Red Seguridad 103

36 red seguridad cuarto trimestre 2023 monográfico servicios esenciales ver la app oficial de Metro de Madrid, donde el usuario dispone de servicios, información, cálculo de trayectos, notifi- cación de incidencias... Evidentemente, todo esto tiene su re- percusión en la ciberseguridad, lo cual nos lleva a estar en constante evolución, participando activamente en los proyec- tos desde sus fases iniciales, siempre desde la perspectiva del análisis de riesgo. Trabajamos con una orientación clara hacia la mejora o incorporación, por un lado, de la ciberseguridad des- de el diseño y, por otro, de capacidades de prevención y detección, e incluso de análisis e identificación. Por supues- to, también trabajamos en medidas de contención, mitigación y respuesta ante cualquier incidente. ¿Qué proyectos realizados por Metro de Madrid en los últimos años rela- cionados con la ciberseguridad des- tacaría? Hay varios. Por un lado, llevamos a cabo proyectos de mejora de capacidades de detección, protección y respuesta. En ese sentido, una de las líneas en las que estamos trabajando actualmente es el análisis, diseño e implementación de un SOC propio. Esto no solo nos va a permi- tir cubrir nuestras capacidades de detec- ción, sino también de protección, y dar una respuesta mucho más contundente ante situaciones problemáticas. Por otro lado, para nosotros el dato, bien sea interno o de los usuarios, es un aspecto esencial. Por eso trabaja- mos en la implementación de controles y medidas tanto procedimentales como organizativas y técnicas para la protec- ción de la información, así como en la mejora de la ciberseguridad en la cade- na de suministro. Asimismo, estamos llevando a cabo un proyecto coordinado con el Área de Se- guridad Ferroviaria Operacional relacio- nado con la instrucción técnica 50701, que establece requisitos de cibersegu- ridad en el entorno de las aplicaciones ferroviarias. El objetivo es garantizar que las características RAMS (fiabilidad, dis- ponibilidad, mantenimiento y seguridad de los sistemas ferroviarios) no se vean reducidas o comprometidas si ocurre al- gún tipo de ciberataque. Ya que menciona la cadena de sumi- nistro, ¿de qué manera trabajan en Metro de Madrid con sus proveedores para el mantenimiento de unos niveles adecuados de ciberseguridad? La esencia de la seguridad en la cadena de suministro es, en primer lugar, tener identificados a los proveedores clave en aspectos importantes como las infraes- tructuras críticas o los servicios tecnoló- gicos. Por otro lado, hemos incorporado desde hace tiempo requisitos de ciber- seguridad para los proveedores en las contrataciones que hacemos, línea en la que seguimos avanzando. Ahora estamos trabajando en un pro- yecto para afinar más diversos aspectos relacionados con la cadena de suminis- tro, como el reforzamiento del clausulado de las contrataciones, mejoras para velar por que los proveedores cumplan efecti- vamente las medidas de ciberseguridad, mejorar todos los procesos de coordi- nación e integración para la gestión y notificación de incidentes que puedan sufrir ellos y que afecten a los servicios que nos prestan y, finalmente, establecer cómo tienen que ser los procesos de ad- quisición de productos y servicios. Además, llevamos tiempo adecuándo- nos al Esquema Nacional de Seguridad. Esto nos ha venido muy bien porque, por un lado, estamos empezando a solicitar a los proveedores de servicios que tam- bién ellos estén certificados en el Esque- ma, y por otro lado, estamos tomando como referencia para la adquisición de productos la Guía 105 del CCN, el Catá- logo de Productos y Servicios de Seguri- dad de las Tecnologías de la Información y la Comunicación . Hablemos ahora de la ciberseguridad del usuario. ¿Cómo protegen sus da- tos personales teniendo en cuenta el aumento de servicios digitales que co- mentaba anteriormente? En el caso de los usuarios, Metro de Ma- drid aplica el criterio de la mínima infor- mación necesaria para que puedan utili-