Reconocidos como uno de los principales socios de Microsoft en Europa, Tokiota está especializada en modernización de aplicaciones, workplace moderno, seguridad e inteligencia artificial y big data. Mario Cortés Flores es el director de App Innovation & Power Platform en Tokiota, y con quien hablamos, entre otras muchas cosas, sobre cómo se está llevando la ciberseguridad al desarrollo de código, y más ahora que llega NIS2 y la inteligencia artificial. Lo primero que le pedimos es que nos cuente cuál es la visión de Tokiota sobre la ciberseguridad, si es una prioridad de estrategia o más una medida reactiva.
En Tokiota, “la ciberseguridad es un eje estratégico que atraviesa todas nuestras áreas principales: infraestructura, datos y desarrollo de soluciones”, asegura el directivo, añadiendo que no se trata como un servicio aislado, sino como un “valor transversal que aporta diferenciación a nuestros proyectos”.
Nos cuenta Mario Cortés que, en infraestructura, la compañía se enfoca en crear entornos cloud seguros, que en el área de datos se garantiza la seguridad y el gobierno durante el procesamiento y la transformación de datos y, en el desarrollo de soluciones, “integramos la seguridad en todo el ciclo de vida del desarrollo, lo cual es crucial, ya que los equipos técnicos suelen priorizar otros aspectos”.
Por otra Tokiota adapta los servicios según la madurez en ciberseguridad de cada cliente; “para aquellos que ven la seguridad como estratégica, ofrecemos soluciones completas que incluyen desde la definición hasta la monitorización. Con clientes menos conscientes del valor de la ciberseguridad, incorporamos estos principios de forma natural en nuestros proyectos, asegurando calidad y protección sin que sea una barrera”. Se trata, asegura el directivo, de un enfoque flexible y personalizado que “nos permite abordar las necesidades específicas de cada cliente, haciendo que la ciberseguridad sea parte integral de nuestras soluciones”.
Tokiota ha implementado un enfoque integral para garantizar la ciberseguridad en sus proyectos, integrando a los especialistas en seguridad desde las primeras etapas del ciclo de vida del desarrollo de software. Explica Mario Cortés que esta colaboración estrecha entre los equipos de desarrollo y seguridad “ha permitido identificar y mitigar proactivamente los riesgos, asegurando que las soluciones sean robustas y resistentes a las ciberamenazas”. Desde la concepción de un proyecto hasta su implementación, se llevan a cabo evaluaciones de seguridad continuas y se aplican las mejores prácticas de la industria para proteger los sistemas y datos de la empresa. “Este enfoque no solo cumple con los requisitos regulatorios, sino que también fortalece la confianza de los clientes y protege la reputación de la organización”, asegura.
Mario Cortés destaca la dificultad de implementar DevSecOps en la práctica debido a la escasez de profesionales que combinen conocimientos en desarrollo, infraestructura y seguridad. Para superar este desafío, la empresa ha integrado expertos en ciberseguridad en los equipos de desarrollo. Estos especialistas colaboran estrechamente con los desarrolladores para asegurar que la seguridad sea una prioridad en cada etapa del proceso. Además, la cultura de automatización existente en la empresa ha facilitado la incorporación de controles de seguridad en los flujos de trabajo automatizados. En resumen, la empresa ha logrado avanzar en la implementación de DevSecOps gracias a una combinación de colaboración entre equipos, contratación de expertos y aprovechamiento de las tecnologías existentes.
Preguntado por cuán dispuestos están los desarrolladores a adoptar seguridad, explica el directivo de Tokiota que, dentro del equipo, se diferencia entre perfiles clave, como DevOps, arquitectos y tech leads, que desempeñan un rol estratégico, y los desarrolladores, “con quienes trabajamos principalmente en la concienciación y la adopción de buenas prácticas”. Pone como ejemplo que algo tan simple como evitar almacenar credenciales en archivos planos puede marcar una gran diferencia en la seguridad, ya que prácticas inadecuadas como esta pueden escalar rápidamente en un entorno de trabajo amplio. Para abordar estos aspectos, el equipo de ciberseguridad organiza sesiones de formación orientadas a la gestión segura del código, la estructuración de artefactos y la prevención de vulnerabilidades habituales detectadas en pruebas de penetración. Además, los tech leads se encargan de garantizar que estas prácticas se integren en la rutina diaria del equipo, asegurando que nadie se desvíe de los estándares establecidos. Además, la compañía proporciona “herramientas que no sólo protegen y previenen problemas potenciales, sino que ayudan a detectar errores o vulnerabilidades a lo largo del proceso de desarrollo. “Este enfoque integral nos permite mantener altos niveles de seguridad y calidad en nuestros proyectos”, asegura Mario Cortés.
“integramos la seguridad en todo el ciclo de vida del desarrollo”
Preguntado por cuáles han sido los retos o cambios más trascendentales en el desarrollo de software en los últimos años, responde el directivo que se ha experimentado una transformación significativa impulsada principalmente por dos factores clave: la consolidación del cloud computing y la adopción de la contenerización. Nos contaba durante la entrevista que la migración al cloud ha revolucionado la forma en que se desarrollan y despliegan las aplicaciones, ofreciendo escalabilidad y flexibilidad, “sin embargo, esta transición ha traído consigo nuevos desafíos, como la necesidad de diseñar aplicaciones más modulares y comprender los servicios en la nube. Por otro lado, la contenerización, con tecnologías como Docker, ha facilitado la portabilidad y el despliegue de aplicaciones. No obstante, la creciente complejidad de las imágenes de contenedor y sus dependencias ha generado preocupaciones en torno a la seguridad y la trazabilidad. La gestión del ciclo de vida de estas imágenes y la detección de vulnerabilidades se han convertido en tareas críticas para los equipos de desarrollo”. De forma que los desarrolladores se enfrentan a la necesidad de adaptarse a estos nuevos paradigmas tecnológicos, adquiriendo conocimientos en cloud computing y contenerización, y colaborando estrechamente con equipos de ciberseguridad para garantizar la protección de las aplicaciones porque, como explica el directivo, “si tú tienes muy bien controlado todas las dependencias de tus imágenes del contenedor, si mañana hay algún tipo de problemática, va a ser mucho más fácil solucionarlo y trazarlo que no si lo has dejado al libre albedrío”.
Entendiendo que Tokiota ha adoptado una estrategia integral de DevSecOps para asegurar la calidad y seguridad de sus desarrollos, y que esta práctica implica la incorporación de medidas de seguridad en cada etapa del ciclo de vida del software, desde la concepción hasta la producción, nos cuenta Mario Cortés que algunas de las herramientas que utilizan son como GitHub Security, SonarQube y GitHub Copilot, que permiten realizar un análisis exhaustivo del código para identificar y mitigar potenciales vulnerabilidades.
“Para proteger los entornos de desarrollo, se utilizan soluciones como Windows Intune y Codespaces, que ofrecen un entorno de trabajo seguro y aislado”, asegura, añadiendo que también se han implementado medidas de seguridad específicas para la nube, como Azure, con el fin de proteger los datos y las aplicaciones. Además, con el objetivo de identificar y clasificar los datos sensibles, “se emplea Azure Pureview, lo que permite tomar medidas preventivas para evitar fugas de información”.
“los clientes han comprendido que la IA generativa es una realidad inevitable en los próximos años”
Impacto de la IA generativa
“Llevamos dos años trabajando con Microsoft en proyectos de IA generativa, utilizando principalmente Azure OpenAI y Copilot”, dice Mario Cortés cuando le preguntamos por el impacto que, en su trabajo, tiene la explosión de los LLM. Explica que, durante este tiempo, “hemos realizado más de cien proyectos e implementado múltiples casos de uso en diversas áreas y empresas” y que su enfoque se centra en tres pilares. Dado que son diferentes de otros tipos de proyectos, el primer pilar ha sido “industrializar la forma de abordar proyectos de IA generativa. Para ello, creamos un Centro de Excelencia (COE) al que llamamos factoría, que reúne un pool de consultores con perfiles diversos como desarrolladores, arquitectos, especialistas en IA y prompting, entre otros”, lo que permite a Tokiota gestionar múltiples proyectos de manera eficiente, aprovechar aprendizajes entre ellos y evitar abordarlos de forma aislada.
El segundo pilar ha sido el desarrollo de aceleradores que optimizan costes y tiempos, “permitiendo implementar casos de uso rápidamente sin empezar desde cero. Esto es clave, ya que muchos clientes abordan la IA generativa sin una estrategia clara, mientras que nuestro enfoque estratégico maximiza el retorno al reutilizar plataformas y herramientas comunes para múltiples casos de uso”.
Por último, se ha incorporado un enfoque más orientado al valor. Antes de implementar un proyecto, se analiza el caso de uso desde la perspectiva del ROI y el impacto en el negocio, “asegurándonos de que la inversión tenga un beneficio tangible y no se quede en una prueba de concepto”. Este enfoque integral “nos permite no solo implementar la tecnología, sino también garantizar su impacto y sostenibilidad en los negocios”, asegura el directivo de Tokiota.
Los clientes, ¿tienen claro cómo abordar un proyecto de IA generativa? “Aunque algunos están muy avanzados, la mayoría aún necesita mejorar la generación de ideas y definición de casos de uso”, responde Mario Cortes asegurando que, en general “los clientes han comprendido que la IA generativa es una realidad inevitable en los próximos años. Algunos ya están adoptándola plenamente y obteniendo beneficios claros, como mayores eficiencias y ventajas competitivas, mientras otros aún están en fases iniciales, como pruebas de concepto (POC)”. Comenta el directivo que a menudo los clientes llegan con una lista extensa de posibles casos, “pero nuestro enfoque es ayudarles a priorizar y optimizar” y que el desarrollo de los mismos puede variar dependiendo del caso de uso; “en algunos casos, los aceleradores y herramientas como Copilot permiten una implementación rápida y con poco desarrollo a medida, logrando un buen time-to-market. Sin embargo, los casos más complejos sí requieren un trabajo más detallado y personalizado”, comenta.
“en cinco o seis años el desarrollo de software será completamente distinto a lo que conocemos hoy”
Nos cuenta e,l directivo que una de las principales preocupaciones de los clientes, además de que los modelos no se entrenen con sus datos, es garantizar que nadie acceda a información a la que no debería. Explicando que en los proyectos de IA se con documentación extremadamente sensible, como contratos y otros datos confidenciales, que proporcionan contexto valioso para los modelos, “los clientes nos exigen medidas estrictas para evitar que alguien formule una pregunta y obtenga una respuesta basada en información a la que no tenía acceso autorizado. Este es un aspecto clave en el que estamos centrados en todos nuestros proyectos de IA, implementando controles y mecanismos para proteger la confidencialidad y restringir el acceso según los permisos establecidos”.
Mirando hacia el futuro desde un presente que apenas vislumbra lo que se puede hacer con una inteligencia artificial generativa, tiene claro Mario Cortés que “en cinco o seis años el desarrollo de software será completamente distinto a lo que conocemos hoy”. Recuerda que en Tokiota ya se ha empezado a adoptar la IA generativa en los equipos, “buscando mejorar la eficiencia del código, reducir errores y detectar posibles problemas de forma anticipada”. Pero esto no queda aquí porque “en Tokiota aspiramos a ser una compañía AI-first, es decir, integrar la IA en todos los procesos”, y eso significa integrarlo en desde la captación de leads, el diseño y desarrollo de proyectos, hasta el despliegue, mantenimiento y facturación; “no buscamos que sea un cambio absoluto, pero sí que la IA esté presente en cada etapa para transformar la manera de pensar y trabajar dentro de la organización”.
Explica el directivo que, en el desarrollo de software, gran parte del código es repetitivo y que herramientas como Copilot ayudan a hacerlo más predecible y eficiente. El momento ha generado una reflexión dentro de la compañía, que seguro que se ha hecho en otras cientos, o miles: “Si incorporamos estas herramientas de manera efectiva, podríamos alcanzar nuestras metas sin necesariamente incrementar tanto el equipo, optimizando recursos y procesos de forma global”, dice el Director de App Innovation & Power Platform de Tokiota.
