La Protección de Datos (o Data Protection, si se prefiere) es una categoría peculiar del mercado de las TI, con un número creciente de competidores que – es sintomático – coinciden en su disposición a cooperar: entre ellos y con los especialistas en seguridad, más numerosos aún. Lidera la categoría la estadounidense Commvault. Con cinco lustros a sus espaldas, se apresta a cerrar en marzo el mejor año fiscal de su historia, según prevén los analistas. En noviembre, anunció un salto cualitativo que en los próximos días llegará al mercado español: evoluciona desde su oficio de origen con la finalidad de ser reconocida como compañía de resiliencia de datos; el matiz importa mucho, como se verá.
César Cid
El cambio de eje de Commvault es oportuno (y probablemente buscado), porque antecede a la entrada en aplicación de DORA (Digital Operational Resilience Act), directiva europea que las empresas domiciliadas en la UE deberán cumplir a partir de enero del 2025.
Al cierre del tercer trimestre, el CEO de Commvault, Sanjay Mirchandani, estimó que el año fiscal se cerrrará en marzo con unos 830 millones de dólares de facturación, en la que destacó un crecimiento del 25% interanual de los ingresos recurrentes por suscripciòn, algo superiores al 50% del tota.
Por estas razones, ha sido igualmente oportuna la posibilidad de conversar con César Cid, director de tecnología de Commvault para el Sur de Europa. Ha sido necesario comprimir la prolija entrevista en la que ha descrito en detalle la estrategia de la compañía y en qué circunstancia de mercado se inserta.
¿En qué punto de su evolución se encuentra la Protección de Datos y, en su caso, la estrategia de Commvault?
Tradicionalmente, la seguridad y disponibilidad del dato, cuestiones que forman parte de la misma semántica que la protección, han sido tratadas pensando más en el perímetro que en el dato. Después de un cuarto de siglo de existencia, Commvault sigue considerando que en este mercado –podria discutirse dónde empieza y dónde termina, pero no creo que nos condujera muy lejos – nuestro papel es proteger los datos de nuestros clientes y parece que lo hemos hecho bien. No es que lo diga yo, sino consultoras como Gartner, Forrester o GigaOm, que nos sitúan como lideres de la categoría. Ahora bien, el dato sigue siendo un activo crítco, por lo que, además de protegerlo, tenemos que asegurarnos de su disponibilidad y de la posibilidad de modificarlo, de moverlo de una plataforma a otra en caso de necesidad, lo más rápidamente que sea posible.
¿Puede ser más preciso en cuanto a la marcha del negocio?
Encantado. Si lo más importante es el dato y a su alrededor tengo que crear las capas de protección, como si fuera una cebolla […] y si dispongo de herramientas de backup y recuperación, ¿qué más puedo añadir? Somos capaces – le aseguro que en esto somos únicos – de determinar dónde están los ficheros que no deberían estar en ciertas ubicaciones fisicas y lógicas, así como quiénes pueden acceder a ellos.
Así dicho, suena fácil
No lo crea […] Hace poco he leído un informe con esta dura conclusión:”el 60% de las empresas reconocen no tener visibilidad completa de dónde han ido a parar sus datos, muchos de ellos criticos […]”. La pregunta que surge naturalmente es esta: si no saben dónde están, ¿cómo van a hacer para protegerlos y gestionarlos?
El procedimiento de protección – luego hablaremos de recuperación – ¿es clásico o en qué se ha innovado?
Si por clásico entiende sembrar trampas en cualquier sistema o aplicación, me vale: cualquier activo que tenga una IP puede ser convertido en un señuelo. Son ligeros y actúan de la misma forma que lo haría un sistema origen, pero sin la necesidad de mantenimiento que requiere desplegar ficheros que actúen como canarios […] Podemos asegurar que un hacker no va a encontrar vulnerabilidades explotables. Al fin y al cabo, no somos una compañía de seguridad, somos una compañía de ciberresiliencia; por consiguiente, no pretendemos ser un jugador único, sino tener conexiones e integración con terceros.
¿Cómo cruza Commvault la línea entre data protection y data resilience?
Es una necesidad del mercado. Hay ahora tres megatendencias que tener presentes. Una es la cloud híbrida, por lo que es importante que los datos puedan moverse entre distintas nubes. Es raro que una empresa tenga un solo proveedor, pero podemos acompañarla para que soporte las cargas: según IDC, el 89% han adoptado el modelo multicloud. Es un hecho. La segunda tendencia es la inteligencia artificial, que trae muchos beneficios a la vez que muchos retos: todos los actores maliciosos están usando IA para crear malware y, por esto, está perdido quien crea que puede parar con medios humanos los ataques polimórficos creados con IA y que pueden atacar cientos de sitios a la vez.
[…] ¿Y la tercera tendencia?
El ransomware, grave problema para el que tenemos herramientas propias que se integran con las de seguridad, porque está comprobado que el 99% de los ataques actuales van dirigidos contra la producción y el backup.
Hablemos de ransomware, entonces
[…] El coste de parar un negocio puede ser brutal. La media de tiempo es de veintiún días desde que la empresa recibe la exigencia de rescate y el momento en que sus sistemas vuelven a estar en producción. Sin contar el período `durmiente´, mientras el ataque está en espera del momento de dar el golpe, que suma de media 204 días. Lo que significa que, una vez ocurra el ataque, la empresa tendrá como última línea de defensa un backup sólido y estable y será capaz de recuperar limpiamente cualquier entorno libre de malware.
¿Se salva de pagar rescate a partir de entonces?
De eso se trata. Vuelvo a dar unas cifras: el 75% de quienes han sufrido un ataque de ransomware vuelven a pasar por la experiencia al año siguiente, aunque hayan pagado la primera vez.
¿Por qué es tan importante la nueva oferta de Coomvault?
Hemos pasado de ser una compañía orientada a la protección del dato a ser una plataforma de ciberrresiliencia. La novedad se llama Commvault Cloud y el mayor lanzamiento en la historia de la compañía. Tenemos, por un lado, la capa de control: cada usuario tiene acceso a según qué en cada momento y esto lo tenemos integrado con Cyberark y otras capacidades de autenticación multifactor. Somos capaces de proteger la información para que nadie tenga acceso al backup con intención de borrarla o cifrarla y, por lo tanto, se evita el pago de rescate. Por otro lado, desde lo que llamamos data plane, que nos da capacidad de indexar la información y de minimizar el riesgo de que ciertos ficheros estén donde no deberian estar.
¿Cambia en algo la fase de recuperación?
Cleanroom Recovery, el concepto de sala limpia inspirado en la industria farmacéutica, lo empleábamos on-premise desde hace tiempo: montamos una imagen de la amenaza y si detectamos que el ataque viene desde hace cuatro o seis meses, por ejemplo, marcamos los ficheros como infectados y al proceder a la restauración, esos ficheros no vuelven al sistema, con lo que garantizamos que lo que se está recuperando está plenamente libre de virus. Lo nuevo es que, además de on-premise, podemos hacerlo en la nube a través de Azure.
Hace un momento ha dicho que no interesa a Commvault ser un jugador único. ¿Qué significa?
Hay que tener en cuenta que el número medio de herramientas de backup de que dispone cada empresa oscila entre cinco y dieciséis – no hablo de clientes de Commvaut, que normalmente las unifican tras la compra […] La fragmentacion es el enemigo de la seguridad en el mundo empresarial […] El punto débil de la Protección de Datos, ha dicho la Comisión Europea, es la dispersión de productos: un cliente, normalmente, ha de seleccionar entre cinco a dieciseis herramientas distintas.
Igual pasa en el mercado de la seguridad, reacio a la consolidación: crece a la vez que se fragmenta.
La diferencia está en que si tengo toda mi seguridad con un proveedor, el punto de fallo es único: si a ese proveedor se le ha escapado, por el motivo que fuera, una vulnerabilidad, el cliente tiene un problema muy serio […] En el sector de la seguridad puede ser sano contar con distintas fuentes de inteligencia, mientras que en Protección de Datos, sería impensable tener personas formadas para trabajar en siete plataformas o en siete productos de backup. No sólo por los costes, sino porque no se hablan entre ello. Por esto, nuestra aproximación es contar con una plataforma única tanto para backup como para ciberresiliencia. Tenemos API abiertas con los demás y de ellos con nosotros.
¿El modelo de negocio es fundamentalmente de suscripción?
No, no está completamente asociado a la suscripción. Realmente, nos adaptamos a lo que prefieran los clients. A unos les gusta la suscripción para cambiar capex por opex y es verdad que el mercado está tomando esta dirección: un modelo de licenciamiento moderno y predecible. Los menos prefieren seguir con licencias perpetuas aunque en casos cada vez más residual . En el caso de Metallic, nuestro producto basado en SaaS, es 100% suscripción. Recientemente hemos simplificado y adaptado a las necesidades del cliente nuestro modelo de licenciamiento.
Este viraje hacia un nuevo modelo, ¿tiene algún efecto sobre los roles corporativos en los clientes de Commvault?
Muy interesante […]. Lo que voy viendo entre los clientes o candidatos a serlo es que, primero, el CISO se sienta en el comité de dirección junto al CEO, al CFO, etcétera, lo que es una forma de asumir que la seguridad es crítica para el negocio . En segundo lugar, los equipos de backup y recuperación de datos empiezan a reportar al CISO, implicando que las empresas se dan cuenta de que esa conexión y la última línea de defensa de las tres R (risk, readiness y recovery) son críticas porque el ransomware aprieta otra vez.
La responsabilidad de un CISO está incorporando la Protección de Datos, desde el backup tradicional a la infraestructura, no es quien decide si pagar o no […]
Cierto, pero su papel se ha fortalecido, sin ninguna duda. Además, pronto podría tener responsabilidades penales con la entrada en vigor de DORA (Digital Operational Resilience Act