Su evolución y aprendizaje fue tan rápida que a los pocos meses la contrataron para un Agente de IBM y ese fue el arranque de una carrera de más de 30 años como profesional de ingeniería y seguridad informática y más de 20 años como responsable de Ciberseguridad y Compliance en varias multinacionales americanas, y CIO en una Big Four. Rosa Ortuño trabajó, tanto desde España como desde los EE.UU., siempre en proyectos de seguridad informática para empresas por todo el mundo y conectando los países en base a la privacidad y seguridad desde el diseño. Así hasta 2009, año en que decidió crear OptimumTIC, empresa especialista y experta en ciberseguridad con cerca de 30 empleados, que asesora de manera específica y adaptada a más de 60 empresas, algunas con más de 10.000 empleados.

-Antes de que nos explique qué es y qué hace OptimumTIC, ¿qué opinión le merece la recién aprobada ley sobre la Inteligencia Artificial por el Parlamento Europeo?

Es muy importante, es la primera ley de Inteligencia Artificial del mundo y es muy ambiciosa porque su objetivo es garantizar la seguridad jurídica y el respeto a los derechos humanos, impulsando al mismo tiempo la innovación. Lo hace fijando cuatro niveles de riesgo en la IA (de mínimo a inaceptable) y además aspira a la creación de un “Pacto sobre la IA” donde busca el compromiso de las empresas para la implementación del Reglamento que acompañará a la Ley.

-¿Considera que esta Ley va a ser otra preocupación para las empresas en temas de ciberseguridad?

Es pronto para ver cómo evolucionará la Ley de IA en los próximos meses, pero sí que me gustaría indicar que las empresas no deben estar preocupadas sino ocupadas en calibrar y prevenir los riesgos que comporta tanto la inteligencia artificial como un uso delictivo de la tecnología que es la raíz de la ciberdelincuencia.

Como expertos y especialistas en ciberseguridad, trabajamos para acompañar a las organizaciones a llevar a cabo proyectos de estrategia de negocio y adecuación al Reglamento General de Protección de Datos y Privacidad de los Datos, y también de la nueva reglamentación de IA, disponiendo desde el primer momento que la empresa o compañía decida implementar IA o soluciones con IA, de políticas de privacidad de datos y de medidas de seguridad frente a cualquier proyecto con IA, empezando desde el diseño de la privacidad por defecto y las medidas para evitar fugas de información dolosa.

Este acompañamiento va marcado no solo por nuestra experiencia y conocimiento sino por las certificaciones que nos avalan, como es la de ISO 27701 en protección de datos y privacidad y, en la que somos pioneros en España, que es la ISO 42001 en Inteligencia Artificial aplicada en nuestros servicios de SOC.

-Cambiando de tema y hablando ya de su compañía ¿Por qué les gusta definirse como un “atelier” de la ciberseguridad?

En primer lugar, por los años de ventaja y experiencia propia que aporta OptimumTIC al sector de las TIC, seguridad y/o compliance IT. Nosotros arrancamos en este sector cuando la ciberseguridad era algo que la gente veía en las películas o series de hackers. En segundo lugar, nuestro valor añadido y diferencial es la integración y visión siempre transversal del ámbito técnico, legal y organizativo. Esto nos permite diseñar y desarrollar los proyectos desde una óptica global y alcanzando todos los ámbitos y requerimientos desde una misma perspectiva optimizando así recursos y procesos y aportando la mejor solución integral para un negocio o compañía.

-¿Es decir que en OptimumTIC no se da el mismo “café para todos los clientes”?

Por supuesto que no. No creemos, ni creamos soluciones genéricas o enfoques de talla única para resolver problemas de seguridad cibernética que es lo que ofrecen muchas grandes consultoras ahora que se han sumado integradores a este negocio. Nosotros tenemos un enfoque altamente personalizado y adaptado a las necesidades específicas de cada cliente independientemente de su tamaño o sector, pero siguiendo los estándares y las mejores prácticas vigentes.

-Acaban de lanzar una infraestructura de seguridad de la información propia (SOC). ¿En qué consiste?

Primero deberíamos explicar a los lectores qué es un Security Operations Center (SOC) o infraestructura inteligente de seguridad de la información. Es el conjunto de medidas técnicas, organizativas y administrativas diseñadas para proteger los sistemas, redes, datos y aplicaciones de una organización o empresa. Entre los elementos que puede incluir un SOC se encuentran los sistemas de origen o ingestas,  firewalls, sistemas de detección y prevención de intrusiones, cifrado de datos, autenticación de usuarios, políticas de contraseñas seguras, sistemas de copias de seguridad, entre otros. A partir de análisis inteligente de todos los datos, como un gran Big Data, realizamos con IA prevención en base a análisis de  comportamientos.

-¿Y en qué se diferencia el de OptimumTIC?

El Security Operations Center (SOC) de OptimumTIC consiste en el establecimiento de un proceso circular basado en mejorar constantemente los sistemas de origen, para reducir la superficie y los vectores de ataque a los que está expuesta cualquier organización o empresa, lo que conlleva una reducción de las alertas y agiliza la respuesta contra incidentes reales mitigando el riesgo desde origen e informando a los distintos equipos de infraestructuras lo que han de resolver o mejorar en medidas, y no llenando el SOC como si fuera un recolector de registros – logs (SIEM) de ingestas.

-¿Por qué crearon un SOC propio que ahora implantan en sus clientes?

Porque la ciberseguridad es un proceso vivo que debe adaptarse al entorno sobre el que opera. En OptimumTIC creamos nuestro SOC a partir de nuestras propias plataformas, no solo comercializando el producto de los mejores fabricantes, sino el propio, y disponiendo de una sola plataforma para recoger optimizados todos los eventos y alertas.

Y este modelo propio ya lo estamos externalizando a nuestros clientes con sus propias plataformas, por lo que no son cautivos del operador, proveedor o fabricante. A partir de sus fuentes a analizar podemos ingestar en el SOC que gestionamos con sus propios activos, registros y análisis inteligente y por comportamientos. Además, generamos inteligencia con nuestro equipo certificado, usando nuestras bases de datos y aportando el análisis para el cumplimiento en compliance, así como la gestión de recolección de logs propios de cliente que permiten detectar y disponer en forma de no repudio cualquier anomalía real de ciberseguridad, la cual, como he indicado, es transversal, legal, técnica y organizativa. El resultado son empresas más seguras, centradas en su actividad principal y con mejora continua y avanzada.