INFORME DE GESTIÓN INTEGRADO 2021
147
RIESGOS OPERACIONALES
Asociados a la gestión de la cadena de valor, la eficacia y eficiencia de las operaciones, la gestión de recursos y personas, seguri- dad de personas e instalaciones, el medio ambiente y la integridad de los activos.
RIESGOS DESCRIPCIÓN Y MEDIDAS DE CONTROL
Seguridad de los procesos, del personal y del medioambiente
Las actividades de Cepsa podrían entrañar riesgos operativos como incidentes o accidentes con afectación a activos o, en el peor de los casos, daños a terceros o daños al medio ambiente. Para gestionar este riesgo, la compañía ha impulsado actuaciones como:
Contar con un sistema de gestión de la seguridad que integra la seguridad en todos los niveles de la organización basado en la norma internacional OHSAS 18001:2007 así como las certificaciones ISO 14.001.
Operar sus plantas industriales garantizando la integridad de las operaciones, el establecimiento de las medidas de control de los peligros y la reducción de riesgos necesarias para minimizar las consecuencias de posibles accidentes graves, ofreciendo el máximo nivel de protección y seguridad tanto de las personas que trabajan para el Grupo Cepsa, como de los activos, los procesos y los entornos y las poblaciones alrededor de sus instalaciones, aspecto que se refleja en la Política de HSEQ actualizada en 2021.
Renovar las autorizaciones ambientales integradas de todas las plantas en España, asegurando los principios de prevención y control de todos los procesos para minimizar los impactos ambientales.
Implantación de un Plan de Acción de Cultura de Seguridad en toda la compañía y el establecimiento de un plan estratégico de mantenimiento y mejora de las normas de seguridad.
Seguridad de la información
La operación de los procesos de negocio de Cepsa se apoya sustancialmente en sistemas digitales, tanto en el ámbito de las tecnologías de la información (IT) como de la operación de los entornos industriales (OT). De esta forma, un potencial ciberataque con afectación a sistemas que soporten procesos críticos podría derivar en una interrupción operativa con impacto en las unidades de negocio correspondientes. Para gestionar dicho riesgo, la compañía dispone de:
Organización de la función de ciberseguridad en base a estándares internacionales y best practices.
Gobierno de la Ciberseguridad, consistente en: Gestión a través de Cuadro de Mando, con reporting periódico a Comex. Fomento de la cultura de ciberseguridad de la compañía mediante la realización
de acciones formativas y de concienciación, compuesto a su vez por formaciones obligatorias en ciberseguridad, así como la realización de acciones simulando ataques reales multicanal.
Cuerpo Normativo de Sistemas de Información y de Ciberseguridad OT, encabezado por la política de ciberseguridad de Cepsa y desarrollado a través de sus correspondientes normas, procedimientos y procedimientos específicos.
Gestión del riesgo de ciberseguridad en terceros. Arquitecturas seguras implementadas en entornos IT y OT: fortalecimiento de controles
de acceso mediante doble factor de autenticación, validación de dispositivos en acceso VPN.
Procedimientos de hardening: eliminación de protocolos obsoletos / actualización de parches.
Contratación de ciberseguro con cobertura suficiente para los escenarios de riesgo considerados.
Ciberresiliencia: procedimiento de respuesta a incidentes de ciberseguridad, con escalado al máximo órgano de gestión de crisis corporativo (4C). Adicionalmente, se cuenta con un proceso de mejora continua certificado ISO 20.000 referente al Plan de Contingencias tecnológico de Cepsa.