Nuestro compromiso es alcanzar el nivel de seguridad en nuestros servicios que garantice una protección adecuada de la información y de las tecnologías que la tratan, para que todos nuestros clientes puedan usarla con confianza.
Gobernanza
El máximo responsable de la función de Seguridad Global e Inteligencia en Telefónica es el director Global de Seguridad e Inteligencia quien reporta directamente al Secretario General y Asuntos Regulatorios, Telefónica S.A., miembro del Consejo de Administración y del Comité Ejecutivo. Además, tiene delegada, por el Consejo de Administración, la autoridad y la responsabilidad de establecer la estrategia global de seguridad, así como de liderar el marco normativo de seguridad y guiar y gobernar las iniciativas globales de seguridad. Además, promueve e impulsa el Comité de Seguridad Digital (creado en 2018) en el que participan miembros del Comité Ejecutivo, y reporta al Consejo de Administración de Telefónica, S.A. a través de la Comisión de Auditoría y Control y de la Comisión de Sostenibilidad y Calidad.
En cada empresa o país en el que tiene presencia el Grupo Telefónica existe un Responsable de Seguridad, propuesto por el Director Global de Seguridad e Inteligencia.
Adicionalmente y a efectos de gobierno y coordinación, existe el Comité Global de Seguridad presidido por el Director Global de Seguridad e Inteligencia, en el que participan los Responsables Corporativos del resto de áreas de negocio (Cumplimiento, Auditoría, Legal, Tecnología y Operaciones, Personas, Sostenibilidad, etc.), además de los Directores de Seguridad de los países. También existen Subcomités de Seguridad locales y funcionales presididos por los Responsables de Seguridad, que colaboran en la definición de las iniciativas estratégicas y directrices globales y las implantan en cada país.
Seguridad de datos
La estrategia de seguridad de Telefónica se apoya en nuestra Política y Normativa Corporativas de Seguridad de la Información y en el Reglamento Corporativo de Controles Mínimos de Seguridad. La respetamos en los siguientes principios:
- Confidencialidad: Garantizamos que a los datos y a los sistemas solo accedan personas debidamente autorizadas.
- Integridad: Garantizamos la exactitud de la información y de los sistemas contra alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.
- Disponibilidad: Garantizamos que la información y los sistemas pueden ser utilizados en la forma y tiempo requeridos.
- Auditabilidad: Garantizamos que cualquier acción o transacción pueda ser relacionada unívocamente asegurando el cumplimiento de controles claves establecidos en las correspondientes normativas.
Las empresas del Grupo Telefónica siguen las directrices en materia de seguridad de la información definidas por el Comité Corporativo de Seguridad. El objetivo de este órgano es velar por la mejora continua de la seguridad, garantizando un nivel mínimo homogéneo y acorde con las necesidades de cada negocio.
Sus responsabilidades, además, incluyen el establecimiento de políticas, estándares y procedimientos de implementación de usos y buenas prácticas, el seguimiento de la obtención de certificaciones dentro de las compañías del Grupo y una monitorización continua para establecer acciones de mejora.
Realizamos auditorías en materia de protección de datos de carácter personal y de ciberseguridad
Fiabilidad y continuidad de los servicios
En Telefónica diseñamos y gestionamos nuestros servicios e infraestructuras de manera que sean capaces de resistir y sobreponerse a las diversas contingencias ambientales o tecnológicas que se producen diariamente, sin que nuestros clientes se vean afectados.
Nuestro compromiso con los clientes es garantizar un servicio óptimo y sin interrupciones y ser transparentes sobre el estado de nuestras redes e infraestructuras en todo momento, incluso durante situaciones adversas.
Planificamos con antelación nuestras capacidades para continuar ofreciendo nuestros productos y servicios con un nivel aceptable predefinido, en caso de incidentes graves, fenómenos naturales, factores externos, fallos de energía o cualquier otra situación que pueda alterar nuestro servicio.
Para reducir en la medida de lo posible el tiempo de incidencia, trabajamos continuamente creando mayor resiliencia. Gestionamos estas situaciones mediante el Programa Global de Continuidad de Negocio y un Sistema Global de Gestión de Crisis. Este sistema permite estar preparado para afrontar incidencias de una forma ordenada y coordinada, de tal forma que se facilite la comunicación y colaboración de todas las áreas implicadas para trabajar en modo degradado, minimizando los impactos y posteriormente recuperar la normalidad operativa. Asimismo, anualmente se realizan varios ejercicios globales y locales, por lo que las pruebas se realizan al menos semestralmente. Algunos tienen por objeto poner a prueba los mecanismos de continuidad de la actividad y otros simulan un escenario de crisis, a menos que durante ese periodo se haya tenido la oportunidad de probar la eficacia o identificar oportunidades de mejora debido a situaciones reales de continuidad o gestión de crisis.
Las situaciones críticas que se han generado durante el último año pueden encontrarse en la Memoria Anual Consolidada de 2021 dentro del capítulo 2.15. Privacidad y seguridad.
Uso aceptable de los servicios
Mantener un nivel de seguridad adecuado es tarea de todos, también de nuestros clientes. Esperamos que nuestros clientes utilicen los servicios contratados de conformidad con la ley y con lo estipulado por la “política de uso aceptable” incluida en el contrato.
En la compañía disponemos de las medidas viables técnicas que, cumpliendo con la legislación, tratan de minimizar el impacto negativo ocasionado en el servicio prestado a nuestros clientes, bien por acciones o actividades con fines o efectos ilícitos, lesivos de los derechos e intereses de terceros, o bien porque de alguna forma puedan dañar, inutilizar, sobrecargar o deteriorar los servicios, los equipos informáticos, así como toda clase de contenidos o impedir su normal utilización por parte de los demás clientes y de otros usuarios de la comunidad de Internet.
Muchos de nuestros clientes y usuarios nos ayudan a mejorar nuestros servicios, haciéndolos más seguros y confiables o identificando aquellas actividades con fines o efectos contrarios a la seguridad.
Servicios de Seguridad
El esfuerzo que realizamos para entender las nuevas amenazas y las últimas tendencias en el mundo digital, así como para anticiparnos a los cambios con soluciones innovadoras de seguridad, se refleja en una amplia oferta de productos y servicios de seguridad.
Para ello contamos con capacidades específicas de investigación y desarrollo en TelefonicaTech y desarrollos específicos destinados a operaciones, ingeniería y soporte en Telefónica Ingeniería de Seguridad.
Conoce más sobre nuestro desempeño en esta materia:
Ciberinteligencia y gestión de incidentes
Tenemos herramientas, capacidades y procedimientos para todo el ciclo de potenciales incidentes: detección, mitigación, recuperación, notificación y lecciones aprendidas.
Las medidas que adopta Telefónica para hacer frente al impacto de los incidentes se detallan en nuestra normativa interna, donde se identifican los controles que deben ser implantados, monitorizados, revisados y mejorados en base a la correcta comunicación de los incidentes, minimización de su impacto, identificación tendencias o patrones de actividades sospechosas, recuperación de la disponibilidad lo antes posible para analizar las causas, aprender de los incidentes y tomar las medidas adecuadas para que no vuelvan a ocurrir.
Divulgación responsable de vulnerabilidades
Telefónica utiliza procedimientos y tecnologías para prevenir las vulnerabilidades en los productos y servicios que lanza al mercado. En caso de que una vulnerabilidad sea encontrada después del lanzamiento, hacemos todo lo posible para solventarla lo antes posible. Dedicamos profesionales internos y externos a la búsqueda continua de vulnerabilidades en nuestra infraestructura en colaboración con la comunidad de investigadores, a la que le pedimos que nos den la oportunidad de corregir las vulnerabilidades que encuentren antes de publicarlas, lo mismo que nos comprometemos a hacerlo si nosotros las descubrimos en productos de terceros. Esta colaboración ayuda a proteger los intereses de los usuarios en el uso de productos actualizados y seguros.
Por tanto, tenemos el compromiso de reportar cualquier vulnerabilidad descubierta en productos o servicios de terceros directamente a los proveedores del producto afectado, a un CERT nacional o a través de cualquier servicio privado que también informará al proveedor en privado.
Contáctanos
Si eres consciente de alguna vulnerabilidad o amenaza que pudiera afectar a la infraestructura tecnológica de Telefónica, puedes ponerte en contacto con nuestro Equipo de Respuesta a Incidentes de Seguridad (CSIRT) Global a través del siguiente formulario. Puedes utilizar nuestra clave pública PGP para cifrar la información.