Juan Anamaría, gerente general de Business Council.
[04/07/2022] Los ataques que ha sufrido el Estado peruano son una muestra de que en este sector puede calar una oferta que proporcione el mismo nivel de seguridad del que goza el sistema financiero. Ese es uno de los caminos por el que está transitando Business Council, una firma que vimos anteriormente cuando anunció Rapid7, una solución de seguridad integral.
Ahora, conversando con Juan Anamaría, gerente general de Business Council, para nuestra sección de Primer Contacto, conocimos un poco más de esta organización y de las metas que se ha propuesto para llegar este año al Estado.
¿Cuándo se creó la compañía y cuáles fueron sus primeros servicios?
Nosotros empezamos operaciones en el 2017. Soy una persona que está enfocada al ciento por ciento a banca y la compañía empezó en esa línea. Nuestro objetivo como Business Council es básicamente ofrecer dos líneas de productos que son Planview y Rapid7, que son dos soluciones que hemos traído.
Primero trajimos Planview en el año 2017. Es una empresa que se encuentra en el Fortune 500, en el Cuadrante Mágico de Gartner como líder visionario para atender todos los portafolios y proyectos. Luego vino Rapid7 para todo lo que es ciberataques y ciberseguridad. La empresa se conformó bajo el concepto de ser un Trusted Advisor o un consejo de negocios a determinadas corporaciones y compañías, sobre todo en el sector de banca, finanzas y el sector privado. El sector gobierno es un campo en el que vamos a incursionar este año, lo vemos como una oportunidad de negocio bastante interesante.
¿Cuál es el tipo de organizaciones a las que se dirigen?
Nuestro negocio tiene un proceso inicial en el área de banca y finanzas; por tanto, el sector que atendemos en forma inicial fue el sector corporativo. Luego, entramos a las cajas, municipios y financieras que es un segmento mid market, también en la vertical de finanzas; luego comenzamos a expandir la línea hacia el sector privado, a líneas de negocio colaterales como compañías de seguros, empresas de minería (oil & gas) que es lo que estamos manejando en este proceso. Empezamos por la banca porque es el segmento en el cual nos movíamos, y en el cual hemos estado y seguimos estando.
¿Cómo se divide su oferta?
Primero, tenemos un offering distinto. De hecho, tenemos dos offerings; uno que nació con Planview, que es una empresa líder en Gartner en cuanto a estrategia para el directorio; es decir, los clientes son gerentes generales, CEOs, CIOs. También para los portafolios de proyectos, manejamos proyectos tecnológicos, de operaciones; y también la arquitectura empresarial, que ve la capacidad tecnológica; es decir, se puede atender la necesidad del gerente general con la capacidad tecnológica actual.
Otra línea de servicios es la correspondiente a Rapid7, que se encarga de la seguridad. Lo que hemos traído es un producto llamado MDR, que lo que pretende es defender todos los activos tecnológicos del Estado, que el target a donde queremos ir, y también al sector privado. No hay muchos SOC o cyberSOC en el Perú, tenemos unos cuatro, y este MDR puede atender a todos los activos del Perú y protegerlos sin inconvenientes.
Estas líneas de negocio tienen sublíneas. Por ejemplo, la línea de outsourcing de seguridad bancaria es una sublínea especializada. Nosotros hacemos outsourcing verticalizado; es decir, en seguridad bancaria ofrecemos personal especializado en seguridad, que también puede atender la seguridad de una minera, oil & gas, pero es un outsourcing especializado en esta vertical. No se trata de solo tener el personal que tenga el conocimiento, sino también que tenga una adecuación.
La otra sublínea es el outsourcing de proyectos y agilidad. Lo que hemos notado con la pandemia es que las compañías no están adoptando tan rápidamente la transformación ágil, porque su propia organización basada en silos no permite este proceso. Planview soporta desde una organización jerárquica hasta una organización basada en organismos, tribus y squads.
Además de esas dos sublíneas de servicio, tenemos sublíneas de servicio en cuanto a planes de adecuación, cumplimiento de método ASA, que es lo que pide la SBS para que una entidad pueda cumplir las normativas de seguridad basado en NIST o ISO 27001. Hemos hecho estos planes de adecuación, entregamos un plan de inversiones al directorio del banco.
Colateralmente tenemos capacitaciones en PCI DSS, cloud security, auditoría de ATMs y procesos de capacitación en auditoría de criptografía. Es muy amplia la gama. También tenemos un CSIRT y atendemos todas las transacciones de seguridad.
¿Cuáles son los clientes que ya tiene?
Puedo mencionar al Banco de la Nación, al Banco de Comercio, a la Caja Arequipa y la Caja de Lima, como entidades financieras. Han sido cinco años de trabajo muy fuerte con estas entidades, siempre buscamos ofrecer valor agregado. No basta con tener un CSIRT, ahora traemos un MDR de Rapid7. Un MDR es la suma de un CSIRT, más un SOC, más un CERT; siempre tratamos de darle valor al cliente, diferenciar nuestro servicio, y también nuestro personal. Nuestro personal de outsourcing también evoluciona.
¿Cuáles son sus expectativas en lo que resta del año?
Creo que en estos meses van a haber contactos, lanzamiento de productos; nos interesa mucho entrar al área de gobierno y mostrar la solución de MDR con Rapid7. Creo que es una manera muy agresiva para proteger los activos del Estado, sobre todo ahora que acabamos de ver un ataque en Costa Rica. También queremos llegar al sector privado.
El sector de banca lo estamos cubriendo igual, pero nuestra intención es bombardear al mercado con soluciones que puedan atender sus dolores, pero a precios muy razonables. Estamos tratando de traer tecnología de cuarta generación a un entorno peruano que, en verdad, está desprotegido. Puede haber entidades financieras que tienen un SOC o un cyberSOC que estén muy protegidas; pero en estos SOC y cyberSOC la rotación de personal es muy alta, y estas soluciones de cuarta generación son un valor.
El otro punto en el cual vamos a estar enfocados es Planview, que es la línea en la que hemos tenido contacto de clientes que, por la pandemia, han dejado en pausa determinados proyectos. Estamos retomando ese tema.
Esos son los frentes de ataque que vamos a manejar, pero el target es muy claro: ciberseguridad y PPM, agilidad y estrategia. Esos son los puntos en los que nos vamos a enfocar.
Jose Antonio Trujillo, CIO Perú