¿Cómo valora Izertis la evolución del mercado de servicios de transformación digital y ciberseguridad en estos últimos años?
Los procesos de transformación digital y la gestión de la ciberseguridad constituyen desde años algo indisoluble. La implicación tecnológica en procesos corporativos para la mejora de productividad a todos los niveles es innegable. Como también lo es el hecho del crecimiento del número de ciberataques, donde como ejemplo las cifras hablan de más de 1.900 ataques semanales en nuestro país en el primer trimestre del año.
El aumento de uso de la tecnología lleva implícito un incremento en la superficie de ataque. A la par los grupos de ciberataque se están transformando. Cambiando sus metodologías, muchas entidades están sufriendo impactos distintos a como se producían hace años. Las entidades aplican ciberseguridad, pero quizás no adaptada al momento actual. Además, en un escenario tan interconectado con una cadena de suministro alcanzando cotas nunca vistas, el cibercrimen ha encontrado una forma de entrada lateral en entidades fuertemente protegidas.
¿Qué importancia tiene el área de ciberseguridad en relación con la prestación de servicios a los clientes y qué estrategia se ha adoptado?
Es indudable que la gestión de la ciberseguridad por parte de las entidades ya no es una opción. Y si quedaban dudas las recientes directivas europeas en materia de ciberseguridad hablan por sí mismas. DORA en el financiero, la IA ACT en la gestión y responsabilidad de servicio de IA, la CER en entidades críticas o la evolución de la NIS, afectando a sectores hasta ahora no regulados, exigen una gobernanza de la ciberseguridad. Resiliencia, detectar ataques preventivamente, reaccionar ante ellos o comunicar impactos son un imperativo legal. Eso sin contar que entidades consideradas cadena de suministros también están supeditados a estas normas.
Aplicar procesos de ciberseguridad y gobernarlos ya no es una opción. Siendo conscientes de ello en Izertis nos pusimos desde hace dos años en trabajar en una estrategia pensando entre otros aspectos en estos cambios normativos. Fruto de ello son algunos hechos que se han podido ver durante este año. Por ejemplo, el apoyo a una entidad que ha recibido la primera certificación en DORA. O nosotros mismos que hemos sido la primera consultora tecnológica en certificar su Sistema de Gestión de la IA.
Con esta estrategia, así como la consolidación de los servicios tradicionales que ya disponíamos, el peso de la ciberseguridad por lo tanto tiene un alto valor en sí mismo por la tipología de actividades y con un crecimiento para el año 2025. Pero hay que considerar otro aspecto fundamental como área de ciberseguridad. La trasversalidad de la seguridad en cualquier actuación hace que el área esté involucrada en cualquier servicio prestado por Izertis. No vale solamente entregar el mejor servicio posible, si no hacerlo con los mayores estándares de seguridad que demanda el mercado.
Sidertia se presenta como la “primera herramienta de ciberseguridad integral” de Izertis. ¿En qué se diferencia de otras plataformas consolidadas?
En esa estrategia de medio plazo, donde la publicación de las diferentes normativas nos ha dado la razón, hemos tenido en consideración diferentes escenarios y contextos. Muchas soluciones de mercado se centran en uno solo de ellos. Por ejemplo, el contexto interno, obviando otros como el externo. Sin embargo, la gobernanza que exigen las normas requiere de una visión completa. No solo vale con saber el estado de seguridad de la superficie de exposición, también el ser conscientes qué saben o manejan los ciberdelincuentes sobre nosotros. Que estamos aplicando una buena estrategia de ciberresiliencia y medirla con estándares actuales.
Con años trabajando en entornos altamente sensibles sabíamos que faltaba un punto para dar lo que la industria no encontraba. Nos pusimos a trabajar en una solución donde volcar esa experiencia y conocimiento en todos los niveles.
Sigue en directo la cotización de Izertis
¿En qué proyectos de I+D+i está involucrada Izertis para aplicar inteligencia artificial al análisis de amenazas y la detección de anomalías?
En diversos y de diferente naturaleza. Algunos están implícitos en la propia herramienta Sidertia, donde la IA es fundamental para identificar riesgos y potenciales fallos de seguridad teniendo en cuenta una visión actual del atacante. Otros están enfocados a sectores concretos como el de la defensa, que tiene sus particularidades y donde llevamos años colaborando con entidades claves a nivel nacional e internacional.
Además, este mismo año se ha puesto en marcha una iniciativa de innovación donde profesionales de todas las áreas de Izertis, incluidas las no técnicas, conforman equipos de trabajo para generar prototipos que puedan ser útiles en diferentes sectores de la sociedad. El compromiso de Izertis con el I+D+i es parte de nuestro ADN.
¿Qué sectores muestran mayor apetito por externalizar sus operaciones de ciberseguridad y por qué?
Si esta pregunta se hubiera realizado hace algunos años hubiéramos focalizado en sectores concretos como el financiero o de la defensa. Históricamente en el punto de mira de ciberdelincuentes y grupos esponsorizados por estado.
Pero hoy con una normativa como la NIS2 que afecta a múltiples sectores y a su cadena de suministros, podemos decir que todos tienen la necesidad de externalizar sus operaciones con conocimiento experto. La diferencia varía en su capacidad de inversión, pero en términos de necesidad todas las compañías son conscientes que deben incluir la ciberseguridad como una parte esencial de su cultura tecnológica.
¿Qué peso tiene actualmente la IA, el machine learning y el análisis en la detección de amenazas y qué papel cree que desempeñarán en los próximos años?
Un peso altamente significativo. El incremento de la superficie de exposición, técnicas de ataque contra ellas, entornos heterogéneos o relación con terceros hace necesarios procesos gestionados con un alto grado de automatización. Un ejemplo es que hace años era factible una buena gestión de vulnerabilidades con personal especializado. Con la ingente cantidad de hallazgos tan diversos solo es factible llegar a resultados sostenibles y válidos con procesos óptimos de automatización. Esto lo incorporamos en nuestros procesos y en nuestras soluciones.
Gestionar vulnerabilidades, alineándolas a las necesidades de negocio y evaluando escenarios posibles de impacto, solo es sostenible con el uso de sistemas basados en IA y machine learning.