Un estudio reciente de Palo Alto Networks calcula que la media pagada como rescate para recuperar sus datos secuestrados asciende a 541.000 dólares. Otro, publicado la semana pasada días por VMware, advierte de que el 74% de las entidades financieras ha experimentado al menos un ataque de ransomware y el 63% pagó rescate a los delincuentes. Son dos apuntes que enmarcan la conversación con Eulalia Flo – no es la primera en la historia de este blog – en la que se aborda la interesante coyuntura del mercado de protección de datos en la región ibérica. En nueve meses de su año fiscal, los ingresos globales de Commvault han sumado 563 millones de dólares; los totales se conocerán el mes próximo.
Eulalia Flo
Los resultados de la corporación llevan una buena racha. No pretendo que desglose las cifras, pero sí conocer sus impresiones sobre el mercado ibérico.
No veo inconveniente en decir que en España y Portugal vamos muy alineados con la tendencia de los resultados globales y que nuestro crecimiento va por delante de los del mercado en estos dos países. La razón, creo que es justo destacarlo, está en que ponemos mucho foco en ganar nuevos clientes. Por supuesto, también contribuyen los ingresos generados por los clientes existentes, porque somos partícipes de su evolución tecnológica y así aumenta nuestra presencia en el mercado […] de manera que mi impresión es que conseguimos combinar ambas corrientes.
¿En qué medida influye la transición de Commvault al modelo SaaS en esa progresión que describe?
Estoy convencida, porque lo que vivo cada día, de que la introducción de Metallic, nuestra oferta SaaS, ha sido una influencia perfecta para nuestra entrada en nuevas cuentas. Porque la protección de datos es un mercado maduro, lo que no significa que no haya mucho movimiento, sino que requiere nuevas fórmulas. La pandemia lo ha acelerado haciéndolo más evidente, pero es algo que venía de antes. Sería raro que, al hablar por primera vez con una empresa a la que no conocemos, nos encontremos con que no tiene ninguna protección de sus datos. En la práctica, esto complica las cosas en la medida en que esa empresa se enfrentará tarde o temprano a una decisión que nunca es fácil de abordar: la solución que tiene en casa y que ha comprado hace tiempo, ¿es adecuada para atender sus necesidades y no digamos las futuras?
¿Qué ha exigido esa transición dentro de la compañía?
Como casi todas las compañías de software, hemos pasado del modelo de licencia perpetua al de suscripción. Obviamente, tiene implicaciones a corto plazo en la forma de contabilizar los ingresos. Estamos hablando de una tasa de crecimiento global del 16%, lo que quiere decir que si siguiéramos con el modelo tradicional el porcentaje podría ser superior. Ahora bien, si lo que pregunta es cómo nos está yendo en España, creo que las empresas españolas están abiertas a estos nuevos modelos. Aunque a veces, desde fuera, suele decirse que somos un país poco innovador, nuestra experiencia es que está predispuesto a adoptar las nuevas tendencias.
Sin embargo, ha dicho que una parte de las empresas dudan antes de decidirse a invertir en la sustitución de lo que tienen […]
Y, por lo tanto, que esa decisión les lleva tiempo. Es comprensible. En cambio, los proyectos nuevos se deciden normalmente con rapidez: no hay antecedentes que los condicionen y lo que se debe proteger suele ser un entorno nuevo, o al menos reciente, que no arrastra políticas anteriores. En esta línea, Metallic nos está ayudando muchísimo.
¿Qué es lo que las lleva a esas empresas a buscar una protección distinta?
Hay de todo, como es natural, pero últimamente nos han pedido mucha protección de Office 365. Me adelanto a decir que no deja de asombrarme que, a estas alturas, todavía haya clientes que siguen ninguneando la necesidad de proteger sus datos, en algún caso incluso después de haber pasado por un incidente de ransomware. Pero vuelvo a la pregunta: la aceleración de proyectos en la nube ha atraído clientes hacia Commvault. No se debe solamente a que el mercado va en esa dirección, sino a que hemos sabido montarnos en esa tendencia en la que la compartición de la información se ha agudizado hasta extremos desconocidos. En las organizaciones de todo tipo se ha tomado más conciencia de la importancia de los repositorios de información, que por lo general contienen datos no estructurados. A menudo, cuando esas organizaciones se preguntan dónde está una información que de pronto vuelven a necesitar, lo lógico sería pensar que están en una gran base de datos, sólo habría que encontrarlos. Pues no necesariamente es así: sigue habiendo mucha información dispersa, que use ha extraído para preparar informes, para tomar decisiones, etcétera. Hay mucha información confidencial que van a encontrar en una base de datos, pero merece estar debidamente protegida.
Es de sentido común, ¿no?
Tal vez. Hace algunos años, hablando con un responsable de una teleco, me decía que perdían información de sus campañas de captación de clientes, que estaba en hojas de cálculo. Una vez usadas, ya no las necesitaban, pero observaron que esas hojas de cálculo llegaban a manos de la competencia […] Todos queremos creer que tenemos bien protegidos nuestros activos críticos, pero esto no siempre es cierto. Muchas veces, ante un ataque de ransomware, la motivación para pagar un rescate responde al interés en que no trasciendan cosas que, si lo piensas, no son banales: listas de teléfonos o de correo de clientes, planes de marketing, proyectos de expansión o de adquisición […]
A propósito de ransomware, creo ver algo curioso: se bifumina la frontera entre las empresas que por su origen son de almacenamiento de datos y las que nacieron para proteger esos mismos datos. Las primeras dicen estar preparadas para el papel de las segundas, pero estas – Commvault, entre ellas – no podrían convertirse al negocio de almacenamiento, que es de otro rango.
Lo que buscan esas compañías a las que se refiere es ofrecer una solución propia al problema de la protección de datos; esto es legítimo, pero su inercia les lleva a pensar que la respuesta al problema es meter más disco […] Al final, todo consiste en replicar, copiar y almacenar ¿no? El papel del software es orquestar y dar inteligencia, pero en el fondo lo que importa es vender más almacenamiento […]
¿Vender hardware?
Exactamente. Ahora mismo se plantea un problema de escasez de componentes que está obligando a retrasar proyectos de inversión. Pero, además, está la sostenibilidad. Si miramos las predicciones a muy largo plazo sobre cómo puede evolucionar la tecnología con la inteligencia artificial, el mundo podría verse ante un escenario que requeriría nuevas formas de generación de energía […] Nuestra visión de la protección de la información no consiste en añadir más infraestructura; de hecho, muchas de las soluciones de Commvault dan al cliente la tranquilidad de que no va a necesitar una capa adicional para estar realmente protegido.
En esa ecuación entrarían también las empresas de ciberseguridad
Hay que considerar dos elementos. Uno es la capacidad de detección que aportan las empresas de seguridad, pero tras la detección se requiere otra, la de recuperar la información volviendo a un estadio previo cuidando que en esta recuperación se pierda lo menos posible. Un segundo elemento es la inteligencia. Porque cuando hablamos de protección de datos, los escenarios son múltiples. Ahora mismo, el ransomware ocupa el centro de la escena, pero mañana o pasado mañana quizá prevalezcan otros riesgos […] Commvault está preparada para esa diversidad de escenarios.
La tecnología que usan los delincuentes está siempre al día y avanza continuamente […]
No solamente eso. También los errores humanos son creativos, si puedo decirlo así. Y como los datos son cada vez es más importantes para la continuidad del negocio, no se trata sólo de protegerlos, sino de un conocimiento que facilite la toma de decisiones. Francamente, pienso que muchas organizaciones no tienen un conocimiento suficientemente profundo del caudal de información que manejan. Suponga que vamos a un cliente – es un caso real – y nos pregunta, lógicamente, cuanto le va a costar la protección de sus datos. Bueno, depende de cuántos datos tenga […] Le damos una estimación y nos dice, pues a lo mejor no necesito proteger una parte. Como me oye. Si no los va a proteger, mejor borrarlos. Ah, eso sí que no.
Una anécdota curiosa, desde luego
Curiosa pero no excepcional. Nos hemos encontrado a menudo con la peliaguda cuestión de las TI en la sombra, cuando determinado departamento que tiene capacidad de gasto propia contrata cosas por su cuenta y, como no son conscientes de lo que hay por debajo, toman decisiones erróneas que generan costes superiores a los que supuestamente se han ahorrado. ¿Sabe por qué? Porque nadie se ha puesto a evaluar cómo están implantadas las soluciones o bien porque no se gestionan adecuadamente las copias de seguridad. A estas alturas hay gente que aún no entiende la diferencia entre alta disponibilidad y copia de seguridad.
[risas] Creo que estoy entre esa gente. ¿Me lo explica?
La alta disponibilidad consiste en que, si se cae un nodo, inmediatamente se pone en marcha otro nodo. Cuantos más nodos tenga, más fácil será la replicabilidad de los datos, pero ¿qué pasa con los que hay por debajo? Si alguien hace un borrado masivo para lo que tiene permisos, los borrará y habrá montado un desastre.
Suena a problema cultural más que tecnológico […]
Cualquier alto directivo de hoy tiene que saber a dónde van las grandes tendencias de la tecnología. Y esto es algo cada vez más corriente incluso entre los que no están directamente relacionados con las TI, pero todavía vemos un gap importante de conocimiento […] Lo importante es que los directivos entiendan de qué va la tecnología, qué puede aportarles y cuáles son sus limitaciones y riesgos. No es difícil entender que la continuidad del negocio pasa por la resiliencia de la tecnología en la que se sustenta.
Conocemos compañías surgidas en los últimos años que tienen la ventaja de la frescura y la desventaja de la inexperiencia [….
En Commvault somos muy conscientes de que los datos acumulados vienen de generaciones sucesivas, que no hay estandarización y que una estrategia de protección tiene que valer para lo antiguo y para lo nuevo. Sabemos que es más fácil ganar clientes cuyos entornos son nuevos
[…] que suelen venir con componentes de protección incorporados. De serie, como quien dice
Sí, pero cuando los proyectos se hacen más grandes, algunos contextos de protección no son tan eficientes […] Nosotros estamos en una posición que me parece de privilegio: somos capaces de proteger lo tradicional tan bien como protegemos lo nuevo. No por antigüedad: en lo nuevo, somos pioneros en algunas áreas, como proteger de forma nativa las cargas de trabajo, con lo que reducimos los tiempos de recuperación. Y también somos más eficientes en el despliegue: en ciertos casos, los costes de proteger un entorno en la nube con Commvault son hasta un 25% más bajos que con otras soluciones del mercado. El despliegue de nuestras soluciones en la nube es mucho más fino, ocupa una huella menor.
Puede que sea cuestión de antigüedad. Las empresas nacidas en los cinco últimos años no se han creado para proteger lo que llamamos legacy […]
Acaba de señalar una gran diferencia. En una primera fase de auge de la nube, se subían sólo aplicaciones de nicho. Concretas y autocontenidas; tal vez hicieran alguna llamada a base de datos, pero sólo algunas eran nativas digitales, el resto se quedaría allí donde estaba. Pero esta ha sido y es una fuente potencial de problemas: si se cae la base de datos, recuperas la base de datos y para esto puedes tener una solución distinta a la que tienes en la nube, pero como tengas una debilidad masiva de la información, mal.
¿Por qué es una ventaja para Commvault?
Es nuestro punto fuerte. Otro acierto de Commvault es que otras compañías han ido creciendo a base de comprar e integrar, con lo que han acabado montando una especie de frankenstein que comercializan como si fuera un producto único, pero en realidad son varios cuyo hilo conductor es discutible. Commvault no tiene ese problema. En su momento, 2019, compró Hedvig y la incorporó a su back end storage para entornos específicos de backup. Hace poco, adquirió una compañía de seguridad israelí, TrapX que procedió a integrar muy rápidamente, pero el núcleo de protección de datos ha ido creciendo con desarrollos propios, incluso en Metallic. El código es el mismo que en las soluciones que desplegamos en contextos más tradicionales.
Volvamos a la situación del mercado. Ya me ha dicho que crece, pero no sé si el crecimiento es sostenible en el actual contexto económico […]
Hay tres tipos de proyectos: 1) los de transformación del datacenter, en los que vamos de la mano de grandes integradores, 2) los que son puramente de infraestructura, en los que nos asociamos con HPE o NetApp, entre otros. Y 3) los proyectos específicos de protección de datos.
De esos tres tipos, ¿cuál es el más interesante en España?
Lo que he dicho es cómo compran los clientes, que se van concentrando en dos tipos. Los proyectos de infraestructura son cada vez menos: los clientes compran el almacenamiento y además el backup, pensado como si fuese una extensión […] Como digo, esta modalidad se va reduciendo. Los otros dos tipos son los que crecen realmente. No olvido responder lo anterior: es un crecimiento sostenible porque el mundo vive una explosión de datos y tiene urgente necesidad de protegerlos. Ahora bien, el mercado no crece espectacularmente. Y Commvault crece más en términos relativos porque le gana cuota a la competencia.
¿Cómo se explica que, siendo explosivas las necesidades de protección, no sea espectacular el crecimiento?
Desde el punto de vista del número de terabytes, el crecimiento es explosivo o espectacular. Pero no sería viable si la protección de datos se pagara hoy al mismo precio que hace diez años. Naturalmente, aquí anda por medio la tecnología. En resumen, el ritmo al que sube el volumen de datos es muy superior al ritmo que siguen los precios. No tengo ahora todos los datos, pero las predicciones publicadas no contemplan un crecimiento significativo de la protección de datos tradicional […] Aun así, sobre todo por los incidentes de seguridad, cunde una preocupación que, al final, se traduce en negocio. En cualquier caso, conste que donde más estamos creciendo y donde el mercado va a crecer más, es en Protección de Datos as-a-service.
Me queda preguntar por la relación con los hiperescalares. Algunas empresas de TI se han puesto a la sombra de estos como mejor forma de prosperar en el mercado. ¿Cuál es la posición de Commvault?
Bueno, bueno. Ahí somos absolutamente neutrales. Nos da igual dónde estén desplegados los datos; por esto hemos sido una de las primeras compañías que comenzaron a protegerlos de forma nativa en la nube. Tenemos clientes que al confiar sus datos a un hiperescalar, se han encontrado con soluciones un tanto primitivas, válidas para arrancar pero no para la parte critica de su negocio; por eso son clientes de Commvault. Protección de datos significa estar en condiciones de responder a distintos tipos de situaciones. Francamente, en esta asignatura, la riqueza de uso y la eficiencia no son los méritos del hiperescalar más conocido.