ESPECÍFICO DE LA ENTIDAD

Ciberseguridad y Tratamiento de datos

CIBERSEGURIDAD

SBM-1 – POSICIÓN EN EL MERCADO, ESTRATEGIA, MODELO(S) DE NEGOCIO Y CADENA DE VALOR

Activos protegidos

Los productos y servicios digitales (TI), los sistemas industriales (TO), los activos conectados a internet (IoT) y la información generada en los procesos empresariales resultan fundamentales para la creación de valor para nuestras partes interesadas.

100

%

incidentes de seguridad gestionados satisfactoriamente

188.488

Correos de simulacros de phishing recibidos por los empleados anualmente

8.341

Usuarios únicos incluidos en simulacros de phishing anualmente

60.908

Correos electrónicos de phishing bloqueados al mes por nuestros sistemas

6.901

Intentos de acceso a recursos corporativos bloqueados (origen malicioso /no confiable) mensualmente

2,3

Ataques de ransomware detectados y bloqueados automáticamente mensualmente*

*Nota: Datos de indicadores sobre ataques de ransomware detectados y bloqueados automáticamente, recopilados hasta junio de 2024.

En general, los datos expresados a continuación se obtienen de las plataformas tecnológicas que gestionan los procesos de seguridad (MS Defender, Sentinel, Knowbe4, GlobalSuite). Para ello, se utiliza como referencia el sistema de origen y posteriormente se consolidan en las tecnologías de Microsoft Office. Se conservan pruebas de la extracción de datos para aquellos sistemas en los que el periodo de conservación es inferior al ejercicio fiscal para el que se obtienen. Estos valores no se han validado por parte de un tercero, aunque sus respectivos gestores han ejercido la debida diligencia con respecto a su evolución a lo largo del ejercicio, teniendo en cuenta las posibles desviaciones con respecto a los umbrales definidos. En la medida de lo posible, se ha procurado homogeneizar los datos, facilitándolos con periodicidad mensual o anual.Ferrovial vigila el cumplimiento de los objetivos de seguridad y proporciona información de retorno a los órganos de gobierno correspondientes.

El Modelo de Seguridad de Ferrovial permite adaptarse al entorno cambiante y complejo en materia de ciberamenazas, proporcionando los recursos necesarios para (I) garantizar la confidencialidad, integridad y disponibilidad de sus activos digitales, (II) asegurar el debido cumplimiento normativo, legal y contractual en el desarrollo de su actividad empresarial y (III) dotar de resiliencia a la propuesta de valor de la Compañía.

GOBIERNO

Ferrovial despliega y actualiza su Modelo de Gobierno de Ciberseguridad, alineado con el negocio y con la consecución de sus objetivos. Este modelo se basa en un programa eficaz de Gestión de Riesgos y en una serie de Capacidades de Ciberseguridad, basadas en estándares internacionales y en las mejores prácticas del mercado, que se auditan y revisan periódicamente a lo largo del año.

Anualmente se realiza una evaluación global de riesgos de ciberseguridad en todas las unidades de negocio y filiales de Ferrovial, analizando la exposición de los activos a las ciberamenazas y su impacto potencial. Además, se revisa el cumplimiento de las capacidades de ciberseguridad y se exige un roadmap para garantizar que el nivel de riesgo residual se mantiene dentro de los umbrales de riesgo conforme al apetito al riesgo establecido por la Compañía.

La Compañía tiene un Global CISO y CISOs locales para cada negocio y filial. Sus funciones y responsabilidades en materia de ciberseguridad están claramente definidas, así como el modelo de relación y reporte entre las unidades de negocio.

Los Órganos de Gobierno de Ferrovial tienen una visión actualizada del estado de la ciberseguridad. Así, el Global CISO reporta periódicamente al Comité de Dirección de Ferrovial y a los Comités de Dirección de las divisiones, informando con carácter general sobre la estrategia y el programa de seguridad, así como sobre los principales riesgos y amenazas de seguridad.

Además, el Global CISO a petición de la Comisión de Auditoría y Control, proporciona información sobre la estrategia y el programa de seguridad, el nivel de control interno, los principales riesgos y amenazas para la seguridad y cómo se están gestionando. El Global CISO también reporta periódicamente al Consejo de Administración sobre la estrategia, el programa de seguridad, los principales riesgos y amenazas para la seguridad y cómo se están gestionando.

El Cumplimiento es una de las prácticas fundamentales del Gobierno de la Ciberseguridad. Como parte del Programa de Cumplimiento, se están llevando a cabo acciones para adaptar el Modelo de Gobierno de Ciberseguridad a las SEC Rules on Cybersecurity publicadas por la SEC en junio de 2023 y a la directiva NIS2, en vigor en la Unión Europea desde enero de 2023.¹

Durante 2024 se han llevado a cabo iniciativas para mejorar la superficie de exposición de la Compañía, promover la automatización y el uso de IA en los procesos de detección y respuesta ante amenazas y adoptar tecnologías de mercado para obtener una visión cuantificada del riesgo y la materialidad en materia de Ciberseguridad. Como parte del proceso de adaptación a la SOX, se ha reforzado y automatizado el modelo de control interno de la información financiera y se ha integrado en el Marco de Control de Ferrovial.

1 Directiva europea 2022/2555 del Parlamento Europeo y del Consejo (NIS 2): Adopción de legislación sobre ciberseguridad para toda la Unión Europea. Fecha de entrada en vigor: 03/01/2023. Fecha prevista para la transposición nacional: 17/10/2024 (aún pendiente en varios estados miembros). Fecha de comunicación a la Comisión de la lista de entidades esenciales e importantes: 17/04/2025.

MODELO

Ferrovial cuenta con una Política Corporativa de Ciberseguridad. Fue aprobado por el CEO en 2022, se aplica a todas las divisiones y filiales y puede consultarse en el sitio web de la compañía. Sus principios y objetivos se encuentran en consonancia con la estrategia empresarial. Su implantación se realiza a través de unas Políticas de Seguridad que engloba organización, personas, procesos y tecnologías, formalizado en un conjunto de Principios de Seguridad basados en las mejores prácticas del mercado, destacando el NIST CSF y la norma ISO 27001 (en la que Ferrovial está certificada desde 2012).

El Modelo de Ciberseguridad se adhiere al principio de mejora continua establecido por la norma ISO 27001 (Planificar, Hacer, Comprobar, Actuar). La estrategia se ejecuta a través de un programa con iniciativas para desarrollar nuevas capacidades o reforzar las actuales. El Modelo se mide y revisa periódica y sistemáticamente a través de procesos de auditoría internos o de terceros, herramientas automatizadas y mediante la captura y evaluación de KGIs, KPIs y KRIs. Los resultados de estas revisiones son supervisados por el equipo de Ciberseguridad y forman parte de los elementos que se reportan periódicamente a los Órganos de Gobierno de Ferrovial.

Ferrovial cuenta con un Programa de Evaluación y Gestión de Riesgos de Ciberseguridad, basado en las mejores prácticas del mercado como ISO 31000 y FAIR (Factor Analysis of Information Risk), que proporciona una visión cualitativa y cuantitativa de este riesgo. Ferrovial trabaja actualmente en la automatización de este proceso y en la mejora de nuestras capacidades de cuantificación, utilizando una herramienta de mercado CRQ (Cyber Risk Quantification) . Esta herramienta incorpora funciones de GRC (Governance Risk & Compliance) que complementan otras herramientas de este tipo ya implantadas.

La estrategia de ciberseguridad que se desplegará a lo largo de 2025 se centrará en (I) evolucionar las capacidades de ciberseguridad para reforzar la automatización y orquestación de los procesos de detección y respuesta, (II) aprovechar la IA para apoyar los procesos de seguridad, (III) proteger la Identidad Digital, (IV) aumentar el control necesario de la cadena de suministro, (V) reforzar las capacidades de OT y (VI) garantizar la debida diligencia y el Buen Gobierno en materia de Ciberseguridad.

Política	Política de Ciberseguridad
Descripción	La presente Política define los principios y directrices para salvaguardar la información, los sistemas y las operaciones de Ferrovial frente a las ciberamenazas, garantizando la confidencialidad, integridad y disponibilidad de los activos digitales. Respalda el compromiso de la organización con la continuidad del negocio y la gestión segura de los datos.
Objetivo	La política pretende: Garantizar un entorno digital y tecnológico con el nivel de Seguridad necesario. Garantizar el cumplimiento legal, reglamentario y contractual. Garantizar la resistencia operativa frente a los ciberataques. Fomentar una cultura de concienciación y responsabilidad en materia de ciberseguridad entre empleados, proveedores y socios.
Impactos, riesgos y oportunidades materiales asociados	Impactos: Pérdidas económicas potenciales, daños a la reputación, incumplimiento legal, reglamentario y contractual, e interrupciones debidas a incidentes cibernéticos. Riesgos: Ciberataques sofisticados que afecten a las operaciones, la productividad, la información, la propiedad intelectual o la imagen/reputación de la compañía, así como a la integridad de las personas. Multas y sanciones severas por incumplimiento de la normativa y de los marcos de control de la aplicación Oportunidades: Fomentar la confianza de las partes interesadas mediante prácticas sólidas de ciberseguridad, aprovechar la innovación para obtener ventajas competitivas y cumplir las normas reglamentarias mundiales para reforzar el posicionamiento en el mercado.
Proceso de seguimiento y corrección	Ferrovial garantiza la aplicación y el cumplimiento de la Política de Ciberseguridad mediante revisiones periódicas de los riesgos y controles que abarcan todas las Unidades de Negocio y Activos Participados. Esta información se comunica periódicamente a los Órganos de Gobierno de la Compañía que supervisan el estado de la Ciberseguridad.
Ámbito de la política
Partes interesadas afectadas	Todos los empleados, proveedores y clientes de Ferrovial con acceso a sistemas o datos de la Compañía.
Áreas geográficas	Global
Aplicación en la cadena de valor	La política se extiende a toda la cadena de valor, incluidos los proveedores y clientes, garantizando prácticas seguras en todas las interacciones comerciales. La ciberseguridad es una práctica que respalda los activos digitales que, en última instancia, apoyan las actividades empresariales.
Exclusiones a la aplicación	Actualmente no hay exclusiones; la política se aplica a todas las áreas de actividad, geografías y partes interesadas a nivel mundial.
Flujo de aprobación de la política
Consejero Delegado	Consejo de Administración – responsable de aprobar la política.
Otras cuestiones que comunicar (si procede)
Coherencia con instrumentos o normas de terceros	La política se ajusta a: Normas internacionales, incluida la ISO 27001 Normativas europeas como el RGPD El Esquema Nacional de Seguridad español (ENS) Políticas de Responsabilidad Corporativa y Sostenibilidad de Ferrovial
Atención a las partes interesadas	La política incorpora los comentarios de las principales partes interesadas para abordar eficazmente los problemas de ciberseguridad y garantizar una colaboración segura en toda la organización.
Cómo se proporciona	Esta política está disponible en la página web de Ferrovial (ferrovial.com) y en la intranet.
Cambios importantes en la política	N/A – no se han realizado cambios

«Impactos, riesgos y oportunidades materiales asociados». Este concepto está relacionado con las NEIS y la doble materialidad. Este concepto NO está relacionado con la materialidad de los ciberincidentes considerados por la SEC.

SBM-2 INTERESES Y OPINIONES DE LAS PARTES INTERESADAS

CULTURA

Durante 2024, Ferrovial ha continuado con su estrategia de fomento de la cultura de la ciberseguridad con un enfoque centrado en el usuario. Se realizan simulacros de phishing, al menos cada dos semanas, junto con ejercicios de Smishing, QRishing y Vishing. Se ha mejorado la respuesta de los usuarios, tanto en la detección de amenazas como en la notificación de mensajes sospechosos. Se ha observado un aumento de la notificación de correos electrónicos sospechosos de ejercicios de phishing en comparación con el año anterior.

La mejora en el comportamiento de los usuarios se evidencia en la tendencia a la baja en 2024, tanto en el nivel de riesgo personal como en la predisposición de los usuarios a sucumbir a este tipo de amenazas.

Los usuarios tienen visibilidad tanto de su nivel Riesgo, basado en su perfil, sus acciones diarias y su comportamiento en simulacros de phishing y formación. Este feedback permite a las personas comprender su rendimiento actual, fomentando la detección y gestión de estas amenazas y animándoles a emprender acciones de formación voluntarias para mejorar su rating personal. Tras los simulacros, se mide el nivel de riesgo de ser víctima de tales ataques y se adaptan los ciclos posteriores de formación, concienciación y entrenamiento a las necesidades específicas detectadas.

Entre las actividades de formación promovidas este año destaca la serie «The Inside Man«, cuyos capítulos se difundieron semanalmente a todos los empleados. Cada entrega de la serie ofrece consejos para protegerse contra amenazas a la ciberseguridad como la ingeniería social, el phishing y los ciberataques.

Ferrovial también desarrolla formaciones específicas para diferentes colectivos con contenidos especialmente seleccionados. Esto incluye la formación en Desarrollo Seguro de Aplicaciones para desarrolladores y arquitectos de productos digitales, y el curso sobre Seguridad en Sistemas de Control Industrial para personal vinculado a las Tecnologías de Operación (OT).

En 2024 han continuado las campañas semestrales de Felicitaciones/Refuerzos, felicitando a los empleados que mejor responden a las actividades de concienciación promovidas desde la Dirección de Ciberseguridad, y apoyando a los usuarios más vulnerables con recursos educativos adicionales.

CUMPLIMIENTO LEGAL, REGLAMENTARIO Y CONTRACTUAL

Dentro de la Dirección de Ciberseguridad se encuentra el área de Cumplimiento en materia de Ciberseguridad, encargada de identificar la legislación aplicable en esta materia, así como los requisitos necesarios para garantizar su cumplimiento. En el desempeño de su actividad, cuenta con el apoyo regular de los equipos de Asesoría Jurídica y Cumplimiento Normativo de Ferrovial.

El cumplimiento se implementa a través del Modelo de Seguridad, verificando el grado de cumplimiento de los requisitos exigibles. Cada vez que se identifica una nueva ley o reglamento, o se publica una actualización de uno previamente aplicable, se analiza el grado de cobertura con respecto a los nuevos requisitos y, si procede, se mejora el modelo en caso de que alguno de ellos no esté total o parcialmente cubierto.

Las normativas más relevantes cubiertas por el Modelo de Seguridad incluyen, entre otras: (I) Protección de Datos (RGPD EU y LOPDGDD), (II) Ley Sarbanes-Oxley (SOX), (III) las SEC Rules on Cybersecurity, (IV) Sistema de Control Interno de la Información Financiera (SCIIF), (V) Normativa SWIFT (Society for Worldwide Interbank Financial Telecommunication), (VI) Directiva NIS2, (VII) Normativa PCI DSS, (VIII) Modelo de Prevención de Delitos recogido en el Código Penal, (IX) Esquema Nacional de Seguridad (ENS), (X) Norma ISO 27001 y diversas regulaciones locales en las geografías en las que Ferrovial opera relativas a la protección de Servicios Esenciales e Infraestructuras Críticas, y Privacidad.

Existen programas en curso para adaptarse a algunas de las normativas mencionadas: (i) SOX, (II) SEC Rules on Cybersecurity, (III) NIS2, (IV) TX-Ramp.

Asimismo, la Dirección de Ciberseguridad vela por el cumplimiento de los requisitos de seguridad definidos en los pliegos de condiciones, licitaciones y contratos de las distintas unidades de negocio. Esto se debe a que forma parte de los equipos que analizan y preparan los pliegos y a que, cuando se convierten en activos de negocio, pasaran a formar parte de Modelo de Ciberseguridad de Ferrovial.

SBM-3 – IMPACTOS, RIESGOS Y OPORTUNIDADES MATERIALES Y SU INTERACCIÓN CON LA ESTRATEGIA Y EL MODELO DE NEGOCIO

DETECCIÓN DE AMENAZAS, CORRELACIÓN Y CIBERINTELIGENCIA

La Compañía cuenta con capacidades de SOC (Security Operations Center) para proteger sus centros de datos, perímetros, endpoints y entornos Cloud. Este servicio responde a las alertas generadas por las herramientas SIEM (Security Information and Event Management) y detecta los casos de uso definidos por la Dirección de Ciberseguridad de Ferrovial, que requieren su activación.

Actualmente existe una plataforma SOAR (Security Orchestration Automation and Response) que permite la integración y el funcionamiento coordinados de diversas herramientas de prevención y protección, facilitando la detección y respuesta automatizadas, así como la orquestación dentro de los procesos ordenados de gestión de incidentes y gestión de cambio.

La organización también ha integrado plataformas y procesos avanzados de ciberseguridad para proteger y detectar compromisos relacionados con la información con el fin de abordar casos de uso como el acceso no autorizado, la transmisión anómala de grandes volúmenes de datos y la exfiltración, ya sea mediante almacenamiento físico o a través de servicios en la nube.

Las capacidades de ciberinteligencia son un factor clave para proteger a las organizaciones y permitir una detección temprana y una respuesta rápida a las amenazas e incidentes de seguridad. Por este motivo, se han desplegado nuevas herramientas para la detección avanzada de compromisos de identidad corporativa y la distribución de la información asociada en canales ilegales de uso común. Esta capacidad se extiende tanto al nivel corporativo como a las unidades de negocio y filiales del Grupo.

Aunque la Compañía lleva años trabajando en ciberseguridad con herramientas avanzadas de machine learning, análisis de patrones y automatización, la evolución de la inteligencia artificial ha permitido una mayor integración y la disponibilidad de nuevas capacidades relacionadas con la IA. Entre ellas figuran la investigación retroactiva de posibles incidentes, la detección de vulnerabilidades en tiempo real, la protección de la información para su uso en herramientas de colaboración y la detección y respuesta frente a ataques a la identidad.

Por último, la Compañía intercambia información sobre amenazas y gestiona los incidentes en coordinación con los organismos nacionales e internacionales de ciberseguridad.

RESPUESTA A CIBERATAQUES

La Compañía cuenta con un CSIRT (Computer Security Incident Response Team) que responde a los eventos detectados por el SOC (Security Operations Center) que pueden convertirse en incidentes de seguridad. Este equipo cuenta con capacidades DFIR (Digital Forensics and Incident Response) para analizar, contener, mitigar y prevenir este tipo de eventos. La identificación periódica de IoC’s (Indicadores de Compromiso) y TTP’s (Tactics, Techniques and Procedures) son claves para mejorar los mecanismos de protección y detección y la respuesta del SOC, tanto manual como automatizada.

Además, Ferrovial cuenta con herramientas de Postura de Ciberseguridad que permiten evaluar en tiempo real el cumplimiento de determinados parámetros y controles de seguridad, de la infraestructura TI gestionada (en centros de datos y entornos Cloud) y de los endpoints. Esto permite generar una visión global de los riesgos y controles relacionados con las recomendaciones de seguridad emitidas por los fabricantes, las normas y los marcos de seguridad del mercado, así como elaborar planes de acción para mejorar la postura.

Ferrovial dispone de un protocolo de respuesta ante incidentes basado en las mejores prácticas del mercado (Guía INCIBE-CERT, ISO/IEC 27035 y NIST). Además, se ha implantado un procedimiento global para la identificación y notificación de ciberincidentes materiales a los organismos reguladores (SEC, Agencias de Ciberseguridad Nacionales e Internacionales, AEPD, entre otros). La comunicación con reguladores, autoridades, clientes y otros grupos de interés, a través de mecanismos dentro de los plazos específicos establecidos, es uno de los elementos clave para que Ferrovial garantice la transparencia y la debida diligencia.

Las capacidades de detección y respuesta se evalúan sistemáticamente mediante simulaciones de Breach & Attack utilizando tecnologías disponibles en el mercado.

Es importante destacar que, durante 2024, no se produjeron brechas materiales de ciberseguridad en los sistemas de información de Ferrovial.

RESILIENCIA Y CIBERRESILIENCIA

La Compañía ha establecido Planes de Contingencia y Planes de Recuperación para responder y recuperarse ante eventos disruptivos. El Protocolo de Gestión de Crisis involucra a diferentes direcciones y divisiones de Ferrovial, según los protocolos establecidos para cada una de ellas. Los planes de respuesta y recuperación ante incidentes y eventos disruptivos se prueban al menos una vez al año.

Del mismo modo, como parte del proceso de Vendor Risk Management (VRM), los proveedores críticos deben proporcionar pruebas de pruebas periódicas de sus planes de recuperación para garantizar la disponibilidad y los parámetros de recuperación requeridos

A lo largo de 2024, Ferrovial ha realizado varios simulacros tabletop, probando diferentes escenarios de crisis para la estructura organizativa, procedimientos y capacidades necesarias en la coordinación de las acciones de detección, respuesta y recuperación en caso de ciberincidentes.

Además, la Compañía cuenta con una póliza de ciberseguro que proporciona diversos tipos de cobertura ante eventos disruptivos y ciberincidentes que puedan producirse en el contexto de la actividad desarrollada por Ferrovial, unidades de negocio y filiales; entre ellas, cobertura financiera, de respuesta ante incidentes y legal. Cabe señalar que no ha sido necesario activar esta póliza, ya que no se han producido ciberincidentes que lo requirieran.

GESTIÓN DE RIESGOS DE TERCEROS

Ferrovial cuenta con un programa de Vendor Risk Management (VRM) que establece los requisitos de seguridad que deben cumplir los terceros en función del servicio que prestan a la Compañía o del nivel de acceso a la información y activos de la misma. El programa establece evaluaciones de terceros basadas en la criticidad de sus productos y servicios.

Los proveedores completan cuestionarios de evaluación de requisitos seguridad para cada producto o servicio con componente IT que presten para Ferrovial, incluyendo evidencias de su cumplimiento. Los cuestionarios son analizados por el equipo de VRM de Ciberseguridad para establecer el nivel de riesgo de la dupla proveedor-servicio. Si se identifica un nivel de riesgo superior al establecido, se exigen salvaguardias tanto en los contratos como en las propias capacidades de los proveedores.

Las evaluaciones podrán basarse en informes emitidos por terceros, certificaciones, calificaciones u otras técnicas de auditoría y revisión que proporcionen la información necesaria para determinar el grado de cumplimiento de las medidas de higiene en ciberseguridad por parte de terceros.

VERIFICACIÓN EXTERNA Y ANÁLISIS DE VULNERABILIDAD

La Compañía lleva a cabo una revisión continua de su Modelo de Ciberseguridad para identificar posibles mejoras y abordar las vulnerabilidades. Cada año se llevan a cabo auditorías y revisiones de seguridad, que incluyen:

Auditorías internas y de terceros asociadas a la renovación de la certificación ISO 27001
Auditorías s de seguridad en el marco de la auditoría de EEFF (ITGC e ITCC)
Auditoría a externa por parte de SWIFT (Society for Worldwide Interbank Financial Telecommunication)
Auditorías realizadas por Auditoría Interna (tercera línea de defensa)
SOX IT ToD & ToE
Cuestionarios de ciberseguridad exigidos por los clientes
Dow Jones Best-in-Class Index
Informe de Sostenibilidad ESG (doble materialidad)
Revisiones de seguridad ad hoc de acuerdo con la planificación anual
Ejercicios periódicos de breach & attack, combinados con la threat hunting
Revisión de vulnerabilidades en centros de datos, endpoints, perímetros y entornos Cloud, así como en entornos industriales
Revisión de vulnerabilidades en el código fuente
Revisión del rating de ciberseguridad de Ferrovial
Revisiones de riesgo de seguridad de proveedores (Vendor Risk Management).
Simulacros de crisis (tabletop exercises)

La Dirección de Ciberseguridad, consolida, asigna, planifica y supervisa la implantación de los diferentes planes de acción derivados de las evaluaciones, revisiones y auditorías realizadas.

El proceso de revisión por la dirección se realiza formalmente cada año y uno de los propósitos es revisar la consecución de las acciones planificadas en materia de Ciberseguridad. Este proceso es supervisado por CISO Global teniendo en cuenta diferentes datos, como los KGI y los KPI, los resultados de los procesos de auditoría y revisión, y el seguimiento de los planes de tratamiento de riesgos. En caso necesario, se adoptan las medidas de mejora oportunas.

GESTIÓN DE IRO

Ferrovial adopta un enfoque exhaustivo y estructurado para gestionar los Impactos, Riesgos y Oportunidades (IRO) materiales relacionados con la ciberseguridad, garantizando la alineación con las mejores prácticas, los requisitos normativos y las prioridades empresariales. Este enfoque se basa en una gobernanza sólida, una gestión proactiva de los riesgos y una mejora continua de las capacidades de ciberseguridad.

La gestión de las IRO materiales en ciberseguridad incluye:

Gobernanza y marco organizativo: El Modelo de Gobierno de Ciberseguridad de Ferrovial está dirigido por el Director de Seguridad de la Información (CISO), con el apoyo de los CISOs locales de las unidades de negocio. Los informes periódicos al Comité de Dirección y al Consejo de Administración garantizan la supervisión de la estrategia, los principales riesgos y las medidas de mitigación. El Modelo de Gobierno también garantiza el cumplimiento de normas como ISO 27001, la Directiva NIS2 y las normas de ciberseguridad de la SEC.
Gestión de riesgos y evaluación de amenazas: Las evaluaciones anuales de riesgos globales de ciberseguridad cuantifican los riesgos utilizando herramientas avanzadas como la Cuantificación de Riesgos Cibernéticos (Cyber Risk Quantification o CRQ) y plataformas GRC, identificando la exposición de activos críticos y manteniendo los umbrales de riesgo dentro de límites aceptables.
Prevención, detección y respuesta a las amenazas: Tecnologías avanzadas como SOAR y herramientas de ciberinteligencia, junto con medidas organizativas como el SOC (Security Operations Center), detectan y responden a las amenazas. La inteligencia artificial mejora el análisis retroactivo de incidentes, la detección de vulnerabilidades en tiempo real y la protección de identidades.
Gestión de incidentes y resiliencia: Los protocolos de respuesta a incidentes basados en las mejores prácticas, como ISO/IEC 27035, garantizan una mitigación eficaz. El equipo CSIRT utiliza técnicas forenses digitales avanzadas para investigar los incidentes, con el apoyo de simulaciones periódicas de brechas y pólizas de ciberseguro completas.
Gestión de Riesgos de Terceros: El proceso de Gestión de Riesgos de Proveedores (Vendor Risk Management o VRM) exige que los proveedores cumplan estrictos criterios de ciberseguridad. Los proveedores de alto riesgo son objeto de evaluaciones periódicas y salvaguardias contractuales.
Transformación cultural y concienciación: Los programas de formación y los simulacros de phishing promueven una mentalidad de «seguridad ante todo» entre los empleados, con campañas de reconocimiento que recompensan a quienes destacan en las prácticas de ciberseguridad.
Mejora continua y verificación externa: Las auditorías periódicas, los simulacros de brechas y las evaluaciones de vulnerabilidad garantizan que el marco de ciberseguridad siga siendo eficaz y esté actualizado.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	11 months 29 days 23 hours 59 minutes	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría ''Publicidad''.
cookielawinfo-checkbox-analytics	11 months 29 days 23 hours 59 minutes	Esta cookie es establecida por GDPR Cookie Consent WordPress Plugin. La cookie se utiliza para recordar el consentimiento del usuario para las cookies de la categoría ''Analítica''.
cookielawinfo-checkbox-language	11 months 29 days 23 hours 59 minutes	Esta cookie es establecida por GDPR Cookie Consent WordPress Plugin. Las cookies recordarán las preferencias de idioma.
cookielawinfo-checkbox-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-non-necessary	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies de la categoría "No necesarias".
csrftoken	11 meses	Esta cookie está asociada con la plataforma de desarrollo web Django para Python. Se utiliza para ayudar a proteger el sitio web contra ataques de falsificación de solicitudes entre sitios.
lang		Esta cookie se utiliza para almacenar las preferencias de idioma de un usuario para servir contenido en ese idioma almacenado la próxima vez que el usuario visite el sitio web.
viewed_cookie_policy	11 months	La cookie es establecida por el plugin GDPR Cookie Consent y se utiliza para almacenar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.
wp-wpml_current_language	1 día	Usado por WPML para almacenar configuraciones de idioma.

Cookie	Duración	Descripción
_csrf	1 year	Cookie contra la falsificación de peticiones en sitios cruzados.
_ga	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones y campañas, y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan la información de forma anónima y asignan un número generado aleatoriamente para identificar a los visitantes únicos.
_gat	1 minute	Esta cookie es instalada por Google Universal Analytics para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gid	23 hours 59 minutes	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes utilizan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados incluyen el número de visitantes, la fuente de la que proceden y las páginas visitadas de forma anónima.
_hjAbsoluteSessionInProgress	30 minutes	Esta cookie se utiliza para detectar la primera sesión pageview de un usuario. Se trata de un indicador Verdadero/Falso establecido por la cookie.
dtCookie	Sesión

Cookie	Duración	Descripción
_fbp	2 months 28 days 23 hours 59 minutes	Esta cookie es instalada por Facebook para ofrecer publicidad cuando se encuentran en Facebook o en una plataforma digital impulsada por la publicidad de Facebook después de visitar este sitio web.
uid	1 año	Esta cookie se utiliza para medir el número y el comportamiento de los visitantes del sitio web de forma anónima. Los datos incluyen el número de visitas, la duración media de la visita en el sitio web, las páginas visitadas, etc. con el fin de comprender mejor las preferencias de los usuarios para los anuncios dirigidos.