Navantia es una de las grandes empresas estratégicas para España como fabricante de buques y sistemas militares. ¿En qué sentido influye la seguridad de su compañía en la seguridad nacional?
Cuando recibimos en Navantia un encargo para fabricar un buque militar, el gobierno del que se trate, sea el español o de otro país, nos confía una serie de información clasificada, necesaria para poder construir el buque. Por otro lado, cuando desarrollamos el programa de construcción, también generamos información clasificada. Por ello, tanto la información que recibimos como la que generamos es sensible para la seguridad de esa unidad naval mientras esté prestando servicio, así como para la Marina del país al que pertenezca.
¿De qué manera está organizada la seguridad de Navantia para proteger tanto sus activos como esa información tan sensible que manejan?
El Departamento de Seguridad Industrial que dirijo depende de la Secretaría General de Navantia, que agrupa a los departamentos que prestan servicios a las unidades de negocio. Desde mi incorporación, Seguridad Industrial abarca tres aspectos: seguridad física, seguridad de la información y ciberseguridad.
El área de seguridad física se hace cargo de la protección de las personas y el patrimonio de Navantia, tanto en España como fuera. El área de ciberseguridad se ocupa de la gobernanza de la ciberseguridad, el análisis de riesgos y la gestión de incidentes.
Por su parte, seguridad de la información vela por la protección de la información clasificada que nos entregan los distintos gobiernos con los que trabajamos, además de la que desarrollamos nosotros mismos. Esta área tiene a su vez dos componentes: física y lógica. Estos dos ámbitos vienen diferenciados en la propia Administración por dos organismos diferentes, ambos dentro del Centro Nacional de Inteligencia. La protección física de la información obedece a las normas de la Oficina Nacional de Seguridad, mientras que la de tipo lógico corresponde al Centro Criptológico Nacional.
En Navantia agrupamos las dos funciones en una misma área. Entendemos que ambas partes son complementarias y, cuanto más juntas estén, mejor trabajarán.
La compañía está inmersa en un proceso de transformación digital. ¿Qué implicaciones tiene ese proyecto en la seguridad de la compañía?
Ahora mismo Navantia está inmersa en un profundo proceso de transformación digital. De aquí a cinco años la empresa va a sufrir una transformación importante, englobada en lo que se conoce como Astillero 4.0, un proyecto que implica modernizar tanto el diseño como la producción de los barcos, trabajando en una plataforma única y aplicando nuevas tecnologías. Todo eso exige extremar desde su nacimiento las medidas de ciberseguridad.
Uno de los productos estrella es el “gemelo digital”, es decir, una réplica virtual del barco gracias a la cual tenemos en tierra los mismos datos que maneja el buque, lo cual implica un reto desde el punto de vista de la ciberseguridad.
Otro aspecto importante es crecer en lo relacionado con ciberseguridad industrial. Actualmente existe una gran diferencia entre la ciberseguridad de las tecnologías de la información [IT] y las tecnologías de la operación [OT]. Todos los nuevos procesos que traerá la Industria 4.0 exigen un gran esfuerzo, por parte de todos, en ciberseguridad industrial.
¿Cuáles son las amenazas que más le preocupan al Departamento de Seguridad Industrial de Navantia?
Como cualquier empresa, estamos expuestos a las actividades que se enmarcan en el crimen organizado. Por ejemplo, ataques informáticos como el ransomware. En España hemos visto a grandes empresas que han sufrido ataques de este tipo, aunque su seguridad esté bien organizada. Por tanto, todos estamos expuestos a ello.
Aparte de esto, por todo lo que hemos hablado, para nosotros la protección de la información es siempre la máxima preocupación. El futuro de la empresa depende de la seguridad del dato, por lo que la fuga de información es el mayor riesgo al que nos enfrentamos.
Como comentaba, la protección de la información en proyectos como los que lleva a cabo Navantia afecta a la seguridad nacional. ¿Cuáles son las líneas principales para hacer frente al espionaje o a la amenaza de los insider?
Navantia, como cualquier otra empresa del sector de Defensa, tienen que aplicar una normativa que viene dictada por la Oficina Nacional de Seguridad y el Centro Criptológico Nacional. Los criterios que recoge dicha normativa y que impone el Gobierno son muy exigentes, tanto para la empresa como para los empleados. De hecho, tenemos que solicitar una acreditación a la Oficina Nacional de Seguridad para aquellos trabajadores que van a tener acceso a la información del proyecto. La Oficina lleva a cabo una investigación sobre las personas que van a manejar esa información y realiza un informe de idoneidad.
Es decir, que estamos sujetos a control tanto Navantia, como empresa en general, como los profesionales que trabajamos aquí. Cualquier persona o compañía que vaya a trabajar en estos sistemas tiene que estar sometida a este proceso.
¿Cómo afectan las ciberamenazas al entorno marítimo, más allá del robo de información?
Afecta de varias maneras. Por un lado, al igual que hablábamos del Astillero 4.0 podemos hablar de los Puertos 4.0, donde todo está conectado y por lo tanto más expuesto al riesgo cibernético.
La forma de navegar también ha cambiado, tenemos muchas más ayudas a la navegación que son tecnológicamente muy avanzadas. Esto, unido a los avances en los enlaces satélite, hace que hoy en día la navegación tenga una gran dependencia de la tecnología.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de esta entrevista.
¿Quieres leer la entrevista completa?