"España está en los puestos de cabeza de ciberseguridad de la Unión Europea"
Joaquín Castellón, Ciso de Navantia, narra los pormenores de la ciberseguridad de su compañía, considerada infraestructura crítica.
¿Cómo se estructura la estrategia de ciberseguridad de Navantia?
Ahora mismo nos encontramos en plena reestructuración. Estamos inmersos en el proyecto CiberNavantia que consiste en varias líneas de acción orientadas a mitigar riesgos y a fortalecer las capacidades de protección de nuestros barcos y sistemas militares. Este plan supone una pequeña revolución. La primera línea pasa por elaborar una estrategia compuesta por una revisión de políticas y riesgos. Por otra parte, tenemos un plan de prevención de fugas de información con un inventario de nuestros activos, de sus flujos y estamos estudiando la implementación de medidas de prevención. En tercer lugar, y como estamos en medio de un proceso de transformación digital muy potente, nos encontramos elaborando un marco de seguridad IT y OT, el proyecto Astillero 4.0. Luego tenemos un plan de securizacion especial para los programas militares y tenemos previstas técnicas de hacking ético para descubrir vulnerabilidades. Asimismo, vamos a realizar un ejercicio corporativo para comprobar nuestras gestiones de crisis y nuestra estructura.
Navantia, considerada infraestructura crítica, cuenta con el respaldo de 300 años de historia. ¿En qué momento se empieza a ver la ciberseguridad como un eje estratégico de acción?
El proceso es similar al de otras compañías. Esta historia no viene de muy lejos. Hasta hace no muchos años la ciberseguridad era algo secundario para cualquier empresa. Pero ahora tiene gran peso, y las corporaciones hemos actuado a reacción, sufriendo incidentes, ya sean propios o ajenos. Yo creo que WannaCry supuso una puesta al día general. Las direcciones se dieron cuenta de que eso le podía pasar a cualquiera. En nuestro caso, la ciberseguridad es fundamental porque nuestros riesgos cibernéticos son altos, también por nuestro carácter tecnológico y militar. Esto nos da más condicionantes. Manejamos información que son competencias de estados.
¿De qué modo influye la compañía en la ciberseguridad nacional de España?
Nosotros enfocamos la seguridad en tres áreas: física, digital TI y OT y de la información. En un proceso de elaboración de un barco recibimos información clasificada del Gobierno de España o de cualquiera que contrate nuestros productos. Ese tratamiento está sujeto a reglas que impone el propio Estado, es decir, la Oficina Nacional de Ciberseguridad del Centro Nacional de Inteligencia (CNI), y el Centro Criptológico Nacional (CCN-Cert). Estos nos marcan las pautas de cómo tratar los datos. A su vez, nosotros generamos aún más información clasificada en el desarrollo de nuestros proyectos.
Acceda a la entrevista completa en este enlace
