Al mercado de la ciberseguridad para empresas – excluyendo el de consumo – se le estima un valor de 213.000 millones de dólares que, de mantenerse el ritmo de los últimos cinco años, alcanzaría en 2030 los 420.000 millones. Esta es una faceta, ya que el número de competidores supera hoy las 3.500 de todo tamaño y condición, por tratarse de un mercado con numerosos nichos. Un caso ejemplar es el de Palo Alto Networks, número uno mundial (6.800 millones de ingresos, 75.000 millones de valor bursátil) que, empero, no excede el 3,5% de aquel total. Con Helmut Reisinger, CEO de las regiones EMEA y Latam en Palo Alto Networks, ha conversado el autor de este blog durante su reciente visita a Madrid.

Helmut Reisinger

En resumen, hay demasiados ataques delictivos, demasiadas herramientas con las que combatirlos y, en consecuencia, demasiados competidores en un sector que no atisba una pausa en la demanda, a diferencia de otros segmentos de las TI. Según Reisinger, cada empresa que busca protegerse tiene contratadas una media de 32 soluciones de diferentes proveedores. La pregunta más básica no obtiene la respuesta deseable: ¿se está produciendo, al fin, la consolidación que tantas veces se ha pronosticado? Reisinger cree que sí, pero matiza su respuesta.

Propongo empezar comentando la fragmentación de este mercado, un rasgo que no parece ir a menos..

De acuerdo, es un buen punto de partida. El mercado de la ciberseguridad está completamente fragmentado, con más de 3.500 empresas diferentes compitiendo y, como elemental consecuencia, ante cada amenaza o alerta que se conozca es posible que aparezca un emprendedor apenas conocido que afirme tener la solución exacta que se necesita. Sin exagerar podría decirse que el paradigma central  de este negocio está roto y sin embargo es un buen negocio. ¿Cómo se explica? Porque lo que se necesita siempre es más complicado que proteger un activo digital […] Esta es la razón por la que el mercado reacciona positivamente ante Palo Alto Networks y por la que nuestra capitalización bursátil es de 75.000 de  millones de dólares; los inversores aprecian nuestra trayectoria, valoran  nuestro enfoque de plataforma modular con ingresos recurrentes y, por supuesto, les gusta que nuestro beneficio operativo crezca un 24,1%, porque podemos remunerar sus inversiones y seguir destinando recursos a la innovación.

[…] No vayamos tan lejos ni tan rápido. Tenemos tiempo.

[risas] La combinación de estos distintos factores es lo que nos permite confiar en un que en el nuevo año fiscal no sólo volveremos a crecer sino también a generar un flujo de caja que nos permitirá seguir con la política de adquisiciones y el gasto en I+D por encima de los 1.000 millones.

Volvamos a la fragmentación, si no le importa […]

Sí, claro. Define por qué el mercado se comporta como se comporta. La media calculada, que por cierto se cumple en España, nos indica que cada empresa trabaja con 32 vendedores diferentes de soluciones de seguridad, lo que supone recurrencia y a veces conflicto entre unas y otras. En estas condiciones, es natural que aparezcan huecos entre ellas y que sea imposible garantizar que todas se comuniquen con todas.

¿Hay algún síntoma de cambio, de consolidación de la oferta?  

Todo el mundo es consciente de lo que pasa, en primer lugar los clientes   […] Según Gartner, al 75% de las empresas, tres de cada cuatro, querría consolidar su plantel de proveedores y sus productos, en primer lugar porque lo  corriente es que las soluciones de unos no se entiendan con las de otros […] Entonces, el señor o la señora que se encarga de la ciberseguridad está continuamente combinándolas lo mejor que puede. Y, como también señala Gartner, el coste es el segundo elemento de  peso, porque el gasto en seguridad tiende a dispararse más allá de lo conveniente, debido a esa fragmentación.

¿Cuál es la dificultad para consolidar soluciones?

Si fuera fácil, estaría hecho. Una dificultad está en el proceso de toma de decisiones. Porque hay distintos factores que influyen. El primero ahora mismo es la geopolítica, cuya existencia habíamos olvidado en Europa: lo vemos en las inversiones de los estados. Si, por ejemplo, tomamos los países bálticos, a los que quizá no se presta mucha atención desde  Madrid, la verdad es que están mucho más en alerta que la mayoría de Europa Occidental. Por su posición geográfica, para empezar […]. Otro factor no menos evidente es que las infraestructuras críticas – por algo se llaman criticas – representan una fuente de riesgos no siempre predecibles. Por dar un ejemplo: en Alemania, el número de entidades, organizaciones y empresas que son oficialmente consideradas críticas ha pasado de 2.800 a casi 30.000, lo que significa un salto enorme no sólo por el número sino por la percepción pública del riesgo que esto significa.

Puede que la creciente digitalización, e incluso las presiones para hacerla cuanto antes, añada gravedad al problema o a su percepción […]

Buen punto. Es evidente que hay un movimiento generalizado hacia la nube que coincide con un aumento acelerado y constante del número de aplicaciones […] Un problema consecuente es que el software, desarrollado en California, en India o donde sea, lleva componentes open source que pudieran contener malware y entonces se produce un efecto bola de nieve. Otro asunto que no podemos ignorar procede del nuevo modo de trabajar que hemos heredado de la pandemia: hay motivos para que celebremos el teletrabajo, pero su contrapartida es que lo que llamamos superficie de ataque se ha ampliado peligrosamente. Hasta el punto de que, cualquier dispositivo y cualquier conexión pueden ser sospechosos de actuar como puntos de entrada potencial para la ciberdelincuencia.

[…] Lo está poniendo muy oscuro

Es que se trata de un punto clave, que tiene su lado bueno y su lado malo. El bueno, déjeme que lo diga, es que Palo Alto Networks ha usado técnicas de inteligencia artificial y machine learning durante nueve años, que están arraigadas en nuestro portfolio, por lo que no tuvimos que esperar a que apareciera ChatGPT como una panacea de la que todo el mundo habla. Esto es lo que permite a una solución de Palo Alto Networks emplear diez segundos en detectar el problema y un minuto en resolverlo. Le recuerdo que fue nuestra red la que en 2021 detectó Solar Winds, una de los esquemas de ataque más complejos contra una  cadena de suministro.

¿Cuál es el lado malo?

Que nunca es suficiente. La transformación tiene que ser constante. Esta es la razón por la que, como decía antes, los clientes desean una consolidación de la oferta […] En 2017 y 2018, Palo Alto Networks era líder del mercado en una categoría muy importante, Next Generation Firewall, pero era sólo una entre otras[…] Ahora somos líderes en once categorías. Por este camino hemos desarrollado dos convicciones: la primera es que la red y la seguridad deben ir a la par, la segunda es que vivimos en un mundo multicloud, que no se limita a tres o cuatro proveedores. […] En rigor, debería mencionar una tercera convicción, la necesidad de apoyarnos en la inteligencia artificial para automatizar la seguridad. Porque, por buena que sea nuestra gente, no es posible detectar instantáneamente una pauta en un ataque determinado. Esta es la razón por la que la industria ha evolucionado hacia SASE tratando de hacer realidad la consigna de confianza cero.

No estoy seguro de que todos los proveedores sigan la misma acepción de Zero Trust […]

Yo le explico la nuestra. La primera generación de productos de seguridad funcionaba más o menos así: estas son las aplicaciones, este es mi sistema de mail, aquí está mi ERP… y para añadir alguien – llamémosle Norberto-  que pueda acceder, todo lo que necesitaba era una verificación y un gateway. […] Pero si es muy fácil buscarle las vueltas e inutilizarlo, por eso necesitamos que la verificación sea fuerte, consistente y tendremos que inspeccionarla con carácter permanente. Pero, al mismo tiempo, no sabemos cómo se comporta ese usuario llamado Norberto [risas] ni cómo se comportan su dispositivo ni la aplicación que usa. Precisamente, el caso de SolarWinds fue descubierto gracias a un análisis de comportamiento, no por culpa de una nueva dirección IP. Este es el mundo SASE [Secure Access Service Edge] que unifica la protección del centro de datos, los accesos de los usuarios desde distintas localizaciones […] chequeamos la identidad, el dispositivo y la aplicación de lo que se trata. Tome la nube: lo realmente crítico es la protección de las cargas de trabajo, pero en la actualidad más del 40% de las cargas no están cifradas. Las empresas nos dicen continuamente que necesitan certeza de que cuentan con seguridad continua desde el código hasta la nube.

[…] Iba a preguntar por la compra de Cider Security, a finales del año pasado.

Oportunamente. Son muy buenos en la seguridad del código que, como he dicho, plantea cuestiones fundamentales. ¿Por qué le damos importancia usted y yo? Porque este sector padece de una severa carencia de talento: en Alemania, Estados Unidos, España, en todas partes. Al mismo tiempo que crece sin parar el volumen de datos que compartimos y almacenamos, lo que significa que los atacantes están al acecho. La única respuesta posible es reforzarse con IA e integrarla.

Desde luego, no es un planteamiento exclusivo de Palo Alto […]

No podría serlo. Internamente, somos 14.000 personas y la plantilla sigue creciendo. Sobre la telemetría de los datos y nuestra experiencia en la detección en el endpoint, añadimos capacidad de automatización; lo último que hemos integrado ha sido la funcionalidad SIEM [Security Information and Event Management]. Figúrese: por nuestro centro de operaciones pasan 16.600 millones de eventos cada día, y tenemos sólo diez segundos para detectarlos y un minuto para reparar la incidencia. Esta es la belleza de Palo Alto Networks: no somos un jugador de nicho sino que cubrimos todo y a ese todo le aplicamos inteligencia artificial, un algoritmo de machine learning. Este es el concepto. Y es la razón por la que incluso si, como nos dicen, la economia desacelerase, nuestro creciminto estará por encima de la media porque la gente quiere tener una solución consolidada y simple.

En español suena muy raro: plataformización [risas]

Sí, pero de una forma modular [responde Reisinger en español]. Le daré el ejemplo de una compañía química que nos compró Prisma como solución remota: la necesitaban para unas 70.000 personas, que no es poca cosa. Una solución de Palo Alto Networks en la nube, fácil y escalable. Dos años después, nos llamaron: “cremos que ya es hora de revisar nuestra infraestructura”. Tenían piezas implantadas de no sé cuántas compañías, adquiridas a lo largo de los años. Su nueva posición:  “ahora que tenemos una solución remota en la nube, cremos que deberiamos consolidar”. Nunca se nos ocurrió forzarlos a comprar todo a Palo Alto: somos respetuosos de la modularidad.

Que se demore tanto una consolidación de la que todos son partidarios, ¿no es una vulnerabilidad?

[…] Podria decirse que es una debilidad y una fortaleza a la vez. Porque demuestra que el motor de la industria es la innovación y que la innovación es movida por la rapidísima evolución de las amenazas.

Sí, pero es una innovación que estimula la aparición de nuevas empresas. En esta medida, se materializa mediante adquisiciones […]

Está a la vista. En nuestro caso, desde que Nikesh [Arora] fue designado CEO, en 2018, la compañía ha hecho una veintena de adquisiciones. Y no sólo las ha adquirido sino que las ha integrado, porque de poco vale decir que has comprado algo si lo mantienes separado. Por el contrario, todas han pasado  por un proceso de inmersión completa. Tal como yo lo veo, la consolidación progresa, pero no a una velocidad comparable a la de cualquier otra industria.

EMEA representa aproximadamente un 20% de los ingresos totales. ¿Le parece suficiente?

EMEA es una región de la que soy responsable, pero entiendo que me está preguntando por Europa […] Claramente, es un área de crecimiento para Palo Alto Networks. De hecho, le destinamos algo más del 30% de nuestra plantilla.

Muchas cosas han cambiado en pocos años. Una de ellas es la relación entre Palo Alto Networks y los colosos de la nube, los llamados hyperscalers. ¿Cuál es la contribución de estos a los ingresos de la compañía?

Como sabe, tenemos distintos flujos de ingresos y no publicamos ese desglose. Uno de esos capítulos es nuestro portfolio de seguridad en las redes. En su momento, fue una gran idea dejar que el cliente escogiera su propio “factor de forma”, si prefería un firewall basado en hardware o un firewall en la nube […] En este segundo caso, se lo ofrecemos embebido en Amazon o en Oracle […] pero tenemos otras maneras de relacionarnos con los hyperscalers: ellos viven del negocio cloud y nosotros del negocio de ciberseguridad, hay un grado de especialización que les lleva a no ofrecer soluciones fuera de su propia nube, pero Palo Alto Networks por lo que ofrecemos nuestra suite, pero si un cliente nuestro lo es también de AWS, no vamos a entrometernos, lo que no impide que propongamos soluciones para entornos multicloud.

¿Se sienten cómodos con esa situación?

Recuerde de dónde venimos: hemos evolucionado desde Next Generation Firewall hasta la seguridad cloud, lo que nos ha convertido en líderes de varias categorías, tal como las delimita Gartner. Dicho esto, nunca estamos quietos: nos transformamos en escala, en I+D y, como he dicho, a través de las adquisiciones y su integración.

Por último, ha mencionado varias veces la inteligencia artficial, pero ni una sola vez ChatGPT, el último grito que tiene a las TI convulsionadas y no le digo a los medios [risas]

Vamos por partes. ChatGPT es un símbolo del desembarco de la IA en la vida cotidiana de los consumidores y las empresas. Desde el punto de vista de la ciberseguridad, es muy positivo que podamos apoyarnos en la IA para defender a nuestros clientes, como venimos haciendo desde hace nueve años. Con una visión de las amenazas, nuestra unidad de inteligencia, Unit 42, ha detectado que el número de dominios creados en torno a GPT se ha disparado con una multitud de sitios falsos o fraudulentos. Potencialmente, los hackers se están aprovechando de la situación y potencialmente, tratarán de incorporarla en su ingeniería social para industrializar sus ataques.

Pero ChatGPT también puede ser una fuente de amenazas […]

Absolutamente. Es por esto que tenemos una política clara de mantener la separación e internamente no mezclamos ChatGPT y nuestros desarrollos de IA.

[…] Qué pena, daría por sí solo para otra conversación

Ya habrá ocasión.