S21sec, la compañía que naciera hace ahora cinco años, específicamente vinculada con el denominado hacking ético, se ha convertido hoy en uno de los grupos de capital español especializados en seguridad de la información con mayor reconocimiento del mercado. El trabajo duro y la apuesta permanente, la entrada de un nuevo socio y los buenos resultados de 2004, ejercicio en el que obtuvo una cifra de negocio de seis millones de euros, le han dado base en este decisivo año 2005 para afrontar nuevas metas. Su Consejero Delegado y Director General, Xabier Mitxelena, comenta en la presente entrevista las líneas maestras que se plantea la empresa en todos los frentes. |
 |
– ¿Cómo hay que entender hoy al Grupo S21sec?
– Como una iniciativa empresarial cuyo objetivo es ser la punta de lanza de la seguridad de la información a nivel nacional.
– Un enfoque ambicioso, amplio y un punto alejado de sus orígenes, vinculados directamente con el hacking ético...
– S21sec centra su actividad en la seguridad telemática, y su interés es contribuir, mediante la prestación de servicios con base en tecnología principalmente propia, a que la protección de la información forme parte de los procesos empresariales.
Para tener en cada proceso de la empresa la información en el nivel de seguridad deseado, hay que implicar a todos los estamentos de las organizaciones, a todos los empleados y a la cadena cliente-proveedor. S21sec mantiene este enfoque, que es marcadamente preventivo.
La finalidad de S21sec es dar servicio. El que para prestarlo se necesite tecnología no debe hacernos olvidar que ésta es un medio.
– ¿Y cómo se estructura actualmente a los efectos de poder ofrecer una orientación de las características mencionadas en un sector tan competitivo como el de protección de la información?
– Hemos ido evolucionando al ritmo del mercado. Cuando nacimos, hace cinco años, teníamos una única orientación decantada como usted decía antes al hacking ético. El conocimiento atesorado en este ámbito de servicio nos llevó al concepto de la consultoría en el entorno de la tecnología y a dar pasos hacia lo que puede llamarse hoy el ciclo de formación de S21sec en todos los frentes. Pero siempre con una base técnica muy remarcable: no en vano hemos invertido en estos cinco años en I+D+i más del 40% de nuestros recursos.
Tenemos claro que el activo principal de S21sec son las personas, y que el activo principal de las personas es el conocimiento. Convencidos de esto, y con la atención puesta en las demandas de los clientes, hemos considerado oportuno crear en el Grupo una serie de líneas de negocio para propiciar un crecimiento ordenado en los mercados y para disponer de una mejor estructura que siga fomentando la creatividad.
– Suena a cambio. ¿A qué líneas de negocio se refiere?
– Las podemos dividir en integración y servicios, de donde cuelga lo que ha sido el núcleo de actividad de la compañía en su origen (auditorías, hacking ético...), las herramientas fundamentales en las que queremos basar los servicios preventivos (esencialmente Bitácora y Vulnera) y la integración con herramientas tecnológicas de terceros, algo a lo que hace años éramos reacios y que hoy, debido a la relación de confianza que hemos establecido con nuestros clientes, nos parece un enfoque adecuado y conveniente, ya que hay que intentar buscar aquellos productos que se desarrollan en otros mercados y que pueden aportar valor en el nuestro. Para dirigir estas líneas de negocio, hemos incorporado a profesionales con experiencia en la consultoría tecnológica.
También, hemos abierto un departamento de consultoría. Además del spin off creado antaño, llamado Encriptalia, con el objetivo de cubrir los aspectos legales de la seguridad, y teniendo en cuenta que hemos apostado claramente desde hace tiempo por la normalización y certificación (BS7799, UNE 71502), lo que estamos haciendo es poner en funcionamiento un departamento que ayude a nuestros clientes a establecer pautas de seguridad en los procesos de negocio y actividad de sus organizaciones.
El tercer departamento que estamos creando es un Centro de Operaciones de Seguridad (Security Operations Center-SOC), algo a lo que le veníamos dando vueltas desde el año 2001. En él se recoge el saber hacer de S21sec y va a permitirnos dar un conjunto de servicios a nuestro mercado potencial. No somos una compañía de servicios puros y duros horas/hombre, sino que intentamos crear un conjunto de herramientas y servicios de valor. El Centro estará operativo este año.
Otra iniciativa, largamente perseguida, consiste en la creación de una unidad de I+D+i. Las acciones que hasta el momento hemos llevado a cabo en todas nuestras áreas de conocimiento, queremos que tengan su propio corazón, unos objetivos claros. Esta Unidad propiciará el que todo nuestro potencial se canalice a través de métodos lógicos y normalizados. Hasta el momento hemos ido patentando productos, como el cortafuegos de nivel 7 HIVE, creando otros como Vulnera, que es en mi opinión la mejor base de conocimiento de seguridad en castellano, o colaborando, por ejemplo con Bankinter, en el desarrollo de Bitácora como producto y servicio en el ámbito de la gestión de logs y la correlación de eventos. En adelante, esta labor de creación y colaboración se centralizará en la unidad de I+D+i.
Además, disponemos de un departamento de formación, que ha sacado un título propio de seguridad, avalado internacionalmente por la Universidad de La Salle. Por otra parte, S21sec mantiene una posición activa en la promoción de las certificaciones para organizaciones, ya en áreas específicas (BS7799), ya para SGSI (UNE 71502), y participa en el Subcomité 27 de Aenor. También apoya la formación en la certificación de personas. El epígrafe de formación va a tener un peso específico importante en el concepto de centro de excelencia de S21sec, ya que somos firmes defensores de que exista en España la carrera de seguridad de la información.
 |
|
“S21sec va a invertir inicialmente cerca de cinco millones de euros en la creación y puesta en marcha de un SOC que va a estar completamente operativo este año 2005” |
– ¿Cuántas compañías forman hoy el Grupo S21sec?
– Dos, Grupo S21sec Gestión, S.A. y Encriptalia. Luego disponemos de marcas, como es el caso de Sentryware, que forma parte de una estrategia interna para distribuir en los mercados internacionales aquella tecnología propia que entendemos puede ser diferencial, en el caso que nos ocupa, HIVE. No sé si mañana llevaremos a estos mercados internacionales otros productos que estamos distribuyendo en el mercado nacional.
Entendemos que en la nueva estructura de empresa de S21sec, tal vez Sentryware acabe teniendo entidad propia. Hay que intentar discernir los mercados a los que hoy día nos dirigimos con servicios de la tecnología que realmente puede llegar a otros mercados. Los servicios de S21sec están orientados al mercado latino (Iberia y Latinoamérica), en tanto que los productos tienen un mercado natural mucho más amplio.
En este último sentido hay que reconocer que no somos una empresa con la experiencia y el capital suficiente como para crear grandes redes de distribución, y pensamos que en Sentryware se puede crear otro tipo de estructura, en colaboración con terceros que dispongan de experiencia en los mercados internacionales, que nos permita colocar en ellos nuestros productos de forma competitiva.
– ¿Tienen un plazo para decidir?
– Este año. Estamos estudiando diferentes opciones; es más, hay cinco multinacionales que están evaluando la tecnología de S21sec, HIVE, Bitácora, e incluso Vulnera (en tanto que sistema que permite gestionar vulnerabilidades). En definitiva, que durante 2005, y además de poner en marcha el SOC, la Unidad de I+D+i y nuestro centro de formación-excelencia, entendemos que Sentryware terminará teniendo su propia entidad.
– Estamos hablando de una nueva organización. Pero, ¿para qué?
– Todas las empresas tenemos nuestros planes, y para llevarlos a efectos buscamos fuentes de financiación. En nuestro plan de desarrollo encajaba el que entraran en S21sec una nueva serie de inversores que nos permitieran avanzar en nuestro plan, trazado en 2000.
El año pasado se incorporó un nuevo grupo empresarial, Genera 21, que nos ha ayudado a reflexionar, a redefinir la estrategia y a optimizar los recursos. No hay que olvidar que nuestra compañía empezó con doce personas y cinco años después somos más de cien, con sedes en San Sebastián, Barcelona y Madrid, y dos centros de trabajo en Murcia y en Algeciras. Y estamos pensando en abrir nuevas localizaciones.
– ¿Cuánto va a costar poner en marcha el SOC?
– En función de nuestro plan, y teniendo en cuenta el desarrollo del mercado, llegaremos a invertir inicialmente entre cuatro y cinco millones de euros. Se podría invertir más, pero sucede que no queremos repetir otros modelos de SOC al uso fuera de España, sino integrar en él servicios que ya veníamos prestando en los mercados desde noviembre de 2004. Tenemos un acuerdo marco con VeriSign para ayudar a nuestros clientes en los ámbitos preventivo y reactivo, aspecto, este último, en el que esta multinacional nos permite tener unos tiempos de respuesta extraordinarios.
En realidad, el acuerdo con VeriSign, que es preferente, afecta a todos nuestros servicios continuos. Lo que hacemos es completar un servicio que da esta multinacional americana a nivel mundial, localizarlo en nuestro mercado y tener la suficiente cercanía con el cliente como para que no haya tiempos muertos en la respuesta. Creemos que este socio es el más eficiente.
– ¿Podría ser más preciso?
– El acuerdo preferencial con VeriSign afecta esencialmente a los servicios de antiphishing y antipharming, vigilancia digital, y gestión y correlación de cortafuegos e IDS. Lo que aportamos en nuestro SOC es nuestra experiencia en auditorías, el servicio continuo de Vulnera de gestión de vulnerabilidades, y la gestión de logs y la correlación de eventos mediante Bitácora, y la posterior toma de decisiones.
VeriSign nos ha aportado un portal de cliente, que hemos traducido al español, y que nos permite implementar también las herramientas de S21sec. A partir de ese momento, podemos diseñar su portal específico a cada cliente con los servicios contratados.
VeriSign tiene seis o siete SOCs a nivel mundial operados totalmente por ella, aunque tenga acuerdos tecnológicos con terceros. En España se va a crear el primer SOC, el de S21sec, en el que van a entrar tecnologías de VeriSign –además de las nuestras–, completamente operado por S21sec.
– ¿Qué servicios específicos van a ofrecer en el Centro?
– Con independencia de que la dinámica de mercado nos lleve a gestionar cortafuegos e IDS basados en tecnología de fabricantes (ahí no vamos a innovar), nuestro objetivo final es el análisis y la gestión de logs y la correlación de eventos. Mediante Bitácora y los nuevos módulos que estamos poniendo a punto, vamos a generar –como decía– el portal del cliente, a través del cual intentaremos darle al cliente un servicio preventivo en los aspectos de seguridad de ámbito general, con Vulnera, y en los específicos y evolutivos de su sector y de su concreto negocio. Hemos desarrollado un módulo de alertas en Bitácora, denominado Polite, que nos permite hacer un traje a la medida de cada negocio y prevenir, con un elevado porcentaje de éxito, los nuevos ataques que van surgiendo.
Por resumir: además de embeber un conjunto de servicios de nuestra línea de auditoría en el SOC: escaneos continuos, gestión de vulnerabilidades remota o in situ..., conceptos que se trasladan a las 24 horas del día con posibilidad de hacer trabajos en el cliente a horas en las que exista la menor interferencia con su negocio o actividad, hemos puesto en marcha los servicios continuos antiphishing, vigilancia digital y antipharming, vamos a dar el servicio de correlación y monitorización, y además la gestión de cortafuegos e IDS, epígrafe en el que vamos a contar con terceros fabricantes.
No obstante lo dicho, el corazón del SOC es la gestión y la correlación. Todo lo demás puede evolucionar, pero esto permanecerá: estaremos acompañando a nuestros clientes las 24 horas del día para prevenir problemas de seguridad. Para eso, el nivel de seguridad que marcamos es el del log y el de nuestro conocimiento del cliente y de su sector.
“Entendemos que en la nueva estructura de empresa de S21sec, tal vez la marca Sentryware acabe teniendo entidad propia este mismo año” |
 |
||
– ¿Dónde se va a localizar el SOC?
– Tendremos el principal con su centro de datos en Madrid. Las salas van a estar disponibles en un mes y medio. Mientras tanto, estamos dando ya algunos servicios en salas de terceros. Hay clientes que por razones de su política de seguridad, no permiten que cierta información fluya. Ello nos obliga a tener un SOC in house. Nuestra idea es tener la experiencia y el conocimiento en nuestro centro de datos, y poner un primer nivel o un segundo nivel en aquellos clientes que lo requieran.
Nuestra estructura final va a ser en forma de árbol; por encima nuestro estará la estructura mundial de servicio de VeriSign, ya que esta empresa nos va a dar información en tiempo real de todos los nuevos problemas de seguridad que vayan surgiendo por tipo de ataque y por tipo de sector, y nosotros actuaremos directamente en los clientes en los tres niveles, que estarán en nuestro SOC. Aquellos clientes que necesiten un servicio in house, dispondrán en su centro de un primer nivel y de parte del segundo.
– ¿A qué niveles se refiere?
– Hay tres niveles de servicio. El primero es el de operaciones: la persona que está monitorizando. Su perfil es medio, no necesita ser un experto en seguridad. Cuando aparece un problema que supera al nivel uno, entra en funcionamiento el nivel dos, que es el del experto en seguridad capaz de interpretar los acontecimientos y tomar decisiones. Cuando se produce un incidente de seguridad muy grave con difícil resolución, es necesario ir al nivel tres, un superexperto en seguridad con capacidades de I+D+i.
Hay un siguiente nivel difuso, al que yo llamo 3 plus, que se concreta en el soporte que tenemos con VeriSign a escala mundial, en virtud del cual esta firma nos va informando permanentemente de los nuevos riesgos que van surgiendo.
– La inversión inicial en el SOC no es nimia. Cabe imaginar que tienen bien calculada la jugada...
– Llevamos ya un año dando servicios 24x7 in house en una gran entidad financiera y en una administración pública, y también estamos prestando servicio en una entidad financiera con un equipo de S21sec de segundo y tercer nivel, los operadores los pone la entidad financiera... En todos estamos trabajando en la misma línea: organizar todos los conceptos de seguridad, organizar los eventos de seguridad en todos los puntos de salida, llevarlos a Bitácora e ir tomando decisiones.
La ventaja es que la experiencia que vamos adquiriendo en los diferentes sectores, la vamos aplicando a todos los clientes. Me explico: si existe un problema común en el sector financiero, aplicamos las mismas reglas al mundo financiero.
En fin, contestando a su pregunta, le diré que tenemos un cierto conocimiento de cómo funciona este ámbito de mercado.
– ¿Van a dar servicio exclusivamente al cliente final?
– Los servicios de gestión y monitorización de los tres niveles los estamos dando al cliente final, y también lo podemos hacer como marca blanca. Existen entidades que tienen clientes finales que nos subcontratan los niveles dos y tres en estos servicios. Una cosa ha de quedar clara: damos el mismo nivel de servicio al cliente final y al canal. El modelo de prestación de servicio del SOC de S21sec es aplicable al modelo directo con un cliente final, al modelo in house con un cliente final, al modelo remoto con el cliente directo o a través directamente de un socio del cliente directo con quien éste tenga contratado otro conjunto de servicios.
– ¿Y son caros los servicios diseñados?
– Por razones obvias, no pueden existir tarifas fijas. Cada contrato es, por decirlo de algún modo, un traje a la medida del cliente. Ni qué decir tiene que pretendemos ser competitivos.
– ¿Qué resultados obtuvo el Grupo S21sec en el ejercicio de 2004?
– Alcanzamos una cifra de negocio de aproximadamente seis millones de euros, e invertimos del orden de setecientos mil euros en I+D+i. Estamos muy satisfechos.
– ¿Y qué objetivos se han marcado para el ejercicio de 2005?
– Nuestra idea es alcanzar una cifra de negocio de 8,9 millones de euros.
 |
– Como ha mencionado, S21sec presta desde siempre una atención especial a la I+D+i, hasta tal punto que ha abordado la creación de una unidad específica. ¿Hay algún terreno en el ámbito de la seguridad de la información y de la seguridad TIC en la que a su juicio quede espacio para la innovación en España?
– Claro está. Le digo cuatro: la movilidad, la correlación de eventos aplicada al negocio, el nivel 7 para mitigar las fugas de información por la red y la seguridad de los usuarios; este último es el eslabón más débil de la cadena de protección.
– ¿Y existe algún área del mercado de seguridad en que no esté presente S21sec?
– Sí, por supuesto; no competimos en el ámbito de los integradores, ni en la formación en productos, ni somos ni vamos a ser una entidad certificadora. De los proyectos específicos que aborda S21sec, los mayores beneficiados posteriormente son los integradores. Cuando nuestro SOC esté funcionando al cien por cien, creo que vamos a ser un buen compañero de viaje para la gran mayoría de las compañías que configuran el ramo de seguridad de la información en España.
– Pregunta obligada: ¿para cuándo van a dar el salto al otro lado del “charco”?
– Nuestra fase de internacionalización está cercana, seguramente la abordaremos este año, entre otras razones porque tenemos clientes que ya han iniciado hace tiempo un proceso de expansión fuera de nuestro país. De hecho, ya hemos realizado un estudio de mercado específico en un país de América del Sur.
Fotografía: Jesús A. de Lucas