SEGURIDAD EMPRESARIAL
OptimumTIC, una boutique tecnológica que aporta valor a las empresas mejorando su ciberseguridad
En 2009, y tras trabajar varios años en EE. UU., Rosa Ortuño Melero, experta en ciberseguridad y ‘compliance’, fundó en Barcelona OptimumTIC, una consultoría especializada en procesos de seguridad en el ámbito digital
OptimumTIC alcanza los 14 años de trayectoria con un equipo multidisciplinar de 30 profesionales, de perfiles diversos, y que desarrollan proyectos transversales de ciberseguridad a medida. Lo hace en un proceso que cubre cuatro fases: la auditoria, la implantación técnica, el complimiento legal y documental y la formación. Entre sus clientes se encuentran empresas familiares multinacionales, empresas industriales de hasta 10.000 empleados de sectores como el alimentario o el farmacéutico y empresas de capital riesgo.
Tal como nos explica Rosa Ortuño, “arrancamos en 2009, cuando la ciberseguridad no estaba en la agenda de las empresas tal como lo está ahora, y lo hicimos como partners de software Palo Alto Networks, entonces y ahora uno de los más potentes del mercado, que todavía comercializamos y con el que hemos creado una metodología propia en el desarrollo de auditorías y planes directores”. En aquella época la ciberseguridad se interpretaba como “algo que hacían los hackers en las películas y que no afectaba ni a los particulares ni tampoco a las empresas”. Con los distintos marcos legales europeos, así como las sucesivas directivas sobre Ciberseguridad, la llegada de la ISO 27001, que define buenas prácticas asociadas a la seguridad de la información y la implantación del RGPD hubo un cambio de mentalidad y las empresas tomaron conciencia sobre la ciberseguridad como un elemento proactivo que debía trabajarse de forma transversal, algo que se aceleró exponencialmente con la transformación digital y con la llegada de la pandemia.
Evidencias de la pandemia
Tal como apunta la fundadora y CEO de OptimumTIC, “la pandemia dejó en evidencia a muchas empresas que se creían digitalizadas y seguras pero que, al abrir los perímetros de seguridad, llevándose, por ejemplo, los equipos informáticos a casa, vieron cómo el riesgo de ciberataques se multiplicaba”. Fue realmente ahí “cuando muchas empresas decidieron reforzar la seguridad de su tráfico informático y recurrieron a nosotros para desarrollar técnicas de mitigación de riesgos”, explica Rosa Ortuño.
Este punto nos lleva a hablar sobre un rasgo que se da en muchos de los clientes de OptimumTIC, “que quieren hacer de la ciberseguridad un valor para sus objetivos de negocio, como lo hacen con la sostenibilidad o la prevención de riesgos laborales, y que desean que sus procesos sean proactivos, robustos, sin riesgos y con perímetros seguros”.
A partir de ahí, OptimumTIC “desarrolla una metodología propia que la diferencia tanto de las grandes consultoras, como de los proveedores más pequeños, que están entrando en un mercado con una barrera de entrada muy baja y que no ofrecen lo que prometen” y es “la agilidad, la transversalidad y la capacidad del análisis hecho a medida de cada necesidad”. Gracias a ello pueden “advertir al cliente sobre cuáles son sus carencias y avisarle por dónde puede producirse un ataque”, detalla Rosa Ortuño.
Auditoría previa a medida
Más en detalle, la CEO de OptimumTIC apunta que durante la primera fase de análisis de riesgos o auditorías “nuestros checks de ciberseguridad no son estándares, sino que están hechos a medida de la empresa y de las necesidades concretas de un objetivo de negocio. Revisamos todo su tráfico interno y externo, realizamos simulaciones de ataque y recurrimos a protocolos de cada sector como, por ejemplo, los de farmacovigilancia cuando trabajamos para el sector farmacia. Posteriormente, en una segunda fase presentamos un Plan Director con su correspondiente roadmap que tiene en cuenta el tiempo del que dispone el cliente para desarrollarlo y el riesgo de exposición que le comporta no implantarlo lo antes posible”. Esta metodología y esa fortaleza en la auditoría previa ha llevado a OptimumTIC a competir en la fase de análisis con las grandes consultoras internacionales y a ser un referente en la implantación de la ISO 27001. En esos procesos, la formación y la implicación de todos los departamentos y de todos los profesionales de una organización en su ciberseguridad son fundamentales. Para la empresa, una mayor formación de los empleados comporta un aumento del perímetro de ciberseguridad de las organizaciones.
Hablando sobre las tendencias del sector de la ciberseguridad, desde OptimumTIC apuntan que se va a continuar avanzando mucho en la protección del correo electrónico. Otros aspectos como la certificación multifactor van a ser cada vez más comunes y las empresas deben entender que el salto al cloud comporta también medidas de seguridad propias del alojamiento en la nube.
En este aspecto, Rosa Ortuño advierte sobre otras amenazas que pueden darse, como el alojamiento de criptomonedas en los servidores de las empresas de una manera no segura, o el uso con fines fraudulentos por parte de los ciberdelincuentes de la IA, que puede aumentar el ciberriesgo.
Un SOC propio
OptimumTIC desarrolló durante la pandemia un Security Operations Center (SOC), un sistema que se alimenta de los Logs, que son los registros anómalos que pueden afectar a la seguridad de una empresa, y que permite detectar cualquier tipo de ataque. Hay millones de Logs en el tráfico de una empresa, con lo que aquello que diferencia al SOC de OptimumTIC es su capacidad de detectar aquellos que pueden comportar un riesgo para la empresa. Su creación responde a la idea de que la ciberseguridad es un proceso vivo que debe adaptarse al entorno sobre el que opera. Por eso, desde OptimumTIC conciben el SOC como un proceso circular basado en mejorar constantemente los sistemas para reducir la superficie y los vectores de ataque a los que se está expuesto, lo que conlleva una reducción de las alertas y agiliza la respuesta contra incidentes reales de todo tipo.
La pandemia dejó en evidencia a muchas empresas que se creían digitalizadas
Rosa Ortuño advierte sobre amenazas como el alojamiento no seguro de criptomonedas