Byte TI, junto con H&K y Sophos, organizó un encuentro en Sevilla en el que participaron Tomás Ávila, CISO del Ayuntamiento de Ayamonte; David del Río, director de TI en Dental Company; Roberto Bellamy, CIO y CISO en San Telmo Business School; Andrés Delgado, Head of Digitalization & Cibersecurity en BNZ Energy; Eder Barbosa, Modern Workplace & Security Manager en H&K; Alberto González, Director de Sistemas de la Información en Bogaris, e Iván Mateos, Senior Presales Engineer en Sophos.
La conversación giró en torno al reto de implantar Zero-Trust en entornos reales, con especial atención al presupuesto, la simplicidad tecnológica, la formación del usuario, la cadena de suministro y el impacto de normativas como NIS2. Los portavoces de H&K y Sophos defendieron enfoques flexibles, basados en ecosistemas, navegador y servicios gestionados para reducir fricción y reforzar la seguridad.
Para ello, es fundamental la labor que realizan las empresas tecnológicas para ayudar a las empresas y organismos público a implantar una estrategia correcta. En este sentido, Eder Barbosa, Modern Workplace & Security Manager en H&K explicó que “H&K es una consultora tecnológica nacida de la fusión entre HSI y Kiteris, dos compañías con sólida trayectoria en consultoría y tecnología. De esta unión surge una nueva marca que reúne lo mejor de cada una: enfoque estratégico, cercanía con el cliente, excelencia operativa y una cultura tecnológica compartida. El resultado es que formamos un equipo diverso, resolutivo y comprometido, que multiplica la confianza de los clientes y el impacto de la tecnología en sus negocios”.
Por su parte, Iván Mateos, Senior Presales Engineer en Sophos explicó que “nosotros somos una compañía que montamos ecosistemas. No pretendemos que alguien elija más de una solución y ahora estamos en un momento de soluciones de MDR y XDR supervisadas. Se está ampliando el modelo operativo agéntico al resto de su porfolio a través de Sophos Central. Las inversiones incluyen la integración de capacidades XDR y SIEM de última generación, la expansión de las capacidades de IA segura para la nueva generación de herramientas de IA para clientes y el lanzamiento de Sophos CISO Advantage en otoño de 2026, que proporcionará orientación estratégica en materia de seguridad a las organizaciones que no puedan contratar directamente a un CISO. Cada una de estas capacidades opera sobre la misma base de agentes que Sophos MDR ha utilizado a lo largo del último año”.
Los retos del zero-trust
Después de la presentaciones Tomás Ávila, CISO del Ayuntamiento de Ayamonte, puso sobre la mesa una de las principales barreras para determinados organismos del sector público como el suyo: “Los ayuntamientos de 25000 habitantes no somos ni grandes ni pequeños, contamos con un presupuesto reducido y además tenemos el problema de la contratación”. Según explicó, cuando una solución se adjudica ya puede haber quedado desfasada, lo que complica todavía más avanzar hacia un modelo Zero-Trust. Ávila recordó además que la pandemia supuso un punto positivo de inflexión, porque “obligó a acelerar el trabajo en la nube para habilitar el teletrabajo y replantear la protección de identidades y dispositivos”. Pero Ávila también advirtió de la dificultad de convencer a los usuarios cuando se introducen medidas que parecen más incómodas que visibles. “Hay muchos problemas para convencer a la gente de que estás protegiendo a las personas”, señaló, y puso como ejemplo la implantación del doble factor, que al principio generó rechazo entre los funcionarios y después terminó normalizándose. Su reflexión encaja con una de las ideas repetidas durante el encuentro como es que la seguridad no fracasa solo por falta de tecnología, sino por falta de adopción.
Crecimiento y riesgo
David del Río, director de TI en Dental Company, explicó que su organización crece “a un ritmo de 25 clínicas por año, lo que obliga a integrar nuevas aperturas y adquisiciones con rapidez. Ese crecimiento genera una superficie de ataque muy amplia. Ahora tenemos 1000 XDR, 300 tablets y también hay que incluir a los smartphones. Es decir, es un parque muy grande que hay que proteger”, afirmó. En su opinión, una empresa que crece tan deprisa se convierte en un objetivo prioritario para los ciberdelincuentes, por lo que insistió en no imponer soluciones sin entender antes la necesidad real del negocio.
Roberto Bellamy, CIO y CISO en San Telmo Business School, aportó una visión más pedagógica del problema. “En mi empresa somos ágiles, estables y no tenemos que cumplir determinadas normativas, porque somos pequeños y somos una fundación sin ánimo de lucro”, indicó. Aun así, reconoció que la debilidad sigue estando en el usuario y resumió su postura afirmando que “el Zero-Trust es la radicalidad en ciberseguridad absoluta. Y me parece la opción correcta. Si hablamos de cero es que debe ser cero. No confiar en nadie y eso implica no establecer excepciones”. Bellamy insistió en que la seguridad debe apoyarse en una cultura continua, no solo en herramientas, y explicó que conversa de forma habitual con los empleados para reforzar esa conciencia.
Usuario y cadena
Andrés Delgado, Head of Digitalization & Cibersecurity en BNZ Energy, destacó que el perímetro tradicional ya no existe como antes: “Antes el perímetro estaba establecido, pero con el entorno híbrido, el nuevo perímetro es el usuario”. Para él, el reto está en combinar formación y control técnico, porque “poner al usuario todo tipo de trabas como el doble factor es fundamental”. También alertó sobre la cadena de suministro, un frente que cada vez preocupa más a las compañías con estructuras complejas y proveedores subcontratados, especialmente cuando una mala praxis ajena puede acabar trasladando la responsabilidad a la empresa principal.
Por su parte, Alberto González, Director de Sistemas de la Información en Bogaris, describió una estrategia más orientada a la gobernanza. “Hemos empezado a preparar anexos de ciberseguridad para todos los contratos que se firman en la compañía”, explicó, con especial atención a los acuerdos clave y a los procesos de licitación. También detalló que están definiendo una infraestructura común de seguridad para entornos OT e IT, con el objetivo de que toda la arquitectura encaje en el marco normativo de la compañía. Su posición es que “si un proveedor no cumple, no entra; y si afirma cumplir pero luego incumple, se le penaliza”.
Gobernanza y cultura
A lo largo del debate apareció varias veces la idea de que Zero-Trust no es una herramienta aislada, sino una forma de ordenar el acceso, reducir la confianza implícita y obligar a revisar procesos, identidades y proveedores. Iván Mateos recordó que la propuesta de Sophos busca simplificar el acceso centralizando y mejorar la experiencia en el navegador, mientras que Barbosa de H&K defendió una consultoría que construye ecosistemas y evita forzar al cliente a multiplicar soluciones. En paralelo, los participantes coincidieron en que la formación es clave: “Hay que adoctrinar al usuario final de una forma sutil, independientemente de la herramienta que se utilice”, resumió Barbosa.
El encuentro dejó también una advertencia sobre la gobernanza de la inteligencia artificial y la multiplicación de vulnerabilidades. En ese contexto, la mesa concluyó que el éxito de Zero-Trust depende menos del eslogan y más de la capacidad de combinar simplicidad, control, cultura y priorización. La última idea quedó bien resumida en una de las intervenciones finales de Andrés Delgado: “El empleado debe ser la prioridad porque las herramientas las tenemos.”
