Roberto Baratta: "En la necesidad de reorganizar el actual marco normativo la NIS2 da un paso, pero es necesario avanzar más"
Entrevistamos a Roberto Baratta, Presidente de ISMS Forum España, con ocasión de la celebración de la XXVII Jornada Internacional de Seguridad de la Información, el pasado 13 de noviembre en el Estadio Riyadh Air Metropolitano (Madrid)
1) Hola Roberto, ISMS Forum es hoy una organización ampliamente reconocida en el ámbito de la ciberseguridad, con una trayectoria consolidada en España y creciente proyección internacional. Para quienes ya están familiarizados con vuestro trabajo, ¿cómo describiría el papel que desempeña actualmente el Foro dentro del ecosistema digital y regulatorio?
Es cierto que muchas compañías y profesionales del sector ya conocen a ISMS Forum y han colaborado con nosotros en diferentes iniciativas. Precisamente por esa relación de confianza, creemos importante destacar cómo hemos seguido evolucionando. ISMS Forum es hoy la principal asociación española para el fomento de la ciberseguridad y la protección de datos, con presencia internacional. Como organización sin ánimo de lucro, agrupamos a más de 2.000 profesionales y 450 entidades asociadas, y solo en 2025 hemos impulsado 42 iniciativas a través de nuestros Grupos de Trabajo.
Nuestra misión sigue siendo clara, como me gusta decir “tejer sector” que se traduce en promover la colaboración, el intercambio de conocimiento y las mejores prácticas, actuando como foro especializado para debatir, compartir experiencias y conocer los últimos avances en seguridad de la información, privacidad y cumplimiento. Todo ello con el objetivo de apoyar a las organizaciones en su gobernanza y adaptación a los marcos normativos, conectando la experiencia española con estándares y tendencias globales.
ISMS Forum continúa creciendo, reforzando su impacto y consolidándose como un punto de referencia esencial en el ecosistema digital.
2) ISMS Forum actúa como un nexo entre el sector privado y las administraciones públicas. ¿Cómo contribuye el Foro a fortalecer la colaboración público-privada y a impulsar iniciativas concretas de ciberseguridad y protección de datos en España?
Con las administraciones públicas, nuestra labor se centra en fomentar una colaboración constante y efectiva. Participamos activamente en procesos de consulta, grupos de trabajo y espacios institucionales vinculados a la regulación en materia de ciberseguridad, privacidad y cumplimiento. Esto nos permite aportar conocimiento práctico, trasladar las necesidades reales del tejido empresarial y acompañar a las administraciones en la difusión de buenas prácticas y en la interpretación de nuevas obligaciones regulatorias.
Esto es especialmente relevante en la relación con los órganos legislativos en un momento de exuberancia reguladora en estos ámbitos. Somos y queremos seguir siendo vistos como referencia del sector para trasladar a las iniciativas regulatorias y legislativas la visión profesional, empresarial y operativa desde el sector privado en especial.
Además, desarrollamos iniciativas conjuntas orientadas a incrementar la resiliencia digital del país, fortalecer el talento y la profesionalización, y fomentar una cultura de colaboración que conecte empresas y administraciones para afrontar de manera coordinada los retos de seguridad.
3) Sin lugar a duda, la celebración de la XXVII Jornada Internacional de Seguridad de la Información, evento de clave para el sector, ha sido un éxito, pues reunió a expertos y líderes del sector. ¿Qué impacto cree que ha tenido el evento en la comunidad profesional y en la difusión de buenas prácticas?
El nuevo paradigma de la ‘prosiliencia’ lanzado en la Jornada ha causado su efecto. No ha dejado a nadie indiferente, al anticipar la evolución del concepto tradicional de resiliencia hacia la necesidad de integrar mecanismos de gobierno y de generación de valor en la organización alineados con esta visión.
Esto es, no es suficiente ya anticipar riesgos y amenazas, y prepararnos para contrarrestarlas y mitigar impactos. No es suficiente estar preparados para responder y recuperar. No es suficiente ya tener, y seguir desarrollando, mecanismos de resiliencia que nos permitan minorar impactos y recuperar rápido en caso de disrupción o incidente.
El entorno actual está plagado de elementos de disrupción potencial y real, y la realidad es testaruda, los impactos son cada vez más frecuentes y esto no va a cambiar. Por eso, diseñar las capacidades con antelación de mantener y recuperar, incluirlas en los ciclos de vida de servicios, productos y operaciones y, lo que es más, considerarlo como un atributo de calidad y de valor entregado, ha sido el centro del debate en la jornada y lo más relevante que se han llevado en la mochila los asistentes.
4) El perfil de los profesionales de ciberseguridad es muy diverso, y las jornadas atraen a distintos tipos de organizaciones. ¿Qué perfiles y organizaciones destacaron en esta edición, y ha habido incorporación de nuevos roles? Además, en un contexto donde los CISOs y sus equipos deben traducir cuestiones técnicas a la alta dirección, ¿qué debates o tendencias estratégicas surgieron durante la jornada que resultan especialmente relevantes para las empresas?
Cada vez, además de los CISO y su equipo, y por supuesto DPO y los suyos, vemos más responsables de funciones como Riesgo Tecnológico, Continuidad de Negocio e incluso roles específicos de TI. Y no es extraño perfiles jurídicos en algunos tracks.
Destaca la asistencia creciente de perfiles de alta dirección, interesados en una visión más amplia y estratégica. Esto incluye a altos cargos de la Administración Pública, Estado y Comunidades Autónomas, sobre todo; de Cuerpos y Fuerzas de Seguridad del Estado, y Defensa y estamentos Militares.
Los debates más sustanciales han girado en torno a la preparación para la resiliencia o ‘prosiliencia’ y su integración en la estrategia corporativa; cómo afrontar la adopción de la inteligencia artificial sin convertirla en un factor bloqueante, manteniendo controlados los riesgos y amenazas; la evolución de la cadena de suministro digital y su impacto en la gestión del riesgo; el refuerzo del marco regulatorio (NIS2, DORA, RGPD y RIA); y el papel de la formación, las certificaciones y los ciberejercicios como palancas clave para anticipar incidentes.
5) ¿Por qué considera que este tipo de encuentros son importantes para el sector y para el público en general interesado en la ciberseguridad, y qué valor extra ofrece ISMS Forum a la hora de organizarlos?
En una función y rol donde la colaboración es esencial, en seguridad no competimos, colaboramos; la forma de crear espacios, conocimiento común y sobre todo el networkimg que nos lleva a orquestar un sector solo se puede crear desde este tipo de eventos.
Y la Jornada Internacional de Seguridad de la Información de ISMS Forum, es el evento anual por excelencia, pero es el resultado de una colaboración construida a lo largo de numerosos encuentros y actividades durante todo el año.
6) En el sector interesa la esperada trasposición en España de la NIS2 ¿Cuáles son sus esperanzas sobre ello?
Lo primero es que, por fin, se generará un cambio de cultura de ciberseguridad más allá de las grandes compañías y organizaciones, alcanzando a cerca del 80 % del tejido empresarial del país. Cambiar una cultura no es sencillo, las herramientas existen, pero la concienciación y la formación no se producen de manera espontánea. En este sentido, la norma actúa como palanca decisiva y debe ir acompañada de iniciativas estructuradas de capacitación, como la nueva oferta formativa (Curso NIS2 Conoce y aplica el framework regulatorio de ciberseguridad) y certificadora (NIS2PC) impulsada por ISMS Forum para preparar a los profesionales ante los requisitos operativos, técnicos y de gobernanza derivados de la Directiva Europea NIS2 y su aplicación en España.
Lo segundo es que esas compañías sujetas a la norma, y que se van a encontrar con muchas necesidades para cambiar su cultura, van a tener en ISMS a su principal aliado, socio y apoyo.
Y la tercera que también por fin se establece, al igual que lo hace la Ley de Seguridad Privada en ámbito de Seguridad Física, exigencias, requisitos, cumplimiento y supervisión para avanzar en la ciberseguridad del tejido productivo nacional y, no nos olvidemos, de la defensa y seguridad nacional de las que muchas PYMES se sienten ajenas, pero participa directa o indirectamente como cadena de suministro o proveedores.
7) La cadena de suministro se ha convertido en un eslabón crítico en la ciberseguridad de las organizaciones. ¿Cuáles considera que son los principales retos que enfrentan las empresas para protegerla y qué estrategias pueden implementar para gestionarla de manera segura?
El primer paso es ser consciente. Revisando los incidentes más relevantes de los últimos meses o años vemos la de veces que las organizaciones han tenido problemas por impactos derivados de su cadena de suministro.
Lo segundo establecer un modelo de gestión de riesgos. No todos los proveedores son claves o críticos.
Y lo tercero establecer un ecosistema, con la colaboración de otros, de ahí la importante aportación de ISMS Forum en sus grupos de trabajo y sus eventos, formaciones y certificaciones, y fabricantes que ofrecen sus capacidades; para mantener esos riesgos acotados.
8) ¿A parte de los avances tecnológicos en Inteligencia Artificial, computación cuántica, blockchain y protección de los activos digitales… a qué otros retos se enfrentan las empresas en materia de ciberseguridad?
Básicamente seguimos necesitando mantener un desempeño altísimo, me gusta decir que es como mantener un avión comercial en vuelo, el material, los servicios, procesos, el equipamiento, el entrenamiento y capacitación, los procedimientos…todo debe funcionar perfectamente. Es costoso, hay que renovarse, hay que adoptar nuevas capacidades, evolucionar la tecnología…solo así algo muy complejo se convierte en algo aparentemente cotidiano: un vuelo comercial de pasajeros.
Y defender esta necesidad en un entorno donde la amenaza ciber es constante, donde los incidentes son cotidianos, donde la alta dirección y accionistas sienten que la ciberseguridad esta más o menos gestionada, no es tema fácil.
9) Y para terminar ¿cree que sea necesario reorganizar legalmente el actual marco normativo sobre ciberseguridad lanzando una norma específica al estilo de un “estatuto de ciberseguridad para las organizaciones”?
Por supuesto. Como indicaba, NIS2 da un paso, pero es necesario avanzar más. Cierto es que normas europeas ya nos llevan en algunos sectores hacia allí, pero a nivel general se debería constituir un marco legal y normativo sobre Seguridad Digital que establezca en función del tipo de compañía, sector, tamaño, a quien sirve, si sus servicios son esenciales, estratégicos, críticos…que mínimos debe gestionar, y hablo de Ciberseguridad, pero también de Continuidad y Resiliencia de las operaciones.