Abundan estas semanas los pronósticos acerca sobre la reducción del gasto de las empresas en lo que los vendedores llaman transformación digital. Con una excepción, las partidas dedicadas a la ciberseguridad se mantendrán e incluso crecerán. Una buena noticia para compañías como CrowdStrike, a cuyo fundador y CEO, George Kurtz, ha entrevistado el autor de este blog. Con once años de vida y una facturación que aumenta a una media del 52%, CrowdStrike espera cerrar este año fiscal con una facturación de 2.200 millones de dólares, casi en su totalidad con ingresos anuales recurrentes. Todos los factores sumados, su valoración bursátil ronda los 37.000 millones de dólares.
George Kurtz
Kurtz (52 años), quien en 2004 vendió su primera startup a McAfee y pasó a ser CTO de este especialista en seguridad antes de fundar CrowdStrike en 2011, está convencido de que el éxito de su empresa se debe a la idea fundacional de poner a disposición de las organizaciones una plataforma nativa de la nube, llamada Falcon, compuesta por módulos, que les facilita una reducción del número de proveedores de seguridad – en muchos casos hasta docenas de ellos – cada uno con funciones y productos separados.
Un nuevo módulo, el vigesimotercero, está a punto de habilitarse en Falcon, tras la adquisición de la empresa israelí Reposify. Del diálogo con Kurtz, así como de otras declaraciones suyas, se deduce una clara disposición a trascender el ámbito de la seguridad para llevar su tecnología de ´observabilidad` a otros segmentos del alborotado mercado de las TI.
He leído una antigua declaración suya según la cual CrowdStrike querría ser el equivalente a Salesforce en la ciberseguridad. No está mal como ambición, pero ¿cómo debemos entender la frase?
Esas palabras me persiguen desde que las dije a poco de fundar esta compañía. Sigo pensando exactamente lo mismo y le explico por qué: antes de CrowdStrike no había ninguna compañía que ofreciera al mercado una plataforma de seguridad al modo en que lo hacen Salesforce o ServiceNow en otros campos de las TI. Hablo de dos compañías que son nativas de la nube y que, cada una a su manera, han crecido como plataformas. En 2011 había unas cuantas empresas que vendían antivirus y cortafuegos, pero nosotros fuimos los primeros en ver la oportunidad de construir una plataforma que abordase desde la nube los múltiples problemas que plantea la seguridad.
Lo que sugiere una pregunta dual: ¿qué piezas faltan en la plataforma para alcanzar la dimensión que busca la compañía? y ¿en qué dirección va a crecer la plataforma en sí misma?
Como sabe, hemos hecho varias adquisiciones en estos últimos años. La última ha sido Reposify, pero antes habíamos comprado Humio y otras tres, de modo que para mí es muy fácil presentarlas como un hilo, fruto de una filosofía cuyas bases estaban sentadas desde el primer momento. No voy a decir nada que comprometa el futuro de esa filosofía, pero puedo decir en términos generales que consiste en adquirir pequeñas compañías que tienen una tecnología idónea para incorporarla a nuestra plataforma y para seguir construyéndola con nuevas piezas, enriquecerla y ponerlas a disposición de los clientes. […] Si preferimos compañías pequeñas se debe a algo que me parece evidente: son fácilmente integrables en el go-to-market de CrowdStrike.
[…] Pero hay diferencias entre Reposify y adquisiciones anteriores. Se la puede definir con una palabra, observabilidad, pero más allá de esta etiqueta, ¿cuál será su aportación a la plataforma Falcon?
Reposify encaja en lo que en este sector se conoce como gestión de la superficie vulnerable. Su interés reside en comprender el riesgo que corre la empresa, cómo y en qué medida está expuesta a los agujeros que se abren continuamente y explota la delincuencia. En una palabra, Reposify añade otra capa de inteligencia a la plataforma, que en mi opinión no necesariamente deberíamos hablar de observabilidad, pero es la palabra que se emplea en el mercado. Lo cierto es que aumenta la visibilidad y reduce la exposición al riesgo.
[…] ha dejado algo sin responder.
Piense en logs, en cuántos datos podemos loguear, esta sería una escala a considerar. Está vinculada con la solución XDR (Extended Detection and Response) de nuestra plataforma, por lo que necesitamos disponer de más datos, muchos datos, tantos datos como sea posible obtener […] para tratarlos con Log Scale [nota: nuevo nombre de la tecnología por la que CrowdStrike adquirió Humio en 2021]. Como puede ver, se trata de dos tecnologías separadas con el resultado de que, si podemos aplicar a los datos recogidos por nosotros, o por otros vendedores, unos algoritmos similares a los que hemos construido para proteger el punto de acceso, que es el área en la que somos líderes, el cliente estará en condiciones de obtener una visión completa de su entorno de seguridad.
CrowdStrike se autodefine como una compañía partner-first, pero desde luego no es la única, conozco unas cuantas que dicen lo mismo. ¿Cuál es la particularidad de su ecosistema de socios?
Seguimos ampliando nuestro ecosistema y nos consideramos como una compañía para la que el partner es una figura protagonista en nuestra aproximación al mercado. El partner puede ser una marca global como las muy conocidas o bien una marca local en un país determinado; puede estar especializado en una tecnología o bien ser un proveedor de servicios gestionados […] Esta es nuestra manera de ir a por los clientes, no tratar de hacerlo directamente. Así hemos levantado una marca con reputación de calidad en ciberseguridad: me consta que ciertas empresas que no eran clientes se han acercado a nuestros partners a preguntar por la oferta de CrowdStrike […] y el resultado es que ahora sí son clientes.
Todos los indicadores de CrowdStrike en la primera mitad del año han sido impresionantes, sobre todo ese crecimiento del 58% en ARR [annual recurrent revenues] Tanto que hasta resulta difícil creer que sea sostenibles […]
Si lo dice por el entorno macroeconómico en el que nos movemos, sin duda tenemos por delante un desafío. El gasto global en TI debería bajar, según los analistas, pero estos también dicen que una de las áreas que brillan es precisamente la ciberseguridad. Cuando hablamos con un CEO o un CIO, a ninguno se le ocurre escatimar en las partidas destinadas a proteger su empresa de las amenazas. Ya que lo pregunta, le diré que CrowdStrike ha tenido la habilidad de consolidar el gasto de las empresas en seguridad […]
¿Cómo lo hace si el gasto en seguridad aumenta, nominal y porcentualmente?
Una de las ventajas de tener una plataforma es que tu cliente puede escoger entre múltiples módulos. Y creo que ha sido una estrategia muy eficaz para nosotros a la hora de negociar contratos: podemos sustituir tecnologías. Aunque el entorno es difícil, las organizaciones seguirán dedicando recursos a esta finalidad por dos razones: una, porque es necesaria y dos, porque tienen que cumplir obligaciones legales que obligan a contar con soluciones creíbles si no quieren verse expuestos a sanciones.
¿Cuál es la previsión para este año fiscal que acabará el 31 de enero?
Me atengo a lo dicho por nuestro CFO y que está documentado: ingresos totales de entre 2.223 y 2.232 millones de dólares y un incremento previsto del 53% sobre el año anterior.
El gasto global en TI se está ralentizando a ojos vista, ¿por qué espera que el gasto en ciberseguridad siga creciendo?
Vuelvo a lo que dije antes. La seguridad es una cuestión de resiliencia: la inmunidad no existe, pero una empresa puede ser más o menos resiliente por razones que ya hemos comentado: es necesaria y está condicionada por el cumplimiento de normativas. Si una empresa o una organización pueden consolidar partidas dispersas de gasto en seguridad, mejor le irán las cuentas. Mi mensaje, cuando hablo con un CIO, es bastante simple: pueden ahorrar dinero desde el primer momento con nuestro servicio Falcom Complete o con Falcon Overwatch. Como si ampliara sus equipos dedicados a la seguridad, pero sin contratar más personal; le aseguro que les suena muy bien […]
¿Cuál es el grado de internacionalización de la actividad del negocio de CrowdStrike? ¿Qué impacto está teniendo la revaluación del dólar?
Nuestro negocio fuera de Norteamérica equivale al 29% del total y bien que nos gustaría que en algún momento fuera del 50% [risas] pero creo que el 29% está muy bien para una compañía de nuestra edad y tamaño. Ante condiciones monetarias adversas como la actual fortaleza del dólar, lo que hacemos es trabajar estrechamente con nuestros partners locales para estar muy seguros de que los clientes reciben el valor esperado a cambio de su dinero y pueden ahorrar como les hemos prometido. Las circunstancias pueden ser nuevas, pero esta manera de actuar no es excepcional para CrowdStrike: somos muy estrictos en asegurar un ROI con el que se sientan a gusto.
Francamente, no me gusta nada el concepto de TAM (total addressable market), le encuentro poco sentido a proyectar unas cifras inalcanzables por definición […] Ahora, con independencia de lo que yo piense, ¿de qué vale decir que CrowdStrike, con 2.000 millones de facturación, tiene un mercado potencial máximo de 120.000 millones?
Entiendo bien su perspectiva, créame. Uno tiene que distinguir entre el mercado potencial total y el mercado que puede atender realmente; son dos cosas diferentes y conviene no confundir. El TAM es una métrica convencional que miran mucho los analistas y los inversores, de eso se trata. la cifra de 120.000 millones no es nuestra, ha sido calculada por IDC para una suma de categorías de las que no todas están ahora mismo en nuestra oferta. Ponemos mucho cuidado en hacer constar la diferencia, pero al mismo tiempo usted comprenderá que sirve como recordatorio a los analistas e inversores de que no estamos constreñidos por el tamaño del mercado. Actualmente nuestra plataforma tiene 22 módulos que generan negocio y estamos preparados para aumentar ese número, tanto orgánicamente como a través de adquisiciones […] creemos importante tener como meta un mercado masivo, aunque tu penetración sea limitada. Por ejemplo, en el mercado EDR (Endpoint Detection and Response) para el punto de acceso, según IDC somos líderes con una cuota del 12,6%, por delante del 11,2% de Microsoft. Mi interpretación es doble: tenemos un gran mercado por delante, pero todavía estamos en una fase temprana de captura de cuota.
¿Cómo describiría la competencia a la que se enfrenta CrowdStrike?
Sin ninguna duda estamos en un contexto muy competitivo. Así ha sido desde el primer día: en once años han aparecido y desaparecido competidores, en número total han aumentado […] La verdad es que si no fuera un mercado interesante, no tendríamos competidores de calidad como los que tenemos. Lo bueno de este mercado es que, con una ratio de retención prácticamente insuperable, no podemos bajar la guardia. Además, estamos en condiciones de expandirnos a mercados adyacentes.
En 2019, la plataforma tenía 11 módulos y ahora tiene 22. ¿Hasta dónde podría llegar?
Somos conscientes de que todavía no cubrimos todas las áreas posibles del mercado de seguridad, en el que periódicamente adquieren relevancia nuevas categorías. CrowdStrike cubre el punto de acceso, las cargas de trabajo cloud, los datos finales, etcétera. En este negocio no necesitas ser un gorila, porque el mercado está desagregado en segmentos específicos. No estamos presentes en la seguridad de red ni en la identidad digital a la manera de otras compañías que se centran en ello […] Una proposición única de nuestra tecnología es el software agente, pequeño y ligero, embebido de inteligencia artificial. Muchos de nuestros competidores se plantean como método la recogida, tratamiento y almacenamiento masivo de datos, una tarea que, en nuestra opinión, impacta negativamente sobre el rendimiento y al final resulta que no siempre son datos relevantes para la toma de decisiones. Bueno, respondiendo a su pregunta: tenga por seguro que la plataforma seguirá creciendo […]
¿Qué ventaja competitiva cree tener sobre sus competidores?
Que ser una compañía nativa de la nube es la fuente de nuestra capacidad de competir. Por esta razón, hemos sido capaces de construir una plataforma que es muy fácilmente desplegable y que se mantiene al día sin necesidad de reiniciarse, algo que en otras es un requisito fastidioso. Para el usuario de un PC puede parecer inocuo el tener que reiniciarlo, pero para quien tiene bajo su responsabilidad administrar cientos o miles de PC, múltiples puntos de acceso e incontables cargas de trabajo, puede ser un auténtico dolor de cabeza. Es la virtud de trabajar con un agente único que nos permite añadir módulos sin tocar el núcleo de la plataforma. ¿A qué se debe? A que nuestra arquitectura cloud fue construida desde la base, a diferencia de otros productos muy respetables que empezaron siendo on-premise y luego se han reciclado en la nube cuando hubo que seguir la corriente.
Puedo haberme perdido algo, pero ¿cómo se integra una compañía como esta, que es cloud-native, con un entorno empresarial que al menos parcialmente sigue siendo on-premise?
Gracias al agente. Podría decirse que la gestión y el cerebro están en la misma nube, algo que ya es corriente, pero nuestro agente es extremadamente pequeño, de apenas 70 megabytes: no nos importa si una carga tiene que ejecutarse on-premise o en la nube, porque en ambos casos trabaja en modo distribuido […] pero le recuerdo que los datos están centralizados y que la inteligencia artificial sirve a todos los clientes sin excepción.
Recuerdo una presentación en la que usted hablaba de dos fases, una consistente en taponar las brechas y otra de tratamiento higiénico de los datos. ¿Cuál es la situación en el mercado?
Taponar las brechas ha sido la misión de CrowdStrike desde los primeros días. Y si nos hemos enfocado mucho en ello es porque lidiamos continuamente con amenazas que evolucionan. La seguridad es algo dinámico. Como en una partida de ajedrez, tienes que estar pensando en cómo batir a un adversario que simultáneamente estará pensando en lo mismo. Por esto, el mejor modo de describir nuestra forma de actuar es que, gracias a la IA, Falcon aprende de lo que ocurre y, en lugar de darse por satisfecha, continúa aprendiendo. Cuando empezamos, había gente que se esforzaba en el combate contra el malware con la técnica dominante de las firmas o huella del atacante; nosotros decíamos, decimos que lo que realmente hacía falta era cerrar las brechas por las que se cuela el atacante […]
Parece obligado preguntar por algo que no ha nombrado, el ransomware. ¿Cómo se enfrenta CrowdStrike a esta amenaza constante?
Hay mucho dinero en juego, por lo que tienta a más gente sin escrúpulos cada día. Por lo tanto, sigue creciendo y creemos que la única respuesta que funciona es enfrentarlo con un sistema completo, como el que hemos construido en nuestra plataforma. Básicamente: antes de ejecutar un programa, la IA mira unos 5 millones de puntos de datos diferentes. Imagine las consecuencias de comprobar 5 millones de puntos de acceso en 100 milisegundos antes incluso de averiguar si el programa está sano o comprometido. Ahí radica la importancia de la IA para nosotros: ha sido incorporada al software para que este sea capaz de comprender lo que está ocurriendo, no en un punto de acceso determinado sino en todo el entorno que lo rodea y al que pertenece.
En toda entrevista sobre ciberseguridad pregunto lo mismo: ¿espera una consolidación de este mercado, tan fragmentado?
En esta industria vivimos hablando de consolidación [risas]. Si usted piensa en las compañías de seguridad que cotizan en bolsa, son muy pocas y entre ellas ha habido alguna iniciativa de concentración. Prefiero pensar en otras menos notoria, que son miles y que difícilmente no llegarán a cotizar. Es legítimo preguntarse por la forma que tomará la consolidación: creo que, en lo esencial, se producirá entre compañías pequeñas […]. En el contexto actual vemos una situación interesante, porque las valoraciones son menos fantasiosas y los inversores tienen que rebajar su expectativa. Desde nuestro punto de vista, podremos encontrar oportunidades en los próximos dos años para hacer nuevas adquisiciones con las que completar nuestra estrategia, a condición de que tengan sentido para los clientes.