El Observatorio de Madurez de Ciberseguridad de ISMS Forum es un proyecto anual que se ha consolidado como una referencia clave para entender la evolución de la Madurez en ciberseguridad en España. Cada edición refleja cambios significativos en los niveles de madurez, identifica brechas sectoriales y aporta una visión actualizada sobre tendencias emergentes, riesgos y prioridades estratégicas.

Para Mariano González, profesional con una notable carrera en el mundo tecnológico, en los últimos seis años vinculado al Banco de España, y actualmente, CISO y Head of the Risks & Information Security Division, este estudio consolida el Indicador Nacional de Madurez bajo el marco NIST CSF 2.0 y, por primera vez, mide el riesgo residual de ciberinseguridad como referencia clave para la gestión estratégica.

Al mismo tiempo, permite a las empresas y organismos públicos anticiparse a amenazas, fortalecer su resiliencia operativa y adaptarse a un entorno regulatorio cada vez más exigente. Segmentado por sector y tamaño de la organización, no solo permite a las organizaciones autoevaluarse y compararse con sus pares, sino que también ofrece un indicador nacional basado en NIST CSF 2.0 (6 dominios) que ayuda a alinear la gestión del riesgo con la estrategia de negocio y reforzar la gobernanza. Además, incorpora la filosofía de mejora continua, esencial en un entorno donde las amenazas y regulaciones evolucionan constantemente.

Por todo ello, este experto subraya, en esta entrevista, que el Observatorio se convierte en un documento imprescindible para anticipar retos, priorizar acciones y mantener la resiliencia organizativa, tanto en el sector privado como en el público.

¿Cuál cree que es es el valor que aporta el Indicador Nacional de Madurez en Ciberseguridad del Observatorio a la función del CISO y cómo puede ayudar a priorizar inversiones y justificar decisiones ante su Consejo de Dirección?

Desde mi punto de vista, el principal valor que aporta el Indicador a un CISO es el disponer de una referencia objetiva y reconocida que te permite comparar el nivel de madurez de su organización con el sector y con el país. Esta visión resulta clave para priorizar inversiones en las áreas más críticas, o donde se identifique que hay mayor gap con respecto a los homólogos, justificando así decisiones ante tu organización con datos externos y alineados con tus homólogos.

Esta capacidad de comparación externa y objetiva es fundamental para construir un programa de ciberseguridad sólido. Además, el marco de NIST CSF 2.0 ayuda a traducir la ciberseguridad en un lenguaje estratégico, utilizando verbos y conceptos que son fácilmente entendibles para la dirección de las organizaciones (gobernar, proteger, identificar, etc.), y mostrando cómo la mejora en madurez reduce riesgos operativos, regulatorios y/o reputacionales.

El Observatorio ofrece un indicador nacional con comparativas sectoriales que ayudan a alinear decisiones de riesgo con negocio. Desde una perspectiva ejecutiva, ¿cuáles serían los mensajes clave que trasladarías al consejo de administración para alinear la gestión del riesgo cibernético con la estrategia de negocio?

En primer lugar, es fundamental hablar de ciberseguridad como habilitador estratégico. Resulta clave ser consciente de que invertir en madurez no es un coste, sino una palanca para garantizar continuidad operativa, reputación y confianza en los servicios críticos. Esto permite proteger la misión y los objetivos del negocio frente a interrupciones y sanciones regulatorias.

Al mismo tiempo, como segundo elemento, conviene poner el foco en que el riesgo residual y coste agregado son reales. Los incidentes de bajo y medio impacto son recurrentes y su coste acumulado es significativo. Por ello, es imprescindible cuantificar el coste (reputacional, económico y operacional) de los riesgos y los incidentes ciber, con el fin de gestionar el riesgo de forma alineada con los intereses estratégicos de las organizaciones.

Por último, es necesario abordar una Gobernanza ciber basada en datos. Integrar la ciberseguridad en la gobernanza, en base a datos concretos, y definir tolerancia al riesgo vinculada a objetivos estratégicos, es clave para justificar inversiones, asegurar la mejora continua y mejorar la resiliencia operativa.

La actualización del NIST CSF 2.0 (2024) incorpora el dominio “Gobierno”, reforzando la integración de la ciberseguridad en la gobernanza corporativa y la gestión estratégica del riesgo. Desde su experiencia, ¿cómo transforma esta evolución la interlocución con el negocio y el consejo de administración?

Aunque en NIST CSF 1.1 no existía una función concreta llamada Gobierno, sí aparecían controles de gobierno dentro del dominio Identificar, pero, estos controles estaban diluidos, dispersos y carentes de una posición estratégica central.

Además, formulaban aspectos clave de gobierno, pero no reforzaban la visibilidad ni responsabilidad desde los niveles ejecutivos o de directorio.

En NIST CSF 2.0 se introduce la función específica Gobierno como una función central y estratégica, elevando la gobernanza al mayor nivel de interlocución, integrando ciber-riesgos con la gestión general de la compañía y fomentando la comunicación bidireccional entre las áreas técnicas con el negocio y la dirección.

De esta forma, se impulsa la participación directa en el diseño de la estrategia de ciberseguridad, construyendo así una cultura donde la ciberseguridad se gestiona como un riesgo empresarial, no un problema técnico aislado.

A la luz de las conclusiones del estudio, ¿qué tendencias o brechas sectoriales consideras más relevantes para la agenda del CISO en 2026?

Sobre esta cuestión, podemos resaltar como principales conclusiones que la gobernanza es prioritaria: solo el 36% de las organizaciones tiene optimizada la gestión del riesgo, lo que exige integrar la ciberseguridad en la estrategia corporativa y reforzar la gestión de la ciberseguridad de la cadena de suministro.

Al mismo tiempo, se sigue detectando que la Administración Pública permanece rezagada en protección y gobierno, lo que obliga a invertir en identidades, datos y planes de recuperación. Junto a ello, el dominio Recuperar retrocede, con menos pruebas y actualizaciones, evidenciando riesgos para la continuidad operativa.

En las conclusiones también se deja claro que, además, la reducción de equipos internos y la dependencia de terceros impulsan la necesidad de mayor automatización y de reforzar los controles sobre proveedores. En definitiva, la ciberseguridad debe consolidarse como habilitador estratégico, no como un coste, para garantizar resiliencia y transformación digital segura.

¿Cuál es el principal reto que enfrenta actualmente el CISO en España para consolidar la resiliencia organizativa y qué recomendación priorizarías para CISOs que inician su madurez en ciberseguridad?

En mi opinión, el principal reto es integrar la ciberseguridad en la gobernanza corporativa y en la estrategia de negocio, en un contexto marcado por amenazas sofisticadas, presión regulatoria y escasez de talento especializado.

Mi recomendación para CISOs que inician su madurez es priorizar una evaluación objetiva basada en marcos reconocidos, como NIST CSF 2.0, establecer una hoja de ruta alineada con riesgos y objetivos estratégicos, y comenzar por fortalecer los “controles básicos”.

Lo principal es avanzar con una filosofía de mejora continua, apoyándose en automatización y en inteligencia artificial, y por supuesto, contando con los consejos del colectivo de CISOs españoles.

En el estudio se estima el riesgo residual de ciberinseguridad, cuantificando la probabilidad y el impacto económico de incidentes desde daños insignificantes hasta escenarios catastróficos. Desde su experiencia, ¿cómo traslada al consejo de administración la realidad del riesgo residual y el coste de la ciberinseguridad, y qué estrategias considera más eficaces para priorizar inversiones y justificar la mejora continua en madurez de su compañía

Trasladar el riesgo residual al consejo exige convertir la ciberseguridad en lenguaje de negocio, siendo capaces de definir el impacto económico en los objetivos de negocio y reputacionales.  Como ya he comentado anteriormente, gestionar la ciberseguridad en base a datos es clave para que la dirección de las organizaciones conozca el riesgo residual, priorice inversiones y tome decisiones informadas.

En conjunto, la visión de Mariano González pone de manifiesto que la ciberseguridad ha dejado de ser una función exclusivamente técnica para convertirse en un vector crítico de gobernanza, resiliencia y creación de valor. En este marco, el Observatorio de Madurez en Ciberseguridad de ISMS Forum, alineado con NIST CSF 2.0 y con indicadores objetivos de madurez y riesgo residual, se consolida como una herramienta clave para apoyar la toma de decisiones, priorizar inversiones y alinear la gestión del ciberriesgo con la estrategia de negocio.