‘Los clientes lo tienen difícil a la hora de decidir qué servicios quieren o necesitan’ (Rosa Ortuño, OptimumTIC)

Fundada en 2009, OptimumTIC es una empresa de gestión integral de la ciberseguridad que, desde sus inicios, apostó por los servicios transversales, incluyendo aspectos técnicos, organizativos y legales. La compañía ofrece soluciones de calidad adaptadas a las necesidades de cada cliente, acompañándolos en su estrategia de seguridad y en la implementación y gestión de las soluciones más potentes y óptimas del mercado, gracias al partnership de soluciones líderes en ciberseguridad.

Este contenido se publicó en el número de junio de 2022 de la revista IT Digital Secutity. Puedes descargártela desde este enlace.

Los servicios de la compañía se centran en tres ramas diferenciadas: Ciberseguridad, Systems & Infrastructure y Compliance IT, que se trabajan de manera transversal para establecer la estrategia de ciberseguridad de los clientes.  Rosa Ortuño, CEO de OptimumTIC responde a nuestras preguntas.

¿Cómo ha evolucionado el mercado de ciberseguridad?

El sector de la ciberseguridad es un mercado que históricamente, siempre ha evolucionado de manera progresiva. OptimumTIC se fundó en 2009, en este momento existía una notable falta de madurez del sector y de las organizaciones en materia de ciberseguridad, esto hizo que el crecimiento de OptimumTIC se produjera de manera progresiva, hasta que, en el año 2020, debido a la pandemia, las organizaciones tuvieron la necesidad de adaptar su metodología de trabajo, revelando así la importancia que tenía y tiene la ciberseguridad, dando un giro de 360 grados al sector y haciendo que como expertos en ciberseguridad creciéramos de manera muy rápida en muy poco tiempo.

Dentro de vuestra oferta, ¿qué servicio está creciendo más?

Actualmente, el servicio que está creciendo más es el acompañamiento y asesoría en certificaciones de seguridad de la información como la ISO 27001. La certificación ISO 27001 es un estándar internacional de Gestión de la Seguridad de la Información y Datos de la organización.

En la actualidad, el cumplimiento con el marco normativo recogido en el Reglamento General de Protección de Datos no es certificable y las empresas muchas veces necesitan demostrar su cumplimiento y buenas prácticas ante proveedores y clientes, contar con certificaciones como la ISO 27001, no sólo aporta un valor añadido a la organización si no que les ayuda a cumplir con los requisitos demandados por terceros. 

¿Cómo cree que ha evolucionado la figura del CISO en los últimos años?

Es importante que todas las organizaciones cuenten con una figura interna o externa que vele por la seguridad de la información de la organización. En los últimos años, la figura del CISO ha sido y es un perfil muy dual, donde hemos encontrado tanto CISO con un perfil totalmente técnico como CISO con un perfil normativo y de cumplimiento. En los últimos años la figura del CISO no ha evolucionado lo suficiente como para cubrir completamente las necesidades de las organizaciones, en esta línea, los CISO deberían ir hacia un perfil mucho más híbrido y transversal que plantee los retos de seguridad desde las tres perspectivas en las que se basa la ciberseguridad, las medidas técnicas, organizativas y legales, y es por ello la importancia de tener un asesoramiento externo u oficina de seguridad como realizamos nosotros con varios clientes y empresas.

¿Qué es lo que están demandando los clientes?

Realmente los clientes lo tienen difícil, a la hora de decidir qué servicios quieren o necesitan. El gran abanico de soluciones que existen en el mercado hace que en muchas ocasiones los equipos de seguridad de las organizaciones vayan perdidos y no pongan foco en las verdaderas vulnerabilidades y riesgos de sus sistemas, hay cada vez más oferta y no todos ofrecen ciberseguridad, aunque digan que la ofrecen.

Para poder conocer tus necesidades, o tus puntos débiles, todas las organizaciones deberían comenzar realizando una Auditoría de Seguridad o Análisis de vulnerabilidades y/o Riesgos, con el fin de conocer los puntos débiles de la organización y aprender sobre la situación de los recursos IT, permitiéndoles describir el escenario en el que se encuentra la organización en materia de ciberseguridad e ir creciendo en madurez, la ciberseguridad no es un proyecto cerrado que empiezas y finalizas en un tiempo, sino que es un ciclo de gestión continua y mejorando día a día.  De esta manera, mediante el análisis de las vulnerabilidades las organizaciones pueden; conocer el estado de salud de aquello que les identifica, conocer el nivel de seguridad del tráfico y conocer la seguridad de código que es muy importante y no siempre se afronta conforme el riesgo que llega a ser en todas las organizaciones.

En un mercado saturado de fabricantes, soluciones y propuestas, ¿cómo escoger?

Es importante apostar por empresas de ciberseguridad que lleven tiempo en el mercado, que adapten las soluciones y proyectos a las necesidades de cada cliente y que acompañen en la gestión e implementación de estos, basando su trabajo en la mejora continua, tal y como hacemos desde OptimumTIC. Como empresa de gestión de la ciberseguridad no sólo vendemos e implementamos, sino que acompañamos y gestionamos todos los proyectos tanto desde la dirección como desde todo el equipo y siempre bajo las best practices que marca cada fabricante, ya que nos certificamos en todo lo que ofrecemos, y luego nuestra gran trayectoria y experiencia nos hace abordar los proyectos de una forma muy optimizada dando resultados en poco tiempo.

En seguridad, ¿todo es tecnología?

No, la seguridad es transversal y se articula bajo las medidas técnicas, organizativas y legales. Es decir, la tecnología siempre debe ir acompañada de unas medidas legales, que aseguren los máximos estándares de cumplimiento en las normativas de protección de datos vigentes en cada momento, como el Reglamento General de Protección de Datos a nivel europeo y de unas medidas organizativas, que permitan integrar todos los elementos en la estrategia de ciberseguridad bajo los máximos estándares de seguridad de la información.

 

Algunos de los fabricantes con los que trabajáis son bien conocidos y otros no tanto, ¿qué comparten? ¿Qué buscáis a la hora de escoger un cliente?

 

Desde OptimumTIC siempre hemos apostado por aquellas compañías enfocadas plenamente en la ciberseguridad, y que a la vez inviertan en I+D, en la evolución de los comportamientos de los usuarios, etc.

Apostamos por soluciones comprometidas en conseguir solucionar los problemas de ciberseguridad que se plantean en las juntas directivas de las organizaciones desarrollando tecnologías pioneras en el ámbito y que al mismo tiempo no solo aporten una medida técnica, sino que cumplan en Compliance, ubicación de datos, decomisado, registro de eventos, certificaciones PCI, ley de ciberseguridad, etc.

Además, otro aspecto importante es que el fabricante cuente con unos requerimientos a la hora de establecer un partnership, como, por ejemplo, la certificación de parte del equipo. Esto demuestra que el fabricante cuenta con unos niveles de calidad establecidos en el servicio y que asegura la gestión e implementación siempre bajo unas best practices.

¿Qué tecnologías de seguridad cree que son imprescindibles en cualquier empresa?

Con el fin de establecer unas mínimas medidas de ciberseguridad es imprescindible proteger, por un lado, una de las vías de entrada más utilizada por los ciber atacantes, el correo electrónico. Los ciber atacantes emplean campañas de ingeniería social (como el phishing) para engañar a los usuarios por carreo electrónico. Para protegernos de estos ataques, las herramientas de protección del correo, mediante la aplicación de unas políticas y medidas de seguridad concretas, consiguen que esos mensajes de phishing no lleguen a las bandejas de entrada de los usuarios, por lo tanto, paramos cualquier tipo de intento de engaño.

Por otro lado, son importante las herramientas de EDR (Endpoint Detection and Response), que monitorean los dispositivos (endpoints) para mitigar las amenazas cibernéticas, es decir, son herramientas de detección y respuesta de amenazas. Esta tecnología integra de forma nativa los datos de la red, los endpoints y la nube para detener los ataques sofisticados.

Desde OptimumTIC somos partners de dos de las herramientas líderes del mercado en protección de correo y en tecnología EDR. Por un lado, somos partners de Proofpoint, líderes en protección de correo que además cuentan con una de las plataformas de formación de equipos en materia de ciberseguridad más potentes del mercado, PSAT. Por otro lado, como herramienta de EDR para equipos y servidores, somos Partner de Cortex de Palo Alto Networks, la organización estadounidense más potente del mercado de la ciberseguridad y de SentinelOne como únicos fabricantes que recomendamos y a nivel de protección móvil solo recomendamos JAMF- Wandera que implementamos en protección completa de movilidad desde 2018.

¿Qué tecnologías de seguridad cree que serán fundamental?

La protección de todos tus dispositivos, las empresas compran soluciones para dispositivos de trabajo olvidando el dispositivo móvil, cuando a veces trabajas más con el móvil que con un equipo informático, la facilidad de infección, spyware en el móvil, geolocalización y vulnerabilidad de tu privacidad, etc. Está en auge en los ciberataques, ya que llegan a una persona por el móvil y pueden interactuar con tus datos y por tanto alcanzar a tu red. Es muy importante que se tenga en cuenta la protección en este dispositivo.

El futuro se encuentra en el cloud, la acelerada digitalización está llevando a las empresas de entornos on-premise a entornos 100% cloud. Para poder proteger esta nueva metodología de trabajo, una de las soluciones que serán fundamentales en el futuro y que llevamos ya tiempo certificados, será la tecnología CASB (Cloud Access Security Broker), tecnología que permite monitorear toda la actividad en el cloud y conocer todo lo que las organizaciones tienen fuera de su entorno para proteger todo el entorno cloud.

Otra de las soluciones fundamentales en un futuro serán las soluciones DLP (Data Loss Prevention). Los trabajadores de las organizaciones son y seguirán siendo una de las vulnerabilidades más importantes, en muchas ocasiones las fugas de datos se producen debido a malas prácticas realizadas intencionada o des intencionadamente por los propios usuarios de las tecnologías de las organizaciones. Las soluciones DLP son softwares de prevención de pérdida de datos que tienen como finalidad prevenir las fugas de información, una vez que detectan una posible fuga, alertan al usuario para que sea consciente de que la acción que está realizando atenta contra la confidencialidad de la empresa o contra una política de seguridad. Las soluciones DLP, además de monitorear los datos tanto de la red interna de la organización como de los dispositivos, actúan como medida de concienciación.