Estimulante encuentro con Duncan Brown, analista que dirige en Londres la filial de la consultora Pierre Audoin Conseil. Tema: durante años, se ha preconizado la concentración de las empresas que atienden el mercado de ciberseguridad, pero en la práctica ha ocurrido lo opuesto: han proliferado las compañías nacidas para resolver nuevos problemas o aplicar nuevos conceptos a los problemas de siempre. La consolidación es inevitable, de todos modos, razona Duncan. «Si yo fuera CISO (chief information security officer) me gustaría tener un proveedor único, del mismo modo que mi empresa trabajara, es una hipótesis, con software de SAP o de Oracle, pero la seguridad no funciona así, y esto se debe en parte a la historia y en parte a su complejidad intrínseca». Pero la industria marcha hacia un marco de gestión unificada de la seguridad, las herramientas para llegar a ese extremo están en sazón, pero nadie está en condiciones de ofrecer la cesta completa.
¿Es realmente inevitable, Duncan? Sólo dos días antes de la conversación, Symantec decidía escindirse en dos compañías, una de ellas dedicada en exclusiva a la seguridad, volviendo a la situación de hace nueve años, «con una diferencia: en lugar de diversificarse, a Symantec le ha llegado la hora de ajustar el foco de su portfolio, por lo que esta rama probablemente hará una o más adquisiciones en los próximos 12 o 18 meses».
No será un caso excepcional, dice el analista. HP se ha convertido en una potencia en el mercado de seguridad, pero por eso mismo necesita tener una agenda para reforzar su oferta, y esto implicará adquisiciones. Cisco, en su estrategia expansiva, está haciendo lo mismo. IBM ha hecho no menos de tres adquisiciones en el segmento de seguridad durante los 12 últimos meses. En todos casos, la otra cara de la moneda son compañías pequeñas y con pocos clientes, pero interesantes desde la óptica de la propiedad intelectual. En este mismo plano, FireEye ha pasado a ser un actor estratégicamente importante desde que compró Mandiant. «En las transacciones que hemos conocido, destaco el hecho de que las compañías de seguridad se han valorizado, y por tanto quien quiera comprarlas ya sabe que pagará altos precios».
¿Qué problema tiene la fragmentación, Duncan? «Gestionar la seguridad con piezas dispares es una migraña permanente, y de ahí viene la tendencia a externalizarla como servicio. Pero a los CISOs no les gusta el outsourcing de sus funciones: defienden la visibilidad y control de aquello que está bajo su responsabilidad. En este momento, por mucho que se resistan, la dirección del viento lleva a la externalización, proyecto a proyecto. Esto favorece a los grandes de la industria TI, cada uno con su propia rama de seguridad».
Las alianzas forman parte del paisaje de esta industria. «En parte – apunta Brown – como respuesta a las demandas de los CISO, y en parte debido a las presiones de los gobiernos, cada vez más preocupados por lo que se les ha escapado de las manos». De allí viene, explica, la norma según la cual la compartición de la inteligencia sobre amenazas es un imperativo en esta industria: «aquel que encuentra una vulnerabilidad, la comparte con sus competidores, en lugar de extraer ventaja; otra cosa es que su marketing presuma de haber sido el primero, lo que carece de importancia real».
Otro problema, que me reservo para una crónica próxima, es el hecho de que los costes de los daños causados por fallos de seguridad son más altos y crecen más rápido que los presupuestos destinados a seguridad. El amigo Duncan tiene su punto de vista: «tradicionalmente, la seguridad se ha considerado una cuestión de infraestructura, y la gente que se ocupa de las aplicaciones no se habla con la de infraestructura, son equipos separados; este es un malentendido que se va superando lentamente, pero todavía no se ha encontrado el equilibrio necesario». Qué pena no haber tenido tiempo para más.