Ferrovial en 2023

Ciberseguridad

ACTIVOS PROTEGIDOS

La importancia estratégica de los productos y servicios digitales (IT), de los sistemas industriales (OT), de los activos conectados a internet (IoT) y de la información que se genera y utiliza en todos los procesos y operaciones que soportan las actividades del negocio son determinantes para la creación de valor para los grupos de interés.

Ferrovial ha consolidado una estructura organizativa adecuada, un modelo de seguridad robusto y ha asignado los recursos necesarios para garantizar la confidencialidad, integridad y disponibilidad requeridas por sus activos digitales.

100
%
Incidentes de seguridad gestionados satisfactoriamente
127565
Correos de simulacros de phishing recibidos por empleados
7858
Usuarios únicos incluidos en simulacros de phishing
6083
Correos sospechosos de phishing reportados mensualmente por usuarios
24454
Acciones formativas completadas por usuarios
13375
Accesos bloqueados mensualmente a dominios maliciosos
80195
Correos phishing y maliciosos, bloqueados mensualmente
7294
Intentos de acceso a recursos corporativos bloqueados mensualmente con origen malicioso o no confiable (media de noviembre y diciembre)

GOBIERNO

Ferrovial dispone de un modelo de Gobernanza de Ciberseguridad alineado con el negocio que soporta el cumplimiento de los objetivos de la compañía. El modelo considera clave disponer de un adecuado programa de gestión de riesgos de Ciberseguridad, así como unas capacidades (controles) de Ciberseguridad que permitan gestionarlo.

Con carácter anual se realiza una evaluación de riesgos de Ciberseguridad en todas las unidades de negocio y compañías filiales de Ferrovial, evaluando la exposición de los activos de la compañía a las ciberamenazas y el impacto que pueden causar en ellos. También se evalúa el nivel de cumplimiento de las capacidades de Ciberseguridad y se exige elaborar un roadmap para garantizar que el nivel de riesgo se mantiene dentro de los umbrales de aceptación conforme al apetito de riesgo definido por la Compañía.

Los Órganos de Gobierno de Ferrovial supervisan el nivel de riesgo de Ciberseguridad de forma periódica y dan seguimiento a la consecución del roadmap y velan por la provisión de los recursos en caso de que éstos fueran necesarios.

Ferrovial dispone de un Global Chief Information Security Officer (CISO) así como de Local CISO, designados para sus respectivas divisiones y filiales. Se han definido sus roles y responsabilidades en materia de Ciberseguridad, así como el modelo de relación y reporte entre las diferentes unidades de negocio.

El Global CISO, reporta periódicamente al Comité de Dirección de Ferrovial, a los Comités de Dirección de las divisiones, informando generalmente sobre la estrategia y el programa de seguridad, así como sobre los principales riesgos y amenazas de seguridad.

El Global CISO, bajo demanda de la Comisión de Auditoría y Control, proporciona información sobre la estrategia y el programa de seguridad, sobre el nivel de control interno, sobre los principales riesgos y amenazas de seguridad y cómo están siendo gestionados. Además, reporta periódicamente al Consejo de Administración, proporcionando información acerca de la estrategia, del programa de seguridad y de los principales riesgos y amenazas de seguridad, así como sobre su gestión.

A lo largo de 2023 se fortalecieron las capacidades avanzadas de protección ante amenazas y se impulsaron acciones de formación y concienciación encaminadas a mantener una adecuada cultura en materia de ciberseguridad. Se implementaron mejoras en la seguridad en el ciclo de vida de productos y servicios digitales, así como en la gestión de riesgos asociados a la cadena de suministro y las capacidades de detección y respuesta en entornos industriales.

La Inteligencia Artificial (IA) ha sido protagonista a lo largo de 2023 continuará siéndolo durante 2024 en las diferentes perspectivas en las que Ferrovial está trabajando: como transformador de la operación del negocio, analizando cómo protegerse ante las nuevas capacidades que ofrece a de los agentes amenaza y como potencial herramienta de apoyo a la Ciberseguridad.

Durante 2024, de cara a preparar la cotización de Ferrovial en el Nasdaq, se continuarán llevando a cabo los programas estratégicos destinados a la adaptación de los requisitos técnicos y organizativos requeridos por Sarbanes-Oxley (SOX) que comenzaron a mediados del 2023, así como a las SEC Final Rules on Cybersecurity.

 

MODELO

La Política Corporativa de Ciberseguridad, aprobada por el CEO, aplica a todas las divisiones y filiales. Se estructura en torno a un conjunto de principios y objetivos que refuerzan la estrategia de negocio. Se implementa a partir del Modelo de Seguridad basado en organización, personas, procesos y tecnologías, formalizado en un Cuerpo Normativo de Seguridad que toma como referencia las mejores prácticas del mercado, destacando el NIST CSF y el estándar ISO 27001 (Ferrovial está certificado desde 2012).

El Modelo de Ciberseguridad sigue el principio de mejora continua ISO 27001 (Plan, Do, Check, Act). La estrategia se implementa mediante un programa que comprende iniciativas que habilitan nuevas capacidades o mejoran las existentes. Se supervisa periódicamente por los órganos de gobierno de Ferrovial y se toman como referencia los resultados de auditorías y revisiones, el cumplimiento de los KGIs y KPIs de seguridad o nuevas amenazas de ciberseguridad.

La compañía evoluciona y adapta de forma continua su estrategia de ciberseguridad, a través de sus capacidades de protección, detección y respuesta para hacer frente a la evolución del horizonte de ciberamenazas, con especial atención a la mayor sofisticación y repercursión mediática de los ataques de ransomware, compromiso del correo electrónico (BEC) o de la cadena de suministrola instrumentalización de IA en ataques dirigidos de phishing, smishing, vishing o QRishing.

CULTURA

Durante 2023 Ferrovial ha apostado por evolucionar la cultura de ciberseguridad, sistematizando e incrementando la visión de la misma dentro de la compañía. Para ello, se ha adoptado un enfoque user-centric, conforme a las necesidades de su función y contando con la participación activa de los usuarios, identificando y reportando los correos sospechosos recibidos.

PRUEBAS DE SEGURIDAD DE PHISHING

Se ha incrementado la frecuencia de los simulacros de phishing contando con sus distintas variantes: vishing, smishing y QRishing, que han pasado a realizarse quincenalmente. Tras los simulacros, se mide el nivel de riesgo de sufrir este tipo de ataques y se adaptan los siguientes ciclos de formación, concienciación y entrenamiento a las necesidades específicas identificadas.

A los usuarios se les proporciona la visión de su propio rating de riesgo, y del rating de riesgo de las personas de su equipo. Este riesgo se nutre del rol en la compañía y de la información de cultura en ciberseguridad, entre la que se encuentra, la actuación en los simulacros y su participación en las acciones formativas realizadas.

PUNTUACIÓN DE RIESGO PERSONAL

Cabe destacar que actualmente se cuenta con la capacidad de medir y analizar el nivel de cultura de ciberseguridad en tiempo real, facilitando acciones de concienciación específicas con alto nivel de granularidad.

Dentro del apartado de formación, los usuarios han completado distintas acciones formativas, tanto de carácter general, como específicas según los requerimientos derivados del rol en la compañía, nivel de riesgo, ciberataques puntuales, etc.

La gestión de la cultura de seguridad se realiza con una plataforma específica, que aúna gestión de simulacros, gestión formativa (LMS) y medición de cultura de ciberseguridad.

La compañía utiliza correo electrónico, la intranet y Yammer como medios preferentes para publicar noticias y píldoras relevantes en materia de seguridad. Estos medios incluyen información y pautas de actuación sobre las amenazas más comunes a las que se enfrentan los empleados, tanto en su desempeño profesional como en el ámbito privado.

CUMPLIMIENTO LEGAL, REGULATORIO Y CONTRACTUAL

El área de Cumplimiento de Seguridad, integrada en la Dirección de Ciberseguridad, es responsable de identificar la legislación aplicable y los requisitos de seguridad necesarios para garantizar el cumplimiento en esta materia.

Las normativas más relevantes cubiertas por el Modelo de Seguridad son, sin carácter enumerativo, las siguientes: el Reglamento General de Protección Datos (RGPD y LOPDGDD), el Sistema de Control Interno de la Información Financiera (SCIIF), la normativa SWIFT (Society for Worldwide Interbank Financial Telecommunication), la Directiva NIS, el Modelo de Prevención de Delitos tipificados en el Código Penal, el Esquema Nacional de Seguridad (ENS), la ISO 27001 y las diferentes regulaciones locales de las geografías en las que opera Ferrovial relativas a la protección de servicios esenciales e infraestructuras críticas. Cuando se identifican nuevas normas o modificaciones de los requisitos de las ya identificadas, se actualiza el Modelo de Seguridad. Asimismo, se han implantado programas específicos de cumplimiento de protección de datos, Código Penal, SCIIF, SWIFT e ISO 27001 y ha comenzado el proceso de adecuación a SOX y a las SEC Final Rules on Cybersecurity.

Asimismo, la Dirección de Ciberseguridad vela por el cumplimiento de los requisitos de seguridad definidos en los pliegos, licitaciones y contratos en los diferentes negocios.

DETECCIÓN, CORRELACIÓN Y CIBERINTELIGENCIA DE AMENAZAS

Para proteger sus centros de datos, perímetros, puestos de trabajo, dispositivos móviles y entornos cloud, la compañía cuenta con dos SOCs (Security Operations Centers). Estos servicios actúan cuando reciben alertas generadas por las herramientas SIEM (Security Information and Event Management) y al detectar casos de uso definidos por la Dirección de Ciberseguridad que implican su activación.

Ferrovial dispone de capacidades de ciberinteligencia que proporcionan información de los agentes de las amenazas y sus técnicas y herramientas, lo que permite el despliegue de controles para evitar el éxito de los ataques.

Asimismo, se han incrementado las capacidades en materia de detección y respuesta. Se han incorporado capacidades de investigación retroactiva, de detección de vulnerabilidades en tiempo real y de protección de la información. Además, se han potenciado los procesos de seguridad aprovechando los avances producidos en inteligencia artificial.

Por último, la compañía mantiene acuerdos formales de colaboración con agencias de ciberseguridad nacionales e internacionales, lo que permite compartir y recibir información relacionada con amenazas e incidentes de ciberseguridad.

RESPUESTA ANTE CIBERATAQUES

La compañía cuenta con un CSIRT (Computer Security Incident Response Team) que interviene cuando los eventos detectados por el SOC pueden convertirse en incidentes de seguridad. Este equipo integra capacidades de DFIR (Digital Forensics and Incident Response) que permiten analizar los eventos para contenerlos, mitigarlos y evitar que se repitan. La identificación de IoCs (Indicators of Compromise) y de TTPs (Tactics, Techniques and Procedures) son claves para mejorar los mecanismos de protección y detección.

Ferrovial dispone de un protocolo de gestión de ciberincidentes que está basado en las mejores prácticas de mercado (Guía Nacional de Notificación y Gestión de Ciberincidentes del INCIBE-CERT, el estándar ISO/IEC 27035, y el Computer Security Incident Handling Guide de NIST. Uno de los elementos clave dentro del protocolo es la comunicación a las partes interesadas (reguladores, autoridades, clientes, etc.) y se han establecido los mecanismos de comunicación considerando los plazos y acuerdos establecidos para ello.

Las capacidades de detección y respuesta se prueban sistemáticamente con simulaciones de Breach & Attack soportadas por tecnologías ya disponibles en el mercado. Cabe destacar que en el transcurso de 2023 no se produjeron vulneraciones materiales de los sistemas de información de Ferrovial.

RESILIENCIA Y CIBERRESILIENCIA

La compañía ha establecido Planes de Contingencia y Planes de Recuperación para responder y recuperarse de eventos disruptivos. El Protocolo de Gestión de Crisis involucra a diferentes direcciones y divisiones de Ferrovial, conforme a los protocolos establecidos para cada una de ellas. Los planes de respuesta y recuperación ante incidentes y eventos disruptivos se prueban al menos una vez al año.

De igual modo, dentro de las actividades propias del proceso Vendor Risk Management (VRM), los proveedores críticos deben aportar evidencias de la realización de pruebas periódicas que garanticen el cumplimento de los acuerdos de nivel de servicio establecidos.

En el transcurso del 2023, Ferrovial ha llevado a cabo distintas iniciativas y simulaciones de tipo tabletop, poniendo a prueba en situación de crisis la estructura organizativa, los procedimientos y las capacidades requeridas en la coordinación de acciones de detección, respuesta y recuperación ante ciberincidentes.

Además, la compañía dispone de una póliza de ciber seguro que ofrece distintas coberturas ante eventos disruptivos y ciberincidentes que puedan producirse en el contexto de la actividad desarrollada por Ferrovial, unidades de negocio y filiales. Entre estas coberturas están la financiera, la de respuesta ante incidentes y la legal.

GESTIÓN DE RIESGOS DE TERCEROS

Ferrovial dispone de un programa para la gestión de riesgos de terceros (VRM) que establece los requisitos de seguridad que éstos tienen que cumplir en función del servicio a prestar para la compañía considerando, entre otras cosas, el nivel de acceso a sus recursos e información.

El programa establece evaluaciones formales de los terceros a lo largo del ciclo de vida de la relación que tienen con Ferrovial. Dichas evaluaciones toman como referencia informes emitidos por terceros, certificaciones, ratings u otras técnicas de auditoría y revisión que proporcionen la información necesaria para determinar el nivel de control y de seguridad de los terceros.

VERIFICACIÓN EXTERNA Y ANÁLISIS DE VULNERABILIDAD

La compañía revisa de forma continua su Modelo de Seguridad para identificar áreas de mejora y vulnerabilidades. Anualmente se realizan auditorías y revisiones de seguridad, entre las que destacan:

  • Auditorías interna y externa, asociadas a la renovación de la certificación ISO 27001.
  • Auditorías de seguridad en el marco de la auditoría de estados financieros (ITGC e ITCC).
  • Autoevaluación de controles ITGC/SCIIF.
  • Auditoría externa SWIFT (Society for Worldwide Interbank Financial Telecommunication).
  • Auditorías realizadas por Auditoría Interna (Tercera Línea de Defensa).
  • SOX IT readiness assessment.
  • Revisiones de seguridad ad hoc conforme a la planificación anual (Red Team, Pentesting, etc.).
  • Ejercicios recurrentes de breach & attack combinado con threat hunting.
  • Revisiones de vulnerabilidades en centros de datos, puestos de trabajo, perímetros y entornos cloud.
  • Revisiones de vulnerabilidades en el código fuente.
  • Revisión del rating de ciberseguridad de Ferrovial.
  • Revisiones de riesgo de seguridad de proveedores (Vendor Risk Management).
  • Simulaciones de crisis (table-top exercises).
  • Campañas de valoración del Modelo de Seguridad.
  • Revisión del nivel de cultura en Ciberseguridad de la compañía.

La Dirección de Ciberseguridad agrupa, asigna, planifica y monitoriza la implementación de los diferentes planes de acción derivados de las evaluaciones, revisiones y auditorías realizadas.