Araceli González Directora de Seguridad CorporativaVodafone

"Hay que construir estructuras organizativas capaces de resistir y seguir funcionando incluso bajo presión extrema"

Araceli González, de Vodafone, responde en esta entrevista sobre cómo ve la seguridad corporativa en su compañía.

Los últimos cinco años han estado marcados por multitud de complejidades. Desde la pandemia al apagón, pasando por un cambio de propiedad, Vodafone España ha debido adaptarse a cada situación. Al frente de la Seguridad Corporativa de la compañía ha estado durante ese tiempo Araceli González, con quien analizamos las necesidades actuales para que las empresas sean resilientes, el impacto normativo sobre entidades críticas o los retos de las nuevas tecnologías.

Ha cumplido un lustro al frente del Departamento de Seguridad Corporativa de Vodafone España. ¿Cuáles son los pilares del área que dirige para hacer frente a los riesgos y amenazas de la compañía?

Han sido cinco años intensos en los que hemos tenido que trabajar en un entorno externo retador (COVID 19, guerra de Ucrania, crisis energética, volcán de La Palma, DANA, apagón…), a lo que hay que añadir un cambio de modelo organizativo y operativo al dejar de ser parte de Vodafone Grupo.

Hay tres aspectos que considero fundamentales a la hora de gestionar los riesgos y amenazas, tanto internos como externos. Uno, la concienciación a todos los niveles de la compañía, desde la alta dirección hasta los jóvenes recién incorporados. Tratamos de fomentar una cultura donde la seguridad sea una prioridad para todos los miembros de la organización.

Otro aspecto es el uso eficiente de recursos. Es necesario tener muy claras las prioridades en las que poner el foco y el impacto de la materialización de las amenazas para conseguir el máximo de eficiencia. En un sector como el nuestro, hay que pensar en soluciones imaginativas y novedosas que permitan ser rápidos a la hora de resolver los problemas y de gestionar los riesgos, pero ajustándose a presupuestos cada vez más exigentes.

Y tercero, la cooperación con otras áreas. La seguridad es un concepto integral; no podemos trabajar de forma aislada sin tener en cuenta las necesidades de otros departamentos, así como sus requisitos. Trabajamos con todas las áreas de la compañía, aportando valor al negocio y garantizando que los productos y servicios que ofrecemos a nuestros clientes son seguros.

¿Cómo está estructurado el departamento de Seguridad de Vodafone, teniendo en cuenta que usted es también responsable de la Asesoría Jurídica Interna?

El departamento que dirijo tiene dos áreas, Seguridad Corporativa y Asesoría Jurídica Interna. Aunque puede parecer que son equipos que no tienen mucho que ver, la realidad es que constantemente surgen temas comunes y, a la vez, nos apoyamos continuamente en las tareas que realizamos. El área de Seguridad, en sus diferentes vertientes, da soporte al área Legal en la preparación de contratos, demandas de clientes, identificación de amenazas, etc.; y al mismo tiempo, el equipo de Asesoría Jurídica nos aporta esa visión de cumplimiento normativo y conocimiento del negocio que contribuyen a crear un entorno seguro.

El sistema de protección de entidades críticas está redefiniéndose a través de la trasposición de las Directivas CER y NIS 2, entre otras normas de seguridad cibernética, ¿cómo afrontan en Vodafone esta profusión normativa?

La existencia de normas y regulaciones debe ser entendida como una ventaja estratégica que ayuda a las organizaciones a estar mejor preparadas. En Vodafone, ya contamos con certificaciones en seguridad (ISO 27001, ENS, ISO 22301…) que nos permiten afrontar la trasposición de estas directivas con la tranquilidad de que la mayor parte del trabajo ya está hecho. Los clientes demandan cada vez más que los productos y servicios que contratan cumplan con unos estándares elevados de seguridad, y en este sentido la implementación de estas normativas es fundamental para garantizar este cumplimiento.

Es importante remarcar la necesidad de simplificar los aspectos comunes a todas las normativas (canales únicos de reporte de incidentes, umbrales de notificación etc.), de evitar burocracia adicional a las organizaciones (mediante la convalidación de esquemas de certificación que ya están siendo utilizados) y reforzar la colaboración público-privada, algo que ha quedado de manifiesto en los últimos eventos que desafortunadamente han acontecido en nuestro país.

Respecto a ese nuevo marco sobre resiliencia de las entidades críticas, ¿qué aspectos considera más positivos y qué otros le plantean dudas?

El anteproyecto de Ley de Protección y Resiliencia de las Entidades Críticas supone un cambio de enfoque radical. Pasamos de un modelo basado en la protección (física y lógica) de las infraestructuras a un modelo que pone el foco en la resiliencia del servicio esencial, algo que desde nuestro punto de vista refleja mucho mejor la necesidad de proteger los productos y servicios que es imprescindible asegurar en situaciones de peligro para la sociedad.

Es importante también destacar la visión completa de los riesgos y amenazas. La inclusión del impacto climático es importante y necesario para una correcta gestión de eventos relacionados con desastres naturales que, desgraciadamente, cada vez tienen mayor probabilidad de ocurrencia y cuyo impacto es devastador.

En cuanto a las dudas que surgen en torno a su implementación, ya hemos comentado que es crítico minimizar la burocracia, facilitar el reporte unificado de los incidentes y reforzar la colaboración de los sectores público y privado.

«El enfoque de resiliencia refleja mucho mejor la necesidad de proteger los productos y servicios que es imprescindible asegurar en situaciones de peligro»

La seguridad de la cadena de suministro es uno de los temas centrales en la regulación actual. ¿Cómo deben abordar las compañías la protección de sus proveedores, tanto desde la perspectiva de la seguridad física como de la ciberseguridad?

Los incidentes que tienen su origen en la cadena de suministro han pasado a los primeros puestos en la gestión de riesgos por su relevancia e impacto (brechas de datos, rotura de suministro, riesgos relacionados con la seguridad nacional…). En organizaciones grandes, el volumen de proveedores es enorme y es necesario tener un marco de gestión ordenado y que nos permita priorizar acciones de mitigación.

En nuestra organización, identificamos los proveedores que dan servicio a los procesos críticos resultado de la fase del BIA (Business Impact Analysis). Hay varias líneas de trabajo con este tipo de proveedores, envío de cuestionarios de continuidad, identificar qué tipo de datos se intercambian, dónde se encuentran alojados, asegurar que las cláusulas de seguridad se encuentran actualizadas y debidamente firmadas… Es un ciclo de mejora continua y, en algunos casos, lo completamos con auditorías y con la preparación de ejercicios conjuntos.

Araceli González, Vodafone

¡Sigue leyendo!

Aquí te hemos mostrado tan solo una parte de este contenido.

¿Quieres ver la entrevista completa?

Leer Completo
Contenido seleccionado de la revista digital