Más de 450 expertos se congregaron el 6 de marzo en Barcelona bajo la convocatoria de ISMS Forum para discutir las principales problemáticas en materia de ciberseguridad durante la quinta edición del Foro Regional de ISMS en esta ciudad catalana. Entre las novedades destacadas se presentó el Informe de Estrés de los CISOs, un estudio sin precedentes en España.

En una ponencia sobre este informe, moderada por Jose Luis Diaz, Managing Director Iberia de Advens, participaron Jesús Muñoz, responsable de Seguridad Digital en CaixaBank; Ángel Uruñuela, CISO de Fluidra; y Xavier Vila, CISO de Validated ID. Este estudio, siguiendo parámetros de investigaciones realizadas en Estados Unidos y el Reino Unido, revela una carga significativa de estrés entre los CISOs españoles, derivada principalmente de la gestión de incidentes y la constante presión mediática.

El informe, compuesto por 88 páginas, contó con la participación de 82 CISOs asociados a ISMS Forum. Un 30% de los encuestados reportó enfrentar pocos problemas, mientras que el 70% restante se encuentra en un entorno más problemático, con un 40% de estos CISOs experimentando niveles particularmente altos de estrés. Los ponentes destacaron la abrumadora carga laboral de estos profesionales, que deben hacer frente a una variedad de ciberataques y, en ocasiones, frenar iniciativas de negocio.

A pesar de la importancia de su labor, los expertos señalaron que los CISOs rara vez son despedidos debido a incidentes de ciberseguridad. Sin embargo, expresaron preocupación por la posible aplicación en España de regulaciones como las de la SEC en Estados Unidos, que podrían aumentar la responsabilidad legal de los CISOs. Además, destacaron la soledad de los CISOs en empresas más pequeñas, donde carecen del equipo y recursos disponibles en estructuras más grandes.

En otra mesa redonda, David Esteban, CISO de Cellnex Telecom, y David Llorente, ambos miembros del Board Member de ISMS Forum Barcelona, discutieron la evolución del Indicador de Madurez de Ciberseguridad en las empresas, que ya va por su cuarta edición. Se destacó la creación de una nueva plataforma en línea que proporciona informes personalizados, permitiendo a cada empresa evaluar su nivel de madurez y compararse con su sector.

El estudio también abordó los desafíos en ciberseguridad y protección de datos, donde los ponentes coincidieron en la necesidad de priorizar las amenazas de manera realista y expandir la conciencia de ciberseguridad en toda la empresa.

David Esteban, CISO de Cellnex Telecom, y David Llorente, ambos miembros del Board Member de ISMS Forum Barcelona.

Sobre estrategias de ciberseguridad

En paralelo, se ofreció una sala sobre estrategias de ciberseguridad, presentada por Ricard Flores del Board Member de ISMS Forum Barcelona. Santiago Romeu, Jefe de la Unidad de Ciencia y Analítica de Datos de la Agència de Ciberseguretat Catalana, presentó las líneas básicas de la nueva estrategia de ciberseguridad en Cataluña para el periodo 2023-2027, destacando la creación de la Agencia Catalana de Ciberseguridad y el Cataluña Cert para la respuesta de incidentes.

En este contexto, señala la creación del Catalonia Soc para brindar apoyo en la protección de incidentes a las entidades locales, junto con el CIC4Ciber, un organismo del INCIBE catalán diseñado para atraer fondos económicos para esta comunidad autónoma. Además, se han impulsado programas de gestión del talento, como el Plan Dona Tic, con el objetivo de fomentar la participación de las mujeres en el sector de la ciberseguridad. Por último, cabe mencionar que está en marcha la organización de un gran congreso de ciberseguridad que tendrá lugar el próximo mes de mayo.

Desde la perspectiva de Santiago Romeu, el uso de herramientas de inteligencia artificial en las nuevas estrategias de ciberdefensa de empresas y organizaciones parece ser inevitable. Sin embargo, se plantea la preocupación de que la IA Generativa pueda permitir a los delincuentes detectar vulnerabilidades o impulsar nuevas campañas de phishing y malware más sofisticado en la actualidad.

Santiago Romeu, Jefe de la Unidad de Ciencia y Analítica de Datos de la Agència de Ciberseguretat Catalana

Más tarde, el diálogo entre Carlos Saiz, Vice Chairman de ISMS Forum; Director del Data Privacy Institute; y Partner y Head of Privacy, Risk & Compliance en Ecix Group, junto con Josep Bardallo, CISO & DPO de Grupo Recoletas, permitió explorar cómo las empresas se están preparando para el próximo panorama regulatorio. Este nuevo marco normativo involucra la convergencia de NIS2 con CER, el Reglamento Dora para entidades financieras y otro reglamento sobre IA, cuyo texto definitivo está próximo a conocerse. Esta complejidad normativa añade un desafío adicional a la labor de los CISOs de las empresas.

Finalmente, tanto los CISOs como los Oficiales de Cumplimiento (Compliance Officers) y los Delegados de Protección de Datos (DPO) deben establecer un mapa normativo que refleje las obligaciones de su empresa. Esto implica la necesidad de contar con profesionales especializados o asesores externos para evitar el riesgo de sanciones y el consiguiente daño reputacional. En este contexto, es esencial la colaboración entre los equipos jurídicos y técnicos para trabajar de manera coordinada hacia este objetivo. En respuesta a esta situación, se están formando Comités Transversales donde estos profesionales colaboran estrechamente.

Josep Bardallo, CISO & DPO de Grupo Recoletas, junto a Carlos Saiz, Vice Chairman de ISMS Forum; Director del Data Privacy Institute; y Partner y Head of Privacy, Risk & Compliance en Ecix Group.

En otro diálogo de este panel, Daniel García, Partner de ISMS Forum, conversó con Enrique Cervantes, CISO & CTO de Fintonic, sobre la inteligencia artificial (IA) y sus implicaciones. Explicaron cómo se abordará internamente en las empresas, destacando su papel como una amenaza potencial para muchas compañías y el impacto que puede tener en el negocio. En este intercambio, resaltaron que la IA está impulsando una verdadera transformación digital 2.0, afectando a los negocios, los procesos, la tecnología y las personas. Estamos ante el comienzo de un cambio significativo en las organizaciones.

En este contexto, es crucial entender cómo integrar la IA desde una perspectiva de ciberseguridad y protección de datos de manera coherente, segura y confiable, garantizando su perdurabilidad en el tiempo. Esta innovadora tecnología está generando cambios importantes en las empresas, especialmente en lo que respecta a los modelos generativos. De hecho, los desarrolladores están cada vez más utilizando estas herramientas de IA, lo que anticipa su mayor implementación en el futuro. En última instancia, se trata de definir un plan de acción y asignar un presupuesto adecuado para poder adoptar estas herramientas de manera efectiva.

Enrique Cervantes, CISO & CTO de Fintonic

Conclusión

El Foro Regional de ISMS Forum en Barcelona ha sido un espacio crucial para analizar y abordar los desafíos actuales en materia de ciberseguridad, destacando la necesidad de apoyo institucional, colaboración interna y preparación ante los cambios normativos y tecnológicos. Los CISOs, como actores clave en este escenario, enfrentan una carga significativa de estrés y responsabilidad, pero también tienen la oportunidad de liderar la transformación digital de sus organizaciones de manera segura y resiliente.