Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI
logo-audidat-2024.png
TU PRIMERA CONSULTA LEGAL
CONTACTO
TU PRIMERA CONSULTA LEGAL
CONTACTO
Imagen de Manolo Perezagua Naharro

Manolo Perezagua Naharro

  • Licenciado en Derecho.
  • Dieciocho años de experiencia en el ámbito de la protección de datos personales.
  • Director Técnico-Jurídico de la Red de Consultoría Audidat, empresa con presencia en todo el territorio nacional especializada en servicios de consultoría, auditoría, formación y control en el ámbito de la normativa de protección de datos personales.
  • Curso de especialización en Ciberseguridad: Certified Cyber Security Professional, organizado por el Cyber Security Center (CSC).
  • Master in Business Administration Executive (MBA Executive) por la Escuela de Negocios de la Confederación de Empresarios de Albacete (FEDA) y Fundesem Business School.
  • Formación en sistemas de gestión de Compliance (UNE-ISO 19600:2015), impartidos por entidades de reconocido prestigio como AENORy Wolters Kluwer.
  • Formación en materia de Esquema Nacional de Seguridad, incluyendo los principios en que se sustenta, los requisitos mínimos de seguridad y la correspondiente auditoría e informe del estado de seguridad.
  • Especializado en la gestión de procedimientos ante la Agencia Española de Protección de Datos, habiendo ejercido también la abogacía con Número de Colegiación 2192 del Ilustre Colegio de la Abogacía de Albacete.
  • Amplia experiencia como conferenciante y formador en materia de privacidad y protección de datos de carácter personal, habiendo impartido múltiples cursos, seminarios y ponencias en el ámbito de su especialidad.
Precio estimado de consultoría en protección de datos (RGPD)
Protección de datos
Miguel Villalba

Precio estimado de consultoría en protección de datos (RGPD)

Descubra el precio estimado de consultoría en protección de datos y el valor real de la seguridad legal de su negocio El cumplimiento normativo en materia de privacidad y protección de datos se ha convertido en una de las mayores fuentes de preocupación y complejidad para empresas de todos los tamaños y sectores. Desde el pequeño comercio hasta la gran corporación, la gestión de la información personal de clientes, empleados y proveedores está bajo la lupa de regulaciones estrictas como el Reglamento General de Protección de Datos (RGPD) en Europa. El principal desafío radica en la sensación de inseguridad y la falta de claridad sobre los pasos exactos que deben darse y, crucialmente, el coste que implica externalizar esta responsabilidad a expertos. La omisión o la gestión negligente de la protección de datos no es un riesgo teórico, sino una amenaza real con consecuencias tangibles. El espectro de las sanciones económicas impuestas por las autoridades de control (en España, la AEPD) es el más conocido, pero el perjuicio va más allá: incluye la pérdida de confianza de los clientes, la exposición a conflictos legales y, en última instancia, el deterioro irreversible de la reputación corporativa. Ante este panorama, invertir en una consultoría especializada no es un gasto, sino una medida esencial de mitigación de riesgos y garantía de continuidad de negocio. Este artículo ha sido diseñado para desgranar la estructura de costes y los factores que influyen en el precio estimado de consultoría en protección de datos, proporcionando una visión transparente y profesional del valor que obtendrá. Exploraremos cómo los modelos de servicio impactan en el presupuesto y le guiaremos a través de los entregables clave de una consultoría de protección de datos de alto nivel. Respuesta Directa: El precio estimado de una consultoría en protección de datos puede variar significativamente, oscilando generalmente entre los 500 € y más de 5.000 € anuales. Esta horquilla depende de factores críticos como el tamaño y la complejidad del negocio, el volumen y sensibilidad de los datos manejados, la necesidad de un DPO externo y el modelo de servicio (puntual o continuado). Factores clave que determinan el precio estimado de consultoría en protección de datos Comprender la variación en el precio estimado de consultoría en protección de datos requiere ir más allá de una cifra única. La consultoría no es un producto estandarizado, sino un servicio profesional y altamente personalizado. El coste final se articula en torno a la complejidad y la dedicación requerida para alinear la operativa de una organización con los rigurosos estándares del RGPD y la LOPDGDD. La dimensión y la complejidad operativa de la empresa El tamaño de la organización es un indicador primario del volumen de trabajo que deberá afrontar el consultor. Microempresas y autónomos: Tienden a tener tratamientos de datos menos complejos. El coste se centra en la documentación mínima obligatoria y la revisión de procesos básicos. Pymes (pequeñas y medianas empresas): A medida que la plantilla y la facturación crecen, también lo hace la variedad de tratamientos (gestión de RR. HH., marketing digital, videovigilancia, etc.). Se requieren más horas de auditoría y personalización de documentos. Grandes corporaciones: El reto es la diversidad de departamentos, la interconexión de sistemas, las transferencias internacionales de datos y la necesidad de implementar soluciones tecnológicas complejas (cifrado, seudonimización). El coste es proporcionalmente mayor debido a la envergadura y el riesgo. Volumen y sensibilidad de los datos tratados No todos los datos tienen el mismo impacto regulatorio ni requieren las mismas salvaguardas. La consultoría debe evaluar la naturaleza de la información manejada. Datos personales estándar: Nombre, apellidos, DNI, dirección o teléfono. Su tratamiento es habitual, pero sigue exigiendo un nivel de diligencia. Datos de categorías especiales (sensibles): Aquellos que revelan el origen racial o étnico, opiniones políticas, convicciones religiosas, datos genéticos, biométricos o relativos a la salud o la vida sexual. El tratamiento de estos datos dispara el nivel de riesgo y, por ende, el coste de la consultoría, ya que exige evaluaciones de impacto (EIPD) y medidas de seguridad mucho más rigurosas. El rol del delegado de protección de datos (DPO) La figura del DPO (Data Protection Officer) es obligatoria para ciertas entidades o cuando se realizan tratamientos de alto riesgo. ¿El servicio de DPO externo afecta el precio estimado de consultoría en protección de datos? Sí, la externalización de este rol a un consultor experto supone un incremento en la cuota, ya que implica una responsabilidad y una dedicación continuada. El DPO no solo audita, sino que supervisa, asesora y actúa como punto de contacto con la autoridad de control. Servicio Enfoque principal Impacto en el coste Consultoría Puntual Puesta a cero del cumplimiento (documentación inicial). Coste único más elevado. Mantenimiento Anual Auditoría anual, formación, soporte legal, actualización continua. Cuota recurrente (mensual/anual). DPO Externo Supervisión continua, asesoramiento experto y punto de contacto oficial. Máximo coste por la responsabilidad y dedicación. Modelos de contratación y la tarifa de una consultoría de protección de datos Las empresas de consultoría de protección de datos ofrecen diferentes esquemas de contratación que se ajustan a las necesidades y a la madurez de la organización en materia de compliance. El modelo elegido es uno de los elementos de mayor peso en la determinación del precio estimado de consultoría en protección de datos. Consultoría inicial o puesta a cero Esta modalidad es ideal para empresas que inician su actividad o que nunca han abordado seriamente el cumplimiento. Alcance: Consiste en el diagnóstico inicial de los tratamientos de datos, la redacción de todos los documentos obligatorios (registro de actividades, cláusulas de información, contratos con encargados de tratamiento) y la implementación de las medidas técnicas y organizativas iniciales. Tarificación: Se cobra generalmente como un pago único o una tarifa plana inicial. El coste dependerá de la complejidad (ver factores anteriores) y puede oscilar entre un mínimo de 500 € y 3.000 € en empresas con complejidad media. Mantenimiento y adaptación continua El RGPD es un compliance dinámico, no estático. Los procesos internos de la empresa cambian (nuevos softwares,

Leer más »
diciembre 2, 2025
Consultoría LOPD: Cumplimiento RGPD para su empresa
Protección de datos
Miguel Villalba

Consultoría LOPD: Cumplimiento RGPD para su empresa

El entorno empresarial actual, hiperconectado y digitalizado, ha convertido a los datos personales en uno de los activos más valiosos y, al mismo tiempo, en una fuente constante de riesgo legal. El principal desafío para cualquier organización, independientemente de su tamaño o sector, reside en garantizar que el tratamiento de esta información sensible cumple de manera rigurosa y continua con las exigencias del marco normativo vigente, principalmente el Reglamento General de Protección de Datos (RGPD) europeo y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). La dificultad se incrementa ante la naturaleza dinámica de la tecnología y las operaciones comerciales, que exigen una adaptación constante de los procedimientos de seguridad y privacidad. La falta de una estrategia de cumplimiento bien definida y ejecutada expone a las empresas a consecuencias críticas. Los riesgos van desde la pérdida de confianza por parte de clientes y stakeholders, hasta la materialización de brechas de seguridad con fugas de datos masivas. No obstante, la amenaza más tangible y grave se centra en el régimen sancionador de la Agencia Española de Protección de Datos (AEPD), cuyas multas pueden ascender a 20 millones de euros o el 4% de la facturación global anual, según la gravedad de la infracción. Por lo tanto, el cumplimiento no es solo una obligación legal, sino una prioridad estratégica para la supervivencia y reputación del negocio. Este artículo proporciona una guía exhaustiva y profesional sobre cómo afrontar este reto a través de la consultoría LOPD especializada. Exploraremos las obligaciones clave, las fases de implantación y los beneficios de contar con un socio experto. Al finalizar, el lector habrá comprendido la metodología necesaria para establecer un marco de gobernanza de datos eficaz, con el soporte del servicio de consultoría de protección de datos. La consultoría LOPD es un servicio profesional integral que asesora a las organizaciones en el diseño, implementación y mantenimiento de un sistema de gestión de protección de datos, asegurando el cumplimiento legal con el RGPD y la LOPDGDD para evitar sanciones y proteger la reputación corporativa. La consultoría LOPD como estrategia esencial de cumplimiento normativo El cumplimiento de la normativa de protección de datos va mucho más allá de firmar documentos; es un proceso continuo que debe integrarse en la cultura y los procedimientos operativos de la empresa. En este contexto, la consultoría LOPD se posiciona como el motor que transforma una obligación legal compleja en una ventaja competitiva basada en la confianza y la seguridad. ¿Por qué es obligatoria la consultoría LOPD para las empresas en España? Desde la entrada en vigor del RGPD en 2018, el enfoque regulatorio ha cambiado de un modelo basado en la notificación de ficheros a uno centrado en la responsabilidad proactiva (Accountability). Este principio fundamental exige que la empresa no solo cumpla con la ley, sino que también pueda demostrar documentalmente que ha tomado todas las medidas técnicas y organizativas adecuadas para proteger los datos. La complejidad del marco legal hace inviable que la mayoría de las empresas lo gestionen internamente sin el apoyo de expertos. Los consultores externos aportan un conocimiento especializado y actualizado sobre: Evaluaciones de impacto (EIPD): Análisis de riesgo obligatorio para tratamientos de alto riesgo. Transferencias internacionales de datos: Requisitos específicos para enviar datos fuera del Espacio Económico Europeo (EEE). Derechos de los interesados: Procedimientos para atender las solicitudes de acceso, rectificación, supresión y oposición (derechos ARSOPL). Brechas de seguridad: Protocolo de notificación a la AEPD y a los afectados en un plazo máximo de 72 horas. Contar con un asesor externo es, en la práctica, la forma más eficiente y segura de cumplir con el principio de Accountability. El principio de Accountability: La prueba del cumplimiento El corazón del RGPD es la responsabilidad activa. Una empresa que se somete a una inspección de la AEPD debe poder presentar un corpus documental que demuestre su diligencia. Esto incluye, pero no se limita a: El Registro de Actividades de Tratamiento (RAT). Los análisis de riesgos y sus planes de acción. Las cláusulas de privacidad adaptadas a los distintos tratamientos. Los contratos con encargados del tratamiento (CET). Evidencias de la formación continua del personal. La consultoría LOPD se encarga de generar y mantener toda esta documentación en orden y accesible para su demostración ante cualquier requerimiento. Fases críticas de un proyecto de consultoría LOPD integral Un proyecto profesional de consultoría LOPD no es un servicio de «talla única», sino un proceso metodológico estructurado que se adapta a la realidad operativa de cada cliente. Aunque puede variar ligeramente según la firma consultora, generalmente se articula en tres grandes etapas que aseguran una implantación robusta. Fase 1: Diagnóstico, análisis de riesgos y definición del alcance Esta etapa inicial es fundamental para establecer el punto de partida y la hoja de ruta. Se lleva a cabo una auditoría legal y técnica para comprender cómo la organización recopila, almacena, utiliza y destruye los datos personales. Identificación de tratamientos: Se mapean todos los flujos de datos, desde los datos de clientes y empleados hasta los de videovigilancia y redes sociales. Análisis de la base legal: Se verifica que cada tratamiento de datos tenga una base de legitimación válida (consentimiento, interés legítimo, cumplimiento de una obligación legal, etc.). Evaluación de riesgos: Se realiza un análisis detallado para identificar las vulnerabilidades que podrían llevar a una pérdida de confidencialidad, integridad o disponibilidad de los datos. Esto permite clasificar los riesgos y priorizar las medidas a implementar. Creación del Registro de Actividades de Tratamiento (RAT): Se formaliza el documento interno clave que describe todos los tratamientos. Fase 2: Implementación de medidas y adecuación documental Con el diagnóstico en mano, el consultor procede a implementar las medidas correctoras necesarias, que se dividen en organizativas, legales y técnicas. Adecuación legal y contractual: Se redactan o revisan las políticas de privacidad y cookies, los avisos legales, las cláusulas informativas, los documentos de ejercicio de derechos y, crucialmente, los contratos con terceros que actúan como encargados del tratamiento. Medidas organizativas: Se establecen protocolos internos, como

Leer más »
diciembre 2, 2025
Sanciones en protección de datos: multas, infracciones y prevención
Protección de datos
Miguel Villalba

Sanciones en protección de datos: multas, infracciones y prevención

Sanciones en protección de datos: todo lo que debes saber para evitar riesgos La gestión de datos personales se ha convertido en una preocupación central para cualquier organización, independientemente de su tamaño o sector. Sin embargo, la complejidad de normativas como el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) genera una gran incertidumbre. La principal inquietud para los responsables y encargados del tratamiento reside en una pregunta fundamental: ¿cómo podemos asegurar que nuestros procedimientos cumplen con la ley y evitar las consecuencias devastadoras de un incumplimiento? El riesgo de recibir sanciones en protección de datos no es meramente teórico; es una realidad documentada por la Agencia Española de Protección de Datos (AEPD) y otras autoridades europeas. Un fallo en la implementación de las medidas de seguridad o la ausencia de la documentación legalmente exigida puede llevar a multas que alcanzan cifras millonarias, afectando no solo la salud financiera de la empresa, sino también su reputación y la confianza de sus clientes. Por lo tanto, comprender el régimen sancionador y las obligaciones es una prioridad ineludible. Este artículo tiene como objetivo principal desgranar el complejo entramado de las sanciones en protección de datos: todo lo que debes saber sobre los tipos de infracciones, el proceso de la AEPD y las cuantías máximas. Al finalizar, el lector obtendrá una visión clara sobre las mejores prácticas para mantener la conformidad, apoyándose en recursos expertos como la consultoría de protección de datos ofrecida por Audidat. El incumplimiento de la normativa de protección de datos (RGPD y LOPDGDD) puede acarrear multas que se dividen en dos tramos principales: hasta 10 millones de euros o el 2% de la facturación global anual de la empresa, o hasta 20 millones de euros o el 4% de la facturación global anual, optándose por la cuantía superior en cada caso. ¿Cómo se clasifican las infracciones de la normativa de protección de datos? El régimen sancionador se estructura en función de la gravedad de las infracciones, lo que permite a la AEPD aplicar multas proporcionales al daño causado y a la naturaleza del incumplimiento. Entender esta clasificación es el primer paso para evaluar el nivel de riesgo en su organización y priorizar las acciones correctivas. Infracciones leves en protección de datos Las infracciones leves suelen estar relacionadas con fallos de carácter formal o documental que no suponen un riesgo significativo para los derechos y libertades de los interesados, pero que demuestran una deficiencia en la diligencia del responsable. Ejemplos Comunes: Incumplir la obligación de notificar a la AEPD el cambio de un Delegado de Protección de Datos (DPO) que ya había sido designado previamente. Omitir la publicación de cierta información de contacto o del DPO en la página web o en el aviso legal, cuando sea obligatorio. No responder formalmente a una solicitud de ejercicio de derechos (acceso, rectificación, cancelación, oposición, etc.) dentro del plazo legal, aunque se atienda posteriormente. Infracciones graves: el punto de inflexión Las infracciones graves se centran en el incumplimiento de obligaciones esenciales que afectan de forma directa la capacidad del interesado para controlar sus datos personales. Es en esta categoría donde se acumula un mayor número de resoluciones sancionadoras. Cuantía Máxima: Hasta 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior. Elementos clave de infracción grave: Tratar datos personales sin una base de legitimación adecuada (consentimiento, interés legítimo, obligación legal, etc.). No implementar o mantener las medidas de seguridad técnicas y organizativas requeridas para proteger los datos (por ejemplo, cifrado o copias de seguridad). Incumplir la obligación de notificar a la AEPD y/o a los interesados las violaciones de seguridad de los datos personales (quiebras de seguridad) en el plazo de 72 horas. Incumplir las obligaciones del Encargado del Tratamiento (subcontratista) respecto al Responsable del Tratamiento, o viceversa, especialmente en la formalización del contrato de encargo. Obstruir las funciones de investigación o inspección de la AEPD, no colaborando con los requerimientos de información. Infracciones muy graves: las multas más elevadas Las infracciones muy graves representan los incumplimientos más serios y aquellos que causan un mayor perjuicio a los derechos de los ciudadanos. Suponen una violación de los principios fundamentales del RGPD. Cuantía Máxima: Hasta 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior. Casos típicos de infracción muy grave: Incumplir los principios relativos al tratamiento, como la minimización de datos o la limitación de la finalidad. Transferir datos personales a un tercer país u organización internacional sin las garantías adecuadas. No atender repetidamente y de manera sistemática las solicitudes de ejercicio de derechos de los interesados (derecho al olvido, de acceso, etc.). Incumplir las condiciones para el consentimiento de los menores de edad. Tratamiento de categorías especiales de datos (salud, origen racial o étnico, opiniones políticas, etc.) sin las excepciones o bases de legitimación adecuadas. El procedimiento sancionador de la AEPD: fases clave Conocer el modus operandi de la Agencia Española de Protección de Datos es fundamental para reaccionar de manera adecuada si se inicia un expediente. El proceso se divide en una fase de investigación y una fase sancionadora propiamente dicha. Fase 1: investigación previa y actuaciones inspectoras El proceso se inicia, generalmente, por una reclamación de un ciudadano o por una investigación de oficio de la propia AEPD tras tener conocimiento de una posible infracción (ej. a través de los medios de comunicación o una notificación de data breach). Actuaciones de investigación: La AEPD puede solicitar información, documentación, acceder a instalaciones o requerir la comparecencia de personal. En este punto, la colaboración y la transparencia son vitales, ya que la obstrucción es en sí misma una infracción. Plazo de respuesta: Los requerimientos de información deben ser contestados en el plazo que se indique, siendo generalmente breve. La AEPD evalúa si existe un indicio razonable de infracción que justifique la apertura de un procedimiento formal. Fase 2: incoación y pliego de

Leer más »
diciembre 2, 2025
La mejor consultora ENS: Guía de elección para la certificación segura
Esquema Nacional de Seguridad
Miguel Villalba

La mejor consultora ENS: Guía de elección para la certificación segura

La complejidad de la seguridad de la información en el sector público y sus colaboradores ha alcanzado un punto crítico. El Esquema Nacional de Seguridad (ENS), más que una recomendación, es una obligación legal y técnica para todas las entidades que manejan datos sensibles de ciudadanos o infraestructuras críticas. El desafío principal al que se enfrentan ayuntamientos, organismos autónomos y empresas proveedoras no es solo cumplir con la letra de la ley, sino entender e implementar los mecanismos de seguridad que garanticen la protección efectiva contra amenazas que evolucionan día a día. Esta tarea, altamente especializada, a menudo excede las capacidades y los recursos internos de las organizaciones. Las consecuencias de una implementación deficiente o incompleta del ENS son significativas y pueden tener un impacto devastador. Los riesgos van desde la pérdida de confianza ciudadana debido a brechas de seguridad y la exposición de datos personales, hasta la imposición de sanciones económicas severas por parte de las autoridades competentes. Además, un incumplimiento puede acarrear la paralización de servicios públicos esenciales o la inhabilitación para contratar con la administración, poniendo en jaque la continuidad operativa. La seguridad no es un gasto, sino una inversión estratégica y un requisito para operar legalmente. Este artículo ha sido diseñado para guiarle a través del proceso de selección de un socio estratégico que pueda asegurar su cumplimiento. Le explicaremos por qué la elección de la mejor consultora ENS es la decisión más importante en este camino y qué criterios profesionales debe aplicar para identificarla. Conozca cómo el servicio de Esquema Nacional de Seguridad de Esquema Nacional de Seguridad puede ser la pieza clave para alcanzar no solo la certificación, sino una seguridad de la información integral y sostenible. El proceso para identificar la consultora ideal para su organización requiere una evaluación rigurosa de su experiencia específica en el sector público y una capacidad técnica probada en la implementación del Esquema Nacional de Seguridad. La mejor consultora ENS es aquella que ofrece un enfoque integral y adaptado, y no solo un servicio de certificación estándar, asegurando la alineación total de sus sistemas con los requisitos normativos del Real Decreto 311/2022. ¿Qué diferencia a una consultora ENS líder de las opciones genéricas en el mercado? La seguridad de la información es un campo saturado de ofertas, pero el cumplimiento del Esquema Nacional de Seguridad exige un nivel de especialización y conocimiento normativo que pocas firmas pueden proporcionar. Una consultora ENS líder no se limita a entregar documentación, sino que se convierte en un socio estratégico que transforma la cultura de seguridad de la organización. Su valor reside en la profunda comprensión de los riesgos específicos del sector público y la capacidad de traducir la norma a soluciones técnicas y organizativas viables. Las consultoras que realmente destacan en este ámbito ofrecen una combinación de tres pilares fundamentales: Conocimiento Legal y Normativo: No solo conocen el Real Decreto 311/2022, sino también su aplicación en casos de uso reales, las guías de implementación del CCN-CERT y la relación con otras normativas como el Reglamento General de Protección de Datos (RGPD). Experiencia Técnica Holística: Poseen equipos que cubren desde la auditoría inicial y el análisis de riesgos, hasta la implementación de medidas de seguridad técnicas (ciberseguridad, hardening de sistemas) y la capacitación del personal. Metodología de Adaptación: Utilizan métodos que permiten escalar el cumplimiento al nivel de seguridad requerido por el sistema (Básico, Medio o Alto), garantizando la máxima eficiencia en la inversión y el mínimo impacto en la operativa diaria. La trascendencia de la experiencia en la administración pública El entorno de la administración pública presenta desafíos únicos que una consultora sin experiencia previa puede pasar por alto. Heterogeneidad de Sistemas: El sector público a menudo opera con una mezcla de sistemas legados y tecnologías modernas. La consultora debe saber cómo aplicar las medidas del ENS a esta complejidad tecnológica. Restricciones Presupuestarias y de Recursos: Los proyectos deben ser eficientes y realistas en términos de recursos internos disponibles. Una buena consultora propone soluciones pragmáticas y coste-efectivas. Cultura Organizacional: Es crucial gestionar el cambio y la formación del personal para que el ENS se integre en los procesos diarios y no sea percibido como una simple carga administrativa. ¿Cuáles son los criterios ineludibles para la elección de la mejor consultora ENS? La decisión de con quién trabajar no debe basarse únicamente en el precio. Para asegurar el éxito y evitar problemas futuros, es esencial aplicar un filtro de calidad basado en criterios objetivos y verificables. Estos criterios están diseñados para garantizar que el socio elegido no solo lo lleve a la certificación, sino que mantenga su sistema seguro y en cumplimiento a largo plazo. Acreditaciones y Certificaciones Propias: La consultora debe demostrar su propio compromiso con la calidad y la seguridad. Verifique que posean certificaciones relevantes como ISO 27001 (Sistemas de Gestión de la Seguridad de la Información). Pregunte si son auditores cualificados o si trabajan en estrecha colaboración con organismos de certificación acreditados por la Entidad Nacional de Acreditación (ENAC). Portafolio de Proyectos y Referencias: Solicite casos de estudio o referencias directas de otras administraciones públicas (ayuntamientos, diputaciones, hospitales) que hayan alcanzado la certificación ENS en el mismo nivel de seguridad que usted requiere. La experiencia con entidades de su mismo tamaño o complejidad es un indicador clave de su capacidad de adaptación. Metodología de Trabajo Detallada: La mejor consultora ENS presentará una hoja de ruta clara, desglosada en fases con entregables definidos (análisis de riesgos, declaración de aplicabilidad, plan de adecuación, auditoría interna, etc.). Debe enfocarse en la gestión del riesgo como base de la implementación y no solo en la documentación. Pregunte qué herramientas o metodologías utilizan para el análisis de riesgos. El proceso de adecuación y el rol de la mejor consultora ENS La implantación del Esquema Nacional de Seguridad es un ciclo continuo, no un evento único. El rol de la consultora es guiar a la organización a través de cada fase, asegurando que se construyan capacidades internas para mantener el cumplimiento. Fases críticas de

Leer más »
diciembre 2, 2025
ENS para empresas proveedoras: Guía de obligatoriedad y certificación
Esquema Nacional de Seguridad
Miguel Villalba

ENS para empresas proveedoras: Guía de obligatoriedad y certificación

El incumplimiento normativo en materia de ciberseguridad se ha convertido en una de las mayores fuentes de riesgo para las empresas que mantienen relaciones comerciales con el sector público. La digitalización masiva de los servicios públicos exige que sus proveedores garanticen la seguridad y la resiliencia de los sistemas de información que manejan, pero muchos desconocen el marco legal exacto que rige estas interacciones. La falta de un estándar de seguridad unificado y auditable expone a estas organizaciones a graves vulnerabilidades, afectando no solo a sus propios datos, sino también a la información crítica de la Administración y, en última instancia, a los ciudadanos. Esta problemática adquiere una dimensión crítica con la obligatoriedad de normativas como el Esquema Nacional de Seguridad (ENS). No aplicar correctamente el ENS implica más que un simple fallo administrativo; se traduce en una responsabilidad directa sobre incidentes de seguridad, que pueden resultar en la paralización de contratos, daños reputacionales irreversibles y la imposición de severas sanciones económicas. Para un proveedor, no estar certificado o no cumplir con el nivel de seguridad requerido equivale a estar, de facto, excluido de la contratación pública, perdiendo una oportunidad de negocio fundamental. Este artículo tiene como objetivo principal desgranar la obligatoriedad, los requisitos y el proceso de aplicación del ENS para empresas proveedoras del sector público. Exploraremos las claves para su correcta implementación y el papel fundamental que juega la certificación para asegurar su continuidad en la contratación pública. Además, le mostraremos cómo un servicio de Esquema Nacional de Seguridad puede ser la herramienta decisiva para lograr esta adaptación y convertir el cumplimiento en una ventaja competitiva sostenible. El Esquema Nacional de Seguridad (ENS) es un marco normativo de obligado cumplimiento en España para toda entidad que preste servicios o suministre soluciones a la Administración Pública, cuyo objetivo es garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, protegiendo así la información de los ciudadanos y la integridad de los sistemas públicos. El mandato legal del ENS para empresas proveedoras del sector público: ¿Por qué es obligatorio? La obligatoriedad del ENS no es un requisito de mercado, sino una imposición legal respaldada principalmente por el Real Decreto 311/2022. Esta normativa establece un marco de confianza para las transacciones electrónicas y la provisión de servicios digitales, que son el motor de la Administración Pública. Para una empresa que desea trabajar con cualquier entidad gubernamental, el cumplimiento del ENS se convierte en una condición sine qua non para licitar y ejecutar contratos. Marco normativo y el principio de seguridad en la prestación de servicios La Ley 39/2015, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de Régimen Jurídico del Sector Público, sentaron las bases para la digitalización de la Administración, exigiendo que todos sus sistemas ofrezcan garantías de disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. El ENS es el instrumento técnico que materializa estos principios. Para la Administración Pública: La aplicación del ENS es directa y total. Para los Proveedores: El cumplimiento es exigido cuando la empresa gestione información sensible de la Administración, preste servicios que afecten a la seguridad de los sistemas públicos, o cuando suministre productos de seguridad que vayan a ser utilizados por las propias entidades. El principio es claro: la seguridad de los datos públicos no debe verse comprometida por la externalización de servicios. Por lo tanto, el nivel de exigencia del proveedor será, como mínimo, el mismo que el nivel de seguridad de la información tratada por la Administración. Niveles de seguridad y el impacto en el contrato público El ENS clasifica los sistemas en tres niveles: Básico, Medio y Alto. El nivel aplicable a una empresa proveedora está directamente relacionado con la criticidad de la información que va a manejar o del servicio que va a prestar. Nivel ENS Criterio de Aplicación Implicaciones para el Proveedor Básico Manejo de información con riesgo limitado o sistemas con menor impacto en el servicio público. Requisitos mínimos de seguridad y gestión básica de incidentes. Medio Manejo de datos personales (no categorías especiales) o sistemas cuyo fallo afectaría moderadamente al servicio. Mayor nivel de controles de acceso, copias de seguridad y análisis de riesgos. Nivel más común en la mayoría de contratos. Alto Manejo de información clasificada o sistemas cuya interrupción o compromiso causaría un daño grave o muy grave a la seguridad nacional, intereses públicos o derechos fundamentales. Controles de seguridad avanzados, auditorías frecuentes y gestión de crisis altamente robusta. La Administración especificará el nivel de ENS requerido en los pliegos de las licitaciones. No poder demostrar el cumplimiento del nivel exigido es causa de exclusión automática del proceso de contratación. La certificación del ENS para empresas proveedoras del sector público: El valor de la conformidad La certificación no es solo un papel; es la prueba objetiva, emitida por una entidad independiente, de que la empresa ha implementado correctamente el conjunto de medidas de seguridad necesarias. Esta certificación se convierte en la credencial más poderosa para diferenciarse en la contratación pública. ¿Qué implica el proceso de certificación? Obtener el Certificado de Conformidad del ENS requiere un proceso estructurado que demuestra la madurez de la seguridad de la información dentro de la organización. Este proceso se divide en varias fases clave: Análisis de Riesgos: Identificar activos de información, evaluar amenazas y vulnerabilidades, y determinar el nivel de seguridad aplicable (Básico, Medio o Alto). Declaración de Aplicabilidad (DoA): Documento crucial donde se detallan las medidas de seguridad del Anexo II del ENS que la empresa ha decidido implementar, justificando las que sean o no aplicables. Implementación y Adaptación: Ajustar los sistemas, procesos y controles internos para cumplir con las medidas seleccionadas en el DoA. Esto puede incluir cambios en la infraestructura técnica, la formación del personal y la revisión de políticas de seguridad. Auditoría de Certificación: Una vez implementado, un auditor de una entidad certificadora acreditada por ENAC (Entidad Nacional de Acreditación) verifica el cumplimiento. Si el sistema es conforme, se emite el certificado. La necesidad de un plan de mejora

Leer más »
diciembre 2, 2025
Auditoría ENS para empresas: Guía y certificación del Esquema Nacional de Seguridad
Esquema Nacional de Seguridad
Miguel Villalba

Auditoría ENS para empresas: Guía y certificación del Esquema Nacional de Seguridad

Auditoría del Esquema Nacional de Seguridad (ENS): Una guía esencial para la ciberseguridad empresarial El panorama digital actual ha transformado la ciberseguridad de una cuestión técnica a una prioridad estratégica y legal. Dentro de este marco, el Esquema Nacional de Seguridad (ENS) se presenta como el estándar regulatorio clave para la administración pública y, por extensión, para todas aquellas empresas que se relacionan con ella a través de la prestación de servicios, el suministro de productos o la gestión de datos sensibles. El principal desafío para estas organizaciones radica en la complejidad de comprender e implementar correctamente todos los requisitos, que abarcan desde medidas de gestión, operacionales, de protección, hasta requisitos de auditoría obligatoria. La dificultad se acentúa en las pymes y empresas de gran envergadura que, sin tener la experiencia o los recursos internos especializados, deben garantizar la conformidad para seguir operando. La consecuencia directa de un incumplimiento del ENS va más allá de la mera pérdida de contratos con el sector público; implica una exposición a riesgos de seguridad inaceptables, una gestión ineficaz de incidentes y, potencialmente, la imposición de sanciones significativas por parte de los organismos reguladores. La correcta implementación y, sobre todo, la auditoría periódica del ENS son, por lo tanto, un requisito de obligado cumplimiento para mantener la certificación oficial y demostrar la debida diligencia en la protección de la información y los servicios digitales. Ignorar esta obligación es arriesgar la viabilidad operativa y la reputación de la empresa en el entorno digital. Este artículo servirá como una guía profesional y profunda sobre los servicios de auditoría ENS para empresas, detallando su proceso, su obligatoriedad, y los beneficios estratégicos que aporta más allá del mero cumplimiento legal. Analizaremos las fases de una auditoría, qué activos se ven afectados y cómo un servicio especializado de Esquema Nacional de Seguridad puede transformar este requisito legal en una ventaja competitiva en el sector público. Respuesta Directa al Problema Central Los servicios de auditoría del Esquema Nacional de Seguridad (ENS) para empresas son procesos de verificación obligatorios y periódicos, realizados por una tercera parte independiente, cuyo objetivo es certificar que los sistemas de información utilizados para prestar servicios al sector público cumplen con las medidas de seguridad técnicas, organizativas y legales exigidas por el Real Decreto 311/2022. Este proceso es crucial para mantener la certificación oficial y garantizar la continuidad contractual. ¿Por qué son obligatorios los servicios de auditoría ENS para empresas? La obligatoriedad de someterse a una auditoría ENS nace directamente de la naturaleza y el alcance de este marco normativo en España. El Esquema Nacional de Seguridad no es una recomendación, sino una ley de obligado cumplimiento para todas las entidades del sector público y para aquellas empresas privadas que manejan información o prestan servicios a estas entidades. La base legal del cumplimiento y la certificación El marco legal del ENS se establece principalmente en el Real Decreto 311/2022. La norma no solo define las medidas de seguridad, sino que también establece la necesidad de su verificación a través de auditorías. Alcance universal: El ENS aplica a cualquier sistema de información que maneje información clasificada en los niveles de seguridad Básico, Medio o Alto. La mayoría de los servicios prestados a la administración caen en estas categorías. Requisito de la declaración de conformidad y la certificación: Para sistemas de categoría Media y Alta, la certificación por una entidad acreditada es obligatoria. Esta certificación requiere, como paso previo e ineludible, una auditoría ENS. Periodicidad obligatoria: La auditoría no es un evento único. Para sistemas de categoría Media y Alta, la re-certificación y, por tanto, la auditoría, debe realizarse cada dos años. Para sistemas de categoría Baja, aunque no requiere certificación, la empresa debe realizar una auditoría o una evaluación de su conformidad. El incumplimiento de este ciclo de auditoría bienal puede llevar a la pérdida de la certificación y, consecuentemente, a la imposibilidad de mantener los contratos o presentarse a nuevas licitaciones con el sector público. Por ello, contratar servicios de auditoría ENS para empresas es una inversión en la continuidad del negocio. El rol de los niveles de seguridad en la auditoría El rigor y el enfoque de la auditoría dependen directamente del nivel de seguridad (Bajo, Medio o Alto) asignado al sistema de información de la empresa. La clasificación se basa en la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información que se maneja. Nivel de Seguridad Clasificación del Sistema Requisito de Auditoría Enfoque de la Auditoría Bajo Sistemas con el menor impacto en caso de fallo. Evaluación de seguridad o auditoría interna. Verificación de medidas básicas de gestión. Medio Sistemas que manejan información sensible o crítica. Auditoría obligatoria cada dos años por entidad externa. Revisión exhaustiva de todas las medidas del Anexo II. Alto Sistemas que manejan información de máxima criticidad. Auditoría obligatoria cada dos años por entidad externa. Máximo rigor en la verificación y gestión continua de riesgos. Entender su nivel es el primer paso para dimensionar los servicios de auditoría ENS para empresas que se necesitan. ¿Qué activos y procesos abarca una auditoría de los servicios de auditoría ENS para empresas? Una auditoría del ENS es un proceso holístico que va mucho más allá de una simple revisión de firewalls o antivirus. Su propósito es evaluar la eficacia de las medidas de seguridad implementadas en todos los aspectos que afectan a los servicios que la empresa presta al sector público. Las tres dimensiones de la seguridad El ENS estructura sus requisitos en tres dimensiones clave, y la auditoría debe verificar la conformidad en cada una de ellas: Seguridad organizativa: Evalúa la gobernanza de la seguridad. Esto incluye la existencia de políticas, la asignación de roles y responsabilidades (como la figura del Responsable de Seguridad), los planes de formación, la gestión de riesgos y la continuidad del negocio. Es la base de la cultura de seguridad. Seguridad operacional: Se centra en los procesos diarios y las medidas de protección. Aquí se revisan los procedimientos de acceso y control físico, la gestión de

Leer más »
diciembre 2, 2025
RGPD: Clarificación de protección de datos en investigaciones internacionales
noticias
Marisa Romero

RGPD: Clarificación de protección de datos en investigaciones internacionales

El Parlamento Europeo ha respaldado un nuevo acuerdo para especificar la aplicación del RGPD en el contexto de investigaciones internacionales. El objetivo principal es acelerar los procedimientos y proporcionar mayor seguridad jurídica a las partes involucradas. La normativa establece plazos máximos para la conclusión de las investigaciones, fijados en 15 meses desde la designación de la autoridad principal, con posibles extensiones. El acuerdo introduce un procedimiento de cooperación simplificado y fomenta la resolución temprana de conflictos. El Parlamento Europeo ha dado su visto bueno a un convenio diseñado para detallar la forma en que se aplica el Reglamento General de Protección de Datos (RGPD) en el marco de las investigaciones transfronterizas. Esta medida tiene una doble finalidad: agilizar los procedimientos y, al mismo tiempo, fortalecer la seguridad legal de todas las partes afectadas. La Comisión Europea impulsó esta adaptación legal con la intención de reducir las discrepancias y promover el consenso entre las autoridades competentes desde las etapas iniciales de un proceso. Para que este acuerdo, pactado en junio por los negociadores de las instituciones, entre en vigor, aún es necesaria la ratificación formal por parte del Consejo (los gobiernos de la UE). Su activación se produciría 15 meses después de su publicación en el Diario Oficial de la UE. Fortalecimiento del marco y plazos de investigación Este refuerzo del marco de protección de datos armoniza los criterios para la aceptación de una queja transfronteriza. Determina, además, derechos uniformes para que tanto los denunciantes como los investigados tengan el derecho a ser escuchados. Con ello, se busca simplificar la cooperación y la resolución de conflictos entre las distintas autoridades. Agilización de procesos y límites temporales Con el objetivo de agilizar los procedimientos, se han establecido plazos definidos para garantizar que las quejas se gestionen dentro de un “plazo razonable”. Específicamente, se requiere que la investigación concluya en un periodo máximo de 15 meses desde el momento en que se designa la autoridad de supervisión principal. Este periodo puede ser extendido por hasta 12 meses adicionales si la complejidad del caso lo justifica. Se ha contemplado también un procedimiento de cooperación simplificado para aquellos casos en los que no existan incertidumbres sobre el alcance de la investigación, si las demás autoridades no presentan objeciones y si la autoridad principal ha manejado investigaciones similares con anterioridad. En estos escenarios, el plazo para las investigaciones se reduce a 12 meses, con la posibilidad de extensión si la legislación nacional requiere procedimientos adicionales. Consenso y resolución temprana de conflictos La nueva normativa incluye incentivos para que las autoridades nacionales busquen un consenso desde el inicio del procedimiento de investigación. Adicionalmente, se establece un método de resolución temprana para los casos en que una autoridad pueda demostrar que la infracción ha sido corregida o ha terminado. Este mecanismo se activa siempre y cuando el denunciante no presente objeciones en un plazo de cuatro semanas.

Leer más »
diciembre 1, 2025
Ciberseguridad para todos: 10 Consejos para protegerse en internet
noticias
Marisa Romero

Ciberseguridad para todos: 10 Consejos para protegerse en internet

El Mes de la Concienciación sobre la Ciberseguridad se enfoca en hábitos accesibles que cualquier usuario puede adoptar para reducir significativamente los riesgos en línea. El aumento de amenazas como el ransomware y el robo de datos exige una defensa práctica y priorizada, que comience con acciones básicas y sistemáticas. Los datos biométricos y el uso de autenticación multifactorial (MFA) avanzada (como claves de acceso o tokens de hardware) son controles de seguridad esenciales y más resistentes al phishing. Es crucial adoptar la “paranoia civilizada” ante mensajes o llamadas urgentes, y realizar copias de seguridad de los datos para eliminar la opción de «pagar el rescate». La amenaza del ransomware y el robo de datos continúa en una constante evolución. Los ciberadversarios explotan vulnerabilidades en dispositivos de red sin actualizar y utilizan el robo de credenciales y la ingeniería social para convertir herramientas cotidianas en vectores de ataque. Por ello, una estrategia de defensa bien priorizada y práctica es hoy más vital que nunca. El Mes de la Concienciación sobre la Ciberseguridad, con su lema de este año, “Mantente seguro en línea”, ofrece una oportunidad para reorientar los objetivos de seguridad de los usuarios. La clave está en adoptar hábitos accesibles que, sumados, logran reducir los riesgos de manera significativa para individuos, familias y empresas. A continuación, se presentan diez consejos rápidos que cualquier persona puede implementar de inmediato para mejorar su postura de ciberseguridad. Esta breve lista de verificación propone adoptar las medidas básicas de forma coherente, reforzar los controles más importantes y establecer rutinas que aseguren la actualización y eficacia de estas protecciones. Refuerzo de Acceso y Origen de Aplicaciones 1. Priorice los datos biométricos para el desbloqueo Siempre que sea posible, utilice funciones como Face ID o huellas dactilares para desbloquear sus dispositivos. Los datos biométricos son inherentemente más difíciles de robar que los códigos de acceso. Además, los dispositivos cifran estos datos y los mantienen en el teléfono, lo que impide que sean reutilizados o sujetos a phishing. Es una mejora sencilla que dificulta enormemente el acceso no autorizado. 2. Utilice solo tiendas de aplicaciones de confianza Las aplicaciones obtenidas de fuentes no oficiales, como sitios web poco fiables o tiendas de terceros, pueden ocultar malware y robar información personal. Es fundamental usar fuentes seguras como Apple App Store, Microsoft Store o Google Play. Estas plataformas analizan el contenido en busca de elementos dañinos y aplican normas de seguridad estrictas para identificar actividades maliciosas. Si una aplicación no se encuentra en estas tiendas, descárguela solo desde el sitio web oficial del desarrollador o utilice su versión web. Desarrollo de una Mentalidad Cibersegura 3. Adopte una “paranoia civilizada” Los ciberdelincuentes utilizan la urgencia (por ejemplo, una falsa llamada del «banco») para forzar una acción sin reflexión. La respuesta recomendada es la “paranoia civilizada”: mantener la calma y la cortesía, pero siempre verificar la información. Las instituciones legítimas nunca solicitarán datos confidenciales por teléfono o mensaje de texto. Si algo parece sospechoso, controle el canal: cuelgue y llame usted mismo al número oficial de la entidad. Un momento de escepticismo cortés puede detener un ataque antes de que se inicie. 4. Haga copias de seguridad de sus datos Aunque los ataques de ransomware suelen centrarse en empresas, los particulares tampoco están exentos de riesgo. Si maneja datos importantes y confidenciales, debe realizar copias de seguridad de forma regular y segura. Utilice un servicio en la nube de confianza o un dispositivo de almacenamiento extraíble que pueda desconectar una vez finalizada la copia. El objetivo principal es asegurar la recuperación de datos y eliminar por completo la opción de “pagar el rescate” en caso de ataque. 5. Instale las actualizaciones Nunca ignore los recordatorios de actualización. Estas no solo ofrecen nuevas funciones, sino que corrigen graves agujeros de seguridad que los hackers explotan con frecuencia. De hecho, las vulnerabilidades explotadas son el vector de infección inicial número uno para el ransomware, según informes anuales. Por lo tanto, cuando cualquier dispositivo conectado a Internet (teléfono, ordenador, altavoz inteligente, etc.) solicite una actualización, debe aceptarla de inmediato. 6. Sea crítico con los deepfakes y anuncios falsos con IA Con la proliferación de vídeos generados por Inteligencia Artificial (IA), los delincuentes están utilizando deepfakes de celebridades para difundir noticias falsas, “promocionar” productos o sorteos, y sembrar confusión. Se ha observado un aumento de estos vídeos en redes sociales, incluso casos donde figuras públicas parecen promocionar estafas. La calidad de los deepfakes actuales es alta, pero aún existen indicios sutiles que pueden delatarlos, como irregularidades en el parpadeo o en la aparición de las sombras, que los usuarios expertos deben aprender a detectar. Gestión de Información y Credenciales 7. Haga una pausa antes de publicar Piense dos veces antes de compartir cualquier dato personal en línea. Los ciberdelincuentes pueden utilizar información aparentemente inocente (como el nombre de su primera mascota o su ciudad natal) para adivinar contraseñas y responder a preguntas de seguridad. Esos cuestionarios y encuestas “divertidas” en redes sociales pueden ser, en realidad, trampas de datos disfrazadas. Antes de interactuar, pregúntese: ¿Podría esto ayudar a alguien a suplantar mi identidad? Si la respuesta es afirmativa, mantenga la información en privado. 8. Use un administrador de contraseñas Deje de memorizar docenas de contraseñas complejas o, peor aún, de reutilizar la misma en múltiples cuentas. Un administrador de contraseñas está diseñado para generar y almacenar automáticamente claves complejas y únicas para cada servicio. Estas herramientas protegen todas las credenciales con una única contraseña maestra fuerte, una clave de acceso (passkey) o autenticación multifactorial (MFA). Son una solución mucho más segura que cualquier intento manual. 9. No caiga en las ofertas demasiado buenas Todos hemos recibido mensajes de texto o correos electrónicos prometiendo tarjetas regalo gratuitas o productos de alta demanda a cambio de rellenar una “encuesta rápida” o llamar a un número. Su instinto de desconfianza suele ser correcto: si parece demasiado bueno para ser verdad, probablemente lo es. Ignore el enlace, borre el mensaje y no interactúe. 10. Implemente autenticación multifactorial

Leer más »
diciembre 1, 2025
Ciberseguridad en Pymes, Clave para el Cumplimiento y la Economía Digital
noticias
Marisa Romero

Ciberseguridad en Pymes, Clave para el Cumplimiento y la Economía Digital

El 19º Encuentro Internacional de la Seguridad de la Información (19enise), celebrado en León, reunió a más de 6.000 personas para abordar los nuevos peligros cibernéticos. El evento puso un foco especial en la necesidad urgente de que las pequeñas y medianas empresas (pymes) adopten medidas de ciberseguridad, desmintiendo la creencia de que solo afecta a grandes corporaciones. Expertos subrayaron la importancia de proteger la cadena de valor mediante protocolos de seguridad que involucren a los proveedores y cumplan con la legislación. El Presidente del Gobierno de España clausuró el encuentro, revelando que el coste global del cibercrimen asciende a 10,5 billones de dólares y destacando el aumento en la inversión en ciberseguridad en España. Hace siglos, León se defendía con grandes murallas físicas. Hoy, sus defensas se centran en el ámbito digital. La ciudad se convirtió, durante tres días de otoño, en el epicentro de la ciberseguridad al albergar el 19º Encuentro Internacional de la Seguridad de la Información (19enise) en su Palacio de Congresos y Exposiciones. El evento, organizado por el Instituto Nacional de Ciberseguridad de España (INCIBE), congregó a más de 6.000 participantes, combinando asistencia presencial (4.000) y conexiones en streaming (2.000). Contó con la presencia de 300 ponentes y 192 organizaciones en su zona expositiva. La inauguración estuvo a cargo del alcalde de León, José Antonio Diez, quien resaltó la relevancia de estas jornadas que se celebran en la ciudad desde hace 19 años. Diez señaló que el encuentro permite mostrar a León como «una urbe milenaria con un patrimonio histórico, cultural y artístico excepcional, pero que camina hacia el futuro apostando por la modernización”. A continuación, el programa se puso en marcha con la participación del Delegado del Gobierno, Héctor Moretón, y el Secretario de Estado de Telecomunicaciones e Infraestructuras, Antonio Hernando. Las ponencias y mesas redondas abordaron desde el emprendimiento en el sector hasta las regulaciones vigentes y la defensa nacional. La ciberseguridad, un riesgo real para las pymes Una parte significativa del congreso se centró en concienciar sobre la importancia crítica de la ciberseguridad en las pequeñas y medianas empresas. Existe una falsa creencia de que esta amenaza solo concierne a grandes corporaciones, multinacionales o gobiernos, cuando la realidad demuestra que cualquier negocio es vulnerable. Impacto reputacional de un ciberataque Diego San Martín, presidente de la Asociación de Jóvenes Empresarios de León, compartió su experiencia personal tras ser víctima de un ataque cibernético en su propio negocio. Expresó que un incidente de este tipo no solo puede dañar la estructura de un proyecto construido con esfuerzo, sino que, a nivel reputacional, puede generar un perjuicio «incuantificable». Afortunadamente, su empresa, del sector legal, logró invertir a tiempo en sistemas de seguridad. Tras el incidente, INCIBE les proporcionó una hoja de ruta, demostrando que la inversión en ciberseguridad se convierte en una necesidad real para los jóvenes empresarios. Por su parte, Camino Rodríguez, coordinadora de proyectos de la Federación Leonesa de Empresarios, apuntó que las pymes a menudo son más precarias a la hora de adoptar medidas de seguridad. Sugirió que los protocolos deben nacer y evolucionar simultáneamente con el proyecto empresarial, confesando que es necesario “ayudarles y darles un empujón”. La urgencia de proteger la cadena de valor Elena Díez, jefa de Seguridad de una importante multinacional tecnológica, enfatizó la urgencia de apoyar a estos negocios en el proceso de transformación del tejido industrial. Declaró que es un “trabajo en equipo” para lograr “pymes más digitales, competitivas y seguras”, lo que requiere la colaboración de todos los actores. La clave radica en crear protocolos de ciberseguridad que cubran toda la cadena de valor del negocio. La directiva comentó que, para protegerla, es vital transformar la relación con los proveedores, partiendo de la pregunta fundamental: “¿qué información está en manos de quién y hasta qué punto tiene que estarlo?”. Mar López, CEO de una empresa de servicios de consultoría, animó a todas las organizaciones que proveen infraestructura crítica a cumplir con la legislación. Recordó que colaborar con una empresa ya concienciada y activa en ciberseguridad es significativamente diferente a trabajar con una que aún está valorando la situación. Francisco Lázaro Anguis, presidente del Grupo de Seguridad de Autels, concluyó que el principal desafío es homogeneizar la legislación sobre ciberseguridad. También recalcó la importancia de asistir a las pequeñas empresas en la adopción de estas normativas, ya que “existen muchos niveles de madurez y todavía quedan muchas piezas por encajar”. Cierre y cifras del cibercrimen Las jornadas del 19enise concluyeron con la participación del Presidente del Gobierno de España, Pedro Sánchez. El presidente ofreció un panorama sobre la situación de la ciberseguridad en el país. En 2024, se gestionaron un total de 275.000 ciberataques, de los cuales INCIBE pudo hacer frente a unos 100.000. Sánchez insistió en la necesidad de “responder con contundencia a esta amenaza real”, ya que está en juego “la seguridad de nuestras empresas y del conjunto de la ciudadanía”. El presidente citó el coste económico global del cibercrimen, que asciende a 10,5 billones de dólares. Esta cifra es seis veces mayor que el Producto Interior Bruto (PIB) de España. Este impacto ha provocado que la ciberseguridad se posicione como una de las profesiones más demandadas. Los negocios han incrementado su presupuesto en ciberseguridad en un 62% en los últimos años, con un crecimiento del 12% solo en 2024 en España. El discurso finalizó con una reflexión sobre el rol de la tecnología: “la ciberseguridad de un país garantiza algo esencial y es que la tecnología sirva siempre a las personas y nunca al revés”.

Leer más »
diciembre 1, 2025

¡Será un placer asesorarte!

Contacta con un experto

Déjanos tus datos y te asesoraremos de forma personalizada en menos de 48h sin ningún tipo de compromiso.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 48hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

¿Necesitas ayuda con el cumplimiento normativo de tu organización?

Te asignaremos un consultor experto para darte una solución personalizada gratuita en menos de 48h.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid |
Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá
facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla,
tal y como se explica en la información
adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com

Audidat
GDPR AUDIDAT  GDPR Cookie Compliance
Resumen de privacidad

Bienvenida/o a la información básica sobre las cookies de la página web responsabilidad de la entidad: AUDIDAT 3.0, S.L. Una cookie o galleta informática es un pequeño archivo de información que se guarda en tu ordenador, “smartphone” o tableta cada vez que visitas nuestra página web. Algunas cookies son nuestras y otras pertenecen a empresas externas que prestan servicios para nuestra página web.  Las cookies pueden ser de varios tipos: las cookies técnicas son necesarias para que nuestra página web pueda funcionar, no necesitan de tu autorización y son las únicas que tenemos activadas por defecto.  El resto de cookies sirven para mejorar nuestra página, para personalizarla en base a tus preferencias, o para poder mostrarte publicidad ajustada a tus búsquedas, gustos e intereses personales. Puedes aceptar todas estas cookies pulsando el botón ACEPTAR, rechazarlas pulsando el botón RECHAZAR o configurarlas clicando en el apartado CONFIGURACIÓN DE COOKIES. Si quieres más información, consulta la POLÍTICA DE COOKIES de nuestra página web.