Desde ISMS Forum publicamos un nuevo vídeo en el que Mariano González, CISO y Head of the Risks & Information Security Division del Banco de España, detalla cómo las organizaciones pueden integrar el Cyber Indicator Framework (CIF) en el modelo de reporting para reforzar la comunicación con la alta dirección y mejorar la calidad de la información utilizada en la toma de decisiones estratégicas.

El vídeo forma parte de la iniciativa de visibilidad de entregables impulsada por ISMS Forum y ofrece una mirada directa a la aplicación práctica del marco desarrollado por la asociación. En él se explica cómo las organizaciones pueden utilizar el reporte de indicadores CIF para estructurar, priorizar y alinear la medición de la ciberseguridad con los criterios de riesgo empresarial.

El CIF, diseñado para transformar información técnica en una lectura clara y comparable orientada al negocio, organiza la medición de la ciberseguridad en cuatro dimensiones; contexto, capacidades, amenazas e impacto, que permiten obtener una panorámica precisa del nivel de preparación de la organización. Esta aproximación facilita la evolución hacia un modelo de reporting más coherente, más transparente y mejor adaptado a las necesidades del board, evitando sobrecargas de información y reforzando el enfoque basado en riesgos.

En la intervención se subraya, además, la importancia de definir adecuadamente cada métrica. Se diferencian los indicadores descriptivos, los KPIs, orientados al rendimiento, y los KRIs, que actúan como señales tempranas de riesgo. El uso de la plantilla propuesta en el CIF, que exige claridad en el objetivo, periodicidad, fuentes, umbrales y responsables, permite homogeneizar la presentación de datos y facilitar su gobernanza interna.

Mariano comparte también algunas de las prácticas que pueden contribuir al éxito del proyecto: empezar con un conjunto reducido de métricas y ampliarlo de forma incremental; reutilizar datos ya disponibles para evitar cargas operativas innecesarias; y adaptar el nivel de detalle según el público objetivo, presentando al comité de dirección únicamente la información crítica para la decisión.

La experiencia presentada en el vídeo demuestra cómo un marco común puede acelerar la madurez del reporting, mejorar la comunicación con los órganos de gobierno y proporcionar una visión más precisa de la postura de ciberseguridad. Para ISMS Forum, este ejemplo confirma el valor del CIF como herramienta para fortalecer la alineación entre la función técnica y la estrategia corporativa, y para fomentar prácticas de medición comparables en todo el sector.