"La tradición de no tener en cuenta la ciberseguridad desde el principio continúa"

Oylo nació hace un par de años. ¿Cómo ha evolucionado la empresa desde sus inicios?

Lo cierto es que la evolución desde 2017, año en el que echamos a andar, ha sido muy positiva. De hecho, desde entonces, cada ejercicio hemos mejorado el volumen de trabajo tanto en el ámbito nacional como internacional. Por ejemplo, en 2018 prácticamente triplicamos la facturación, y del año pasado a este sobrepasaremos el 50 por ciento de incremento. Eso también nos ha permitido crecer en plantilla y llegar a las 30 personas que tenemos actualmente. Además, contamos con tres sedes en España, Chile y Perú, y con clientes en múltiples países como Estados Unidos, Australia, Brasil y Portugal, entre otros, que aprecian mucho nuestro alto grado de especialización.

¿Cuáles son los principales servicios que ofrece la compañía?

Estamos orientados a la securización de entornos industriales, mejorando su protección. Además, realizamos servicios de seguridad gestionada para el ámbito de las tecnologías de operación [OT] y nos ocupamos de todo lo que tiene que ver con la consultoría asociada a la continuidad de negocio en la industria. En otras palabras, somos un SOC industrial con el matiz de que tenemos implementada tecnología de Big Data y de Inteligencia Artificial dentro del propio proceso.

¿De qué forma están implantando esas tecnologías que comenta?

Incluir el Big Data y la Inteligencia Artificial en los procesos de ciberseguridad o asociados a eventos de ciberseguridad nos permite, aparte de trabajar con las formas clásicas, hacerlo también con tecnología de Business Intelligence para mapear lo todo lo relacionado con el proceso técnico industrial y con los KPI de ciberseguridad. A partir de ahí hacemos animaciones, infografía y un tratamiento del dato mucho más avanzado. Sobre eso aplicamos algoritmos matemáticos y estadísticos que nos permiten generar Inteligencia Artificial, pero sin llegar a la predicción, pues todavía nos encontramos en una fase temprana.

«Las empresas industriales tienen un grado de inmadurez bastante más elevado que otros sectores más tradicionales y acostumbrados al uso de estas tecnologías, como la banca o los seguros»

¿Les está costando introducir estos servicios en el ámbito industrial, que siempre se ha caracterizado por hacer un uso más tradicional de la tecnología?

No demasiado. De hecho, cada año tenemos una mayor demanda. Lo que sí hemos notado es que las empresas industriales tienen un grado de inmadurez bastante más elevado que otros sectores más tradicionales y acostumbrados al uso de estas tecnologías, como la banca o los seguros.

Además, hay que tener en cuenta que todos estos entornos son bastante complejos. Hemos tenido casos de compañías que han generado interrupción de su actividad por abordar de forma incorrecta un proyecto de estas características, provocando despidos e incluso impactos económicos negativos.

Ahora bien, como decía, estamos observando que las empresas, poco a poco, van apostando cada vez más por este tipo de servicios.

En concreto, ¿qué es lo que más les demandan estas empresas?

Lo que más nos piden son trabajos de securización en las propias plantas; es decir, todo lo que tenga que ver con inventarios, implementación de redes, gestión de lotes, consultorías, grados de madurez, planes de acciones, planes directores, planes de continuidad de negocios, análisis de riesgos… Y después, hay muchos clientes que directamente nos están pidiendo un SOC en el ámbito de OT, que no deja de ser un servicio gestionado, operando y motorizando de forma proactiva toda su ciberseguridad industrial. Además, contamos con la ventaja de que ofrecemos la orquestación dentro de todo el proceso que llevamos a cabo.

¿Cuáles es el tipo de cliente habitual con el que trabajan?

Sobre todo, trabajamos con organizaciones cuyos procesos críticos de negocio se encuentren automatizados. Con esa premisa, entre nuestros clientes entrarían compañías del sec- tor energético, petróleo, industrial, químicas, laboratorios, así como de otros ámbitos como el de la alimentación, la minería o el agua. Y paralelamente también trabajamos en entornos de banca y en todo lo que tenga que ver con proyectos complejos y de orquestación.

De todos estos sectores que comentaba, ¿en cuál están más presentes?

Principalmente en las industrias de la energía, el agua, el petróleo, la minería y la alimentación. No obstante, también empezamos a tener clientes en el ámbito de la distribución, el transporte o las líneas aéreas, por ejemplo.

¿Cuál es la principal carencia que han detectado a la hora de trabajar la ciberseguridad en el entorno industrial?

Desgraciadamente, seguimos con la tradición de no tener en cuenta el tema de la seguridad y la ciberseguridad desde el principio, sobre todo cuando se abordan proyectos relacionados con el Internet de las Cosas (IoT). De hecho, y en general, las empresas de este sector suelen esperar a la finalización del proyecto para incluir los elementos de ciberseguridad. Por suerte, cada vez encontramos más casos en los que esto sí se tiene en cuenta y nos resulta más sencillo implementar nuestros servicios.

¿Qué se podría hacer para que no pasara esto?

Yo creo que aquí, básicamente, lo que habría que hacer es potenciar el rol del CISO dentro de la propia organización; es decir, reforzar su papel y su capacidad de decisión internamente para que tenga más fuerza y ayude a que se eviten ese tipo de situaciones. Precisamente, en el momento en que esto suceda, llegarán a sus respectivas organizaciones todos los planes de formación, concienciación y requerimientos de seguridad que estamos acostumbrados a ver en otros entornos.