Resiliencia y Seguridad / Mayo-Junio 2025 39 ¿Cómo está estructurado el departamento de Seguridad de Vodafone, teniendo en cuenta que usted es también responsable de la Asesoría Jurídica Interna? El departamento que dirijo tiene dos áreas, Seguridad Corporativa y Asesoría Jurídica Interna. Aunque puede parecer que son equipos que no tienen mucho que ver, la realidad es que constantemente surgen temas comunes y, a la vez, nos apoyamos continuamente en las tareas que realizamos. El área de Seguridad, en sus diferentes vertientes, da soporte al área Legal en la preparación de contratos, demandas de clientes, identificación de amenazas, etc.; y al mismo tiempo, el equipo de Asesoría Jurídica nos aporta esa visión de cumplimiento normativo y conocimiento del negocio que contribuyen a crear un entorno seguro. El sistema de protección de entidades críticas está redefiniéndose a través de la trasposición de las Directivas CER y NIS 2, entre otras normas. ¿Cómo afrontan en Vodafone esta profusión normativa? La existencia de normas y regulaciones debe ser entendida como una ventaja estratégica que ayuda a las organizaciones a estar mejor preparadas. En Vodafone, ya contamos con certificaciones en seguridad (ISO 27001, ENS, ISO 22301…) que nos permiten afrontar la trasposición de estas directivas con la tranquilidad de que la mayor parte del trabajo ya está hecho. Los clientes demandan cada vez más que los productos y servicios que contratan cumplan con unos estándares elevados de seguridad, y en este sentido la implementación de estas normativas es fundamental para garantizar este cumplimiento. Es importante remarcar la necesidad de simplificar los aspectos comunes a todas las normativas (canales únicos de reporte de incidentes, umbrales de notificación etc.), de evitar burocracia adicional a las organizaciones (mediante la convalidación de esquemas de certificación que ya están siendo utilizados) y reforzar la colaboración público-privada, algo que ha quedado de manifiesto en los últimos eventos que desafortunadamente han acontecido en nuestro país. Respecto a ese nuevo marco sobre resiliencia de las entidades críticas, ¿qué aspectos considera más positivos y qué otros le plantean dudas? El anteproyecto de Ley de Protección y Resiliencia de las Entidades Críticas supone un cambio de enfoque radical. Pasamos de un modelo basado en la protección (física y lógica) de las infraestructuras a un modelo que pone el foco en la resiliencia del servicio esencial, algo que desde nuestro punto de vista refleja mucho mejor la necesidad de proteger los productos y servicios que es imprescindible asegurar en situaciones de peligro para la sociedad. Es importante también destacar la visión completa de los riesgos y amenazas. La inclusión del impacto climático es importante y necesario para una correcta gestión de eventos relacionados con desastres naturales que, desgraciadamente, cada vez tienen mayor probabilidad de ocurrencia y cuyo impacto es devastador. En cuanto a las dudas que surgen en torno a su implementación, ya hemos comentado que es crítico minimizar la burocracia, facilitar el reporte unificado de los incidentes y reforzar la colaboración de los sectores público y privado. La seguridad de la cadena de suministro es uno de los temas centrales en la regulación actual. ¿Cómo deben abordar las compañías la protección de sus proveedores, tanto desde la perspectiva de la seguridad física como de la ciberseguridad? Los incidentes que tienen su origen en la cadena de suministro han pasado a los primeros puestos en la gestión de riesgos por su relevancia e impacto (brechas de datos, rotura de suministro, riesgos relacionados con la seguridad nacional…). En organizaciones grandes, el volumen de proveedores es enorme y es necesario tener un marco de gestión ordenado y que nos permita priorizar acciones de mitigación. En nuestra organización, identificamos los proveedores que dan servicio a los procesos críticos resultado de la fase del BIA (Business Impact Analysis). Hay varias líneas de trabajo con este tipo de proveedores, envío de cuestionarios de continuidad, identificar qué tipo de datos se intercambian, dónde se encuentran alojados, asegurar que las cláusulas de seguridad se encuentran actualizadas y debidamente firmadas… Es un ciclo de mejora continua y, en al- “El enfoque de resiliencia refleja mucho mejor la necesidad de proteger los productos y servicios que es imprescindible asegurar en situaciones de peligro”
RkJQdWJsaXNoZXIy MTI4MzQz