“Llegados aquí... hay que seguir aprendiendo”
Securmática redibuja la ciberseguridad con una clara apuesta por la soberanía tecnológica,
la IA bajo control y foco en la identidad digital
Bajo el lema “Llegados aquí… hay que seguir aprendiendo’, la trigésima quinta edición del que es el congreso profesional de referencia en ciberprotección corporativa constató la madurez e inexorable actualización en este ámbito, evidenciadas por actores de referencia, cuyas acciones -muchas de ellas inéditas o mostradas por vez primera-, reflejan el compromiso por la mejora de la gestión de riesgos asociados a la ciberseguridad. No faltaron, como es habitual, varias primicias de iniciativas públicas y privadas que marcarán el rumbo del sector.
La XXXV edición de Securmática, del 7 al 9 de octubre, se inauguró con la sensación ya familiar entre los veteranos del foro de estar asistiendo a una fotografía nítida de cómo evoluciona la ciberseguridad en España, tanto en el sector público como privado. Durante tres jornadas, con más de 300 asistentes de la élite de la gestión y la llevanza, se profundizó en los grandes retos y cómo los están acometiendo los referentes en este ámbito, en sectores estratégicos que van desde Banca hasta Defensa pasando por Salud, Administraciones Públicas, Telecomunicaciones, Alimentación e, incluso, en el ámbito internacional se contó con la experiencia de países como Andorra y México. El congreso contó con el copatrocinio de Accenture, Aiuken Cybersecurity, Alvarez & Marsal, Áudea Seguridad de la Información, EY, FTI Consulting, Fujitsu, GMV, Izertis, KPMG, Minsait Cyber, PwC, S2 Grupo, Telefónica Tech, TRC y Zynap.
En los prolegómenos del acto inaugural de XXXV Securmática, los principales ejecutivos de las empresas copatrocinadoras —una muestra muy representativa del ecosistema de la ciberseguridad nacional e internacional— compartieron de manera ilustrativa sus retos, prioridades y líneas de innovación frente a un escenario marcado por la inteligencia artificial, la hiperconectividad y las nuevas exigencias regulatorias.
Así, se contó con las aportaciones -de izquierda a derecha, comenzando por arriba- de José Luis Domínguez, Sales Director en Telefónica Tech, Javier Pérez, Responsable de Ciberseguridad de Fujitsu, Nestor Carriba, Chief Revenue Officer de Aiuken Cybersecurity, Pedro López, Deputy General Manager de GMV, Agustín Muñoz-Grandes, Iberia Security Lead Managing Director de Accenture, Pedro Pablo Pérez, CEO de TRC, Marc Martínez, socio responsable de Ciberseguridad en KPMG en España, Ander Ortiz, Head of Financial Services de S2 Grupo, así como (en primer plano) con Oliver Gower Senior Managing Director and Head of Cyber Security para España de FTI Consulting, Jerónimo García Parra, Director de Ciberseguridad de Izertis, Julio San José, Managing Director de Digital Transformation & Cybersecurity en Álvarez & Marsal, Roberto Espina, CEO de Minsait Cyber, Soraya Sabio, Directora Comercial de Áudea, Jesús Romero, Socio Responsable de Business Security Solutions de PwC en España, Daniel Solis, CEO de Zynap y Xavier Ferre, socio responsable de Ciberseguridad y del sector de Automoción y Transporte en España de EY.
Con la asistencia de más de 300 profesionales de alto nivel en las múltiples esferas de la ciberproteccion corporativa, la XXXV edición de Securmática volvió a poner de manifiesto la madurez y el alto nivel de los profesionales y compañías que marcan el camino de la ciberseguridad en España. El congreso, punto de encuentro de referencia para CISOs, responsables de seguridad cibernética y directivos tecnológicos, evidenció una comunidad cada vez más cohesionada, estratégica y orientada al riesgo digital global y la resiliencia en un momento de calado, por la mayor complejidad de las amenazas, la aplicación masiva de la IA, también por parte del cibercrimen, y el incremento de presupuesto tanto para seguridad cibernética como para el ámbito de la ciberdefensa militar. Una edición que, bajo el lema ‘Llegados aquí… hay que seguir aprendiendo’, mostró los pormenores de los proyectos más madrugadores e innovadores del sector.
Luis García TeránSoberanía nacional
Como es habitual, Securmática comenzó con las intervenciones de los responsables de las principales empresas copatrocinadoras, presentados por José de la Peña, director de Revista SIC, quien recordó que este foro, desde hace varias décadas, es también espacio de pensamiento crítico y de cooperación real entre profesionales. A continuación, Luis García Terán, secretario general del Centro Nacional de Inteligencia (CNI), impartió la conferencia inaugural en la que destacó el papel de Securmática como foro para “debatir soluciones y compartir ideas con un espíritu de colaboración y compromiso”, resaltando al señero congreso como el “punto de referencia para todos los que trabajamos en ciberseguridad, tanto del sector público como privado”. Además, puso en valor este ámbito como pieza clave para “reforzar la soberanía nacional y europea”, destacando la necesidad de apostar por “capacidades propias” y recordando que “la soberanía ya no es un lujo, sino una exigencia”. También, recordó que el CCN lleva más de 20 años contribuyendo a ello y un buen ejemplo son las más de 30 soluciones propias que tiene el Centro. En su intervención destacó, asimismo, la importancia del Plan Nacional de Ciberseguridad aprobado en 2025 y la colaboración público-privada, ya que “necesitamos sumar capacidades, inteligencia y respuesta para aprender unos de otros”, puesto que “la ciberseguridad es un proyecto colectivo” que busca, “no sólo blindar redes o sistemas sino, también, proteger nuestra confianza, economía y un futuro seguro”.
Hazel Díez Castaño
David PenedoHuir del fatalismo
A continuación, Luis G. Fernández, editor de Revista SIC, quien subrayó que el congreso es un “termómetro de lo que se está haciendo y que va a llegar a este ‘sistema planetario digital’”, condujo el bloque inicial con la intervención de Hazel Díez, CISO global del Grupo Santander, y David Penedo, responsable global de Prevención de Fraude de la multinacional financiera española, quienes presentaron ‘Fraude digital, una amenaza sistémica para la sociedad y la confianza en el ecosistema digital que exige una respuesta conjunta’. Ambos insistieron en la necesidad de abordar el fraude como un problema social que requiere cooperación transversal entre bancos, tecnológicas, organismos públicos y ciudadanía. De hecho, mostraron en primicia el primer video de la nueva campaña de la entidad para concienciar al gran público, bajo el título ‘Menos lobos’.
En su intervención, Díez destacó que la explosión de la digitalización también ha motivado que vivamos en una “tormenta perfecta”, donde los “criminales amplifican los ataques con las nuevas tecnologías”, mostrando algunas de las iniciativas de la entidad para “hacer más y proteger a la sociedad”. También, pidió que se deje hablar de forma “catastrofista” porque “podemos hacer mucho” para “cambiar el entorno de las amenazas”. Penedo, por su parte, mostró la apuesta de la entidad por el denominado Shift left, que supone dar más peso a lo humano a través de más colaboración, dando a conocer su enfoque de “cyber & fraud”, que pasa por entender mejor a los actores y delincuentes para montar una estrategia eficaz de prevención del fraude, de forma proactiva, impidiendo las fases tempranas de los ciberataques. También, la CISO global, además de mencionar los frentes sectoriales e internacionales en los que Santander está participando y, en ocasiones, incluso liderando, pidió más colaboración entre todos los actores “para poder tomar decisiones, a través de círculo de confianza para compartir datos que sean accionables”.
IA en el sector bancario
El segundo bloque, moderado por Casimiro Juanes, consultor ejecutivo y consejero de alta dirección, mostró el valor de la innovación aplicada. Javier Puerta, responsable global de Security by Design and Assurance en BBVA, e Israel Hernández, socio Responsable de Business Security Solutions del Sector Banca en PwC España, presentaron ‘SePIA: el uso de la IA en la evaluación de arquitecturas y seguridad en proyectos’, mostrando cómo el banco integra modelos de aprendizaje automático para anticipar vulnerabilidades antes de la puesta en producción. En su presentación, Hernández destacó este proyecto de transformación apostando por la Inteligencia Artificial para pasar de una “ciberseguridad modo tailor made a prêt à porter”, “aportando un valor diferencial, tanto en costes como en gestión”.
Javier Puerta
Israel HernándezAsí, mostraron cómo se ha implementado SePIA, un proyecto en el que “sus principales desafíos se han convertido en beneficios como contar con más gobierno, escalabilidad, evitar la dispersión y contar con una fuerte curva de aprendizaje”, recordó Puerta, destacando la eficiencia “operativa” lograda con esta automatización. “SePIA no es sólo un nombre, habilita la transformación del modelo, la forma en la que los arquitectos trabajan”, comentó Hernández. Además, Puerta mostró casos de uso en los que el banco no apuesta por la IA, que despertó gran interés.
A continuación, Trina de Miguel, directora de Riesgos Tecnológicos en Bankinter, subrayó en su intervención bajo el título ‘Con DORA los riesgos tecnológicos suben a división de honor’, que la norma europea consolida un cambio cultural que eleva la gestión de resiliencia operativa a materia de negocio. Así, mostró de forma pormenorizada el marco de gestión de riesgos TIC que aplica la entidad, que también cuenta con una estrategia de resiliencia operativa que incluye desde pruebas de resiliencia, hasta la medición del nivel de tolerancia del riesgo TIC. “Esto supone una labor muy compleja porque medimos la resiliencia con tres variables -número de incidentes, lecciones aprendidas y de problemas-“, y apuesta porque en cualquier situación crítica “se pueda continuar operando”, poniendo como ejemplo riesgos que se reducen a través de diferentes medidas.
Trina de Miguel
Jesús Muñoz
Vicente MartínAnticiparse al cibercrimen
En el bloque final del día, moderado por Antonio Ramos, CEO de Leet Security, Jesús Muñoz, director de CSIRT & Security Analytics en Caixabank, y Vicente Martín, VP Pre-Sales & GTM en Zynap, presentaron su propuesta sobre ‘IA y conocimiento del cibercrimen para una defensa ágil, adaptativa y coordinada’, abogando por una defensa basada en inteligencia activa frente a comportamientos criminales. En su presentación, recordaron que “en entornos críticos, como el bancario, no basta con saber quién te ha atacado sino hacerlo antes de que lo haga para evitarlo”, comentó Martín, que mostró la propuesta de su compañía que ha aplicado la entidad bancaria, buscando que “el indicador de compromiso tienda a cero”.
Además, Muñoz explicó que la “automatización significa evitar silos, apostar por la colaboración de procesos e información” y “generar indicadores clave para informar al consejo de dirección”. Ambos pusieron en valor la inteligencia de amenazas “para hacer que todas las áreas funcionen”, priorizando riesgos y vulnerabilidades.
En este sentido, Martín también destacó las capacidades de Zynap para automatizar tareas en lo que “afecta a la defensa activa, la simulación frente a adversarios y el blue team readiness”; a la vez Muñoz destacó que “se apuesta por usar el LLM donde aporta valor”.
Impacto accionable
Cerraron la jornada inicial Begoña García, Head People Information Security, y Ainara Jiménez, Awareness, Cultural Change & Engagement, ambas en BBVA, con ‘Del ruido a la acción: reinventando la concienciación en la era del exceso de información’, donde defendieron un modelo de comunicación interna más preciso, útil y basado en el contexto. Una ponencia que dio continuidad a la expuesta en la anterior edición del congreso y en la que desvelaron su propuesta de concienciación a empleados. “Los ciberdelincuentes cada vez hacen ataques más sofisticados y creíbles”, explicó García quien destacó su apuesta por “hacer entendible lo que se está leyendo” y dar la información in time en momentos críticos “como cuando se crea o se renueva una contraseña”, para que se comprenda el riesgo de hacerlo bien en pro de lo que denominaron una “conducta accionable”.
Begoña García
Ainara Jiménez
Además, destacaron la necesidad de implementar mejoras con una medición del impacto real y cercana al ‘momento de la verdad’ de las acciones que se acometen. Ambas también resaltaron la necesidad de implementar una cultura de ciberseguridad en la entidad “que permite crear una capa extra con cada empleado que entiende el porqué de las medidas técnicas que instalamos”. Además, pusieron en valor una ‘red de ciberembajadores’ que permiten capitalizar y llevar la ciberprotección a todas las áreas del banco.
Juan Miguel Velasco
Dr. Raúl RiveraEl reto de la automatización
La segunda jornada comenzó con un bloque moderado por Tomás Roy, adjunto a la dirección de Sistemas e IA del Hospital Clínic de Barcelona, que giró en torno a la IA aplicada a la ciberdefensa, la resiliencia hospitalaria y la colaboración institucional.
La sesión comenzó con la ponencia ‘IA para SOC y ciberseguridad: gobernanza, ética y casos de éxito en México’, a cargo del Dr. Raúl Rivera, CISO de CICESE y Senado de México, y Juan Miguel Velasco, CEO de Aiuken y socio del Grupo Allurity Cybersecurity. Ambos expusieron el impacto de la IA en la automatización del SOC y la necesidad de un marco ético y de gobernanza que preserve la transparencia y la rendición de cuentas.
Velasco comenzó destacando la apuesta de su organización por crear un tejido europeo en ciberprotección, además del crecimiento de Aiuken Cybersecurity, parte del grupo, y que cuenta con siete SOCs -en Madrid, Suecia, Riad, Chile, Dinamarca, Croacia y Suiza-, utilizando IA “sin volverse loco” y apostando por un modelo “muy avanzado, con hiperautomatización y personalización automática para las tareas más repetitivas del SOC”. Así, en su intervención mostró y destacó el valor que aporta su plataforma ASIP (Aiuken Security Intelligence Platform) que “siempre está bajo nuestro control, es agnóstica y permite integrar todo tipo de tecnología”.
Una buena prueba de su eficacia, según comentó Rivera, es su uso por parte del Senado de México para “gestionar el riesgo”, además de mostrar cómo se ha madurado en la Administración Pública del país en este ámbito. “Frente a ello el gran valor de Aiuken es que podemos integrarla con nuestros sistemas propios y ver la ‘salud’ de cada uno de los servicios”. Además, recordó que “hemos tenido muchos proveedores” pero ha sido la compañía española “la que realmente nos ha acompañado para lograr la evolución de los SOCs hacia plataformas proactivas anticipatorias”. Velasco también mostró muchas de las iniciativas con IA que están llevando a cabo “en las que la máquina crea, pero nosotros la orientamos, siempre estamos al frente”.
Lecciones aprendidas
Alejandro Nieto, CISO del Hospital Clínic de Barcelona, y Vicent Signes, project manager GRC en Áudea Seguridad de la Información, compartieron la ponencia ‘Más allá del ataque: resiliencia digital en el corazón de la salud’, donde explicaron las lecciones aprendidas tras el ciberataque sufrido en 2023 y que afectó inicialmente a 800 de 900 servidores y a más de 300 sistemas. “Es el primero que he vivido así en primera persona”, recordó Signes “y espero que sea el último”. Así, de forma muy reveladora profundizaron en las diferentes fases del ataque “que comenzó por el compromiso de unas credenciales”, explicó el CISO. Eso sí, también destacó que a raíz del incidente -por el que no se pagó rescate alguno- “hemos acometido muchas mejoras fruto del conocimiento”.
Alejandro Nieto
Vicent SignesPrecisamente gracias al trabajo de Áudea, “actualmente el Hospital cuenta con una política de seguridad y de organización maduras”, apostando por tener un “plan de continuidad, análisis de riesgos y muchos aspectos que estamos trabajando”, recordó Signes. Nieto también puso en valor cómo se protege el Hospital frente a debilidades de proveedores, en otros aspectos, con herramientas de compañías como Risk4all, de Áudea, que permite “medir el riesgo”, además de recordar el reto en el que se trabaja de cumplir NIS2.
Miguel Ángel Benito
Javier Pérez GarcíaEn el siguiente bloque, bajo la moderación de José Valiente, director del Centro de Ciberseguridad Industrial (CCI), se profundizó en la seguridad industrial y sanitaria. Miguel Ángel Benito, subdirector de Transformación, Innovación y Salud Digital del Servicio de Salud de las Islas Baleares, y Javier Pérez García, director de Ciberseguridad de Fujitsu España, presentaron su ponencia ‘Evolucionando desde la privacidad la gestión de riesgos asociados con la seguridad IoMT’. En su intervención, Benito recalcó la importancia de “aprender y compartir”, para hacer frente a la “continuidad asistencial que es nuestro principal reto”. En este sentido, Pérez enfatizó el peso que están ganando los CISO en el sector de salud digital, “tanto en lo tecnológico, como en el negocio”. Ambos mostraron cómo el sector vive una evolución desde el modelo de asistencia tradicional hacia uno más descentralizado con innovaciones como la telemedicina o la asistencia en remoto al domicilio.
Pérez puso en valor la consecución por parte del IB Salud del ENS en categoría Alta, “que le hizo pionero al lograrlo en 2023”, y la apuesta de la organización por certificarse. Ambos expusieron el camino recorrido en el que se ha contado con muchas lecciones aprendidas, equipos mixtos y el uso intensivo de plataformas de ciberseguridad para gestionar hasta 10.000 eventos al mes. No dejaron de lado la importancia de la gestión de la identidad y de contar “con socios como Fujitsu con amplia experiencia en este sector en comunidades como el País Vasco, con Osakidetza”, destacó Pérez.
Servicios públicos y soberanía tecnológica
A continuación, Santiago Rodríguez Yunta, director del Centro de Seguridad de la Información de la Gerencia de Informática de la Seguridad Social-GISS, y José Luis Huertas, director de Mobbeel y director de Desarrollo de Producto en Minsait Cyber, presentaron un ‘Sistema seguro y ágil para trámites con el ciudadano mediante video-identificación, biometría y firma electrónica’. En su conferencia, evidenciaron el proceso que han acometido en el organismo para aplicar la autenticación biométrica tanto al Ingreso Mínimo Vital (IMV) -sobre todo, tras la pandemia-, como al sistema VIVESS, para cobrar la jubilación a personas que residan fuera de España y constatar que están vivas.
Santiago Rodríguez Yunta
José Luis HuertasUn proyecto en el que Huertas destacó la plataforma de videoidentificación implementada y la colaboración de los equipos de ambas organizaciones. “No hay un sistema 100% seguro pero sí muy seguro con controles y capas”, destacó Rodríguez.
Huertas mostró los tipos de procesos que se llevan a cabo en la plataforma -por ejemplo, el registro del usuario cuando interactúa con ella la primera vez- para la aplicación VIVESS y cómo se han creado capas de seguridad a través de capas entre las que hay desde el uso de firma electrónica avanzada del documento con sellado de tiempo hasta autenticación biométrica facial. “Y todo también buscando la usabilidad”, recordaron. Además, mostraron cómo se han implementado la IA para hacer frente a los ciberataques más comunes, también usando esta tecnología.
Una iniciativa que, en el caso de VIVESS -que se usa en 114 países para identificar a más de 60.000 personas- ya la han usado casi 50.000. Además, Rodríguez adelantó que las técnicas utilizadas se van a ampliar a la videoidentificación en otros procesos.
Retos nacionales
Posteriormente, Javier Candau, subdirector general del Centro Criptológico Nacional (CCN), habló sobre el ‘Nuevo marco de colaboración público-privado (PNCS 2025)’, anunciando la evolución del Plan Nacional de Ciberseguridad hacia una relación más fluida entre sector público y privado, y reclamando más inversión, a cinco años, en este ámbito, tal y como la realizada este año con más de 1.000 millones anualmente.
En su conferencia, repasó lo hecho desde que en 2013 se publicara la primera Estrategia de Ciberseguridad Nacional y sus planes derivados, lamentando que los documentos aprobados, a diferencia de países como EE.UU. o Reino Unido no vengan acompañados de una inversión concreta. También valoró de forma muy positiva los fondos destinados este año a la Defensa, que también han llegado a la ciberprotección buscando también la soberanía digital, considerada como la “autonomía tecnológica con independencia operacional y capacidades propias”. En este sentido, recordó que a través del CCN el único ámbito en el que se ha logrado es en cifra estratégica “pero ha costado mucho trabajo”.
También, abogó por la “necesidad de hacer un Plan Estratégico de tecnologías clave para Europa y España”, poniendo en valor algunos aspectos como que seamos “el país con más CSIRT, después de EE.UU.”. De cualquier forma, destacó que para tener mayor soberanía tecnología hay que acometer una nueva regulación nacional, impulsar el desarrollo de tecnología propia, tener claro los requisitos de soberanía tecnológica experta, invertir, retener el talento, apostar por la innovación, así como por la creación y mantenimiento de startups, potenciándolas con más contratación. “Todo pasa por invertir e invertir”, pidiendo más ‘proyectos país’.
Javier Candau
Joshua Sáenz
Abel LozoyaDefensa, industria y energía
Con la moderación de Miguel García-Menéndez, CEO & Research Director de The (Digital) Accountability Think Tank (iTTi), Abel Lozoya, responsable de Seguridad de la Información/DSSSP de la Dirección de Ciberseguridad Industrial en Navantia, y Joshua Sáenz, Cybersecurity Architect Presales en Izertis, mostraron cómo aplicar una ‘Estrategia Zero Trust en la Defensa Naval’. Para ello, ambos dieron a conocer la evolución de la compañía española en este ámbito. Según explicó Sáenz, se ha acompañado a la entidad en un proceso de “búsqueda de mejora continua para tener una postura de seguridad sólida y adaptable, basado en el modelo de confianza cero y otras metodologías avanzadas, posicionándola como una organización preparada y segura ante cualquier escenario global”.
Un foco en el que ha tenido mucho peso la aprobación, en 2024, de su política de confianza cero para blindar su tecnología y operaciones”, dijo Lozoya, que puso en valor contar con un socio como Izertis. Así en su intervención se mostraron las siete etapas acometidas, partiendo del contexto inicial y los aspectos más críticos para conseguir la madurez actual de la compañía. También adelantaron algunas de las notables mejoras previstas para hacer de “Navantia un referente nacional en ciberseguridad”.
Federico Juste
Enrique CubeiroCiberescudo nacional
A continuación, Federico Juste, general de brigada y segundo jefe del Mando Conjunto del Ciberespacio (MCCE), junto a Enrique Cubeiro, Director de Defensa de S2 Grupo, presentaron ‘Tecnología Nacional, Defensa Global: El Ciberescudo Estratégico de las Fuerzas Armadas’, donde se puso en valor la soberanía tecnológica y la cooperación con la industria española a través de su visión experta. Así, el general Yuste ofreció la visión del Mando del momento actual con ataques ciberfísicos, una “guerra hibrida sincronizada” y la “profesionalización del cibercrimen”. Ello está generando, sobre en los últimos meses una “escalada armamentística digital”, obligándonos a “considerar la IA como dominio estratégico, reforzar la resiliencia de infraestructuras críticas, potenciando la soberanía digital y con países como Reino Unido invirtiendo más de 1.000 millones de euros en capacidades ofensivas”.
En este sentido, también pidió trabajar más para “depender lo menos posible de otros países”, reclamando una “unidad de acción” y destacando la importancia de la persona “como elemento clave y crítico, especializado, con formación continua y perfiles de nicho de alta demanda”.
A continuación, Cubeiro, mostró el enfoque conjunto que comparte S2 Grupo de lo que es “un ciberescudo nacional con una clara gobernanza, con estrategia nacional, responsabilidades definidas, organización eficaz, elementos de coordinación y con recursos. “Creo -afirmó- que tenemos un buen catálogo de producto nacional que abarca gran parte de los aspectos de la ciberseguridad”, recordando el buen trabajo en capacidades y herramientas de organismos como el CCN, en las ha participado en no poca medida la compañía valenciana, “con un alto grado de interoperabilidad”.
El experto de S2 Grupo también destacó la necesidad de impulsar ese ‘escudo nacional’ “más allá de las Fuerzas Armadas”, involucrando a toda la Administración, infraestructuras críticas y servicios esenciales.
La segunda jornada concluyó con Enrique García Conde-Corbal, CISO de Viscofan, y María Domínguez Álvarez, Cybersecurity Business Developer Manager en Telefónica Tech, con la ponencia ‘Reinventando nuestra ciberseguridad para un futuro industrial seguro’, un ejemplo de modernización industrial apoyada en segmentación de redes, detección avanzada y concienciación operativa en una multinacional española, con 50 años de historia, presente en 12 países, dedicada a la envoltura cárnica, con más de 6.000 empleados. Así, García explicó que su trabajo con Telefónica Tech comenzó por poner en marcha un SOC. Además, recordó la exigencia de “adaptarse a las normativas cada vez más exigentes, por ejemplo, NIS2”, además de destacar que su presencia internacional les obliga a cumplir normativas de muchos países con regulaciones dispares.
María Domínguez Álvarez
Enrique García Conde-CorbalTambién, destacó la complejidad que supone ser ciberseguros frente a la cadena de suministro. Dominguez puso en valor lo hecho desde la situación de partida hasta la actual, “con una mayor capacidad de detección y respuesta temprana, menor tiempo de recuperación tras incidentes, más cobertura completa de servicios clave y adaptabilidad a nuevas amenazas gracias a especialistas y proveedores”.
En este sentido, ambos destacaron la “necesidad de tener más visibilidad, incorporando más orquestación, para evitar puntos ciegos, falsas alertas… así que se detectaron acciones de mejora como externalización de servicios operativos, activación de controles centralizados y con informes automatización, definición de KPIs y métricas claras”. Además, Dominguez puso en valor la “redefinición del CISO, que “ha pasado de ser un responsable de ciberseguridad a un actor estratégico”. Terminaron su intervención con su hoja de ruta para 2030, con una clara apuesta de Viscofan por “fortalecer su gobernanza y cultura global de ciberseguridad”, explicó García, “gracias a la generación de inteligencia para tomar las mejores decisiones”, añadió Domínguez.
Tercera jornada
El último día de Securmática 2025 comenzó con la moderación del divulgador -y fundador y director de Vapasec- Pablo San Emeterio. Abrió la jornada Mabel González, subdirectora general de Gobierno y Estrategia de la Agencia de Ciberseguridad de la Comunidad de Madrid, y Pedro Pablo Pérez, director general de TRC, que presentaron en primicia, en su ponencia ‘Gobierno de la ciberseguridad en la Comunidad’, la hoja de ruta regional en materia de protección digital y servicios al ciudadano, plasmada en el Plan Estratégico de la Agencia de Ciberseguridad de la región.
Mabel González
Pedro Pablo Pérez“En Madrid queremos ser un referente internacional para 2028, en este ámbito”, afirmó González, quien analizó lo que supone cada uno de los pilares de la estrategia, además de dar a conocer, también en primicia, que el CCN ha propuesto a la “Agencia para ser un organismo de auditoría técnica para el reconocimiento del ENS”, sobre todo, en las “entidades pequeñas y locales de menos de 20.000 habitantes, que es donde se pone más foco, aunque desde que se ha iniciado el trabajo en este aspecto también nos la están pidiendo los grandes”. Además, profundizó en el ‘escudo’ regional, con capas de ciberprotección.
Por su parte, Pérez destacó la importancia “de que la Comunidad tenga una ciberseguridad bien gobernada. Y para ello se ha generado un marco regulatorio, con el estatuto de la Agencia, con rango de Ley”, con KPIs. Terminó destacando el papel de la Agencia como coordinador de la ciberprotección en una Comunidad donde esta estaba muy repartida entre departamentos.
David Safont
Juan Antonio SánchezOrquestación y respuesta
Les siguieron David Safont, arquitecto de Ciberseguridad, CSIRT & Security Automation de CaixaBank, y Juan Antonio Sánchez, director asociado de Accenture, con su ‘Estrategia de automatización & IA para la evolución de los servicios de ciberseguridad’. Una ponencia de alto nivel, con aspectos técnicos de gran interés, en la que Safont comenzó destacando el ‘Plan Cosmos’ de transformación digital, puesto en marcha este año por la entidad, y en el que tiene mucho peso la ciberprotección, a través del programa ‘Cibercosmos’, enfatizando la automatización y la IA, con al apoyo de Accenture, que los ha llevado a acometer juntos el proyecto Cosmos para transformar el banco de forma radical de cara a 2030. “La idea es que Caixabank tenga una ciberseguridad predictiva, escalable y en constante evolución”, resaltó Safont que explicó los seis principios rectores que están evolucionado a una ciberprotección más proactiva, “a través de modelos de la IA, análisis en tiempo real y priorización de millones de alertas diarias”, que permiten bloquear, de forma directa, más de tres millones de correos diarios, maliciosos, más otros muchos que se analizan antes de autorizarlos.
De forma muy divertida comparando la evolución de la ciberseguridad en la entidad con la película ‘Perdidos en el espacio’ mostró cómo lo aplicado con Accenture, también con IA, “nos ha llevado a contar con mejores análisis y beneficios directos para el SOC”, permitiendo contar con más “capacidad de adaptación, inteligencia colaborativa, agentes especializados, escalabilidad cognitiva, automatización a nivel N1, así como una notable reducción de fatigas y alertas y respuesta contextualizada, con reducción MTTD y MTTR”. No faltó en su exposición información de cómo se acomete la protección frente a ataques a la propia IA y su estrategia en este ámbito.
Ecosistema europeo e identidades digitales
Bajo la moderación de Vanesa Gil, presidenta del capítulo de Madrid de ISACA, Vicent Roca, CTO de Finpay, y José Manuel Oliva, director de Digital Identity de KPMG en España, presentaron ‘Los European Business Wallets como pieza clave del nuevo ecosistema EUDI para impulsar la competitividad en Europa’, centrado en las credenciales digitales soberanas como motor del mercado único europeo. En su intervención, los asistentes conocieron en profundidad cómo funciona de forma práctica un wallet europeo, a través del proyecto acometido por la empresa de pago y la consultora que, sin duda, destaca por ser pionero e innovador en este ámbito.
Vicent Roca
José Manuel OlivaEn concreto, se mostró cómo se ha usado un wallet para automatizar el on boarding de los clientes en la plataforma de Finpay que ahora se ha conseguido hacer “confiable y sin fricciones”, dijo Oliva, a través del uso del wallet de personas físicas y jurídicas, destacando también, que para que las carteras europeas tengan éxito “es fundamental la colaboración público privada”, que demanda la normativa eIDAS2, pero que será “la pieza que dinamice el mercado de la identidad descentralizada”. El cambio que supone las carteras digitales, que comenzarán a llegar a finales de 2026, “es tan radical que hay que ponerse a trabajar ya”, destacó Oliva, “porque esto no tiene vuelta atrás y, aunque se retrase, va a llegar”.
David Vicente
Jordi UbachA media mañana, David Vicente, director de Andorra Digital del Gobierno de Andorra, Jordi Ubach, responsable de la Agencia Nacional de Ciberseguridad del Principado y Xavier Gatius, director de Transformación Digital, Ciberseguridad y Sector Público en EY, evidenciaron el alto grado de madurez que se ha alcanzado con su ‘Ciberseguridad y resiliencia dentro de la estrategia digital de país’.
Vicente comenzó poniendo en valor la estrategia digital 2030 del país, que se ha hecho operativa a través del programa de transformación digital en Andorra (PdTDA). También, profundizó en las cuatro líneas estratégicas del actual PdTA 2.0, con 19 pilares y verticales de actuación para dar servicio digital seguro a todos.
Gatius destacó como en 2024, el país apostó por poner en marcha su ‘CyberShield 2024’ un ejercicio, dividido en cinco fases, que volverá repetirse este año con “el objetivo de fortalecer la ciberseguridad y resiliencia de Andorra”. Ubach, además de dirigir la Agencia, también ha liderado esta iniciativa, en la que han participado 13 entidades y organismos considerados críticos, recordó que se probó la capacidad para cumplir normativas como NIS2, “que se han transpuesto, aunque no se forme parte de la UE, en la Ley de Ciberseguridad del país”. Finalizaron mostrando las áreas de mejoras y cómo se ha evaluado la preparación de las organizaciones y su respuesta ante futuras amenazas.
Xavier Gatius
Oliver Gower
José Luis GarcíaIncidentes, DevSecOps y banca digital
A continuación, el bloque moderado por Román Ramírez, fundador y director general de RootedCON, contó con José Luis García de los Ríos, CISO Global de Prosegur, y Oliver Gower, Senior Managing Director, Cybersecurity España, y Andrés Parro Managing Director, Cybersecurity en FTI Consulting con ‘El cliente siempre tiene la razón: gestionar un ciberincidente originado por el cliente’.
Un reto en el que para Prosegur ha sido fundamental el asesoramiento de FTI Consuting. Así, Parro recordó que en este tipo de incidentes hay áreas muy concretas que acometer como son la “contención e investigación, comunicación interna y externa, contar con equipo multidisciplinar, con forense, inteligencia, negocio, legal y regulación, así como la construcción de relaciones seguras y generación de valor”. En este sentido, el CISO de Prosegur también destacó la necesidad de “contar con un árbitro entre Prosegur y el cliente afectado”.
En estos casos siempre es fundamental tener una “comunicación interna con los especialistas y el equipo de legal”, para no “tener que ir a juicio después”, recordó Gower. Sobre todo, porque en este tipo de crisis “hay una tensión clara entre el departamento de negocio y el de ciberseguridad”, comentó de los Ríos. “La clave es ser transparente, tratar las cosas en el foro adecuado -técnico, comercial, etc.- y estar disponible para lo que surja tras contener y reaccionar al incidente”, dijo Parro. No faltó la referencia a cómo normativas como NIS2 están haciendo que todas las empresas afectadas maduren mucho en este ámbito.
Andres Parro
Gerard Pedrós
Alberto MolinaSeguridad en código
Les siguieron Gerard Pedrós, ingeniero DevSecOps en MASORANGE, y Alberto Molina, jefe de proyecto, ingeniero de DevSecOps en GMV, para reflexionar sobre la ‘Seguridad desde el código: Enfoque en análisis SAST, CI/CD y gestión de vulnerabilidades’, defendiendo una cultura DevSecOps como base de la seguridad corporativa, sobre todo “en su impacto positivo en el ciclo de vida del desarrollo”, dijo Pedros.
Durante su exposición, dieron cuenta de que todas las iniciativas puestas en marcha y sus principales retos para, entre otros, “diseñar una plataforma con un amplio alcance en un ecosistema heterogéneo y cambiante que permitiera mejorar la coordinación con DevOps, implementar un proceso de gestión de vulnerabilidades, requisitos de seguridad, además acometer migraciones y cambios de alcance, y reducir el riesgo a través de la cadena de suministro y que ha permitido auditar rápidamente todos los proyectos y aplicaciones y prevenir incidentes por vulnerabilidades en código y dependencias”, explicó Molina. Además, destacó la “mejora la cultura de seguridad en la compañía” para “integrar la seguridad independientemente del tipo de herramientas usadas”.
Los asistentes también pudieron conocer el enfoque de “auditoría de código para chequear, detectar, reportar y gestionar. Además, se adelantaron próximos pasos, como el de apostar por auditorías al CI/CD, la detección de código generado por IA, así como mejorar la formación a los desarrolladores y reforzar la postura de seguridad del Ciclo de Vida de Desarrollo de Software Seguro (SDLC).
Cerraron esta tercera jornada de Securmática 2025, Javier Gayoso, CISO de Banca March, y Juan López-Rubio, Senior Director de Ciberseguridad en Alvarez & Marsal, que pusieron en valor la ‘Identidad Digital como el nuevo núcleo estratégico financiero’. Gayoso comenzó explicando cómo esta apuesta estratégica ha pasado por tener una gestión de identidades que permite “una administración más cohesionada”, descartando “procesos complejos, muy manuales y dificultando el trabajo de la unidad de ciberseguridad en lo que atañe a su monitorización, visibilidad y la implementación de un mecanismo de autenticación robusta”.
Javier Gayoso
Juan López-RubioAsí, con el apoyo de la alta dirección de la entidad se acometió un proyecto de ciclo de vida de la identidad, con un enfoque flexible y mejora continua que tuvo como reto una “identidad única para acceder a todos los recursos, diciendo adiós a las credenciales dispersas”, destacó López-Rubio poniendo el valor el denominado ‘Multipass’ que te permite contar unificar tu identidad para acceder a lo que necesites “sin importar si eres cliente o empleado”, añadió. “Ha supuesto un cambio global en este ámbito en un banco de más 100 años”, destacó Gayoso.
En definitiva, mostraron cómo se ha aplicado la gestión de roles “ampliando el alcance según la identidad del usuario”, comentaron, agilizando también el proceso y haciéndolo más flexible. López-Rubio terminó Securmática alumbrando un nuevo rol en este ámbito: el de Chief Identity Officer (CIDO)… igual tendrá recorrido.
Así se puso el broche final a una edición que ha reafirmado su papel como el foro corporativo profesional en ciberseguridad de referencia en España y con extensión y proyección internacionales, donde convergen los mundos técnico, regulatorio y estratégico de la ciberprotección y en el que, a puerta cerrada, se han conocido los proyectos más madrugadores e innovadores en este ámbito. ▄