Drones: controles y auditoría

En el post anterior realicé un análisis de los riesgos que implica el uso de drones, evaluando si son altos, medios o bajos teniendo en cuenta la probabilidad de ocurrencia y la gravedad de las consecuencias en caso de que el riesgo se materialice.

Con el objetivo de completar dicho análisis, en este post voy a definir los controles que deberían llevarse a cabo para mitigar los riesgos identificados, tanto los no intencionados como los intencionados. Asimismo, hablaré sobre el rol del auditor en relación con los drones.

Controles

Riesgos no intencionados

Los controles para los riesgos no intencionados se basan en verificar que se cumple con el Real Decreto 1036/2017 que regula el uso de drones en España [1], el cual ya traté en un post anterior.

Teniendo en cuenta que la normativa no se aplica de igual manera cuando el dron se usa de forma recreativa o profesional, también he realizado esta separación en la descripción de los controles.

Riesgos Controles para uso recreativo Controles para uso profesional

Daños a edificios

  • Verificar que no se vuela sobre aglomeraciones de edificios.
  • Verificar que no se vuela de noche si el dron pesa más de 2 kg.
  • Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar sobre aglomeraciones de edificios.
  • Verificar la autorización para volar en BVLOS3 con un dron de más de 2 kg.
  • Verificar la autorización para volar de noche.

Daños a aeronaves

  • Verificar que no se vuela de noche si el dron pesa más de 2 kg.
  • Verificar que no se vuela a un mínimo de 8 km de aeropuertos y similares.
  • Verificar que no se vuela en Espacio Aéreo Controlado ni donde se realicen otros vuelos a baja altura.
  • Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar a menos distancia de la que marca la Ley en las proximidades de aeropuertos y similares.
  • Verificar la autorización para volar en Espacio Aéreo Controlado y Zonas de Información de Vuelo.
  • Verificar la autorización para volar en BVLOS3 con un dron de más de 2 kg.
  • Verificar la autorización para volar de noche.

Daños a personas

  • Verificar que no se vuela sobre personas.
  • Verificar que no se vuela de noche si el dron pesa más de 2 kg.
  • Verificar que se encuentra al alcance de la vista y que no se vuela a más de 120 m del suelo.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar sobre grupos de personas.
  • Verificar la autorización para volar en BVLOS3 con un dron de más de 2 kg.
  • Verificar la autorización para volar de noche.

Interferencias

  • Verificar que no se vuela a un mínimo de 8 km de aeropuertos y similares.
  • Verificar que para la comunicación, se utilizan bandas libres.
  • Verificar el seguro de responsabilidad civil, la habilitación en AESA1, si es piloto de RPAS2 y si tiene el certificado médico en vigor.
  • Verificar la autorización para volar a menos distancia de la que marca la Ley en las proximidades de aeropuertos y similares.
  • Verificar la autorización para volar en Espacio Aéreo Controlado y Zonas de Información de Vuelo.
  • Verificar que para la comunicación, se utilizan bandas libres.

1 AESA (Agencia Estatal de Seguridad Aérea)
2 RPAS (Remotely Piloted Aircraft System)
3 BVLOS (Beyond Visual Line of Sight)

Riesgos intencionados

Los riesgos intencionados, a diferencia de los no intencionados, no se centran en verificar el cumplimiento de la normativa sino en intentar que ese riesgo no se lleve a cabo. Estos riesgos, debido al objetivo de causar daño que tienen, son más difíciles de controlar. Asimismo, los controles para intentar mitigarlos varían mucho dependiendo del riesgo.

Riesgo Controles

Ataque terrorista

  • Vigilar visualmente el espacio aéreo cercano a zonas susceptibles de ser atacadas.
  • Rastrear la compra de drones por parte de posibles grupos terroristas.

Ataque de ciberseguridad

  • Verificar la dificultad de robar físicamente los datos almacenados en el dron.
  • Verificar que los datos almacenados en el dron están cifrados.
  • Verificar que la clave secreta es compleja y larga.
  • Verificar que las conexiones de la comunicación están cifradas.

Dispersión químico-biológica

  • Verificar el contenido de los pulverizadores agrícolas para comprobar que no ha sido modificado.
  • Vigilar visualmente el espacio aéreo cercano a grupos grandes de personas susceptibles de ser atacadas.

Contrabando

  • Vigilar visualmente el espacio aéreo cercano a las cárceles y fronteras.
  • Vigilar las inmediaciones de las cárceles y fronteras para comprobar que no hay pilotos de drones.

Violación de privacidad

  • Vigilar visualmente el espacio aéreo cercano a la propiedad privada que se quiere proteger.
  • Ocultar información sensible que puede ser captada por un dron.
  • Controlar los obstáculos físicos (vallas, barreras, …) que evitan el acceso a la propiedad privada que se quiere proteger.

Rol del auditor

Los drones son una tecnología relativamente nueva y su mercado es cada vez más popular, lo que requiere una supervisión para controlar que se cumple con la normativa vigente y que no suponen un peligro para la sociedad.

Por lo tanto, es imprescindible el rol del auditor para llevar a cabo controles como los descritos en este post. De hecho, las operadoras de drones que quieran obtener un certificado LUC (Certificado de operador de drones ligeros) deben tener un gerente responsable, además de un responsable de monitoreo que lleve a cabo un proceso continuo de auditorías. Este monitoreo puede ser realizado por personal interno o externo. [2]

En definitiva, como en muchas otras tecnologías emergentes, la presencia del auditor es indispensable. Asimismo, el tener que auditar una tecnología nueva evidencia el hecho de que la auditoría es un trabajo interdisciplinar y que requiere la adquisición de nuevos conocimientos según pasan los años y las tecnologías evolucionan. [3]

Referencias

[1] <<Normativa de Drones en España 2020>>, One Air, acceso el 5 de noviembre de 2020, https://www.oneair.es/normativa-drones-espana-aesa.

[2] <<Auditoría de operadoras de drones y certificado LUC>>, Drone Europa, acceso el 5 de noviembre de 2020, https://www.droneuropa.com/auditoria-drones/.

[3] <<The Practical Aspect: Today’s Interdisciplinary Auditors>>, ISACA, acceso el 5 de noviembre de 2020, https://www.isaca.org/resources/isaca-journal/issues/2019/volume-5/todays-interdisciplinary-auditors.