ISMS Forum celebró en Madrid la XV Edición del Foro de la Ciberseguridad, una de las principales citas nacionales del sector, organizada junto a su grupo de trabajo Cyber Security Centre (CSC). El encuentro reunió a más de 900 profesionales y analizó cómo la IA, amenazas emergentes como Mythos, la regulación europea y el riesgo poscuántico están redefiniendo la agenda de ciberseguridad de empresas y CISOs.

 

La apertura institucional puso de relieve la importancia de reforzar la colaboración público-privada en materia de ciberseguridad. En este bloque participaron Javier Torres, secretario general de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA); Andrés Ruiz, subdirector general de Seguridad Digital; y Alejandro Las Heras, consejero delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid, quienes destacaron el papel de las instituciones en el acompañamiento a empresas y profesionales ante un contexto tecnológico y regulatorio cada vez más exigente.

 

 

El Foro también abordó el nuevo marco europeo de ciberseguridad y su impacto en la responsabilidad directiva. En la ponencia “El Nuevo Orden de la Ciberseguridad Europea: De NIS2 a Cyber Security Act 2”, Javier Gil-Ruiz, director de la División de Ciberseguridad para la Transformación Digital del Ministerio para la Transformación Digital y de la Función Pública, profundizó en un entorno regulatorio que obliga a las empresas a definir mejor sus protocolos de actuación y a integrar la gestión del riesgo digital en sus modelos de gobierno.

 

Por parte del ámbito empresarial y asociativo, las intervenciones subrayaron la necesidad de mejorar el entendimiento entre administraciones, empresas y comunidad profesional. Participaron Salvador Molina, presidente de ECOFIN; Carlos A. Saiz, vicepresidente de ISMS Forum, director del Data Privacy Institute y partner and head of Privacy, Risk & Compliance de Ecix Group; y Roberto Baratta, presidente de ISMS Forum, quienes incidieron en los retos de ciberseguridad derivados de un entorno geopolítico complejo y de una aceleración tecnológica sin precedentes.

 

La gobernanza algorítmica fue uno de los ejes destacados de la jornada. Carlos A. Saiz señaló la importancia de diferenciar la capa ética del cumplimiento normativo y de la ciberseguridad, incorporándola de forma explícita desde el diseño de cualquier sistema de IA. En este sentido, advirtió de que una inteligencia artificial puede ser legal y, aun así, entrar en conflicto con los valores de una organización o de sus grupos de interés, por lo que resulta clave avanzar hacia enfoques de Ethics by Design, supervisión humana real y control temprano de sesgos.

 

 

Daniel García, managing partner de ISMS Forum, destacó que la irrupción de la IA y de herramientas como Mythos obliga a las organizaciones a disponer de modelos sólidos de gobernanza de la inteligencia artificial, orientados a un uso ético, seguro y confiable. En este contexto, recordó el papel de ISMS Forum como entidad de referencia para la comunidad de expertos en seguridad de la información, privacidad y gestión del riesgo digital, mediante el desarrollo de guías, marcos de trabajo y herramientas prácticas para los profesionales del sector.

 

Durante el Foro, los asistentes conocieron distintos documentos e iniciativas orientados a reforzar el papel del CISO. Entre ellos, se presentó la III Edición del Libro Blanco del CISO, centrada en la evolución de este perfil como figura clave en el gobierno corporativo, la gestión del riesgo digital y la resiliencia del negocio. En el debate moderado por Francisco Lázaro, CISO & DPO de Renfe, codirector del grupo de Inteligencia Artificial y board member de ISMS Forum, los ponentes señalaron que las exigencias regulatorias, tecnológicas y operativas han crecido de forma significativa en los últimos años, mientras que los recursos disponibles para las áreas de ciberseguridad no siempre han evolucionado al mismo ritmo. El documento contribuye a clarificar sus competencias, posicionamiento organizativo, relaciones internas y externas, así como sus responsabilidades jurídicas.

 

El Foro también presentó el Modelo de Madurez de Resiliencia Estructural NIS2, impulsado por ISMS Forum junto al Center for the Governance of Change de IE University. La iniciativa está orientada a identificar brechas organizativas, tecnológicas, procedimentales y de gobernanza en entidades sujetas a la Directiva NIS2. Casimiro Juanes, investigador del IE, explicó que este modelo contribuye a fortalecer el papel estratégico del CISO y a generar evidencia útil para organizaciones, reguladores y responsables públicos. Su valor añadido reside en cubrir el espacio que existe entre el cumplimiento técnico y la madurez organizativa, ayudando a las entidades a responder una pregunta clave ante sus órganos de dirección: cuál es su nivel real de madurez en el gobierno de la ciberseguridad.

 

                

 

La jornada incluyó además la presentación de la Guía para CISOs: Riesgos y oportunidades del post-Quantum en Ciberseguridad. El documento está dirigido a integrar el riesgo poscuántico en el gobierno corporativo y en la gestión de la criptografía. Durante la exposición, los ponentes señalaron que la llegada de la computación cuántica abre un nuevo reto para la ciberseguridad, al poder afectar a los sistemas de cifrado y certificación que hoy protegen la información de empresas, administraciones y ciudadanos. La guía subraya la importancia de avanzar hacia arquitecturas más modulares y cripto-ágiles, capaces de sustituir algoritmos y adaptarse a nuevos estándares sin comprometer la continuidad operativa.

 

ISMS Forum también presentó GIA Bot, el primer sistema de agentes de inteligencia artificial desarrollado por la asociación para estructurar y facilitar el acceso al conocimiento generado por su Grupo de Inteligencia Artificial. Eduardo de Prado, Cybersecurity Expert & AI Researcher, explicó que esta herramienta busca convertir el conocimiento compartido por la comunidad en una base navegable, práctica y aplicable en entornos profesionales. El sistema opera sobre enlaces a contenidos públicos y no analiza mensajes, conversaciones ni interacciones personales, lo que refuerza su enfoque de IA gobernada, orientada al contenido y respetuosa con el entorno de confianza de ISMS Forum.

 

El cierre del XV Foro de la Ciberseguridad estuvo dedicado a los resultados de los CyberMS ’26: Ciberejercicios Multisectoriales. Esta iniciativa está orientada a evaluar la capacidad de detección, respuesta y recuperación de las organizaciones ante crisis de ciberseguridad. Marcos Gómez, subdirector de INCIBE, entidad que colabora con ISMS Forum en el desarrollo de estos ciberejercicios desde su primera edición, puso en valor la importancia de realizar simulacros de incidentes para mejorar la preparación real de las empresas. En esta edición participaron 35 organizaciones, que se enfrentaron a un escenario simulado de crisis para testar sus capacidades de gestión, coordinación y respuesta.

 

                        

 

La principal conclusión fue que la resiliencia no depende solo de la tecnología. Los ciberejercicios evidenciaron la necesidad de validar la robustez real de las infraestructuras, la eficacia de los controles de seguridad, la coordinación entre equipos y la capacidad de decidir con rapidez bajo presión. En un ciberincidente, el tiempo y la agilidad son factores críticos para mitigar el impacto, por lo que entrenar protocolos antes de que ocurra una crisis resulta esencial para mejorar la respuesta operativa de las organizaciones.