De la continuidad de negocio se pasó a la resiliencia y ahora llega la prosiliencia, término acuñado por ISMS Forum y que ha impregnado buena parte de los debates de esta XXVII Jornada de Seguridad de la Información, celebrada el pasado jueves a lo largo de siete tracks en el Ryadh Air Metropolitano, con la asistencia de más de 1.500 profesionales. La prosiliencia ayuda a anticiparse a los ciberincidentes y debe incorporarse al gobierno corporativo de las organizaciones como un elemento estratégico.

Para Roberto Baratta, presidente de ISMS Forum, quien, tras presentar a Enrique Pérez de Tena, Jefe de la Oficina de Relaciones Institucionales y Cooperación del Mando Conjunto del Ciberespacio, mantuvo un diálogo con Chema Alonso, VP & Head of International Development de Cloudflare; hablar de prosiliencia “implica anticipar el golpe” y preparar preventivamente a la organización para la resiliencia, minimizando riesgos y reanudando los servicios con prontitud. “Tiene sentido en muchas organizaciones”, señaló Baratta, destacando la importancia de integrar la prosiliencia de manera estratégica.

En línea con la prosiliencia y la necesidad de anticiparse a los riesgos emergentes, el Track 7 estuvo dedicado al marco regulatorio, certificaciones y buenas prácticas. Se habló de la Directiva NIS2 y de los recursos desarrollados por ISMS Forum para facilitar su implementación en las organizaciones. Entre ellos destacan el Handbook sobre NIS2, el cuestionario de control de la cadena de suministro y el formulario de identificación de NIS2. El panel contó con la participación de Iker Osorio, miembro de ISMS Forum, y David de la Rosa, Information Security Officer de Sanoma, con la moderación de Enrique Cervantes, Director de Seguridad e Infraestructura Tecnológica de CESCE. Los ponentes señalaron que con esta iniciativa muchas pymes, con una consulta a la web de ISMS Forum, podrán saber si están sujetos a las obligaciones derivadas de NIS2 y que recursos tienen que destinar.

Estas jornadas contaron con la participación de Laura Koetzle, Jefa de Investigación Comunitaria de la consultora RSAC, quien destacó el papel cada vez más relevante del CISO en la gestión de las políticas de ciberseguridad de las organizaciones. En sus previsiones para este colectivo en los próximos años, señaló que contarán con mayores presupuestos y que cuestiones como la identidad digital y la gestión de la cadena de suministro serán objetivos prioritarios a corto y medio plazo.

Por su parte, Iván Sánchez, CISO de ALS; Mariano González, miembro de ISMS Forum; y Toni García, CIO de Neuraxpharm y miembro del Board de ISMS Forum Barcelona, presentaron el VI Indicador de Madurez en Ciberseguridad, una radiografía del estado de la ciberseguridad en España. Este estudio consolida el Indicador Nacional de Madurez bajo el marco NIST CSF 2.0 y, por primera vez, mide el riesgo residual de ciberinseguridad como referencia clave para la gestión estratégica. Permite a empresas y organismos públicos anticiparse a amenazas, fortalecer su resiliencia operativa y adaptarse a un entorno regulatorio cada vez más exigente.

Para Carlos Saiz, vicepresidente de ISMS Forum y conductor del Track 4, centrado en privacidad y en la figura del DPO, “el mensaje que lanzamos con la prosiliencia es que hay que trabajar mucho en la anticipación porque van a ocurrir incidentes. Es necesario tener protocolos, realizar ciberejercicios y entrenar a la organización para posibles ciberincidentes. Al final, se trata de definir el camino a seguir para minimizar el impacto en la organización. Con la prosiliencia se mejora la reputación de las empresas y se reducen sus riesgos legales y digitales si se gestionan bien estos incidentes”.

El papel de las certificaciones

Apostar por la prosiliencia implica contar con profesionales formados y capacitados para demostrar sus conocimientos. En esta XXVII Jornada de Seguridad de la Información se incorporó un nuevo Track, el séptimo, dedicado a certificaciones y entornos regulatorios. Además, los profesionales pudieron profundizar en el valor de las certificaciones. En una de las mesas redondas, Edison Hernández, nuevo DPO de Wizink, participó en un debate junto a Alfonso Menchén, Responsable de Estrategia y Análisis de Seguridad de Iberdrola, y Wasim Escribano, Certification Manager de ISMS Forum, sobre la implementación de certificaciones de servicios bajo la ISO 17065-SPET.

Hernández recuerda que ISMS Forum ha sido pionero en el lanzamiento de este tipo de certificaciones en España, desarrolladas junto con ENAC, “lo que aporta una gran solidez al proceso. La idea es que puedan ser utilizadas por sectores estratégicos y grandes corporaciones, y que esta formación se consolide como una herramienta válida para acreditar la cualificación profesional de los proveedores. Se trata de una certificación orientada a proveedores de servicios en general, a nivel empresarial. Las grandes compañías suelen seleccionar estructuras colegiadas para prestar estos servicios, y contar con esta certificación es un aval de buen hacer”.

Otro estudio presentado en las XXVII Jornadas de ISMS Forum fue el Libro Blanco del SOC, un análisis en profundidad para evaluar la madurez de los Centros de Operaciones de Seguridad. En esta mesa intervinieron Carlos Córdoba, Jefe del Área de Centros de Operaciones de Ciberseguridad del CCN-CERT, junto a Alejandro Aliaga y Javier Sevillano, miembros de ISMS Forum. Explicaron que este trabajo ayuda a comprender cómo funcionan estos centros y cómo pueden implementarse para brindar mayor seguridad a las empresas en la gestión de cualquier riesgo cibernético.

Necesidad de ciberejercicios

Como parte de la prosiliencia, las organizaciones deben entrenar sus protocolos y realizar simulacros ante ciberataques. Como cierre del Track 2, se presentaron los resultados del proyecto Cyber Crisis Management 2025, un simulacro multisectorial para la gestión de crisis cibernéticas. Esta experiencia inmersiva pone a prueba la capacidad de respuesta ante incidentes reales en las empresas y fue evaluada por Pere Torres, Consejero Técnico del Instituto Cerdà. Próximamente, los resultados del proyecto estarán disponibles para su consulta. En ese panel también participaron Alba Arqueros, Consejera Técnica del DSN; Marcos Gómez, Subdirector de Ciberseguridad Corporativa de INCIBE y miembro del Board de ISMS Forum; y Fernando García, Regional Sales Leader de Immersive. Entre las conclusiones se recomendó, entre otras medidas, realizar análisis postcrisis de cada ciberincidente para revisar y mejorar los protocolos internos.

Otra de las presentaciones más esperadas fue la III Encuesta de Adopción y Gobierno de IA en las Organizaciones de ISMS Forum, presentada por Daniel Panadero, Global Head of Data & AI de FCC, un proyecto coordinado junto a Angel Pérez, Codirector del Grupo de IA de ISMS Forum. El informe analiza las tendencias, retos y oportunidades que definirán la evolución de la IA en España y su impacto en la ciberseguridad corporativa, la ética tecnológica y la innovación sostenible. Según los datos presentados, más del 70 % de las organizaciones ya han incorporado soluciones de IA, con un enfoque creciente en IA generativa, gobernanza de datos, gestión de riesgos y sostenibilidad de las inversiones.

Según explicó el ponente, una de las preguntas clave de la encuesta de 2025 ha sido identificar el rol que desempeñan los participantes dentro de sus organizaciones. Entre los encuestados, predominan los perfiles de responsables de Seguridad de la Información (61,02%; 72 respuestas), directores de tecnología (CIO/CTO), responsables de cumplimiento normativo, así como expertos en análisis de datos y responsables de innovación. También se han registrado respuestas de otros perfiles, como consultores externos y responsables de operaciones.

En esta línea, también se presentó la nueva guía de Gobierno de IA, introducida por Ángel Ortiz Álvarez, Director de Ciberseguridad para España y Portugal en Cisco, y Sergio Padilla Foubelo, Chief Data Officer del Banco de España y miembro del Board de ISMS Forum. Esta guía proporciona un marco práctico para que las organizaciones anticipen riesgos, cumplan con normativas como RIA, RGPD, NIS2 y DORA, y operen la ética y la seguridad en todo el ciclo de vida de la IA. Incorpora estándares internacionales, modelos de gobierno por diseño y mecanismos de trazabilidad, explicabilidad y supervisión humana, situando la IA como un activo fiable y competitivo.

Ser proactivo en materia de privacidad

Carlos Saiz, vicepresidente de ISMS Forum y director del Data Privacy Institute, coordinó el Track 4, dedicado a la protección de datos y a la figura del DPO. En la mesa, compartió inquietudes con DPO de grandes compañías, como Pablo Díaz, Delegado de Protección de Datos de CaixaBank; Alberto Casaseca, Delegado de Protección de Datos de Clece; Ana Novillo, Delegada Global de Protección de Datos de Iberdrola; y Antonio Muñoz, Delegado de Protección de Datos de Telefónica. Además, se presentó el Mapa de CyberCompliance, a cargo de David Ferrete, Director del Área de Ciberseguridad y Cybercompliance de ECIX Tech, junto a Marta Cañas, Delegada de Protección de Datos de Iberia, reforzando la importancia de contar con herramientas prácticas que faciliten el cumplimiento normativo. Analizaron el impacto de la IA y de normativas como NIS2 y DORA, que obligan a redefinir los procesos de trabajo e impulsar programas de cibercompliance.

Sobre la ponencia de Lorenzo Cotino, presidente de la AEPD, Carlos Saiz valoró especialmente que abordara la estrecha relación entre la IA y la protección de datos. “Ha sido un momento importante, sobre todo ante la filtración de un cambio normativo de gran calado. Siempre es enriquecedor escuchar al presidente de la AEPD desde la perspectiva de las empresas. El papel de los DPO está muy consolidado, y aunque no hubiera cambios normativos de esta magnitud, que en este caso sí los hay, hacen que la protección de datos sigua siendo muy exigente y requiere que estos profesionales se formen continuamente”.

Por su parte, Henry Velásquez, Delegado de Protección de Datos en Publicis Groupe, cofundador de Data Clean Room y miembro del Comité del Data Privacy Institute, moderó una mesa redonda sobre nuevas tecnologías que ayudan a los DPO a desempeñar su labor. Se debatió sobre herramientas como el Data Clean Room, las BCRs y las PETs, con la participación de profesionales como Juan Barón, Head of Global Accounts de Decentriq; Alexandra Juanas, DPO de MasOrange; Nico Lozano, Data Strategy Director de Prisa; y Natalia de Mora, DPO de L’Oréal. En el panel se presentaron ejemplos reales de cómo estas tecnologías aportan valor a las empresas sin menoscabar los derechos fundamentales de terceros.

Para Velásquez, “si se analiza la normativa digital europea que se está aprobando, todas las medidas van en la misma dirección: empoderar la economía europea y, al mismo tiempo, el mercado del dato. Un elemento clave para ello es el intercambio de datos entre el sector privado y el público. El desafío radica en compatibilizar ese flujo de datos, necesario para entrenar modelos de IA o definir nuevos servicios digitales, con las obligaciones del cumplimiento normativo. Es ahí donde estas tecnologías emergentes pueden ofrecer soluciones efectivas”.

Auge de Derechos Digitales

En el Track 5, coordinado por Belén Arribas, presidenta de ENATIC, se debatió sobre los llamados Derechos Digitales. José Luis Piñar, Catedrático de Derecho Administrativo y Presidente de la Sección de Derecho Público de la Comisión General de Codificación, abordó los Derechos Digitales como extensión de los derechos fundamentales, planteando la pregunta sobre la necesidad de reformar la Constitución para recogerlos o si el texto actual ya los protege. “Es un debate abierto, pero considero que el marco constitucional puede interpretarse en el sentido de que protege los derechos y entornos digitales”, señaló.

Por su parte, Rodolfo Tesone, presidente emérito de ENATIC, condujo el Track 6 sobre la implementación de los Derechos Digitales. Impartió una ponencia sobre esta cuestión y moderó una mesa redonda en la que se debatió sobre “la implementación de la Carta de Derechos Digitales, del marco ético al cumplimiento normativo”. Participaron Fátima Cereijo, Control de Fraude, Inteligencia Artificial y Privacidad de Abanca, junto con Paula Ortiz, abogada experta en protección de datos, publicidad digital e IA. “Se abordó cómo los derechos y libertades fundamentales deben garantizar que la tecnología esté al servicio del ser humano y no al revés, como sucede actualmente”, concluyeron.

Para Rodolfo Tesone, uno de los impulsores de la iniciativa, “sería el momento de revisar la Carta de Derechos Digitales suscrita en julio de 2021. Hay que recordar que este documento se elaboró antes de la eclosión de ChatGPT en noviembre de 2022, cuya irrupción ha supuesto un movimiento sísmico de gran calado: la IA ha entrado de forma transversal en todos los ámbitos y nos afecta a todos. Por ello, consideramos conveniente incluir una disposición final que permita revisar la Carta y adecuarla a los nuevos tiempos”.

La XXVII Jornada de Seguridad de la Información confirma el compromiso de ISMS Forum con la excelencia y la innovación en ciberseguridad. Integrar la prosiliencia, anticipar riesgos y fortalecer la resiliencia organizativa no es solo una recomendación, sino una estrategia clave para todas las empresas y organismos públicos.

El éxito de la jornada y la alta participación confirman a SMS Forum como el referente en España en materia de ciberseguridad, ofreciendo conocimiento, metodologías y marcos estratégicos que permiten a las empresas y organismos públicos adaptarse a un entorno digital cada vez más complejo y regulado.