La ciberseguridad como eje estratégico: conclusiones de la mesa “Espacio +Ciberseguridad. La visión de las empresas”

La ciberseguridad ya no es un asunto técnico reservado a especialistas. Es una prioridad transversal que determina la continuidad, la competitividad y la reputación de cualquier empresa. Esta idea quedó claramente reflejada durante la mesa “Espacio +Ciberseguridad. La visión de las empresas”, celebrada en el marco del Proyecto +Ciberseguridad, impulsado por Fundación CEOE, CEOE e INCIBE y organizada en esta ocasión por CEIM. Una jornada que reunió a representantes institucionales, cuerpos de seguridad y empresas para reflexionar sobre amenazas reales, obligaciones crecientes y buenas prácticas que pueden marcar la diferencia ante un ciberataque.

La sesión contó con la moderación de Cristina Vicuña, Senior Policy Manager de AMETIC, la asociación de empresas tecnológicas españolas, que actualmente coordina una Comisión de Ciberseguridad y trabaja activamente en el análisis y seguimiento de toda la regulación que afecta al sector tecnológico. Este contexto es especialmente relevante en un momento en el que empresas de todos los tamaños deben adaptarse a nuevas normativas europeas como NIS2, DORA, el Cybersecurity Act, los esquemas de certificación CSA o el AI Act, que elevan las obligaciones en materia de gobernanza, transparencia, gestión de riesgos y supervisión de la cadena de suministro.

La mesa reunió a cinco perfiles complementarios que aportaron una visión completa del panorama actual:

Cristina Muñoz-Aycuens, Cibersecurity & Forensic Partner en Grant Thornton
Juan Garnica, Chief Compliance Officer en ISDE
Manuel Rodríguez, CIO en Aresbank
Rafael Di Bari, Head of Security and Local CISO en Glovo
Alejandro Fernández, CISO en ALSA

Los cinco coincidieron en un mensaje central: la ciberseguridad no es solo una cuestión tecnológica; es una cuestión de personas, procesos y responsabilidad organizativa.

Riesgos crecientes y el papel emergente de la inteligencia artificial en los ataques

La primera parte de la sesión se centró en identificar los riesgos que más preocupan hoy a las empresas. Aunque cada sector tiene particularidades, se repiten tendencias claras:

Aumento de los ataques por ingeniería social y phishing, cada vez más sofisticados.
Compromiso de identidades, especialmente en plataformas digitales y sectores con múltiples usuarios externos.
Ataques a la cadena de suministro, una de las preocupaciones centrales tras NIS2.
Dependencia creciente de terceros críticos, especialmente en banca y transporte.

Un punto clave que todos destacaron fue el papel de la inteligencia artificial, no solo como herramienta defensiva, sino también como un vector que está facilitando ataques automatizados, falsificación de identidades, creación de contenido fraudulento y aumento de la rapidez de explotación de vulnerabilidades. La IA está cambiando el terreno de juego: multiplica las capacidades tanto de los atacantes como de los defensores.

La cultura interna como primera línea de defensa

Una de las reflexiones más repetidas fue que el factor humano continúa siendo el origen de la gran mayoría de los incidentes. Por eso, la formación, la concienciación y la claridad de procesos son esenciales, especialmente en entornos híbridos o de teletrabajo donde los controles tradicionales se diluyen.

Los ponentes coincidieron en que la clave no es solo formar, sino crear hábitos, integrar la seguridad en la operativa diaria y lograr que cada empleado —también los no técnicos— entienda el impacto real de una acción aparentemente trivial, como aceptar un enlace sospechoso o trabajar sin cifrar información sensible.

Responder rápido es crítico: los primeros minutos importan

En materia de respuesta ante incidentes, la experiencia de Grant Thornton aportó una perspectiva especialmente reveladora: las empresas suelen cometer errores en los primeros minutos tras un ataque, como desconectar sistemas sin criterio o borrar evidencias sin saberlo, lo que complica tanto la contención como la investigación.

Los elementos mínimos que todas las organizaciones deberían tener listos incluyen:

Rutas claras de escalado y comunicación interna.
Capacidad inmediata de aislamiento controlado.
Procedimientos documentados para preservar evidencias.
Roles definidos: quién decide qué, y cuándo.

Es decir: no improvisar. La improvisación, en un incidente, casi siempre sale cara.

La visión por sectores: realidades distintas, retos compartidos

Banca (Aresbank): donde la regulación es motor de madurez

Manuel Rodríguez puso en valor la enorme exigencia del marco DORA, que obliga al sector financiero a aplicar controles avanzados, gestionar con rigor a sus proveedores y garantizar resiliencia incluso ante escenarios extremos. Esto convierte a la banca en un sector de referencia cuyos aprendizajes son útiles para cualquier empresa, independientemente de su tamaño.

Plataformas digitales (Glovo): proteger millones de identidades

Rafael Di Bari explicó que para una plataforma es crucial encontrar el equilibrio entre seguridad y una buena experiencia de usuario. Medidas como la autenticación multifactor, el análisis de comportamiento y la detección temprana de accesos sospechosos marcan una gran diferencia y pueden ser aplicadas por cualquier empresa con servicios online.

Transporte (ALSA): la continuidad como mandato

Alejandro Fernández recordó que el transporte es un servicio esencial: no puede fallar. La ciberseguridad debe integrarse en operaciones, mantenimiento y planificación. La resiliencia no es un objetivo, es un requisito operativo.

Forense y análisis de incidentes (Grant Thornton): aprender de lo que sale mal

Cristina Muñoz-Aycuens aportó la mirada de quienes ven el daño desde dentro. Su mensaje fue claro: ninguna empresa está libre de riesgos, pero sí puede estar preparada para gestionarlos.

Formación directiva y gobernanza (ISDE): la ciberseguridad en el mapa de riesgos

Juan Garnica subrayó que muchos directivos aún no tienen el nivel de comprensión necesario para tomar decisiones informadas. La ciberseguridad debe integrarse en los mapas de riesgos corporativos al mismo nivel que los riesgos legales o financiero.

Conclusión: la ciberseguridad como ventaja competitiva

La mesa dejó claro que la ciberseguridad ya no es un coste ni un proyecto puntual: es una inversión estratégica y continua. Impacta en la reputación, en la confianza del cliente, en la capacidad de crecimiento y en el cumplimiento regulatorio. Y afecta a todas las empresas, desde grandes corporaciones hasta pymes que, incluso de forma indirecta, deben adaptarse por los requisitos de sus clientes o proveedores.

Las compañías que integren la seguridad en su cultura, que sepan anticiparse, que preparen a su plantilla y que entiendan las implicaciones regulatorias estarán mejor posicionadas para competir en un entorno digital cada vez más complejo.

En este sentido, espacios como el Proyecto +Ciberseguridad y las mesas de debate que lo acompañan son esenciales: permiten compartir conocimiento real, extraer aprendizajes concretos y fomentar una colaboración público-privada que será clave para construir un tejido empresarial resiliente y preparado ante los desafíos que vienen.

Tecnología digital/especialización

http://data.europa.eu/uxp/c_04ae3ba8

Nivel de competencias digitales

Basic

Intermediate

Advanced

Tipo de iniciativa

National initiative

Autor: Cristina Vicuña, Senior Policy Manager AMETIC

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Responsable del tratamiento	ASOCIACIÓN MULTISECTORIAL DE EMPRESAS DE LA ELECTRÓNICA, LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN, DE LAS TELECOMUNICACIONES Y DE LOS CONTENIDOS DIGITALES (AMETIC). NIF: G86106630. Dirección: Príncipe de Vergara, 74, 4ª planta – 28006 Madrid. Teléfono: 915902300. Email: protecciondedatos@ametic.es
Finalidades
Finalidades	Tramitar su solicitud de alta en la Coalición lo que implicará la recepción de información relativa a la Coalición, actividades relacionadas que desarrolla AMETIC o información sobre ayudas de la Comisión Europea, así como la posibilidad de publicación de contenidos.
Legitimación y conversación	La base jurídica para el tratamiento de los datos es el consentimiento otorgado por el interesado al facilitar los datos, así como mediante la marcación de las correspondientes casillas.
Legitimación y conversación	En caso de no facilitar los datos necesarios no se podrá atender su solicitud. Los datos se conservarán mientras se mantenga le relación y no se solicite su supresión y en cualquier caso en cumplimiento de plazos legales de prescripción que le resulten de aplicación.
Destinatarios de cesiones	No se prevén cesiones de los datos.
Transferencias internacionales de datos	AMETIC puede contratar proveedores de servicios informáticos localizados en países fuera de la Unión Europea, algunos de los cuales pueden no ofrecer un nivel de protección equivalente al que existe en la Unión Europea. Esto supondría una transferencia internacional de sus datos. Podrá obtener más información sobre las transferencias internacionales en la Política de Privacidad
Derechos de los interesados	Podrá ejercitar sus derechos de acceso, rectificación, supresión, portabilidad y la limitación u oposición, así como retirar el consentimiento prestado, dirigiéndose por escrito al Departamento de Administración en las direcciones arriba indicadas. Asimismo, tiene derecho a reclamar ante la Autoridad de Control (Agencia Española de Protección de Datos www.aepd.es).

INFORMACIÓN SOBRE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Responsable del tratamiento	ASOCIACIÓN MULTISECTORIAL DE EMPRESAS DE LA ELECTRÓNICA, LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN, DE LAS TELECOMUNICACIONES Y DE LOS CONTENIDOS DIGITALES (AMETIC). NIF: G86106630. Dirección: Príncipe de Vergara, 74, 4ª planta – 28006 Madrid. Teléfono: 915902300. Email: protecciondedatos@ametic.es
Finalidades	La recogida y tratamiento de los datos personales tiene como finalidad la gestión de sus consultas, solicitudes, reclamaciones o sugerencias.
Finalidades	En caso de que lo haya autorizado, sus datos podrán ser utilizados para enviarle por cualquier medio (electrónico o no), información sobre actividades/noticias, cursos, programas así como cualquier oferta de servicios y productos relacionados con la actividad institucional de AMETIC.
Legitimación y conversación	La base jurídica para el tratamiento de los datos es el consentimiento otorgado por el interesado al facilitar los datos, así como mediante la marcación de las correspondientes casillas.
Legitimación y conversación	En caso de no facilitar los datos necesarios no se podrá atender su solicitud. Los datos se conservarán mientras se mantenga le relación y no se solicite su supresión y en cualquier caso en cumplimiento de plazos legales de prescripción que le resulten de aplicación.
Destinatarios de cesiones	No se prevén cesiones de los datos.
Transferencias internacionales de datos	AMETIC puede contratar proveedores de servicios informáticos localizados en países fuera de la Unión Europea, algunos de los cuales pueden no ofrecer un nivel de protección equivalente al que existe en la Unión Europea. Esto supondría una transferencia internacional de sus datos. Podrá obtener más información sobre las transferencias internacionales en la Política de Privacidad
Derechos de los interesados	Podrá ejercitar sus derechos de acceso, rectificación, supresión, portabilidad y la limitación u oposición, así como retirar el consentimiento prestado, dirigiéndose por escrito al Departamento de Administración en las direcciones arriba indicadas. Asimismo, tiene derecho a reclamar ante la Autoridad de Control (Agencia Española de Protección de Datos www.aepd.es).