NOTICIAS

Listado de noticias

El Cyber Resilience Center de ISMS Forum creará un Libro Blanco para que las empresas entiendan mejor la resiliencia

  • 19/06/2025

La trasposición de directivas como NIS2 o reglamentos como DORA van a convertir a la resiliencia en un elemento estratégico para las empresas. Contar con esas estrategias o protocolos de actuación post incidentes será clave para mitigar el impacto de los ciberincidentes, como se ha demostrado en elII Ciber Resilience Forum organizado por ISMS Forum este miércoles en Caixaforum Madrid. Este evento ha servido para conocer el Cyber Resilience Center (CRC), grupo de trabajo de esta asociación que a medio plazo tiene como objetivo publicar un Libro Blanco con las mejores prácticas de esta actividad.

En este evento se ha presentado el Board del CRC constituido por expertos referentes en sus organizaciones. Así está integrado por Cristina Pereira, como Directora, y miembros de este Board como Angel Pérez, CISO y Responsable de Resiliencia de Autopistas y Co-Director del Grupo de Inteligencia Artificial de ISMS ForumGonzalo Sánchez, Global Head of Business Resilience Office and IT Assurance de Amadeus; Gema Brihuega, Pr. Manager BCM & Crisis de VodafoneSpain.

Grupo de personas de pieEl contenido generado por IA puede ser incorrecto.

Junto a ellos, otros vocales de este Board como Carlos Fernández de la Reguera, Operational Resilience and Third Parties Risk Oversight del Banco Santander, Javier Ordúñez, Subdirector de Resiliencia Operativa y Gestión de Crisis de Mapfre; Manel Herrer, Chair of the BCI Spain Chapter e Information Security Officer de la Agencia de Ciberseguridad y Uxia Fernández, MBCI Directora Adjunta y Directora de Consultoría de Continuidad de Negocio de Ozona Consulting.

Cristina Pereira se mostraba satisfecha de cómo había ido esta jornada donde junto a experiencias prácticas de gestión de incidentes, como la gestión del apagón por profesionales de continuidad de negocio de Mapfre, Moeve y Telefónica, se ha conocido cómo funcionan organismos públicos como el Centro Criptológico Nacional, el Departamento de Seguridad Nacional (DSN) o la Oficina de Coordinación de la Ciberseguridad, entre otros debates. A su juicio una organización resiliente es fiable y genera confianza en su entorno “El contexto normativo lo convierte en necesidad y desde CRC queremos ayudar a muchas organizaciones a que den ese paso”.

Esta experta nos confiesa que “la resiliencia ha evolucionado a lo largo de los años como concepto, ahora por tener un enfoque transversal obliga a las organizaciones a buscar la colaboración interdepartamental para conseguir esa resiliencia que ayuda a una respuesta mejor y más rápida en la gestión de cualquier ciberincidente”. En este sentido la trasposición de NIS2 en nuestro país va a ayudar a impulsar dichas políticas de ciberresiliencia. “El entorno normativo es muy complejo, los sectores afectados van a ser muchos más para eso nace CRC, como grupo de trabajo para poner en común el conocimiento que existe en el tejido español y construir ese conocimiento para ayudar a los profesionales que lo deseen a que se involucren en la resiliencia”.

A este respecto Pereira señala que uno de los objetivos a medio plazo, como ya se hizo con el Data Privacy Institute con el Libro Blanco de la Privacidad, será crear una publicación de este tipo sobre resiliencia “eso ayudará a recoger las buenas prácticas sobre esta actividad y a ayudar a aquellos profesionales que tengan que afrontar con esta actividad y sepan por donde empezar. Se trata de una obra que sintetice nuestra experiencia como profesionales para que podemos ofrecer ese expertise a la comunidad empresarial, Como hemos visto en esta jornada, ya hay empresas que tienen un área de continuidad de negocio evolucionando hacia otra de resiliencia vinculada a la parte de seguridad de la información”.

Gestionar lo imprevisible es posible

Nuestra interlocutora fue la moderadora sobre el Blackout, el ya conocido apagón energético que vivió nuestro país el pasado 28 de abril. En esa mesa redonda   intervinieron expertos Javier Ordúñez, Subdirector de Resiliencia Operativa y Gestión de Crisis, Mapfre; Elena Ruiz, Head of GRC, de Moeve; y Alfredo Thomas, Gerente de Continuidad de negocio y aseguramiento de la dirección global de Seguridad Operativa, Telefónica; que explicaron cómo gestionaron este incidente desde sus organizaciones. “Tal y como nos han comentado las organizaciones resilientes estamos preparadas para afrontar cualquier escenario, se conozca o no. Esa capacidad que entrenamos nos permite ser ágiles y responder ante ese tipo de situaciones”.

Las intervenciones de estos tres expertos dejaron claro cómo habían reaccionado ante esta situación inesperada. La puesta en marcha de distintos Comités de Crisis y de protocolos específicos para afrontar las repercusiones del ya mediático apagón fue un hecho. “Al final todo el trabajo que se ha hecho a lo largo de estos últimos meses, con algún que otro simulacro, han ayudado a la gestión de la situación, y, lo que es más importante, ha quedado claro que nuestro trabajo para gestionar la respuesta al incidente desde la resiliencia era  necesario y, en esta ocasión, hemos visto los resultados”, comentó Ordúñez.

Sin embargo, son conscientes de que puede haber mejora en esta respuesta desde la resiliencia en el futuro. “La resiliencia en algunos momentos empieza por el propio profesional de la empresa, por conocer qué es lo que tiene que hacer y cómo lo tiene que hacer. Los protocolos internos son necesarios y tenerlos bien entrenados porque en situaciones concretas la comunicación a veces no es posible entre los profesionales. De ahí que haya que conocerlos muy bien”, apuntó Thomas. Para Ruiz las mejoras en su empresa son evidentes y ya están trabajando en mejorar sus protocolos de actuación. “La mejora continua es necesaria, eso pasa por hacer simulaciones y estar preparado”, apuntó.

Para Angel Pérez, otro de los integrantes del CRC, “la ciberresiliencia viene para quedarse. Nosotros queremos ayudar a las empresas a que tengan la visión amplia que subyace en el concepto de resiliencia. Hay muchas directivas y reglamentos europeos que introducen este término. En la web del World Economic Forum hay como 38.000 acepciones de esta palabra, Desde CRC defendemos que la ciberresilienccia es un aspecto fundamental, pero no es el único riesgo a gestionar desde la ciberseguridad. Puedes tener un incidente ciber que luego va derivando a otros aspectos que pueden ser regulatorio o de cadena de suministros, porque las crisis evolucionan mucho como hemos podido ver por la gestión del apagón en nuestro país”.

En este contexto, los profesionales de CRC defienden esa visión amplia que se debe tener de los principales riesgos que puede tener una organización, cómo hace esas acciones para intentar mitigarlos y cómo entrenas a tu organización para adaptarte a la imprevisibilidad. El concepto que ahora se ha acuñado es el de permacrisis. Estamos gestionando distintas crisis tanto a nivel de sociedad como de organizaciones que se adaptan a estos entornos cambiantes. Este grupo es muy transversal; hay responsables de resiliencia; de business continuity y también CISOS. La resiliencia es una función nueva en las organizaciones que debe conocerse bien por su indudable valor añadido.

Para los profesionales del CRC “junto a la figura del CISO, del Delegado de Protección de Datos, también apareció el responsable de riesgos, ahora es el momento de la resiliencia como una función clave en la empresa que habrá que ver cómo se gestiona, si de forma individual o desde un departamento.  Nuestra iniciativa desde este grupo de trabajo es ayudar a la dirección de las organizaciones a tener una visión amplia de todos los riesgos operativos a los que su entidad se puede enfrentar y ver qué estrategias debe adoptar para mitigar esos ciberincidentes. Con la llegada de NIS2, se hará más obligatoria esa resiliencia. Cuando se aprobó NIS2 en el 2022 salieron otras como DORA para el sector financiero y CERT resiliencia para infraestructuras críticas”, apunta Pérez.

El papel de las entidades públicas en la ciberseguridad

Otro de los paneles que llamó la atención a los asistentes fue el moderado por Carlos Saiz, vicepresidente de ISMS Forum y Director del Data Privacy Institute, que congregó a relevantes organismos públicos gestores en materia de ciberseguridad. El papel de estos organismos dentro del Esquema Nacional de Seguridad y cómo se van  a adaptar a la trasposición de la directiva NIS2, cuyo proyecto de ley se tramita ahora en nuestro país,  fueron  unos de los temas de diálogo que abordaron profesionales como: Alma Aguilar, miembro  del Gabinete Técnico, Centro Criptólogico Nacional (CCN); Marina Rodríguez, Jefa de la Unidad de Ciberseguridad, Departamento de Seguridad Nacional (DSN) y Álvaro de Lossada Jefe, Oficina de Coordinación de Ciberseguridad (OCC).

“Creo que ha sido una puesta en común muy interesante por parte de estos entes públicos, hemos podido conocer cómo les va a afectar NIS2 cuando se trasponga en nuestro país. Lo que sabemos es que va a diseñar un nuevo marco legal en el que aparecen distintas autoridades de control con distintas competencias para diferentes sectores. Al mismo tiempo el número de sujetos obligados ha pasado de los 300 de NIS1 a unos 15.000 con NIS2. Por eso creo que el debate ha sido productivo, porque los asistentes han podido conocer de cerca el papel de estos organismos en cuanto se haga efectiva dicha trasposición en nuestro país”, señala el propio Saiz.

Desde su punto de vista “va a ver tres grandes operadores como son el CNC, la OCC y la Secretaría de Estado de Inteligencia Artificial, ellos tendrán competencias como autoridad de control sobre varios de esos sujetos obligados que tienen que cumplir con NIS2. Es importante que exista una coordinación entre estas autoridades de control y la aplicación de criterios homogéneos de dicha normativa, con dichas autoridades que impacta en distintos sectores diferentes. Es un reto importante su trabajo, así como se va a gestionar la colaboración público/ privada en este escenario nuevo donde el marco normativo es exigente para estos organismos como para los sujetos obligados.

Entre la ciberseguridad y el negocio

El papel de la ciberresiliencia en un momento actual, entre la seguridad  y el negocio fue abordado en una entrevista que realizó Daniel Garcia, Director de ISMS Forum, a dos referentes del sector como son Damien Henault, Managing Director en el fondo de inversión Forgepoint Capital junto a Daniel Largarcha, Global Security Operation Centre Director en Mapfre. Ambos expertos hablaron, entre otros temas del debate entre regulación e innovación. Mientras  que Largarcha cree que la regulación actúa como una palanca sobre todo para las pymes, para Henault es fundamental encontrar un equilibrio entre regulación e innovación para que se fomente la inversión.

Sobre si España se puede convertir en un hub seguridad, los entrevistados valoraron el potencial de nuestro país desde distintas perspectivas. “Es un cúmulo de factores, porque ya existe un talento reconocido y centros académicos de prestigio en ciudades como San Sebastián y Málaga, nuevas ciudades emergentes que han apostado por la tecnología y cuya calidad de vida es mejor que otras localidades de Francia y Alemania. La proyección española se ve en América Latina”, comentó Henault, desde su vertiente inversora. “En este escenario el impulso del ecosistema de ciberseguridad se ha convertido en una realidad”, recordó.

Para Largarcha, la propia actividad del Foro Nacional de Ciberseguridad, en el que ISMS Forum está presente, revela el potencial y los trabajos de un país como el nuestro en esta acividad.  En su opinión, se está trabajando de forma notable y las posibilidades de que España se convierta en Europa en un hub de seguridad y tecnología son importantes. Desde su punto de vista la implementación de la ciberseguridad en las pymes debe hacerse de manera sencilla sobre todo porque muchas empresas no tienen recursos propios para afrontar ese desembolso. Para ambos expertos la trasposición de NIS2 puede ayudar a mentalizar tanto a las empresas como a su propia dirección de la importancia de la resiliencia como elemento a consolidar en una estrategia de continuidad del negocio.

Global Gold Sponsor

logo Atos
A10
logo_Acronis
ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
logo_Cribl
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
delinea
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
Dordio & Associates Logo
elastic
entrust-1421665994898
Logo_ESET
extrahop
f5
fastly
forcepoint
formalize
fortinet1584959160
fujitsu
glueckkanja
group-ib
hashicorp
LOGO_Huawei
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
insside-142x531694532390
Integrity360
Izertis
keyfactor_logo_charcoal
logo_Knowmad
KPMG
Kymatio
kyndryl_logo_R_Black_RGB
leet-security
mandiant
riskrecon-mastercard
microsoft1421636982759
mimecast
netskope1421542790367
logo_Neverhack
nextvision-1421678725138
okta-142x531690371671
onetrust
OpenText
logoox-Security
paloalto1421664436588
logo_Picus
ping-identity
primix-142x531690198289
qualys-subir1520939472
recorderfuture1421636531854
red-sift-142-21668078952
Rubrik
Sailpoint
samsung-subir14912155251502970957
logo_Salesforcepng
saviynt
Schwarz IT KG_LOGO
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelone
sia1613034479
logo_Silverfort
smartfense
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
logo_Synergy
telefonica tech
tenable-142x531690369729-1
Tier8
transmitsecurity
TRC
trustworks
logo_Upwind
wallix
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscale

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.