Con un modelo SaaS, Datup integra los datos internos de sus clientes con fuentes externas para alimentar sus modelos de IA . Esto les permite generar pronósticos dinámicos y prescriptivos.
Conoce más sobre Datup en su página web o LinkedIn.
El desafío: construir confianza para competir en grande
Conversamos con Ramiro Chaparro Vargas, CTO y cofundador de Datup, sobre cómo enfrentaron su mayor reto en ciberseguridad: pasar de buenas intenciones a controles tangibles.
“Como buena startup en etapa temprana, teníamos un ritmo de desarrollo muy acelerado. Pero ese ritmo dejaba pequeños incendios y mucha deuda técnica, sobre todo en seguridad.”
Todo cambió cuando un cliente regional clave les pidió garantías reales:
“Nos dijeron: ‘Si van a manejar nuestros datos, necesitamos que estén certificados’. Si no podíamos demostrar controles, se paraban de la mesa.”
Fue el punto de inflexión. El equipo técnico sabía que implementar ISO 27001 podía ser un proceso costoso y desgastante para una empresa de su tamaño… hasta que conocieron Hackmetrix.
“No queríamos un proceso tradicional. Con Hackmetrix entendimos que podíamos adaptarlo a nuestra realidad y hacerlo sin frenar el negocio.”
¿Qué cambió con Hackmetrix?
Una solución SaaS que sí entiende SaaS
“Teníamos experiencia técnica, pero no era sostenible depender de la intuición. Hackmetrix nos dio estructura, metodología y herramientas reales.”
La plataforma de Hackmetrix no solo facilitó el trabajo documental, también permitió al equipo socializar controles en Slack, alinear a los desarrolladores y sistematizar prácticas sin burocracia.
“Hoy, nuestros ingenieros entienden que proteger la información no es solo de TI: es parte del producto.”
Seguridad como habilitador comercial
Los resultados fueron inmediatos. Pasaron de semanas de trabajo para responder cuestionarios de seguridad (RFIs) a resolverlos en días.
“Ya no nos cogemos la cabeza con los RFI. Generamos el reporte con Hackmetrix y seguimos adelante. Eso nos permite sentarnos con grandes clientes que antes cerraban la puerta.”
Gracias a ISO 27001, Datup no solo ganó estructura interna. También abrió nuevas oportunidades de negocio y mejoró su posicionamiento como empresa confiable.
Preparados para el futuro: llega ISO 42001
Datup ya mira hacia adelante: están explorando la ISO 42001, norma específica para empresas que desarrollan Inteligencia Artificial.
“Así como ISO 27001 fue clave para madurar, la 42001 lo será para operar con IA de forma segura. Hackmetrix ya nos está guiando en ese camino.”
¿Te gustaría escalar con seguridad como Datup?
En Hackmetrix ayudamos a empresas SaaS, tecnológicas y de IA a implementar y mantener ISO 27001, 27701 y 42001 de forma ágil, práctica y sin frenar su operación.
¿Listo para abrir nuevas oportunidades comerciales? Contáctanos
¿Prefieres leer?
Introducción: Cómo Datup implementó controles internos de seguridad y calidad
Natalia: Hola a todos. Hoy nos acompaña Ramiro Chaparro Vargas, PhD en Ingeniería, experto en Inteligencia Artificial, Machine Learning, Deep Learning, aplicadas a industrias como manufactura, educación, finanzas, turismo, entre otros.
Ramiro es CTO y es cofundador de Datup, una startup colombiana de Supply Chain Analytics que usa IA, que ayuda a las empresas a dejar de perder dinero por agotados o excesos de stock, planificando la demanda y optimizando compras, contactos e IA predictiva.
Hola, Ramiro, y muchas gracias por acompañarnos.
Ramiro: Hola, Natalia, ¿cómo estás? Un placer estar aquí con ustedes hoy.
Desafio: Implementar controles internos de seguridad
Natalia: Genial. Hoy queremos aprovechar a Ramiro y conversar con él sobre cómo ha sido para Datup implementar controles internos de seguridad y calidad sin buscar todavía una certificación formal. Y es ese el papel que has tenido tú en el liderazgo técnico de este proceso y el impacto que estas iniciativas han tenido en la operación diaria y en la confianza que tienen los clientes de Datup.
Entonces, no siendo más, me gustaría que iniciemos y que me cuentes cuáles son los principales desafíos que enfrentaba Datup en temas de seguridad antes de que implementaran un sistema de gestión.
Ramiro: Bueno, Natalia, sí, nosotros, como una buena startup en etapa temprana, obviamente teníamos un ritmo, y tenemos todavía un ritmo, de desarrollo bastante acelerado. Hay que estar sugiriendo hipótesis, probando esas hipótesis para confirmarlas o descartarlas. Y, pues, la gran ventaja de poderte mover rápido es que, efectivamente, puedes llegar a tener conclusiones un poco más rápido, pero la gran desventaja es que también se quedan ciertos desórdenes, pequeños incendios en el camino que van, justamente, minando un poquito, aumentando la deuda técnica, como se conoce en el contexto tecnológico.
Entonces, el desafío que justamente empezamos a enfrentar es que estábamos dejando muchos cabos sueltos en temas de seguridad, donde siempre la apuesta inicial era “hacer que funcione”. Y ese “hacer que funcione” pues, tiene los riesgos inherentes: podíamos dejar ciertos frentes descubiertos.
Y eso nos llevó ya a un momento en que empezamos a adoptar ciertos clientes que empezaron a elevar su nivel de requerimientos acerca de los controles de seguridad, a exigirnos que nosotros también tuviésemos unas buenas prácticas, una documentación, unos procesos, unas políticas. Y ahí, entonces, obviamente, la forma más lógica de empezar a dar ese orden, para no empezar desde cero, fue mirar hacia la ISO 27001.
Y ahí fue donde empezó el camino de decir: “Ya sabemos que una ISO es un desafío enorme para cualquier organización, y más para una startup que no siempre tiene los recursos financieros o hay personas suficientes”.
Entonces, ya la apuesta no era simplemente decir: “Vamos a hacer una ISO 27001 y adaptar sus controles”, sino: “¿Cómo podemos hacerlo de una forma que no nos cueste tanto, que no nos desgaste y que no nos desvíe mucho en el día a día?” Y ahí fue donde aparecieron en el escenario, finalmente, ISO 27001 y Hackmetrix de la mano.
Procesos anteriores a Hackmetrix
Natalia: Antes de empezar con Hackmetrix, ¿cómo habían hecho los controles, o antes de empezar con Hackmetrix no tenían nada del tema?
Ramiro: Anteriormente a Hackmetrix, nosotros no teníamos nada formal. Todo era muy intuitivo, muy de experiencia por parte mía como CTO y de alguno de los líderes, tal vez, más senior del equipo. Pero, pues, eso no es sostenible, ¿no? Porque no es posible estar todo el día y todos los días en el día a día de todos los diferentes ingenieros, dando las sugerencias y los lineamientos de las buenas prácticas y demás. Entonces, necesitábamos buscar, justamente, alguna forma de poder hacerlo de forma más eficiente.
Si bien sabíamos que la ISO 27001 ya resolvía muchos de los requerimientos que tenían algunos de los prospectos y de los clientes de mayor nivel que estábamos buscando, sí sabíamos que hacer esos procesos típicos de consultoría iban a ser un desgaste gigantesco. Y, justamente, empezamos explorando por ahí creyendo que era la única alternativa, hasta que, justamente, Paola, que es nuestra CEO, tenía una información directa de ustedes por algún lado de Hackmetrix. Nos dijo: “Venga, ¿por qué no miramos esta opción? Ellos tienen una propuesta de valor bastante interesante”. Y ahí, pues, eso sí nos hizo un clic inmediato ver versus a las dos o tres conversaciones con consultores tradicionales que ya habíamos hecho en ese proceso de exploración.
Adaptación del Equipo y Cultura Interna
Natalia: Perfecto. ¿Y cómo fue dentro de la empresa, dentro del equipo, como mencionaste, de los desarrolladores, hacer esta transición y adaptarse a tener una gestión más estructurada de estos controles?
Ramiro: Listo. Sí, ahí creo que vale la pena dar como un mensaje muy transparente y muy sincero: los cambios no van a suceder de un día para otro.
Las organizaciones, pues, cuanto más pequeñas son, tienen una ventaja versus a esas corporaciones gigantescas para poder incorporar nuevos procesos o cambios en cierta mentalidad y en cierto mindset de los diferentes colaboradores. Pero ese proceso definitivamente va a tomar cierto tiempo y no hay que subestimarlo.
Pero ahí la clave sí es poder, sobre todo, mostrar mucha organización. Hackmetrix, con su plataforma, nos da justamente esa ventaja de poder mostrar en los mensajes de comunicación, de socialización de los nuevos controles, algo ya muy claro, muy estructurado de ver la documentación por fases, la documentación por objetivos, un mapeo directo en temas de controles.
Entonces, eso, reforzado con ya algunas estrategias que tenemos internamente, como las campañas de difusión en Slack, como algunas sesiones que tenemos en oficina de socialización de nuevas iniciativas, fueron ayudando a que el mensaje fuera calando.
No vamos a decir que todos los diferentes colaboradores conocen de principio a fin todos y cada una de las políticas, procesos, porque tampoco es el objetivo de la norma, pero sí sabemos que hoy en día los controles más críticos para ellos, saben cómo reaccionar a ellos y, ante cualquier duda, saben qué canal utilizar para consultarlo.
Natalia: Perfecto. Aquí, ya como apasionada de la ciberseguridad, escuchar todo eso me emociona. Me emociona y que los colaboradores también estén comprometidos.
Beneficios Obtenidos y Valor Estratégico
Natalia: Listo. Entonces, bueno, con todo este proceso que llevan, y los felicito también por todo el proceso, ¿cuáles creen o cuáles crees tú que han sido los beneficios? ¿Cuáles han notado que han sido los beneficios tras implementar y mantener sus controles con Hackmetrix?
Ramiro: Listo. Sí, yo creo que los beneficios se pueden traducir en dos aristas. El primero es el externo. Nosotros la principal motivación que tuvimos inicialmente para involucrarnos y abordar todo este camino en la ISO 27001 con Hackmetrix era poder demostrar entre prospectos de alto valor y clientes ya adquiridos que podíamos hacernos responsables de la seguridad de su información, de la confidencialidad, de la privacidad y que teníamos algo estructurado y bien montado.
El no tener eso terminaba convirtiéndose en un deal breaker. Un cliente o un prospecto de alto nivel que no pudiésemos demostrar que teníamos eso, pues, simplemente tenía que pararse de la mesa. Por más que tuviera una conquista y un enamoramiento de la tecnología o del producto, eso terminaba siendo una de las casillas obligatorias a poder chulear por parte de sus equipos internos.
Entonces, pues, ya una ventaja es que con esa 27001 en los controles adoptados, pues, pudimos capturar y todavía seguimos pudiendo llegar a ciertos clientes que de otra manera, pues, nos hubiesen tenido que cerrar la puerta. Y la otra arista que te decía, la interna, es que esa la descubrimos un poco después.
Y es que, pues, el tener ya estos controles adoptados también te da cierta estructura y cierta organización dentro de la compañía para saber que, pues, todos los ingenieros sí tienen una libertad creativa y además, en su desarrollo y demás, pero debe haber ciertos lineamientos que garanticen que ciertas buenas prácticas se están adoptando y, sobre todo, en temas de seguridad en la información que hoy en día, pues, es aún más crítico que hace, lo que yo recuerdo, tres años o cinco años o diez años, donde uno sí sabía que está, pero como que eso era cada vez más distante.
Hoy en día estamos aquí y todos somos vulnerables y susceptibles. Por eso, internamente, vimos que a los ingenieros les pudo dar una herramienta adicional para decir: “OK, esto es funcionalidad, pero esto también tiene que ser seguridad”.
Natalia: Perfecto. Justo te iba a preguntar eso de cómo ha cambiado la percepción de seguridad dentro de la empresa, pero gracias por darme la respuesta ahí en conjunto. Y también me gusta mucho, y lo resalto, que estás en la innovación tech pero con seguridad, lo tienes ya muy interiorizado y lo estás implementando en la empresa.
Consejo para Otras Empresas
Natalia: Teniendo esto en cuenta, me gustaría de pronto que le des un consejo a las empresas que no necesariamente buscan certificarse, pero sí necesitan o quieren mejorar su seguridad y, sobre todo, cuidar bien los datos de sus clientes.
Ramiro: Listo. Sí, no, ahí creo que se me viene muy directamente a la cabeza el refrán de: “No solamente es el destino, sino es el camino”.
Muchos podemos involucrarnos o abordar este camino pensando en: “Necesito certificarme, quiero tener el certificado ISO 27001”. Y eso puede ser un objetivo legítimo, pero realmente es el camino el que termina dando valor a hacer esa apuesta de tiempo, de dinero, de esfuerzo. Porque en el camino es donde justamente tienes que sentarte a pensar por ti mismo con tus equipos de desarrollo, de customer, de tecnología, de producto, comerciales y demás, y poderles justamente brindar herramientas adicionales de cómo estructurar mejor desde su rol unas prácticas mínimas o unas buenas prácticas de seguridad.
Entonces, la adopción de un ISO 27001 a nivel de controles lo que te va a traer inmediatamente como primer resultado es tener algo ya más tangible, más estructurado y algo a dónde ir para consultar cómo hacer las cosas para poder garantizar de manera no mínima, sino suficientemente la seguridad de la información de tus clientes y la tuya propia. Entonces, esos controles son los que terminan siendo la mayor ganancia en saber qué debo hacer, cómo lo debo hacer y por qué lo debo hacer para garantizar.
Y después, si ya en un segundo camino, como una consecuencia, puedes decir: “Oiga, para mí puede ser un retorno de inversión adicional el tener una certificación y el cartoncito en la oficina que diga que estamos certificados ISO 27001”. Pero ya la ganancia de tener elementos tangibles que utilizar y que se van de referencia a tu equipo de cómo reaccionar entre ciertas situaciones de seguridad, ese es el verdadero valor que nosotros nos dimos cuenta, que estábamos persiguiendo de manera inconsciente y después nos dimos cuenta, y es al que hoy día defendemos en el mantenimiento también de los controles.
Mejoras y confianza de clientes
Natalia 17:49-18:03 Ramiro, con todo este proceso, ¿has percibido mejoras concretas en la reducción de riesgos, en la mejora de respuestas auditorías de clientes, en esta alianza o en la alianza con proveedores o en la mayor confianza en la operación interna?
Ramiro 18:05-19:36 Sí, sí. De hecho, creo que todos los diferentes bullets que mencionaste podemos darle ahí alguna mención si quisiéramos en beneficios percibidos. Sí, yo quizás el que más resalto de todo es que definitivamente hoy en día, pues, el mundo, con todos los riesgos de seguridad que tiene hoy en día, son cada vez más las empresas allá afuera que están interesadas en tu producto y en tu compañía que necesitan exigir que tu compañía esté de acuerdo con estos mínimos controles que te muestra la ISO 27001.
Entonces, sí, un beneficio directo que hemos percibido es justamente podernos sentar a la mesa. Y cuando surge la pregunta de un gran prospecto o de un gran cliente de: “Bueno, ¿y ustedes cómo están garantizando la seguridad de mi información?” O te ponen por delante el famoso RFI (Request for Information) donde, pues, tienes un cuestionario a veces corto, a veces mediano, y si es muy largo en temas de seguridad, pues, ya eso no nos hace cogernos la cabeza y decir: “¿Y ahora cuánto tiempo vamos a necesitar para completar esto?”, sino casi que directamente es poder generar el reporte de estatus actual de nuestra ISO 27001 que generamos con Hackmetrix y resuelto ese tema.
Entonces, ya algo que tomaba a veces semanas o meses de negociación o a veces simplemente era un deal breaker, como te mencionaba anteriormente, pues, se convierte en temas de un par de días para dar por chequeado y seguir adelante con lo que comercialmente nos importa y es poder atraer nuevos clientes para poder beneficiar con nuestra solución.
Enfoque hacia el futuro
Natalia: Y bueno, yo creo que de pronto los que escucharon la intro pueden tener esta misma duda. Entonces, aprovecho para finalizar, y es: con todo eso de la Inteligencia Artificial, ¿tú cuál crees que vaya a ser el futuro de la ciberseguridad y de la implementación de estos controles, como tal, la inteligencia artificial y también en Datup?
Ramiro: Sí, bueno, como suele pasar no solamente en Inteligencia Artificial, sino en tantos campos, la tecnología suele tomarle mucha ventaja a la regulación. Solo hasta cuando ya hay un verdadero boom allá afuera y se empiezan a evidenciar cuáles son los riesgos más latentes, no solamente las ventajas, es que se necesita y se da cuenta que se necesitan adoptar ciertos controles adicionales y regular ciertos comportamientos que se pueden distanciar de la buena fe.
En ese sentido, pues, en Datup, obviamente nosotros internamente venimos mirando desde hace rato cuáles son los diferentes frentes que debemos cubrir para hacer un buen uso de la tecnología. Y, de hecho, pues, es nuestro interés ser uno de los abanderados de utilizar la tecnología y la Inteligencia Artificial para propósitos nobles, propósitos de crecimiento, de productividad, de reducción de cargas operativas, ese tipo de cosas.
Entonces, desde ya, incluso con Hackmetrix ha sido un aliado para entender también desde regulación qué se debe y se puede hacer para poder, justamente, lo que hicimos en su momento con una ISO 27001, también hacerlo con las normas que ya están por ahí flotando y que están empezando a sonar en temas de Inteligencia Artificial propiamente dicho.
Sabemos que nosotros, más temprano que tarde, vamos a tener, ya que empezar a prestarle especial atención a unas ISOs que ya empiezan a rondar por ahí, que están especializadas justamente en ISO 27001, porque nosotros, justamente dentro de nuestra propuesta de valor como diseñadores y desarrolladores de Inteligencia Artificial, nuestros clientes nos van a pedir esas garantías adicionales. Entonces, pues, desde ya estamos trabajando.
Ahí tenemos un aliado muy grande que es Hackmetrix, que ha hecho una tarea de estudio por nosotros y la cual agradecemos mucho, profundizando en esas ISO. Y seguramente eso ya es un plan que vamos a adoptar a principios del próximo año para empezar a mirar cómo complementamos esa 27001 y sus controles con las normas específicamente hablando de Inteligencia Artificial.
Natalia: Perfecto, o sea que se viene la 42001. Listo, Ramiro, muchas gracias por estar aquí, gracias por contarnos.
Ramiro: La 42001, correcto.
Natalia: Muchas gracias, Ramiro, por acompañarnos, por estar aquí, por contarnos tu experiencia con Datup y cómo han implementado los controles, cómo han apoyado a otras empresas con IA y cómo han concientizado a toda la empresa en pro de la seguridad de la información.
Ramiro: Natalia, no, a ti muchas gracias por la invitación y charlar de estos temas. Siempre muy abierto a compartir con los demás miembros de la comunidad que quieran empezar este camino o que ya vayan transitando por él, compartir experiencias. Entonces, siempre aquí muy dispuesto a charlar de nuevo.
Natalia 19:39 Listo, Ramiro. Ahora sí, eso sería todo. Muchas gracias por tu ayuda.
Otras empresas que se certificaron con Hackmetrix:
Escrito por: Rayen Espinoza
Pasante de marketing