NOTICIAS

Listado de noticias

David Andrés Hurtado, Global Head of Cybersecurity, Governance, Risks & Resilience en Naturgy: “La trasposición de NIS2 hará a las organizaciones más seguras”

  • 02/09/2025

Esta multinacional energética es un referente en la aplicación de políticas de ciberseguridad orientadas a proteger el negocio en cualquier entorno.

David Andrés Hurtado, Ingeniero de Minas por la Universidad Complutense de Madrid, es actualmente Responsable Global de Gobierno de Ciberseguridad en el Grupo Naturgy. Desde este puesto lidera el alineamiento de la estrategia de ciberseguridad en los distintos negocios del grupo, el diseño de políticas y arquitecturas de seguridad, así como la estrategia de concienciación y sensibilización en ciberseguridad para toda la plantilla y empresas colaboradoras, con especial atención a la Directiva NIS2.

Su trayectoria profesional comenzó en el mundo de la consultoría de sistemas en el ámbito de la energía en Soluziona, posteriormente incorporada al grupo Indra, y, desde 2012, es parte del equipo de Tecnología y Sistemas de Naturgy, donde ha asumido diferentes responsabilidades. Inició su andadura como Business Partner de Sistemas de Información para Generación y Mercados; y posteriormente se hizo cargo del mantenimiento de las aplicaciones del conjunto del grupo, lo que le permitió adquirir una visión transversal del negocio, antes de incorporarse a la unidad de Ciberseguridad.

Un momento clave que destaca en su carrera es 2018, cuando Naturgy decidió dar un giro estratégico apostando de forma decidida por la ciberseguridad. Este cambio en la unidad de Seguridad propició su incorporación al área, desde donde, entre otros, ha liderado la ciberseguridad industrial del grupo, la gestión de riesgos y la interlocución con el regulador. Hoy, ocupa la posición de Global Head of Cybersecurity Governance, Risks & Resilience en Naturgy, responsable de la gobernanza en materia de ciberseguridad a nivel corporativo.

Naturgy, es un grupo energético multinacional comprometido con el desarrollo sostenible de la sociedad, y que garantiza el suministro de energía competitiva, segura y con el máximo respeto al medio ambiente, apostando por las energías y gases renovables. Naturgy cuenta con operaciones en 24 países destacando, junto con España, sus inversiones en Estados Unidos, Australia, Argentina, Chile, Brasil, México y Panamá.

En esta entrevista, David Andrés Hurtado —ponente habitual en foros del ISMS Forum — expone el posicionamiento de Naturgy en materia de ciberseguridad, destacando la apuesta estratégica de la compañía en este ámbito. Según él, “la trasposición de NIS2 hará a las organizaciones más seguras dando un nuevo paso adelante en materia ciberseguridad”.


Además, David Andrés forma parte del cuadro de formadores creado por la comunidad de expertos en seguridad de la información de ISMS Forum para capacitar a otros CISOs en la implementación de la directiva NIS2. Comparte esta labor con referentes del sector como Carlos Saiz, vicepresidente de ISMS Forum; Mariano J. Benito, CISO de GMV Soluciones Globales Internet S.A.U.; o Francisco Lázaro, director del Centro de Estudios de Movilidad e Internet de las Cosas del ISMS Forum, entre otros.

ISMS Forum: ¿Qué papel ocupan las políticas de ciberseguridad en el seno de una multinacional como es Naturgy?

David Andrés: Es un activo importante y forma parte de nuestro ADN empresarial. Nosotros proporcionamos servicios esenciales como empresa energética tanto en España como en otra veintena de países. La ciberseguridad va más allá de una obligación regulatoria o una nueva directiva. Es un elemento esencial en todas nuestras actividades y servicios.

Nuestra prioridad es la seguridad de las personas, la información de nuestros clientes, y la continuidad de las operaciones, y, en consecuencia, dentro de cualquier servicio u operación que hacemos incluimos la ciberseguridad como un elemento clave.

En la actualidad soy el responsable global de la gobernanza a nivel de ciberseguridad de la corporación, esto incluye la gobernanza a nivel worldwide, no solo España sino otros países en los que operamos, como Australia, EE.UU. y múltiples países en Latino América.

¿Cómo gestiona Naturgy dicha política de ciberseguridad en su día a día para dar esa respuesta en todas las áreas de negocio?

D.A.H.: Naturgy cuenta con un equipo de ciberseguridad corporativo que es del que yo formo parte, pero también tenemos profesionales especialistas en estos temas en todos nuestros negocios, tanto en España como en otras geografías.

Nuestros principales negocios y países tienen su responsable de ciberseguridad, desplegando la cultura y estrategia de ciberseguridad en su ámbito; desde la corporación nos encargamos de definirla común y somos el paraguas corporativo en el que se apoyan las diferentes unidades de ciberseguridad de los negocios.

¿De qué forma Naturgy se está adaptando a la nueva directiva NIS 2 que se va a trasponer a corto plazo en nuestro país?

D.A.H.: Respecto a esta normativa, trabajamos desde hace años incorporando la seguridad en nuestros procesos de negocio y, más allá de que haya regulación, como decíamos al principio, hemos ido buscando la seguridad efectiva de nuestras operaciones.

Se trata, en definitiva, de proteger a tanto a nuestros clientes como a nuestras instalaciones. Ahora, con el alineamiento a NIS2 lo que buscamos, más allá de la seguridad efectiva, es demostrar de forma eficiente, tanto para nosotros como para quién nos lo requiera, lo que venimos haciendo desde hace años

Actualmente, revisamos los servicios esenciales de cada empresa que, siguiendo el anexo de la Directiva NIS2, están obligadas a cumplir. Estamos revisándolo todo, de tal forma que en aquellos aspectos en los que identifiquemos margen de mejora pondremos en marcha los planes de acción adecuados para lograr esa mejora.

Parece claro que NIS2 da un paso más en materia de ciberseguridad y ayudará a una mayor concienciación de las organizaciones en esta actividad, y mayor compromiso a las propias direcciones generales de estas entidades.

D.A.H.: Hablar de la NIS2 y de su implementación es hacerlo del concepto de ciber resiliencia, como palabra que define la capacidad de respuesta de la organización ante cualquier ciber incidente. Nosotros asumimos que en cualquier momento la compañía puede sufrir algún ciber incidente, y lo fundamental es tener el protocolo bien entrenado para poder volver a dar servicio lo antes posible. Lo fundamental es que ese impacto sobre nuestro servicio y clientes sea reducido y saber responder ante esta situación.

En nuestro caso, desde antes de la nueva Directiva, empezamos a implicar a la dirección de la compañía y a explicar los riesgos a los que estamos sometidas las compañías de nuestro sector y que operamos en distintas geografías, y el contenido de los planes de ciberseguridad. Logramos el compromiso de las Direcciones Generales que tienen su propio plan de ciberseguridad, alineado con la propia estrategia de ciberseguridad de la compañía. Esos planes tienen un seguimiento especial de esos directores generales que hacen el seguimiento posterior. La ciberseguridad para nosotros es un medio más para lograr nuestros objetivos de negocio.

En el caso de NIS2 desde fuera se observa que la trasposición de dicha directiva puede ser un aldabonazo en países como el nuestro para poder contar con una verdadera cultura de ciberseguridad. ¿Qué opina al respecto?

D.A.H.: Es posible que así sea. Lo primero que busca la directiva, y así lo indica en su primer párrafo, es buscar un elevado nivel común de ciberseguridad en los Estados miembros. El incluir a un mayor número de empresas dentro de la legislación ayuda a ello, también hacer referencia a la cadena de suministro como factor importante, así como una mayor implicación de los órganos de dirección. Lo que hay que lograr es una gestión eficaz y eficiente de la propia directiva NIS2.

En el caso de las pymes, y el 99% del tejido empresarial lo son, hay que buscar una regulación empresarial más flexible en materia de ciberseguridad para que puedan afrontar este tipo de situaciones y vayan asumiendo de forma progresiva el concepto de cultura de la ciberseguridad. Hay que dotarles de herramientas para que el cumplimiento sea lo más sencillo posible y que les redunde en la seguridad de sus operaciones y servicios.

Se habla de la necesidad de entrenar los protocolos que diseñan las empresas para poder responder a un ciberataque cuando realmente se produzca. ¿Cómo se gestiona desde Naturgy este tipo de entrenamientos?

D.A.H.: En nuestro caso, nosotros realizamos este tipo de ciberejercicios todos los años. Anualmente participamos en los simulacros que se realizan desde ISMS Forum. Estas prácticas tienen dos vertientes: una técnica y otra de gestión de crisis.

Junto con esta iniciativa, cada dos años participamos en los ciberejercicios de INCIBE que también tienen esa doble vertiente que antes le he explicado de las otras prácticas. Además, el año pasado participamos en los ciberejercicios europeos, que son de carácter sectorial. En el 2024 era el turno del sector de la energía y, en consecuencia, nosotros acudimos con otras empresas energéticas del país. Adicionalmente a las iniciativas corporativas, es importante remarcar que cada año nuestros negocios también ejercitan sus propios planes de respuesta a ciberincidentes.

Cada crisis es diferente, cada una tiene sus matices y no hay una situación igual a otra, pero se nota realmente cuando se ha practicado y se hacen este tipo de ensayos. Se trata de que los equipos estén engrasados y que, cuando realmente tengas una situación de emergencia, sepas como abordarla.

Otro debate que hay en marcha es sobre la regulación y su exceso. Parece que se habla ahora de simplificación normativa en Europa frente a EEUU y China que son modelos menos regulados. ¿Qué opinión tiene de este tema?

D.A.H.: Personalmente no creo que regulemos más que EE.UU. EE.UU. tiene una regulación en materia de ciberseguridad bastante relevante y son bastante incisivos en lo que les interesa. Quizás sí que tengamos en relación con la IA una regulación más incisiva que la de ellos. La regulación europea es muy distinta a la que existe en países como China donde está todo menos regulado.

Si en un mapa dibujas la regulación internacional que influye en una empresa como Naturgy, el cumplimiento de esta es una tarea ardua. Lo ideal es que el modelo europeo tendiera hacia la armonización de esas regulaciones. Entendemos que tienen que existir y son un aliado y redunda en la seguridad efectiva de las compañías, pero los esfuerzos que se hacen para cumplir y mantener la seguridad de la firma son notables.

Siempre menciono que la regulación debe ser efectiva, eficiente y viable. Debe servir a un fin, que sea eficaz, y tiene que ser eficiente, para que se pueda cumplir implementando una serie de recursos, no solo en empresas como Naturgy sino para compañías de menor tamaño. Al final se trata de que todo sea viable y genere valor.

En este contexto ha aterrizado el Reglamento de IA (RIA) para dar respuesta a las tecnologías ya emergentes que utilizan las empresas. ¿Qué uso hace una empresa como Naturgy de esas herramientas?

D.A.H.: Nosotros contamos con un plan de introducción de herramientas de IA como compañía que es importante. Varios negocios, además, tienen experiencias reales satisfactorias de introducir IA generativa en sus operaciones, muy significativamente en los procesos de atención al cliente. Eso hace que veamos el impacto del uso de la IA muy positivo.

A nivel de ciberseguridad estamos introduciendo IA en nuestros propios procesos. automatizando lo más posible, y aplicando estas herramientas donde realmente tiene sentido. Hay que estudiar bien donde se puede implementar la IA y luego poner los medios para hacerlo de forma correcta. Somos conscientes que el uso de la IA, como herramienta tecnológica, se convierte en un aliado más de nuestra actividad empresarial.

Global Gold Sponsor

logo Atos
A10
logo_Acronis
ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
logo_Cribl
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
delinea
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
Dordio & Associates Logo
elastic
entrust-1421665994898
Logo_ESET
extrahop
f5
fastly
forcepoint
formalize
fortinet1584959160
fujitsu
glueckkanja
group-ib
hashicorp
LOGO_Huawei
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
insside-142x531694532390
Integrity360
Izertis
keyfactor_logo_charcoal
logo_Knowmad
KPMG
Kymatio
kyndryl_logo_R_Black_RGB
leet-security
mandiant
riskrecon-mastercard
microsoft1421636982759
mimecast
netskope1421542790367
logo_Neverhack
nextvision-1421678725138
okta-142x531690371671
onetrust
OpenText
logoox-Security
paloalto1421664436588
logo_Picus
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
Rubrik
Sailpoint
samsung-subir14912155251502970957
logo_Salesforcepng
saviynt
Schwarz IT KG_LOGO
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelone
sia1613034479
logo_Silverfort
smartfense
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
logo_Synergy
telefonica tech
tenable-142x531690369729-1
Tier8
transmitsecurity
TRC
trustworks
logo_Upwind
wallix
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscale

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.