"En Metro de Madrid la ciberseguridad es un proceso global, transversal e integral"

Metro de Madrid es un servicio esencial para los habitantes de la capital que está apostando por la digitalización, tanto de los procesos internos como para los usuarios. En este contexto, ¿qué relevancia le otorga la dirección de la entidad a la ciberseguridad?

Desde hace ya años, la dirección de Metro de Madrid es plenamente consciente de que la ciberseguridad es un aspecto vital para alcanzar los objetivos de negocio. Por eso, ha apostado firmemente por la ciberseguridad, está comprometida con ella y la considera un eje estratégico.

En el año 2017, con todos los cambios normativos que venían, sobre todo en el ámbito de la protección de infraestructuras críticas y de las redes y sistemas de información, iniciamos un par de proyectos corporativos estratégicos: uno orientado a la seguridad física y otro a la ciberseguridad del ámbito PIC. Con esos proyectos, las áreas responsables de dichos ámbitos comenzamos a tener más acercamiento a la dirección y empezó a generarse mucha más conciencia sobre la importancia de la ciberseguridad.

¿Cuáles son las bases del modelo de seguridad de Metro de Madrid? ¿Cómo abordan la seguridad en términos generales y, en concreto, la ciberseguridad?

Para nosotros la ciberseguridad es un proceso global, transversal e integral. Así lo abordamos desde hace bastantes años, pero sobre todo a partir de 2020, cuando la dirección apostó por unificar organizativamente toda la gestión de sistemas, IT-OT y comunicaciones. Eso ha facilitado una visión transversal e integral de la ciberseguridad.

Ese modelo, por encima de todo, está basado en una gestión eficiente de los riesgos. En función de la valoración del riesgo, siempre buscamos el equilibrio entre las medidas y controles de protección y la consecución y desarrollo de los objetivos de negocio.

¿Cuáles son los pilares del gobierno de la ciberseguridad en Metro de Madrid y con qué estructura cuentan para cubrir sus necesidades en este ámbito?

Los pilares, principios y objetivos que marcan la ciberseguridad de Metro de Madrid, que están recogidos en nuestra política de ciberseguridad, son: liderazgo por parte de la dirección, cumplimiento legal y normativo, gestión eficiente de los riesgos, la implementación de soluciones coordinadas y multidisciplinares, el concepto de anticipación y prevención, la resiliencia, la responsabilidad compartida, la formación y concienciación a todos los niveles y, en definitiva, garantizar la prestación del servicio de transporte. Nuestro leitmotiv es promover la idea de un Metro de Madrid protegido digitalmente.

«Nuestro ‘leitmotiv’ es promover un Metro de Madrid protegido digitalmente»

En cuanto al modelo de gobierno, tenemos una estructura articulada en tres niveles: uno estratégico, otro táctico y otro operativo. Los dos primeros están estructurados a través de un Comité de Ciberseguridad, que se desdobla en estratégico y en táctico. El estratégico tiene relación directa con el Comité de Dirección de la empresa, donde están representadas todas las figuras de ciberseguridad que tenemos definidas internamente.

Por otro lado, también está el nivel operativo, desde el que llevamos a cabo la gestión operativa de la ciberseguridad. Este nivel está centrado en la coordinación de Seguridad Informática y Ciberseguridad (de la que soy responsable), que a su vez está enmarcada organizativamente dentro del Área de Comunicaciones y Tecnologías de Información, que forma parte de la División de Instalaciones y Sistemas de Información.

¿Hasta qué punto se ha digitalizado Metro de Madrid, tanto internamente como de cara al usuario?

Transformación digital ha habido, hay y seguirá habiendo en el futuro cercano de Metro de Madrid. La transformación ha sido muy significativa internamente en los últimos cinco años, desde aspectos tan sencillos como la automatización de procesos hasta otros más complejos. Aunque no tenga tanto que ver con ciberseguridad, uno de los cambios más significativos de los últimos años ha sido la implementación de las tablets de estación; es decir, todos esos procesos de trabajo que los supervisores comerciales de las estaciones hacían antes mediante libros, ahora los hacen a través de dispositivos electrónicos, en los que la ciberseguridad está presente en todo momento.

También hemos hecho cosas relacionadas con robotización, automatización de procesos, data mining, big data, análisis de datos, etc., sobre todo para la toma de decisiones. Y aunque aún no estamos en ello, ya empieza a irrumpir la inteligencia artificial.

De cara al usuario, cada día se ofrecen más servicios digitales. Basta con ver la app oficial de Metro de Madrid, donde el usuario dispone de servicios, información, cálculo de trayectos, notificación de incidencias…

Evidentemente, todo esto tiene su repercusión en la ciberseguridad, lo cual nos lleva a estar en constante evolución, participando activamente en los proyectos desde sus fases iniciales, siempre desde la perspectiva del análisis de riesgo. Trabajamos con una orientación clara hacia la mejora o incorporación, por un lado, de la ciberseguridad desde el diseño y, por otro, de capacidades de prevención y detección, e incluso de análisis e identificación. Por supuesto, también trabajamos en medidas de contención, mitigación y respuesta ante cualquier incidente.