Resiliencia de Entidades Críticas / Marzo-Abril 2026 44 estos comités está representada toda la compañía: el área de tecnología, recursos humanos, legal, comunicación, etcétera; de manera que todas las acciones en la resolución de una crisis estén alineadas y no haya ningún gap. Recientemente, el Gobierno ha aprobado el proyecto de Ley de Protección y Resiliencia de Entidades Críticas. ¿Cuál es su valoración sobre esta norma y en qué sentido cree que impactará más al sector de las telecomunicación? Mi valoración es muy positiva. La nueva norma pone el acento en lo que de verdad importa, que es la resiliencia de un servicio esencial, además de otras cuestiones como la obligación de sistematizar la gestión del riesgo o la coordinación público-privada, de la que tanto se habla pero que no siempre está tan desarrollada como debiera. Para el sector de las telecomunicaciones será relevante porque hay una mayor exigencia en el análisis y la planificación, a la vez que hay una mayor exigencia en la disciplina, en pruebas y evidencias, y también en la gobernanza. En nuestro caso, una vez leída la norma y analizada por los departamenLa clave es tener un método y que esté muy entrenado. Para eso es fundamental la detección rápida y la valoración inmediata. Eso lo tenemos muy bien articulado con las diferentes áreas que están representadas en nuestro sistema de continuidad de negocio. La comunicación de una prealerta, incluso antes de superar los umbrales, es casi inmediata. También aquí nos estamos apoyando en la tecnología, mediante IA y desarrollos tecnológicos que nos ayudan en la detección temprana para realizar una valoración inmediata del impacto, del alcance, de los umbrales que tenemos establecidos e incluso antes, para activar nuestro sistema de gestión de crisis. Esto es lo más importante y hay que trabajarlo en “tiempos de paz”, definiendo los roles que tiene que haber dentro de cada área. También tenemos, dentro del governance de la compañía, un comité de continuidad de negocio, que dirijo yo, con capacidad operativa para tomar decisiones en caso de necesidad. Aunque las áreas están ya muy preparadas, trabajadas en simulacros, formaciones y demás, en caso de necesidad tenemos un comité de crisis, que igualmente dirijo yo, que puede tomar decisiones. En tura muy distribuida, y con el 5G más aún. Tenemos miles de emplazamientos con múltiples tecnologías, con una operación 24/7; y tenemos que gestionar el riesgo de terceros, la energía, la logística, los fabricantes, el software… Estamos en un escenario donde tenemos que gestionar muchos riesgos que, en realidad, pertenecen a terceros y donde el fraude y el abuso de identidad impactan directamente en nuestros clientes y su confianza. Por tanto, el enfoque tiene que ser integral, en el que no solo hablemos de seguridad física o seguridad lógica, sino que hablemos de una única seguridad mucho más estratégica y que esté alineada con la continuidad de negocio para asegurar el servicio a nuestros clientes. ¿Cuáles son las claves para abordar el problema de la cadena de suministro? En MasOrange tenemos lo que denominamos un plan de proveedores. Hemos analizado cuáles son nuestros proveedores críticos y establecemos una serie de controles sobre ellos, incluso contractualmente. Son controles de ciberseguridad, pero también otros como, por ejemplo, de continuidad de negocio, con los que nos tienen que demostrar, más allá de las acreditaciones formales, que el servicio que nos dan es el adecuado en caso de una crisis. Ese proceso de análisis que les hacemos nos permite saber cuáles son los posibles riesgos que tenemos con el proveedor en cuestión, pero también nos permite conocer mucho mejor a este partner para, en caso de necesidad, dar una respuesta casi inmediata. En definitiva, somos conscientes de la dependencia que tenemos; nosotros también somos proveedores de otras compañías. ¿De qué manera actúan a la hora de gestionar crisis que estén lideradas desde el departamento de Seguridad? José Antonio Vázquez con parte del equipo de seguridad de MasOrange.
RkJQdWJsaXNoZXIy MTI4MzQz