En un contexto marcado por los avances tecnológicos y un marco normativo cada vez más exigente, con la entrada en vigor del Reglamento de Inteligencia Artificial (RIA)y la inminente trasposición de la Directiva NIS2, para mejorar la respuesta en materia de ciberseguridad, las empresas y, en particular, sus responsables de ciberseguridad (CISOs) han encontrado en los programas de cumplimiento normativo digital o Cyber Compliance una vía eficaz para reforzar la confianza y dar respuesta a los nuevos riesgos que deben afrontar de manera continua.

Los expertos consultados para este artículo coinciden en que la apuesta por la ciberseguridad debe entenderse como una decisión estratégica y cultural. Subrayan que, sin el apoyo de la alta dirección, de arriba hacia abajo, una estrategia de este tipo no puede implementarse con garantías. Consideran, además, que la formación en ciberseguridad y cumplimiento normativo es esencial para consolidar una cultura de seguridad sólida en las organizaciones, y destacan que la relación del CISO con la dirección de la empresa resulta determinante para la correcta implantación de estas estrategias.

En este contexto, ISMS Forum, a través de su área de formación, ha puesto en marcha una nueva edición de la formaciónen Cyber Compliance, organizado conjuntamente por el Cyber Security Center (CSC), Centro de Estudios de Ciberseguridad de la entidad y el Data Privacy Institute (DPI).
El curso, que comenzará el próximo 1 de diciembre, actúa como preparador para la Certified Professional Cyber Compliance (CPCC), certificación promovida por ISMS Forum que acredita un alto nivel de especialización en la normativa española sobre cumplimiento en ciberseguridad.

 

Invertir en formación es necesario

Para Eva Cañete, Directora de Control de Riesgos No Financieros y CISO de Unicaja, además de miembro del Board de ISMS Forum Andalucía, los programas de cumplimiento normativo son una herramienta clave para gestionar los riesgos corporativos y establecer protocolos internos de actuación ante ciberincidentes.

Según la experta, “la aplicación del Reglamento DORAen el sector financiero tiene un alcance similar al de NIS2”. También destaca la importancia de la gestión de la cadena de suministro y del papel de la dirección. “Nuestro sector, con la trasposición de DORA, está mejor preparado para adaptarse a NIS2. Acudir a foros como los que organiza ISMS Forum periódicamente ayuda a conocer las mejores prácticas del sector y a hacer networking con otros CISOs”.

Desde su punto de vista, “la seguridad se ha convertido en un proceso de análisis de riesgos constante, en el que se identifican y evalúan amenazas, se determina si son aceptables y, en función de ello, se habilitan distintos controles internos”. Añade que, “la normativa actual introduce obligaciones que impulsan la adopción de controles que, de otro modo, quizás no se implantarían”.
Cañete subraya que “el sector financiero está muy regulado, con distintos supervisores que controlan tanto la operación financiera como la tecnológica y, por extensión, todo lo relativo a la ciberseguridad”. En relación con el debate abierto sobre la simplificación normativa, indica que “está a favor de avanzar en esa dirección”.

En este contexto, la experta también se refiere a la entrada en vigor del Reglamento de Inteligencia Artificial (RIA), que establece el marco normativo para una tecnología tan disruptiva como la IA. “Creo que se mueve entre claroscuros complejos, en el sentido de que puede llegar a invadir la protección de las personas. Existe el temor de que se haga un uso indebido de datos sensibles. Ahí está el debate: dónde establecer la línea ética para lograr el equilibrio entre el servicio y el respeto a la individualidad de cada persona. En nuestro caso, como entidad financiera, estamos analizando qué tipo de herramientas de IA podríamos implementar en el futuro”, afirma Cañete.

Respecto a la formación en Cyber Compliance, Cañete subraya que “las políticas de Cyber Compliance son una piedra angular en cualquier organización y, para ello, es imprescindible recibir la formación adecuada. No es algo exclusivo para perfiles técnicos, sino que debe adaptarse tanto a la dirección de la empresa como al área legal y al equipo de seguridad de la información, que también debemos proteger”. Recuerda que “una parte importante de los ciberincidentes se origina por un error humano, muchas veces derivado del desconocimiento de las políticas internas de la organización”. Por ello, destaca que “los programas formativos de ISMS Forum son especialmente recomendables, ya que incorporan las últimas novedades de cada ámbito. Nosotros hicimos un curso sobre IA antes del verano y quedamos muy satisfechos”.

 

Hay que proteger la reputación

Desde Palma de Mallorca, Javier Gayoso, CISO de Banca March, entidad financiera de referencia en la gestión de grandes patrimonios, es el responsable de definir la estrategia y las políticas de seguridad de la organización, en coordinación con la dirección del grupo. Explica que, en los años transcurridos desde que asumió este cargo, la entidad ha avanzado notablemente en materia de regulación y gobernanza. Actualmente, lidera un equipo compuesto por personal interno y externo que prestan soporte en diversas áreas de ciberseguridad. “Cada año incrementamos los recursos para hacer frente al panorama de amenazas cada vez más complejo y en continuo cambio”, aclara.

Gayoso, que ha desarrollado su carrera profesional en Banca March durante los últimos diecisiete años, señala: “He visto cómo la entidad ha ido creciendo e incorporando recursos destinados a la seguridad de la información. La ciberseguridad es un elemento estratégico de nuestras políticas de negocio, y el cumplimiento regulatorio actúa como un facilitador para que la estrategia y el gobierno de la ciberseguridad funcionen de manera satisfactoria. Creo que el sector financiero tiene un nivel de madurez bastante alto en cultura de ciberseguridad gracias a la importancia del cumplimiento regulatorio; debe ser de las actividades económicas que mejor la cuidan. Actualmente, enfocados en la mejora continua con relación al Reglamento DORA, más orientado al sector financiero”.

En este contexto, Gayoso subraya que la formación en Cyber Compliance resulta esencial para aplicar programas de cumplimiento que permitan mitigar riesgos y establecer protocolos de actuación ante posibles incidentes. “Estos programas de cumplimiento ayudan mucho a detectar los riesgos de la organización y, al mismo tiempo, contribuyen a mejorar la gestión interna de riesgos. En entidades como Banca March, son fundamentales para proteger la reputación de la compañía. En nuestro caso, los clientes confían en nosotros precisamente por la reputación que hemos construido; eso refuerza la confianza tanto de los clientes como de los accionistas”, afirma.

El experto en seguridad de la información destaca que “en ciberseguridad, apostar por la formación continua de los profesionales es imprescindible”. Subraya que “con las certificaciones de ISMS Forumtienes la oportunidad de aprender directamente de CISOs de grandes empresas y de distintos sectores de la economía, lo que aporta un gran valor práctico”.

Añade que “estas certificaciones no se limitan a estudiar y aprobar un examen, sino que ofrecen una formación aplicada, donde se abordan los problemas reales que pueden surgir en la gestión de la seguridad de la información de una empresa. Son certificaciones realmente útiles”.

Gayoso concluye con un claro ejemplo: “Nuestro director técnico posee la certificación en Ciberseguridad de ISMS Forum, y esperamos que, de forma progresiva, todo nuestro equipo pueda obtener las certificaciones correspondientes a su ámbito”.

 

ISMS Forum, partner en formación

Raquel de Saá, responsable de Formación de ISMS Forum, destaca el éxito del programa de certificación en materia de Cyber Compliance (CPCC), lanzado en 2023. “Hasta la fecha se han celebrado seis ediciones del curso, y la séptima tendrá lugar entre el 1 y el 17 de diciembre. Más de 200 profesionales han participado en el programa, y más de un centenar ya han obtenido la certificación”, señala.

La certificación Certified Professional Cyber Compliance (CPCC) está dirigida a profesionales del cumplimiento normativo en ciberseguridad, y permite acreditar su experiencia y especialización en este ámbito. “El curso está especialmente orientado a perfiles con experiencia previa, tanto del ámbito legal como tecnológico, que ya trabajan bajo marcos normativos en materia de ciberseguridad”, explica De Saá. Para acceder a la certificación, es requisito contar con al menos tres años de experiencia profesional.

El programa formativo, que se ha ido adaptando a los cambios del entorno global, consta actualmente de 30 horas lectivas distribuidas en nueve sesiones online en directo. Estas sesiones son impartidas por un equipo de 18 expertos docentes con amplia trayectoria en el sector.

En cuanto a los contenidos, el curso aborda cuatro grandes bloques temáticos:

1. Marco normativo y ciberpolítica internacional: incluye el análisis de la normativa aplicable al Cyber Compliance, el Esquema Nacional de Seguridad (ENS), las instituciones de reporte y un repaso completo de las regulaciones relevantes.
2. Estándares y buenas prácticas: se estudian los procedimientos internos, las obligaciones contractuales en ciberseguridad y los principales estándares internacionales, como ISO 31700, ISO 37301 e ISO 27701.
3. Metodología de riesgos legales y sistemas de gestión: se analizan los riesgos legales y se definen medidas, controles e indicadores para elaborar un plan de Cyber Compliance sólido y operativo.
4. Auditorías y ciberdelincuencia: se presentan modelos de supervisión y monitorización, así como contenidos sobre investigaciones y aspectos procesales vinculados a la prevención de delitos en el entorno empresarial.

“Este programa se ha convertido en una herramienta clave para los profesionales que buscan consolidar su perfil en el ámbito del Cyber Compliance, en un contexto cada vez más exigente y regulado”, concluye De Saá.

 

Definir mapa de riesgos

Por su parte, David de la Rosa, Information Security Officer (ISO) de Sanoma desde hace cuatro años, cuenta con una trayectoria de más de dos décadas en el ámbito tecnológico. Actualmente forma parte de varios grupos de trabajo de ISMS Forum (NIS2, Consultas públicas, Libro Blanco del SOC…).

Sanoma Learning forma parte del grupo finlandés Sanoma, fundado en 1889 inicialmente como una empresa de medios y comunicación, que ha evolucionado para convertirse en un actor líder del sector educativo europeo. A lo largo de su historia, Sanoma ha expandido sus operaciones en diversos países, ofreciendo soluciones de aprendizaje innovadoras y de alta calidad. Integrando diversas empresas logísticas, editoriales productos y plataformas digitales.

De la Rosa reconoce que “en los últimos años, tras la aplicación consistente de los planes estratégicos de seguridad, ha incrementado de forma notable la madurez en la que el negocio entiende la seguridad como un componente esencial. Ahora los servicios de seguridad son mucho más sólidos y homogéneos, tanto en España como en los demás países donde operamos”. Explica que actualmente está “más centrado en la parte de learning de la compañía, como Information Security Officer (ISO), definiendo y desarrollando los servicios de seguridad del grupo”. Añade que “gestionamos la mayor parte de los servicios de seguridad y los controles y procesos que deben estar implementados en todas las empresas que forman parte del grupo”.

De la Rosa y todo el equipo de Seguridad y Privacidad son responsables del proceso de gestión de riesgos dentro de la compañía. Explica que “tenemos la responsabilidad de ayudar a la empresa y a su negocio a identificar, evaluar y responder a los riesgos de seguridad de la información a los que estamos expuestos. De acuerdo con las prioridades del negocio, monitorizamos y definimos el concepto de riesgo aceptable para la organización”.

Subraya que “la formación continua es indispensable para comprender los riesgos que asume la empresa y la metodología que debe aplicarse para gestionarlos correctamente”. En este sentido, destaca que “formar parte de la comunidad de ISMS Forum aporta un valor añadido importante; he obtenido varias formaciones y certificaciones de la entidad”, señala.

En relación con el uso del Cyber Compliance, De la Rosa destaca que se trata de un elemento clave para complementar una gestión eficaz del riesgo. Explica que “dentro del ámbito del Cyber Compliance, la protección de datos, los procesos y controles de seguridad y el uso ético de las tecnologías de IA tienen un papel fundamental. En estas materias hemos realizado importantes esfuerzos desde el área de Seguridad y Privacidad”.

Añade que “las diferentes regulaciones como EU AI Act, la LOPDGDD y la próxima transposición de la NIS2 (en los países donde aún no lo han hecho), exige demostrar un nivel adecuado de comprensión y de implementación de procedimientos robustos en Sanoma, no tanto para evitar por completo las brechas de seguridad, sino para poder gestionarlas conforme a la legislación vigente en caso de que se produzcan”. Concluye que “en nuestra compañía contamos con protocolos claros para la gestión de brechas de seguridad, que revisamos de manera periódica (varias veces al año)”, señala el experto.

La creciente complejidad normativa y tecnológica confirma que la formación en Cyber Compliance se ha convertido en un pilar esencial para la sostenibilidad y la resiliencia de las organizaciones. ISMS Forum reafirma su compromiso con la excelencia formativa y el desarrollo de competencias profesionales en ciberseguridad. A través de sus programas especializados, impulsa la preparación de los CISOs y responsables de cumplimiento para afrontar los nuevos desafíos regulatorios y tecnológicos que marcan la agenda digital europea.