Con amplios conocimientos técnicos y una visión ejecutiva del negocio, Álvaro Fraile cuenta con una gran especialización en la seguridad de los entornos industriales. Fundador de ITS Security, hace 15 años, hoy parte de Ibermática, desgrana para SIC la evolución de su negocio y la gran apuesta de la multinacional vasca -con ya más de un centenar de profesionales- por convertirse en un jugador clave en el pujante sector de la ciberseguridad. Para ello, apuesta por “aplicar la normativa en cada caso, trazar la estrategia y metodología, aplicar las mejores soluciones para cada necesidad y prestar servicios de SOC para diferenciarnos del resto».


Hace más de un año que ITS Security se integró en Ibermática, ¿Qué ha supuesto y cuál es actualmente la dimensión tecnológica y humana de ITS Security? ¿De qué tipo de capacidades ha dotado ITS a Ibermática y viceversa?
Veníamos de un equipo de unos 50 profesionales, lo que unido al equipo que ya tenía Ibermática en su unidad de ciberseguridad, y lo que crecimos juntos el año pasado, nos acercamos ya al centenar. Además de las oficinas y los dos SOC con los que contábamos en Guipúzcoa y Bizkaia, sumamos con Ibermática también ahora dos más a nivel nacional, en Barcelona y Madrid y otro en Latinoamérica. Y finalmente, también sumamos conocimiento y las normativas, estándares y membresía más reconocidos en el ámbito de la ciberseguridad: ISO 27001, ISO 20000, ENS, LEY PIC, RGPD, CERT, CSIRT.es, TF-CSIRT, FIRST… etcétera.

Han pasado cerca de 15 años desde que usted fundara ITS Security. ¿Cómo ha evolucionado la empresa hasta ahora? ¿Siguen manteniendo la misma visión de negocio de entonces?
Al principio estábamos más orientados a la integración de soluciones de ciberseguridad, sobre todo en el sector industrial, y paulatinamente fuimos incorporando otros servicios: GRC (Governance, Risk & Compliance), servicios gestionados desde los SOC, auditorías de seguridad… Al mismo tiempo, la visión de negocio también ha evolucionado, poniendo el foco cada vez en empresas de mayor tamaño, dando el salto a gran cuenta con Ibermática.

La compañía nació con una gran especialización en el ámbito de OT, que está viviendo un aumento de los ciberataques por su criticidad y deficiente seguridad. ¿Con qué complejidad se está encontrando a la hora de proteger estos entornos y qué ofrece a sus clientes?
Nos encontramos ante un nuevo terreno de juego, principalmente en el ámbito de la ciberseguridad industrial, que tradicionalmente era un entorno aislado, donde los dispositivos solían estar integrados con la red corporativa y no con Internet. Esto ya no es así. Las máquinas se conectan a Internet y hay riesgos de exposición, mientras que sigue prevaleciendo la disponibilidad sobre la seguridad. La dificultad añadida es que muchos de los interlocutores que gestionan estos entornos no tienen suficiente conocimiento en ciberseguridad, y además, estos dispositivos pueden ser de varios fabricantes distintos, en la mayoría de los casos no se ha tenido en cuenta la seguridad desde el diseño, y encima están obsoletos, por lo que es complejo protegerlos.

Ante esta situación, ofrecemos primero un diagnóstico de situación en la parte industrial para entender bien el escenario que debemos proteger, para después ir aplicando distintas capas: inventario de los activos más críticos, sistemas de protección de dispositivos, de la red a la que están conectados, control de accesos a redes exteriores…

Para 2024, su compañía espera que el área de ciberseguridad les reporte 25 millones de euros. Un objetivo ambicioso que supone altas tasas de crecimiento anual. ¿Dónde tiene el objetivo de crecer para conseguirlo?
Tal y como hemos comentado, con la integración en Ibermática nuestro target de clientes pasa a una cuenta de mayor tamaño, y además podemos aprovechar su segmentación por sectores, pudiendo acceder a algunos en los que antes estábamos menos presentes. Así, además de Industria, Servicios y AAPP, buscamos crecer en Salud, Telco & Media, Servicios financieros y Seguros…

La compañía apuesta por una capa de servicios 360º. ¿Cómo se sustancia esa ciberprotección holística y qué marca la diferencia respecto a la competencia?
Al tener la visión desde la parte estratégica y consultoría, con la que podemos ayudar a las empresas a diseñar sus planes de ciberseguridad, así como la capacidad de integración de soluciones, servicios gestionados, etcétera, al final tenemos una visión transversal de todo el negocio, con lo que nuestra oferta puede estar más orientada a lo que puede requerir el cliente. Y todo ello contemplando el marco normativo. Poder aplicar la normativa en cada caso, trazar la estrategia y metodología, aplicar las mejores soluciones para cada necesidad y prestar un servicio SOC nos hacen diferenciarnos del resto.

En su facturación, ¿qué peso tiene el sector público y el privado?
El sector privado en torno a un 80% y el público el 20% restante.

¿Qué les demanda especialmente un CISO o responsable de seguridad a la hora de ejecutar un proyecto?
Sobre todo nos demanda oficinas técnicas en las que tengamos perfiles con diferentes especializaciones para afrontar sus planes directores de ciberseguridad con conocimiento más técnico, bajando lo máximo posible al terreno de juego y no quedándonos sólo aguas arriba, con planteamientos muy generales.

Gracias a su integración, los SOC de ITS en Guipúzcoa y Vizcaya se unen a los Ibermática en Madrid, Sudamérica y el más reciente en Barcelona. ¿Cómo se articulan ahora los servicios que se ofrecen desde todos ellos? ¿Qué grado de especialización poseen?
Aunque a nivel físico operamos desde las cinco geografías, realmente funcionamos como un único centro de operaciones. El beneficio se logra así por toda la inteligencia y servicios con los que contamos en todos ellos, proporcionando un conocimiento multisectorial.

Con esta red de SOC y la conocida Unit71, uno de los equipos de inteligencia ante amenazas referentes en España, reúnen a un numeroso equipo de expertos que pocas empresas tienen. ¿Cuáles son las claves para conservar al talento e, incluso, para aumentar la plantilla (como espera hacer Ibermática) en un sector tan competitivo en este sentido como es el de la ciberseguridad? ¿Cuáles son los perfiles más complicados de buscar y cómo dar con ellos? ¿Es cuestión de dinero?
Nuestra experiencia nos dice que tener buenos proyectos entre manos es aún más importante que la política de retribución salarial a la hora de conservar el talento en la compañía. Esos proyectos deben tener una evolución en crecimiento de negocio y en servicios. A día de hoy, en materia de ciberseguridad prácticamente todos los perfiles son complicados de encontrar, y más con experiencia a sus espaldas. Hay mucha demanda y pocos profesionales.

ITS cuenta, por su parte, con dos plataformas de seguridad, CiD360 y Nuklea360, fruto de la I+D+i de la compañía. ¿Qué valor confiere a la compañía el desarrollo de soluciones propias?
En el ADN de ITS y de Ibermática siempre hemos tenido muy presente el desarrollo de soluciones a través de I+D que luego nos ayuden a prestar nuestros servicios. Bien por permitirnos incrementar nuestra eficiencia y eficacia, bien por ayudarnos a ahorrar costes y poder ofrecer servicios con una calidad muy alta con menor coste.

Además, forma parte de proyectos de I+D como GURU e iPOWER 4.0 apoyados por el Gobierno Vasco. Con la experiencia de la compañía en este ámbito, ¿qué cree que hace falta para levantar la maltrecha situación de la I+D en toda España? ¿Dónde piensa que hay que poner más foco en un ecosistema tan quebrantado? ¿Cómo encaran, en este sentido, la llegada de los fondos europeos?
Existen varios programas para poder financiar I+D en España, si bien es cierto que la parte de subvenciones cada vez es menor. Por eso, más que la financiación, habría que incrementar la intensidad de las subvenciones para animar a las compañías a que su inversión en I+D sea más elevada. Y el foco habría que ponerlo en proyectos que apunten a tener una continuidad en el tiempo y permitan desarrollar empleo y valor añadido. En cuanto a los fondos europeos estamos trabajando en varias iniciativas aprovechando la llegada de los Next Generation, que van a dar una gran importancia a la ciberseguridad, por lo que esperamos que puedan ser aprobadas.

Recientemente, ITS ha reforzado su portafolio con las soluciones PAM de ThycoticCentrify, para proteger los accesos privilegiados de sus clientes. En su opinión, ¿cuál es el mayor desafío de la identidad digital y, especialmente, de la futura identidad digital europea que se está fraguando?
La cada vez mayor deslocalización geográfica de los usuarios, acentuada por la pandemia, lleva a que millones de profesionales accedan a los sistemas de la empresa desde diferentes partes del mundo. Estos sistemas a su vez ya pueden estar también deslocalizados, gracias a Cloud, por lo que se complica la gestión de la seguridad e identidad digital en las aplicaciones. Éste es el mayor desafío.

¿Con qué otros socios tecnológicos trabajan en España?
Tenemos acuerdos con diferentes fabricantes relevantes a nivel mundial, cuyas tecnologías se encuentran entre las más destacadas en los cuadrantes de Gartner, como IBM, Splunk, o como Kaspersky y Palo Alto, con los que llevamos trabajando más de diez años, entre muchos otros.

¿Con qué criterios seleccionan las tecnologías que constituyen la base de algunos de sus servicios?
Damos mucha importancia a conocer el roadmap de los fabricantes con los que vamos a lanzar nuestros servicios, que sea lo más alineado posible a nuestros objetivos, porque lo que buscamos son alianzas a largo plazo. Nos fijamos en soluciones líderes en sus respectivos segmentos para garantizar a nuestros clientes que son del máximo nivel.

Y, como integrante de Cybasque, ¿cómo ve el estado de la colaboración y el compromiso de los organismos públicos para apoyar e impulsar el sector, tanto en el País Vasco, como en España y más allá de nuestras fronteras?
Hay una alta involucración de los organismos públicos para potenciar el mercado de la ciberseguridad, comenzando por ellos mismos que están aumentando sus inversiones para proteger sus propias infraestructuras y servicios. Desde los diferentes estamentos sociales se considera la ciberseguridad como una de las principales preocupaciones, de ahí que existan distintas iniciativas centradas en proteger los entornos de entidades públicas.

¿Cuál es su gran reto en ciberprotección para 2022?
La ciberseguridad ha evolucionado. Ahora el reto es tener protegido al usuario y al entorno cambiante en el que va a trabajar. Como he comentado anteriormente, cambia el concepto de la ciberseguridad que estaba orientado a proteger los activos que suelen estar dentro de la compañía, poniéndole barreras de seguridad alrededor, hacia una protección del usuario descentralizado geográficamente, donde los activos se encuentran en multinube y son accesibles por redes externas. En definitiva, el gran reto es armonizar y orquestar toda la seguridad del usuario con una infraestructura distribuida en entornos cloud.

Link a la entrevista en la revista SIC