Gestión de la seguridad de la información
| Hitos relevantes durante 2018 |
Principales retos para 2019 |
| Revisión del catálogo de amenazas de Seguridad de la Información |
Definición de un Modelo de Seguridad Integral (física y de la Información) que permita una respuesta óptima a amenazas híbridas |
| Implantación de medidas de mitigación de riesgos en materia de confidencialidad, integridad y disponibilidad de la información |
| Revisión del procedimiento de gestión de incidentes críticos en Cellnex España y comprobación de su eficacia |
| Realización de campañas de concienciación para reforzar buenas prácticas de seguridad de la información |
El sector de las telecomunicaciones necesita blindarse de una gran variedad de amenazas de diversa índole a fin de poder proveer de un servicio estable y de calidad a sus clientes. Por ello, Cellnex ha venido haciendo especial hincapié en el ámbito de la seguridad, ya sea física o de la información, llevando a cabo gran cantidad de actividades encaminadas a evitar y mitigar cualquier posible amenaza que pueda afectar a su servicio.
De esta forma, durante 2018 Cellnex ha estado preparándose para el desarrollo de un Plan Integral de Seguridad que abarque todos los aspectos de seguridad corporativa independientemente al tipo de amenaza, ya sea física, de la información, o híbrida, durante 2018 se han llevado a cabo una serie de acciones encaminadas a este fin:
- Revisitar y refinar el catálogo de amenazas de Seguridad de la Información, de manera que permitan definir controles más precisos que mitiguen la posibilidad de ocurrencia de las mismas, así como su impacto en caso de materializarse
- Implantar medidas de mitigación de riesgos en materia de confidencialidad, integridad y disponibilidad de la información. Estas han sido incluidas en el Plan Director de Seguridad de la Información, que recogía 9 programas de seguridad que han sido implantados a lo largo de 2018, y que han sido identificadas dentro del Plan de Acción asociado al Mapa de Riesgos de Seguridad de la Información.
- Revisar el procedimiento de gestión de incidentes críticos de Cellnex España y comprobar su funcionamiento y eficacia mediante la realización de ciberejercicios de seguridad.
- Realizar campañas de concienciación dirigidas a todos los empleados de Cellnex, a fin de reforzar mensajes de buenas prácticas en Seguridad de la Información.
PROGRAMAS DEL PLAN DIRECTOR DE SEGURIDAD
INFORMACIÓN DEL CONSEJO
Prevención de fuga de datos y protección de la información utilizada por el Consejo de Cellnex.
MOVILIDAD
Establecer controles de seguridad y aplicarlos de manera homogénea en las diferentes tecnologías de dispositivos móviles/ portátiles.
CONTROL DE ACCESO
Clasificar la información e implementar medidas de seguridad para su manejo (encriptación, acceso remoto, política de almacenamiento de datos, etc.)
FORMACIÓN Y CONCIENCIACIÓN
Reforzar los mensajes de ciberseguridad como parte de la campaña anual de concienciación sobre ciberseguridad realizada por Cellnex.
CUMPLIMIENTO LEGAL
Análisis del impacto legal de nuevas leyes y regulaciones aplicables a los sistemas de Cellnex.
GOBIERNO CORPORATIVO Y SEGURIDAD TECNOLÓGICA
Mejora continua de os procesos y de la infraestructura IT para asegurar la seguridad ante las amenazas existentes y futuras de Cellnex.
INTERNACIONAL
Definición y desarrollo de un Marco Común de Ciberseguridad (Políticas y Infraestructura IT) para la corporación de Cellnex y sus unidades de negocio.
CONTINUIDAD DEL NEGOCIO
Mejora continua de los procesos del negocio (Análisis de impacto, Plan de Recuperación de Desastres, etc.).
Gracias a estas acciones, durante 2018 no ha habido en España ni en Italia filtración alguna, robo o pérdida de información, así como tampoco se ha recibido reclamación alguna en relación a la Seguridad de la Información y la protección de datos. Durante 2019 continuará desarrollándose el nuevo Plan de Seguridad Integral que aúne seguridad física y de la información, de manera que pueda ofrecer una respuesta óptima a amenazas híbridas (aquellas que se producen simultáneamente mediante canales lógicos y actuaciones físicas).
Cellnex cuenta con una política de seguridad de la información que recoge el compromiso de la compañía en esta materia, los pasos necesarios para identificar y proteger los activos de información, así como asegurar el cumplimiento de las normativas y regulaciones aplicables. Igualmente, desde 2011 la compañía cuenta con un Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001.
En el marco de este Sistema de Gestión se mantiene un mapa de información a partir del cual se identifican y evalúan los riesgos, con el fin de aplicar la estrategia de tratamiento del riesgo más adecuado para cada caso, y definir planes de acción para la mitigación de los mismos, cuando se considere necesario, en términos de confidencialidad, integridad y disponibilidad de la información.
En cuanto a los datos personales gestionados por la compañía, el pasado 25 de mayo, entró en vigor el nuevo Reglamento general de protección de datos (RGPD), por lo que varias modificaciones han sido necesarias dentro del Grupo para su correcta adaptación. Entre las medidas más novedosas que contempla el Reglamento General, destaca el nombramiento obligatorio de un Data Protection Officer (DPO), al que Cellnex ha dado respuesta a través del nombramiento de José Mª Miralles, Director de Asuntos Legales de la compañía. Este, asume y ejerce las funciones de DPO de Cellnex reportando periódicamente al Comité de Ética y Compliance el estado de implantación y cumplimiento del RGPD en las compañías del Grupo. Gracias a la correcta aplicación de la antigua normativa europea y al sistema maduro y robusto con el que ya contaba la compañía, dicha adaptación ha sido rápida y efectiva.
GRI: 416-1, 418-1
