¿Cuáles son las principales dificultades a las que se enfrenta una compañía de referencia en el ámbito de las telecomunicaciones, teniendo en cuenta que posee decenas de miles de instalaciones?
Las dificultades a las que nos enfrentamos son diversas y no solo afectan a las infraestructuras. Las bases legales –diferentes en cada país–, las revisiones y actualizaciones, la protección de la información, los aspectos organizativos y los diferentes métodos de coordinación son algunos de los medios con los que hacemos frente a los principales problemas de seguridad. Y, además, contamos con un análisis de riesgos actualizado donde están bien identificados, y con acciones protocolizadas, cada uno de ellos.
En este sentido, una buena concienciación por parte de los consejos de administración de los operadores críticos, y la importancia de ver la seguridad como un elemento de valor dentro de la compañía, facilita hacer frente a los nuevos escenarios que se nos presentan.
Concretamente, ¿qué tipo de amenazas le preocupan más por su impacto y cuáles son las más habituales a las que ha de hacer frente?
Desde el departamento de Seguridad Corporativa hemos decidido utilizar los análisis de riesgos que en su día nos marcó el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), y sus posteriores protocolos, en todos aquellos riesgos y amenazas donde realmente exista un grado de vulnerabilidad importante.
Son habituales las acciones que afectan a la seguridad física como el robo de cobre y de baterías, aunque una empresa como Cellnex tiene otros grados de exposición, como, por ejemplo, la protección de la alta dirección o la seguridad de viajeros y expatriados. En cuanto a la seguridad tecnológica, es clave para prever ataques cibernéticos y actuar conjuntamente con el Instituto Nacional de Ciberseguridad (Incibe) o el Incibe-CERT –conocido hasta hace pocas fechas como Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI)–.
¿De qué manera está organizada la seguridad en Cellnex tanto a escala nacional como internacional?
Actualmente estamos trabajando en un modelo de seguridad corporativa que pretende que los estándares de seguridad que Cellnex tiene a nivel nacional se extiendan a otros países, aunque las acciones deberán adaptarse a la normativa legal de cada uno de ellos.
Al respecto, quisimos dar un paso más y nos presentamos a un proyecto europeo denominado Resisto, en el marco del programa Horizonte 2020, donde uno de los tópicos era la seguridad en las infraestructuras críticas. Se presentaron 25 candidaturas y, finalmente, nos adjudicaron el proyecto.
Este proyecto hace que seamos más objetivos y que no miremos a las infraestructuras solo a nivel nacional. La visión debe ser mucho más global y genérica, y ello te hace ver realmente la magnitud de lo que significa dar cobertura a infraestructuras a nivel europeo. Es importante señalar que, a través de la Directiva 2008/114/CE, Europa estableció la identificación y designación de infraestructuras críticas europeas (ICE) y la evaluación de la necesidad de mejorar su protección.
Entre los puntos clave de esta directiva cabe destacar que, si se solicita, los países de la Unión Europea (UE) realizan un proceso de identificación de ICE potenciales con la ayuda de la Comisión Europea (CE). Y al identificar las ICE potenciales, se deben utilizar criterios horizontales como las posibles víctimas y los impactos económico y público, así como criterios sectoriales específicos según el tipo de ICE. En conversaciones con otros países de la UE, los estados miembros realizan un proceso cooperativo de designación de ICE potenciales que se encuentran en su territorio y revisan periódicamente la identificación y designación de ICE.
En la actualidad, la directiva se aplica a 12 sectores, entre los cuales se encuentra el de las TIC, y finalizará con 14.
“Trabajamos en un modelo de seguridad corporativa para aplicar los estándares que empleamos a nivel nacional en otros países”
El año pasado, el CNPIC aprobó el Plan Estratégico Sectorial (PES) de las TIC. ¿Cuáles han sido las principales dificultades que han encontrado para adaptarse a él?
Si bien es cierto que Cellnex fue designado operador crítico en julio de 2017, ya contábamos con cierto rodaje al tener esa misma condición en el sector del Transporte debido al servicio esencial que presta la compañía en las señales de emergencia marítima de la marina mercante a nivel nacional.
Quizás la mayor dificultad que abordamos, pues no había ningún referente, fue adaptar los Planes de Seguridad del Operador (PSO), cuyo objetivo es identificar los elementos críticos de la ICE y las soluciones de seguridad existentes para su protección. Y también adecuar los Planes de Protección Específicos (PPE) de cada infraestructura crítica a las nuevas amenazas y trabajar constantemente con las Fuerzas y Cuerpos de Seguridad para optimizar los Planes de Apoyo Operativos (PAO) con el fin de minimizar impactos y agilizar protocolos en caso de atentados terroristas.
En todo este entramado de planes, reuniones sectoriales, etc., es donde resalta la figura del Responsable de Seguridad y Enlace (RSE), generada a raíz de la Directiva 2008/114/CE. Los países de la UE deben garantizar que se designe un RSE para cada ICE. Y dicho responsable actúa como punto de contacto entre el propietario u operador de la ICE y la autoridad competente de cada país.
En un ámbito como el de las telecomunicaciones, las interdependencias con otros sectores estratégicos son enormes. ¿Qué dificultades plantea esto desde el punto de vista de la gestión propia de la seguridad?
Son estrategias que obligatoriamente debemos hacer constar en los PES de cada infraestructura crítica. Por ejemplo, establecemos medidas de seguridad organizativas, físicas y lógicas, que disminuyen la exposición de los activos ante las amenazas. Adicionalmente, incluimos medidas de contingencia ya establecidas que garantizan que, en caso de materializarse una amenaza, se pueda mitigar el impacto y el servicio esencial que presta Cellnex no se vea afectado. Y también establecemos un plan de acción en función de un exhaustivo análisis de riesgos.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de esta entrevista.
¿Quieres leer la entrevista completa?