José Seara, un luchador contra el riesgo industrial. Un emprendedor español global. Un ejemplo de conocimiento profundo del mercado, que busca de forma incansable soluciones y que sabe como pocos localizar el equipo perfecto para llevarlo al mercado. José fundó DeNexus una compañía que da una solución en el campo del riesgo industrial con tecnología y talento, mucho talento. He tenido la oportunidad de conocer en detalle la empresa, trabajar con José y tenía la necesidad imperiosa de darlo a conocer entre nuestros lectores de Sintetia.
—José, ¿cómo llega un madrileño/catalán a fundar una compañía como DeNexus, con sede en San Francisco y un equipo tecnológico en España?
Las vueltas que da la vida. Yo nací en Barcelona y crecí en Madrid, donde además de ir a la universidad me desarrollé profesionalmente.
Siempre en el sector de las infraestructuras críticas y casi siempre en generación de electricidad, y evolucionando en las tecnologías y roles con el paso del tiempo.
En 2006 un grupo de inversores europeos me ofreció la posibilidad de liderar un proyecto de energías renovables en Estados Unidos y Canadá que me llevó a San Francisco. Allí fundé una compañía en 2006 en la que invertimos del orden de 1.000 millones de dólares. Fueron más de 10 años de muchos y muy gratificantes esfuerzos. Nuestra compañía tenía parques eólicos en desarrollo y en operación en Estados Unidos y en Canadá con un modelo de operación muy complejo. Esto nos llevó a implementar tecnología más allá de la media en el sector, y con ello llegaron ciertas servidumbres regulatorias. Sobre todo con el regulador del sector eléctrico en Estados Unidos, más conocido como la NERC, y una exposición a un riesgo incipiente que era el riesgo ciberseguridad.
Cómo nació DeNexus
De ahí me lancé a fundar DeNexus. Con una misión clara: ayudar a la industria a gestionar ese riesgo mediante el uso de tecnología. Nos propusimos lograr una cuantificación de ese riego de forma continua. Facilitar la gestión y transferencia via ciberseguro industrial. Vimos claro que nuestro equipo de desarrollo tenía que estar en España, donde hay un talento increíble y a un coste muy competitivo. Y a las pruebas me remito. Ha sido una decisión excelente!
—El riesgo con apellido industrial a veces nos cuesta saber qué es. ¿Puedes explicarnos cómo lo defines y cómo lo medís?
El riesgo de ciberseguridad en el sector industrial casi siempre se manifiesta en forma de una parada operativa, o en la rotura de algún equipo, o en daños a los operadores porque algún equipo puede funcionar fuera de especificaciones o seguridades pueden ser habilitadas. Nosotros calculamos la probabilidad de que eso ocurra en una determinada instalación modelizando miles de escenarios posibles, y el impacto económico en caso de que ocurra.
Lo hacemos aplicando analítica avanzada a datos que recogemos de las instalaciones que nos dan información sobre cómo están construidas, qué equipos y vulnerabilidades y sistemas de control tienen implementados.
Mapeamos los vectores de ataques posibles, identificamos aquellos que pueden resultar en un ataque exitoso y calculamos la probabilidad y el impacto de cada uno.
Estadística, analítica avanzada y Machine Learning para medir y gestionar al riesgo industrial.
El riesgo industrial y sistémico
—¿Se ha estimado el riesgo industrial en el mundo?
El riesgo de ciberseguridad total excedió en 2020 la mágica cifra del trillón de dólares. No he encontrado una fuente fiable que identifique la componente industrial, pero en cualquier caso hablamos de cientos de billones de dólares que además se pueden transformar en un riesgo sistémico si por ejemplo las instalaciones afectadas son de un sector critico como el eléctrico, transporte, oil & gas, etc.
—Y, a la vez, ¿hay instrumentos financieros suficientes para asegurar ese riesgo?
Los hay, pero son totalmente insuficientes.
- Por un lado, los seguros disponibles excluyen muchos riesgos y tienen límites insuficientes para el gran riesgo industrial, que necesita cuberturas de cientos de millones o incluso de billones de dólares.
- Es discutible que ni siquiera existan los productos de seguro adecuados para cubrir un riesgo tan volátil y dinámico.
- Por último, la capacidad que la industria del seguro puede ofrecer es minúscula comparado con la demanda.
Actualmente menos del 1% es transferido como resultado de todas estas limitaciones. Claramente insuficiente, especialmente si lo comparamos con los porcentajes de transferencia de otros riesgos.
La tecnología para mejorar la seguridad
— Por lo que te entiendo, esa brecha entre riesgo potencial y déficit en cobertura de riesgo, ¿es una oportunidad para una propuesta de valor como la que estáis trabajando en DeNexus?
Así es. Nuestra plataforma de analítica del riesgo proporciona los datos y modelos que la industria del seguro necesita para desarrollar nuevos productos y aumentar su capacidad, estimar rendimientos y pérdidas, y atraer capital alternativo que permita el aseguramiento del riesgo a escala.
A los dueños de las instalaciones industriales les permite entender el riesgo y mitigarlo de manera financieramente eficiente antes de considerar su posible traslado a un tercero. Llegado un punto, no se justifica el coste/beneficio de la inversión, pero para poder entender ese momento hay que ser capaces de medirlo con datos verificables. Recuerda que con la escasez de capacidad estamos en un mercado de compradores de riesgo, no de vendedores. El riesgo no entendido y previamente gestionado y correctamente mitigado no es asegurable.
—¿Nos puedes poner un ejemplo, histórico, donde el riesgo haya explotado y qué podría hacer una solución tecnológica en este campo?
El ataque a las instalaciones de Colonial, por ejemplo. Colonial tiene el mayor sistema de Estados Unidos para el transporte de productos refinados del petróleo, transportando más de 3 millones diarios de combustibles desde Texas a New York. Sus instalaciones fueron atacadas y se interrumpió el suministro durante varios días. El coste se sabrá dentro de años cuando todas las reclamaciones sean resueltas, pero será exorbitante.
Hay un debate entre puristas de la ciberseguridad industrial argumentando si fue un ataque a una infraestructura industrial o no, ya que los sistemas comprometidos fueron sistemas corporativos. Pero lo cierto y verdad es que una empresa industrial como Colonial dejó de atender a sus clientes durante días.
Diversas soluciones tecnológicas pueden ofrecer protección, visibilidad sobre el ataque que permite a los operarios o analistas de ciberseguridad entender la profundidad y extensión del ataque y tomar las acciones pertinentes, o no tomar acciones drásticas innecesarias.
—En el campo del riesgo industrial, ¿Cuáles son las claves —la anticipación, la medición del impacto, la reparación—?
El ciber riesgo es como cualquier otro riesgo empresarial. Hay que entenderlo y gestionarlo. Decidir cuál es la tolerancia al riesgo y actuar en consecuencia. Y verlo en el contexto de otros riesgos empresariales, no aislado. Todo empieza por tener visibilidad. A partir de ahí se pueden tomar decisiones de gestión que variarán según el caso.
Ecosistema emprendedor San Francisco versus Madrid
—Tú que conoces bien los dos ecosistemas, ¿qué fortaleza inigualable tiene San Francisco que no tenga Madrid, por ejemplo?
- Dinamismo, capital y en muchos casos distintas reglas de juego, incluso regulatorias y legales.
- Cultura de aceptar el riesgo. El fallo no solo es aceptable sino muchas veces deseable.
- Aprender e iterar rápido.
- Y sin duda la sinergia de un ecosistema desarrollado durante décadas.
—Y, al revés, ¿qué tiene España que consideras deberíamos explotar para crear más y mejores empresas tecnológicas?
- Talento en cantidad.
- Lealtad al proyecto más allá de la que se compra con dinero.
- Costes muy competitivos con una calidad de vida muy alta comparando salarios/coste de vida.
—A la hora de lanzar una compañía casi desde cero, tras mucha experiencia previa en el sector como tú tienes, ¿qué aspectos son críticos para convertir una gran idea en una gran empresa?
- Resolver un problema real que añada valor real al cliente.
- Hacer iteraciones rápidas en todo.
- Rodearse del equipo adecuado.
- Motivarlo, empoderarlo y dejarle hacer su trabajo. El equipo y el talento es lo que hace que las cosas pasen.
El futuro de DeNexus en el riesgo industrial
—¿Dónde quieres ver a DeNexus en los próximos 2 años?
Convertirnos en el estándar en la cuantificación del riesgo de ciberseguridad en grandes empresas industriales. Que habilite la gestión con criterio de eficiencia financiera y transferencia del riesgo a escala.
—Se habla mucho de big data, de inteligencia artificial, pero ¿realmente estamos maduros o hay todavía mucho potencial de mejora?
Sin lugar a dudas, vivimos inmersos en la era de la inteligencia artificial impulsada principalmente por el avance tecnológico y la acumulación de datos en volúmenes y formatos antes no imaginados.
Es difícil definir la curva completa de crecimiento del Big Data, la tendencia continúa siendo creciente, por lo tanto es fácil aceptar la idea de que hay mucho potencial de mejora.
Cuando nos referimos a IA, sólo con observar el número de aplicaciones que nos rodean, el número de personas que están desarrollando aplicaciones, la facilidad con la que tecnología facilita y democratiza el acceso al desarrollo de más aplicaciones es difícil prever en que momento la curva de crecimiento empezará a ralentizarse.
Siempre se puede mejorar. Usar el dato para aprender y transformarlo en información/conocimiento útil es un gran reto. Sin extracción de conocimiento sólo tenemos muchos datos. Para conseguir ese impacto positivo en la sociedad es necesario que las personas no dudemos sobre donde residen los datos, el uso adecuado de los mismos y aceptando que la inteligencia artificial requiere aprender de nuestro comportamiento, de nuestros datos, para causar un real impacto en nuestras vidas.
Precisamente, enlazando la pregunta anterior, el ciber riesgo es un ejemplo de aplicación/sector donde se puede se puede/debe mejorar significativamente en la utilización de los datos disponibles. La tecnología permite monitorizar actividad en tiempo real en los sistemas informáticos y de control, generando grandes volúmenes de datos. Sin embargo, de momento no ocurre lo mismo en cuanto a usar esos datos para generar conocimiento para gestionar el ciber riesgo.
Desafíos tecnológicos en el mercado del riesgo
Hasta parece que estamos dentro de un círculo sin salida.
Para protegernos necesitamos entender de qué nos protegemos (datos históricos). Pero cuando tenemos los datos, no los podemos compartir en muchos casos por limitaciones legales, regulatorias o de negocio (ni siquiera con los miembros de la misma organización) y/o, quedan registrados en banco de datos gubernamentales no accesibles. Hay una asimetría tremenda entre el dueño del riesgo que a su vez es el dueño de la mayoría de los datos, y el asegurador del riesgo que obtiene muy poca información sobre el riesgo que compra, La consecuencia, no aprendimos para protegernos como sociedad/sector. Este es uno de los temas pendientes (desafíos y obstáculos) con los que vivimos actualmente reside en el sector del ciber riesgo: sin datos de calidad no se aprende y no se avanza en el control y generación de productos para gestionar el ciber riesgo. En otras palabras, datos actuariales para la toma de decisiones informadas.
De manera más amplia, la tecnología puede en la detección de incidentes y alarmas más confiables. Minimizar la necesidad de intervención manual. Generar información completa (y no parcial) de los sistemas informáticos y de control. Y segurizar la misma (anonimizando, criptografiando) de manera que puedan ser utilizados.
—Siempre pedimos a nuestros invitados que nos recomienden 3 lecturas que les hayan inspirado, de la temática que sea, ¿te animas?
Por supuesto. Difícil elegir solo tres pero ahí van.
- The Hard Thing about Hard Things de Ben Horowitz.
- El Arte de la Guerra de Sun Tzu.
- Team Spirit de Brendan Hall