Tras su nombramiento como presidente de CEUSS, ¿cuáles van a ser los principales objetivos y grandes temas que ocuparán a la asociación en esta nueva etapa?
Con el nombramiento de esta nueva junta, hemos renovado la ambición clara de las juntas de gobierno anteriores: reforzar el papel del usuario de seguridad como actor clave dentro del ecosistema sectorial. Representamos a las más grandes empresas, públicas y privadas, con mucha responsabilidad para con la sociedad. Muchas de ellas proveen servicios críticos, estratégicos o esenciales, y la seguridad forma parte intrínseca de su negocio, transversal a la organización.
Nuestros objetivos se estructuran en torno a tres grandes ejes. En primer lugar, impulsar una mayor participación del usuario en el desarrollo regulatorio; es necesario que la normativa incorpore una visión práctica, operativa y estratégica, que tenga en cuenta los retos reales a los que nos enfrentamos las empresas.
En segundo lugar, reforzar el posicionamiento estratégico de la función de seguridad dentro de nuestras organizaciones, consolidándola como un elemento clave, entre otras, para la gestión de crisis y la resiliencia.
Y en tercer lugar, avanzar hacia modelos de contratación más eficientes y sostenibles, que permitan alinear mejor los objetivos de seguridad con la realidad del mercado y la calidad del servicio.
En esta nueva etapa también pretendemos conseguir una mayor visibilidad y capacidad de interlocución de CEUSS, no solo con la Administración, sino también con el resto de los actores del sector. Entendemos que esta es la mejor forma de contribuir a un modelo de seguridad más equilibrado y adaptado al contexto actual.
Ese planteamiento ya se traduce en iniciativas de interlocución institucional, intercambio de experiencias entre asociados y promoción de espacios de trabajo sobre cuestiones regulatorias y operativas de especial impacto para el usuario.
Como señala, CEUSS aglutina a grandes empresas, muchas de ellas consideradas críticas o estratégicas. ¿Cuáles son las principales preocupaciones en relación con su protección frente a las amenazas actuales?
Creo que el principal rasgo del entorno operacional actual es la complejidad. La tipología de las amenazas ha evolucionado hacia modelos híbridos, mucho más dinámicos y de difícil encasillamiento en categorías tradicionales. Las organizaciones nos enfrentamos a escenarios donde convergen riesgos físicos, cibernéticos, medioambientales, reputacionales, etcétera, en un contexto geopolítico de sobra conocido, con potenciales impactos de alta afectación sobre nuestros procesos y las cadenas de suministro.
En este contexto, una de nuestras principales preocupaciones es la capacidad de anticipación. La gestión de la seguridad ya no puede limitarse a reaccionar ante incidentes, sino que debe orientarse a prever escenarios, identificar vulnerabilidades y fortalecer la resiliencia organizativa. Esto nos obliga a mejorar las capacidades de análisis de la información, la generación de inteligencia de calidad y la integración de la seguridad en los procesos de toma de decisiones de nuestras organizaciones.
Además, crece nuestra preocupación por las interdependencias entre operadores y la creciente dependencia de terceros. Las recientes disrupciones que hemos sufrido ya no se producen de forma aislada, sino que se propagan rápidamente entre sectores. Esto nos obliga a adoptar una visión sistémica del riesgo, al mismo tiempo que sitúa la resiliencia operativa como un elemento central en nuestras agendas.
“Las empresas esenciales son objetivo de actores maliciosos por ser uno de los pilares de la seguridad nacional; de ahí la necesidad de que el sector público articule mecanismos de mejora”
CEUSS representa a las empresas que contratan la seguridad. ¿Hasta qué punto el usuario es el gran olvidado del debate regulatorio en España? ¿Por dónde pasan las soluciones?
El debate regulatorio está muy centrado en los proveedores de servicios, los fabricantes de tecnología, etcétera, mientras que el punto de vista del usuario tiene una presencia más que limitada. Sin embargo, es el usuario quien finalmente integra las soluciones, asume el riesgo, responde ante incidentes…; en definitiva, quien soporta sus consecuencias operativas, económicas y reputacionales. Por ello, consideramos imprescindible nuestra participación activa.
Podemos afirmar que el usuario está infrarrepresentado en el contexto normativo. A mi entender, esto no responde a una exclusión intencionada, sino a una inercia del propio sector. No obstante, el contexto actual hace evidente la necesidad de revisar este enfoque.
La solución pasa por estructurar un modelo de diálogo más equilibrado, en el que todas las partes –Administración, usuario, proveedores, fabricantes, etc.– participemos de manera coordinada. El usuario puede aportar una visión operativa fundamental para definir estándares realistas, evitar sobrecargas regulatorias innecesarias y garantizar que las obligaciones sean aplicables en entornos complejos. Precisamente por eso, CEUSS viene actuando como canal de transmisión de propuestas e inquietudes de los usuarios ante las administraciones y organismos competentes.
En definitiva, se trata de evolucionar hacia una gobernanza más inclusiva y orientada a resultados. Pero, sinceramente, no soy muy optimista.
El proyecto de Ley de Protección y Resiliencia de Entidades Críticas redefine el modelo actual. ¿Qué medidas son más relevantes y qué aspectos deberían mejorarse?
Creo que el proyecto de ley representa un avance significativo al introducir un enfoque centrado en la resiliencia: asegurar la prestación del servicio esencial de la infraestructura crítica por parte de la entidad crítica, que va más allá del enfoque de protección de infraestructuras críticas propio de la Ley PIC. Este cambio de paradigma es especialmente relevante, ya que incorpora la prevención, protección, respuesta, mitigación, resistencia, absorción, adaptación y recuperación como elementos esenciales e integrados.
Este nuevo enfoque se ve enriquecido con el reconocimiento de las interdependencias entre sectores, que refleja de forma más fiel la realidad de nuestros procesos y de las cadenas de suministro que les dan soporte.
No obstante, desde la perspectiva del usuario, es necesario profundizar en algunos aspectos: los umbrales de los efectos perturbadores significativos, el alcance del plan de resiliencia, la periodicidad de la auditoría de certificación, la definición del área de seguridad…
Necesitamos tener claridad en la implementación de esta ley. Las organizaciones necesitamos criterios homogéneos para poder planificar la ingente inversión en recursos que nos exigirá la adecuación a la nueva ley. Asimismo, una vez más –y en este caso aún más–, la coordinación será determinante para el éxito del modelo.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de esta entrevista.
¿Quieres leer el contenido completo?






