Bajo el título Normativa y ciberresiliencia: ¿Qué tengo que hacer?, Secure&IT organizó una jornada que reunió a directivos y expertos en ciberseguridad para analizar los principales retos que enfrentan las organizaciones ante un entorno digital cada vez más exigente. Desde la transformación empresarial y la normativa europea hasta la ciberseguridad industrial y la necesidad de una gobernanza efectiva, los ponentes coincidieron en que la resiliencia no se construye con tecnología sola, sino con visión, personas formadas y compromiso real.
Elena Zárraga (LKS Next): “La ciberseguridad se elige desde la confianza, la experiencia y la misión de futuro”
La directora general de LKS Next, Elena Zárraga, inauguró la jornada destacando la consolidación de Security&IT dentro del grupo, cinco años después de su integración. La firma supera ya los 100 especialistas y representa, en palabras de Zárraga, “una apuesta estratégica por anticiparse a los riesgos, proteger los activos críticos y acompañar a las organizaciones en su evolución digital”.
Durante su intervención, Zárraga repasó la trayectoria de LKS Next, con más de 800 profesionales, un ADN cooperativo y una clara vocación tecnológica. En 2024, el grupo cerró con 73 millones de euros de facturación consolidada y aspira a superar los 100 millones en 2028, con Madrid como uno de los pilares de ese crecimiento.
“La ciberseguridad no se elige a la ligera —afirmó—, se elige desde la confianza, la experiencia y la misión de futuro”, aseguró la directiva, quien dejó claro que la compañía apuesta por soluciones avanzadas, inteligencia artificial e integración de servicios, con el objetivo de que la división de Security crezca un 70 % en los próximos cuatro años.
Francisco Valencia: “La ciberseguridad no va de tecnología, va de personas, sociedad, cumplimiento y futuro”
Francisco Valencia, director general de Secure&IT, ofreció una de las ponencias más extensas e impactantes de la jornada, centrada en el concepto de ciberresiliencia y en cómo la normativa actual puede convertirse en una palanca de transformación real, más allá del simple cumplimiento.
El CEO de Secure&IT comenzó con una visión amplia y geopolítica del cibercrimen, que definió como “un ecosistema empresarial perfectamente estructurado” donde los atacantes colaboran, se especializan y reinvierten sus beneficios como cualquier pyme. “La mayoría de los grupos de ransomware tienen servicio de atención al cliente mejor que vuestro operador de telecomunicaciones”, ironizó para ilustrar el nivel de profesionalización alcanzado.
Uno de los mensajes más potentes de su intervención fue que el origen del problema no es únicamente técnico, sino social y económico. “Estamos en un mundo donde hay millones de personas sin acceso a agua o energía, pero con un smartphone en el bolsillo y acceso a internet. Y muchos encuentran en el cibercrimen una vía para sobrevivir”. Así explicó cómo jóvenes en países empobrecidos participan en campañas de phishing, venden tarjetas robadas o alquilan accesos sin saber apenas informática.
La IA generativa también está siendo aprovechada por los atacantes, según explicó, de forma mucho más agresiva que por los defensores: desde la automatización de ataques y la redacción de malware hasta la creación de perfiles de víctimas. “Nosotros usamos ChatGPT, ellos han creado sus propias inteligencias artificiales entrenadas para hacer daño”.
En su análisis de la normativa, Valencia defendió que el nuevo marco regulatorio —incluyendo NIS2, DORA, CRA o la futura Ley de IA— no impone controles arbitrarios, sino que fomenta la responsabilidad. “Las leyes ya no te dicen qué hacer; te obligan a saber por qué lo haces. Y eso nos obliga a pensar, a analizar nuestros riesgos y a decidir en consecuencia”.
Planteó que el verdadero cambio comienza en la ética empresarial, y propuso una jerarquía de prioridades: “Primero las personas, luego la sociedad, después el futuro, el cumplimiento y, por último, el negocio”. Según dijo, muchas organizaciones lo entienden al revés, poniendo el negocio por delante de todo.
En la parte final de su intervención, presentó la propuesta tecnológica de Secure&IT para ayudar a las organizaciones a construir ciberresiliencia, basada en una arquitectura integrada por cinco pilares clave: protección de datos y cumplimiento normativo; procesos corporativos de seguridad, seguridad informática, ciberseguridad industrial y seguridad gestionada
La propuesta de la compañía —modular, interoperable y alineada con los requisitos regulatorios— permite construir una defensa coherente y adaptable al nivel de madurez de cada organización. “La tecnología por sí sola no basta, pero bien diseñada y orientada, puede ayudar a cumplir y proteger al mismo tiempo”, concluyó Valencia.
Para terminar, defendió la coordinación como el gran reto pendiente del lado defensor. “Ellos colaboran entre ellos. Nosotros no. Y mientras eso no cambie, iremos por detrás”.
Juan Manuel Valiente: “Antes de preguntarse qué hacer, hay que saber si la norma nos aplica”
Juan Manuel Valiente, responsable del Área Jurídica de Secure&IT, desgranó las claves de la Directiva NIS2, destacando su impacto inminente pese a que aún no se ha aprobado su transposición definitiva en España. “Todo indica que hasta después del verano no tendremos la versión final de la ley”, señaló.
Explicó que la norma no afecta a todas las empresas por igual: algunas quedan automáticamente obligadas, mientras que otras deben cumplir criterios concretos de tamaño, facturación y actividad. Subrayó que el primer paso es siempre verificar si la norma aplica, y hacerlo con base jurídica y técnica: “Antes de preguntarse qué hacer, hay que saber si la norma nos aplica”.
Entre las obligaciones destacadas, Valiente mencionó el alta en la autoridad de control, la implicación directa del consejo de administración, la gestión de riesgos y la notificación de incidentes. También hizo referencia al uso de estándares como ISO 27001, aunque advirtió: “Tener una ISO no significa cumplir con NIS2. Habrá que adaptarse”.
Hugo Llanos: “La ciberseguridad industrial no es una opción: es necesaria para producir”
Hugo Llanos centró su intervención en la necesidad de aplicar la ciberseguridad en los entornos industriales como condición indispensable para garantizar la continuidad productiva y el cumplimiento normativo. “Un ciberincidente en una planta puede paralizar la producción o incluso poner en riesgo la seguridad física de las personas”, advirtió.
El responsable de ciberseguridad industrial de Secure&IT defendió que IT y OT no deben integrarse, sino interoperar, porque “son mundos distintos, con riesgos distintos, y deben gestionarse con enfoque propio”. A partir de esta premisa, habló de SEC-ICS:2021, un marco de controles creado por Secure&IT y certificable por ECA Global, orientado a facilitar el cumplimiento en entornos de planta.
Con ocho categorías y 42 controles, de los cuales 11 se consideran críticos, esta norma está pensada para ser comprensible, aplicable y realista. “Es puro sentido común para proteger la producción, los activos y las personas”, resumió. Entre los controles esenciales, destacó la definición clara de roles y responsabilidades, la monitorización, la segmentación de redes, la gestión de accesos o la copia de seguridad.
“La ciberseguridad industrial no se basa en implantar un firewall. Es un sistema de gestión que hay que alimentar, auditar y mejorar continuamente”, concluyó.
Mesa redonda: colaboración, gobernanza y visibilidad como claves de la ciberresiliencia
La mesa redonda final de la jornada reunió a portavoces de Bitdefender, Delinea y Fortinet para abordar los retos actuales en ciberseguridad desde una perspectiva práctica, centrada en la experiencia de las organizaciones y la evolución del marco regulador.
Entre los temas tratados destacaron la necesidad de ganar visibilidad sobre los entornos tecnológicos, especialmente en lo que respecta a los activos críticos y las comunicaciones en redes industriales. También se insistió en la importancia de una gobernanza clara que defina responsabilidades entre los distintos equipos (IT, OT, mantenimiento, legal…), ya que la ambigüedad sigue siendo uno de los principales obstáculos para implantar medidas eficaces.
Se habló asimismo de la evolución del ransomware, que ha pasado de cifrar archivos a filtrar información y ahora se orienta a degradar operaciones, aprovechando la fragmentación defensiva de muchas compañías. En este sentido, los ponentes coincidieron en que el cumplimiento normativo puede ser un motor de mejora, siempre que se entienda como un proceso estratégico y no como un simple trámite documental.
La mesa abordó además el papel de los proveedores, señalando que es frecuente confiar en ellos sin mecanismos de control adecuados. “Confiar en que todo viene limpio es un error: muchas veces el problema entra por la maleta de un técnico externo”, se apuntó.
Más allá de las amenazas y las normativas, la jornada dejó una idea clara: la ciberseguridad es un camino que se recorre con estrategia, conocimiento y personas comprometidas. No basta con proteger, hay que entender, anticipar y construir. Y hacerlo juntos.
