XV Foro de la Ciberseguridad del ISMS Forum
Ha habido un momento en los eventos de tecnología en el que la inteligencia artificial ha dejado de ser una ponencia y se ha convertido en el aire que se respira. Eso es lo que sucedió la semana pasada en el XV Foro de la Ciberseguridad del ISMS Forum. No hubo una sola sesión que no la referenciara, directa o indirectamente.
El dato que mejor lo resume viene del propio informe de ISMS Forum, el Cybersecurity & Data Protection Challenges 2026: el 78% de los CISOs señala la gestión de la IA como su preocupación principal este año. No es el ransomware. No es la regulación. Es la IA. Hace tres años eso habría sorprendido. Hoy ya no sorprende a nadie.
78 %
64 %
56 %
36 %
La apertura institucional del primer track corrió a cargo de Javier Torres, secretario general de la AESIA (la Agencia Española de Supervisión de la Inteligencia Artificial), lo que marcó desde el principio el tono del día: «Aquí ya no estamos hablando de experimentar con IA. Estamos hablando de gobernarla», aseguró.
Desmontando mitos
Una de las ponencias más esperadas era la de Chema Alonso (VP & Head of International Development en Cloudflare) con su sesión ‘Hacking with AI: Mythos and Real-AI-ties‘. Y no decepcionó.
Alonso fue directo al grano: hay demasiado relato apocalíptico alrededor de la IA en ciberseguridad, y también demasiada ingenuidad. La realidad, como casi siempre, está en el medio. La IA amplifica capacidades, tanto las del atacante como las del defensor, pero no sustituye el criterio humano. Al menos por ahora.
Otro de los focos del día fue la IA agéntica. No es un concepto nuevo, pero sí es uno de los que más incomodidad genera entre los profesionales de seguridad; y con razón. Un agente autónomo que toma decisiones sin supervisión humana constante es, básicamente, una nueva superficie de ataque que todavía no sabemos del todo cómo defender. El debate fue honesto: «estamos detrás de la curva y hay que reconocerlo», señaló.
Hubo también un keynote sobre gobernanza algorítmica titulada ‘Del compliance a la ética en la defensa digital’ que planteó algo que resulta fundamental: el cumplimiento normativo sin ética no tiene sentido. Puedes tener todos los controles del mundo y seguir haciendo las cosas mal. La ética no es el complemento del compliance; tendría que ser su fundamento.
«Para ser resiliente primero tienes que aceptar que eres vulnerable. Parece obvio, pero en la práctica muy pocas organizaciones lo asumen de verdad. La mayoría sigue construyendo su estrategia de seguridad como si fuera posible ser impenetrable. No lo es».
Ciberinmunidad, que fue otro concepto que apareció varias veces, apunta precisamente a eso: no a la invulnerabilidad, sino a la capacidad de absorber el golpe y seguir funcionando. Una distinción que parece semántica pero que tiene consecuencias enormes en cómo se diseñan los planes de respuesta.
Cuatro iniciativas que vale la pena seguir
Más allá de las ponencias, ISMS Forum presentó cuatro iniciativas con impacto directo para el sector:
- III Edición del Libro Blanco del CISO: Una referencia actualizada sobre qué se espera realmente de este rol hoy. Más estrategia, menos técnica de guardarropa. aún no entienden cómo funciona ni cómo les ayuda. Esto erosiona la confianza mucho antes de que la herramienta pueda demostrar su valor.
- Modelo de Madurez de Resiliencia Estructural NIS2, desarrollado con IE University: Una herramienta para saber dónde estás respecto a la directiva, no para marcar checkboxes sino para identificar brechas reales.
- Guía para CISOs sobre riesgos post-cuánticos. El 36% ya trabaja en esto, pero muchos todavía lo ven como algo lejano. No lo es tanto. La criptografía que usamos hoy tiene fecha de caducidad y conviene saberlo con antelación.
- CyberMS ’26, los ciberejercicios multisectoriales. No es un simulacro de manual: es un entorno real de estrés para CISOs, diseñado para que salgan cosas a la luz que en condiciones normales no se ven. De los proyectos que más me parecen valiosos porque atacan el problema desde donde duele.
Y una más que pasó casi de puntillas pero que me parece significativa: el GIA Bot, el primer sistema de agentes de IA desarrollado por el propio ISMS Forum para gestionar el conocimiento generado por su Grupo de Inteligencia Artificial. Pequeño en tamaño, interesante como señal de hacia dónde va la asociación..
Las principales preocupaciones de los CISOs españoles en 2026
Descubre las tendencias, preocupaciones y estrategias de los CISOs españoles en este estudio de mercado realizado en base a la opinión de más de 30 CISOs de compañías de referencia en sus respectivos sectores.
La regulación europea
NIS2, DORA, AI Act, eIDAS. La segunda apertura institucional contó con Andrés Ruiz, subdirector general de Seguridad Digital, y Alejandro Las Heras, de la Agencia de Ciberseguridad de la Comunidad de Madrid. El mensaje fue claro y sin eufemismos: la ventana de preparación se está cerrando.
Hay organizaciones que llevan dos años preparándose y aun así sienten que no llegan. Y hay otras que siguen mirando la regulación como si fuera un problema de su departamento jurídico. Las segundas van a tener un problema pronto.
Lo interesante fue que varios ponentes intentaron cambiar el marco mental: la regulación no como amenaza, sino como argumento. Como palanca para conseguir presupuesto, visibilidad y alineación con la dirección. Puede sonar oportunista, pero es pragmático. Y a veces el pragmatismo es lo que funciona.
En resumen: una jornada densa, sin pausas innecesarias, con un nivel de ponentes que ya quisieran muchos eventos internacionales. Y con la sensación de que el sector de la ciberseguridad en España ha madurado de forma notable en los últimos años. No solo en conocimiento técnico, sino en capacidad de articular el problema en términos que la alta dirección puede —y debe— entender.
Gracias al equipo de ISMS Forum por mantener este foro como lo que es: un espacio donde la gente viene a aprender, no a vender. Eso tiene más valor del que parece.
