ⁽¹³⁾ (CCN-CERT, 2019), el CCN aboga por “el fortalecimiento de la Ciberseguridad” para proporcionar “al Sector Público, al tejido industrial y empresarial, a la comunidad científica y a los ciudadanos en general, una mayor confianza en el uso de las TIC”, lo que se consigue a través de la “aplicación del de responsabilidad compartida”, por lo que  “las Administraciones Públicas deben mantener estrechas relaciones con las empresas que gestionan sistemas de información relevantes para los intereses nacionales, intercambiando el conocimiento que permita una adecuada coordinación entre ambos y la mutua comprensión del entorno de la ciberseguridad”.

Me gustaría destacar un recurso que me parece realmente interesante para la aplicación práctica de muchos de los conceptos e ideas vistos hasta ahora: el material que ellos mismos producen y ponen al alcance de cualquier usuario a través del  portal  de formación  (Centro Criptológico Nacional, s. f.)¹⁴  en  su  web  corporativa, para que los  usuarios interesados puedan implementar medidas de seguridad en los respectivos entornos profesionales. Muchas veces, cuando hablamos de Compliace y de todo lo que ello conlleva, no tomamos en consideración las dificultades que supone implementar este tipo de políticas en pequeñas y medianas empresas, a las cuales también, el presente artículo va dirigido.

Si repasamos todo lo visto hasta el momento,  podemos concluir que la Ciberseguridad está contemplada dentro del proceso de gestión de riesgos que debemos tener en cuenta a la hora de trabajar con ICUE, pues así viene recogido en las distintas normas comentadas, siendo la perspectiva Europea pareja a la Española gracias a ese enfoque común de los Estados Miembros, para crear niveles de seguridad adecuados en los Sistemas de Información y Comunicación. Nuestro Plan de Compliance, deberá tener en cuenta los riesgos derivados de la Ciberseguridad como un elemento crucial las organizaciones, pues si bien es cierto que los SIC no dejan de ser una herramienta auxiliar para el resto de cometidos que deberemos llevar a cabo, su valor de elemento esencial los convierte en un foco de vulnerabilidad que abren la puerta a la materialización de numerosos riesgos no deseados, ligados a los fallos de seguridad y comprometimientos de la ICUE que debemos proteger.

Buenas prácticas y recomendaciones

 Como colofón al artículo, me gustaría hacer una pequeña compilación de buenas prácticas y recomendaciones,  adaptadas a los objetivos de Compliace que una organización debería tener en este ámbito específico. Hemos podido ver que a la hora de trabajar en proyectos regulados por el Marco Europeo HE, una de las cuestiones que más sensibilidad puede presentar desde el punto de vista de la gestión de riesgo, es la seguridad de la información, y más concretamente, la seguridad de la ICUE. Hemos tenido la oportunidad de analizar con cierto detenimiento la regulación propia de estos proyectos, las diferentes guías editadas por la propia UE al respecto, la normativa nacional en el caso más concreto de las tecnologías de la información, y la Decisión UE 2015/444, como marco específico sobre seguridad  y protección de la información clasificada UE.

En base a todo esto podemos afirmar que, si lo que pretendemos es evitar los riesgos derivados del incumplimiento de toda la normativa vista, o las dificultades de seguridad que puedan surgir por nuestro  acceso a ICUE , implantar un Sistema de Gestión de Compliance eficaz será un paso necesario.

Dentro de las buenas prácticas aplicables a lo analizado en este artículo, creo que lo ideal es separar aquellas que se dirigirían a la gestión de riesgos, antes de nuestra integración plena en un proyecto en concreto, de aquellas que pudieran surgir durante el  desarrollo del proyecto en sí o como consecuencia del mismo, una vez éste haya finalizado.

Tal y como hemos visto, inicialmente habrá que tener en cuenta el hecho esencial de si vamos a tener que acceder o producir información clasificada y/o clasificable, o no. Este elemento en sí va a marcar todo lo que se requiera a continuación. Una vez se conozca tal extremo, podremos valorar si nuestros recursos, instalaciones y personal, cumplen o no los requisitos exigibles al respecto, y a partir de ahí, evaluar los costes a todos los niveles que esto pueda tener para nosotros.

Para ello, sería conveniente hacer una preevaluación con  preguntas similares a las que a continuación se ejemplifican:

• ¿Vamos a necesitar acceder o elaborar información clasificada?
• ¿El acceso a dicha información, será en nuestras instalaciones o no?
• ¿Cuento con personal que tenga las habilitaciones de seguridad requeridas en vigor? ¿Y mis instalaciones, la tienen? ¿Es factible obtener las licencias requeridas dentro de los plazos marcados en el proyecto?
• ¿Voy a tener que implementar algún tipo de medida para poder manejar dicha información? ¿En qué plazos? ¿Qué coste económico va a tener tal extremo?
• ¿Qué dificultades de coordinación y para el trabajo diario puede suponer el acceso a ICUE?

Obviamente la lista anterior no es una lista cerrada, y como es lógico, a la hora de elaborar esas preguntas de autoanálisis habrá que atender a las circunstancias concretas del momento. Una vez hayamos dado respuesta a todas ellas, y tengamos claro la situación de partida, podremos sopesar si el riesgo inherente a nuestra participación en el proyecto es elevado o no, si se requiere de algún tipo de acción o inacción para mitigar dicho riesgo, y si las medidas necesarias aportan un resultado de coste/beneficio positivo, que finalmente nos haga decantarnos por impulsar nuestra candidatura como participantes del proyecto en cuestión.

La siguiente fase en la gestión de riesgos debería ir dirigida a identificar, analizar y evaluar aquellos que puedan surgir durante el desarrollo del proyecto en sí, o una vez éste haya finalizado. Para ello, será necesario repetir el proceso anterior, pero esta vez con preguntas adaptadas a esas nuevas circunstancias. El punto de partida debe ser el resultado de la autoevaluación anterior, y a partir de ahí, será necesario responder cuestiones como:

• ¿Qué informaciones se pueden compartir y con quién?
• ¿Qué requisitos deben cumplir los canales de comunicación a la hora de intercambiar o compartir ICUE?
• ¿Cómo puedo verificar que los stakeholders con los que voy a compartir o intercambiar ICUE cumplen los requisitos de seguridad para ello?
• A la hora de elaborar un entregable que contenga ICUE en algún apartado, ¿Se puede hacer una clasificación parcial o hay que clasificar el conjunto en sí?
• ¿Cada cuánto debo reevaluar la necesidad de que una información esté clasificada? ¿Quién podría desclasificar y cómo sería el procedimiento para ello?
• ¿Es necesario confeccionar y emplear acuerdos de confidencialidad para poder trabajar con auditores y otro tipo de figura externa?
• Durante el proceso de publicación y difusión de resultados, ¿qué cuestiones hay que tener en cuenta?
• ¿Existe algún tipo de riesgo penal o de sanción administrativa en caso de incumplimiento de las medidas de seguridad para ICUE?
• ¿Se va a crear una “Security Advisory Board” u órgano equivalente para las cuestiones relacionadas con la seguridad de la ICUE? ¿Cómo organización participante en el proyecto, interesa formar parte de dicho órgano?

Todas estas preguntas y aquellas otras que consideremos de utilidad, deberán ser contestadas de antemano, pudiendo decidir así cuáles serán las medidas que, en la medida de lo posible y dentro de los márgenes de asunción de riesgo que desde los órganos directivos de nuestra organización se fijen, nos permitan participar en el proyecto de manera segura y con las máximas garantías posibles de minimizar el impacto que, la materialización del riesgo, pueda tener en nuestra organización.  Por supuesto, huelga decir que todos estos procesos gestión del riesgo, deberán ser oportunamente documentados, que esa documentación deberá estar accesible en todo momento, y que la misma servirá para la reevaluación continua que se requiere si, deseamos que nuestro plan de Compliance en este campo, sea lo más eficaz posible.

Casanovas (2019)¹⁵ trata en el Cuaderno sobre experiencias de Compliance-8: la “seguridad razonable”. Partiendo de que la seguridad absoluta no existe, y de que un nivel de seguridad excesivo conllevaría la inoperancia funcional absoluta de cualquier tipo de proyecto, debemos aceptar que nuestra actividad siempre convivirá con un riesgo inherente modulado en función de las medidas aplicadas, pero que de alguna manera, siempre estará ahí.

Reseñar, como punto final, la importancia que para cualquier organización tiene, reevaluar todos estos procesos una vez haya terminado el proyecto en cuestión, intentando sacar conclusiones y observaciones que nos conduzcan a elaborar nuestro propio informe de buenas prácticas aplicables a futuro, en aquellos nuevos proyectos que se puedan presentar.

Decálogo final

El acceso a financiación europea, requiere conocer los distintos marcos normativos que regulan cada uno de los programas de financiación existentes.

En el caso de que nuestro acceso a dichos fondos conlleve manejo o creación de ICUE, será necesario cumplir con los estándares de seguridad que se establezcan al efecto, lo cual enlaza directamente con la función de Compliance.

La guía para la clasificación de la información en proyectos del Programa Marco de Investigación e Innovación “Horizonte Europa”, es un documento diseñado para un marco de financiación concreto pero, su estudio, permite comprender el enfoque que las instituciones europeas tienen al respecto.

La Decisión (UE, Euratom) 2015/444 de la Comisión de 13 de marzo de 2015, sobre medidas de seguridad de la información clasificada UE, es la norma que actualmente regula todo lo relacionado con ICUE por lo que, su conocimiento, es fundamental para cualquier asunto relacionado con información clasificada.

Desde el punto de vista del derecho comparado, se aprecia que la regulación española sobre seguridad de la información en el ámbito ciber, está en absoluta sintonía con la normativa europea ya que, la tendencia de los últimos años, ha sido crear niveles comunes de seguridad en toda la UE.

Para poder implementar todas estas medidas a nivel organización, será necesario contar con un plan de Compliance adaptado, en el que se tenga en cuenta la normativa estudiada y su aplicación efectiva, lo que permitirá reducir riesgos al máximo en la medida de lo posible, y valorar los límites, capacidades y necesidades reales de dicha organización,  a la hora de plantear la posibilidad de que, ésta, aspire a formar parte de proyectos que conlleven el manejo o la creación de ICUE.

Conocer las normas estudiadas y  diseñar e implementar un plan de Compliance adecuado, permitirá que los órganos directivos dentro de las organizaciones, puedan  tomar decisiones adecuadas, en base a informes objetivos y sólidos, que permitan maximizar las posibilidades de éxito y reducir el riesgo de impacto negativo en sus respectivas organizaciones.

Notas

(1)(3) European Commission. (2022). EU Grants: HE Programme Guide (2.0 ed.).

(2) European Commission, Directorate-General for Migration and Home Affairs Directorate-General

for Research and Innovation. (2021). EU Grants: Potential misuse of research (2.0 ed.).

(5) European Commission. (2022). EU Grants: HE Programme Guide (2.0 ed.).

(4) (6) (7) European Commission. (2021). EU grants: Classification of information in Horizon

Europe projects (3.^a ed.).

(8) Diario La Razón. (2019, 25 enero). Así se han hecho las microvoladuras en el túnel de Totalán. Recuperado 6 de julio de 2022, de https://www.larazon.es/sociedad/asi-se-han-hecho-las-microvoladuras-en-el-tunel-de-totalan-HH21623037

(9) European Commission. (2021). How to handle security-sensitive projects. Projects with

sensitive and classified information.

https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021-2027/common/guidance/how-to-

handle-security-sensitive-projects_en.pdf

 (10) European Commission. (s. f.). PROGRAMME SECURITY INSTRUCTION CONCERNING Horizon Europe Programme (1.0 ed.)

. https://ec.europa.eu/info/funding-tenders/opportunities/docs/20212027/horizon/guidance/psi_he_en.pdf

(11) Comisión Europea. (2015). DECISIÓN (UE, Euratom) 2015/444 DE LA COMISIÓN de 13 de

 marzo de 2015 sobre las normas de seguridad para la protección de la información clasificada d

e la UE (2015/444). https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32015D0444&from=FR

(12) Casanovas, A. (2021, 14 septiembre). Compliance Pills, Podcast 19, Las nuevas ISOs en

 Compliance-Berta Melet con Alain Casanovas [Podcast]. Spotify. https://www.ivoox.com/player_ej_75435812_6_1.html?c1=dbc39A

(13) CCN-CERT. (2019, junio). Aproximación española a la Ciberseguridad. Gobierno de España – Ministerio de Defensa.

(14) Centro Criptológico Nacional. (s. f.). ÁNGELES CCN: Formación, capacitación y talento en ciberseguridad. angeles.ccn. Recuperado 27 de julio de 2022, de https://angeles.ccn-cert.cni.es/index.php/es/informes/buenas-practicas

(15) Casanovas, A. (2019). Seguridad razonable en Compliance (Vol. 8). Asociación Española de Compliance – Instituto de Estudios de Compliance

Referencias

• Casanovas, A. (2019). Seguridad razonable en Compliance (Vol. 8). Asociación Española de Compliance – Instituto de Estudios de Compliance.
• Casanovas, A. (2021, 14 septiembre). Compliance Pills, Podcast 19, Las nuevas ISOs en Compliance-Berta Melet con Alain Casanovas [Podcast]. Spotify. https://www.ivoox.com/player_ej_75435812_6_1.html?c1=dbc39A
• CCN-CERT. (2019, junio). Aproximación española a la Ciberseguridad. Gobierno de España – Ministerio de Defensa.
• Centro Criptológico Nacional. (s. f.). ÁNGELES CCN: Formación, capacitación y talento en ciberseguridad. angeles.ccn. Recuperado 27 de julio de 2022, de https://angeles.ccn-cert.cni.es/index.php/es/informes/buenas-practicas
• Comisión Europea. (2015). DECISIÓN (UE, Euratom) 2015/444 DE LA COMISIÓN de 13 de marzo de 2015 sobre las normas de seguridad para la protección de la información clasificada de la UE (2015/444). https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32015D0444&from=FR
• Diario La Razón. (2019, 25 enero). Así se han hecho las microvoladuras en el túnel de Totalán. Recuperado 6 de julio de 2022, de https://www.larazon.es/sociedad/asi-se-han-hecho-las-microvoladuras-en-el-tunel-de-totalan-HH21623037/
• European Commission, Directorate-General for Migration and Home Affairs Directorate-General for Research and Innovation. (2021). EU Grants: Potential misuse of research (2.0 ed.).
• European Commission. (2021). EU grants: Classification of information in Horizon Europe projects (3.^a).
• European Commission. (2021). How to handle security-sensitive projects. Projects with sensitive and classified information. https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021-2027/common/guidance/how-to-handle-security-sensitive-projects_en.pdf
• European Commission. (2022). EU Grants: HE Programme Guide (2.0 ed.).
• European Commission. (s. f.). PROGRAMME SECURITY INSTRUCTION CONCERNING Horizon Europe Programme (1.0 ed.). https://ec.europa.eu/info/funding-tenders/opportunities/docs/2021-2027/horizon/guidance/psi_he_en.pdf