Hubo un tiempo en que la seguridad de los sistemas informáticos tenía una respuesta elemental, él software antivirus. Con los años, las amenazas delictivas se multiplicaron y diversificaron con una sofisticación iinesperada. El nombre del sujeto ha cambiado: ha pasado a llamarse ciberseguridad y delimita un mercado cuantioso y con demasiadas categorías. Tantas son que las empresas optan por disponer de múltiples productos para ganar tranquilidad. A los CISO (chief information security oficer) les toca integrarlos, con una socorrida expresión de deseos: Zero Trust. Confianza cero es la consigna. Y es la regla de la empresa israelí CyberArk, especializada en la gestión de identidades.
Identidades humana y no humanas, pasando por el puesto de trabajo, matiza Roberto Llop, VP de ventas de CyberArk para el oeste y sur de Europa. A partir de esta precisión, la entrevista resultó exhaustiva, rasgo al que están habituados los lectores de este blog.
Una pregunta clásica acerca de la ciberseguridad es por qué este mercado está cada vez más fragmentado y no hay intentos de consolidación entre pares. CyberArk ha comprado varias empresas menores, pero sigue aferrada a su espacio de protección de identidades. Un nicho de mercado […]
Es cierto que estamos dentro del dominio de la gestión de identidades, esta es la vocación original de CyberArk y así hemos pasado de ser una startup creada hace 25 años a tener 3.000 empleados y a crecer en ingresos más de un 30% anual regularmente. Lo que no comparto es que estemos “aferrados” [risas]. La compañía se ha expandido desde la gestión de privilegios de acceso a un espectro más amplio, la seguridad de las identidades. Esto no lo vamos a cambiar, es una declaración estratégica muy formal.
¿La seguridad del puesto de trabajo?
Cuando llegué, hace menos de cinco años, la compañía se estaba expandiendo desde la pura gestión de las identidades humanas a ocuparse de la seguridad en el puesto de trabajo, que sigue siendo el primer vector de entrada de las amenazas. Era y es la forma preferida de los delincuentes para penetrar en las identidades de usuario y poner pie en la seguridad en la nube, que todavía no había alcanzado el desarrollo que tiene ahora.
No sé… percibo que no le ha gustado la palabra ´nicho`.
No es eso, pero creo que más que un nicho, estamos en un dominio, en el que hemos duplicado nuestro mercado potencial. Es más que un nicho. ¿Cuál es la ventaja? El foco. Es lo que nos hace ser relevantes para nuestros clientes y que podamos diferenciarnos con una oferta ampliada […] Por ejemplo, nuestra innovación incluye la integración con soluciones de otras compañías. Porque, ya sabe, los pobres CISO [chief information security officer] tienen que lidiar día tras día con ese problema fundamental, la integración. Lo que se traduce en resultados de CyberArk; el último informe trimestral indica que llevamos un 38% de crecimiento año sobre año. Y esperamos mantener la aceleración de los ingresos recurrentes.
¿Puedo interpretar que a CyberArk no le preocupa tanto la cuantía de los ingresos como que sean recurrentes?
No estamos solos […] Cuando pasas de ser una compañía de licencias permanentes para apostar por los ingresos recurrentes, es evidente que el reto de la compañía pasa a ser el beneficio, la medida de la calidad de los ingresos. Tenemos unos objetivos de beneficio ambiciosos, que los vamos cumpliendo y esto al final se traduce en la cotización, que en 2023 aumentó un 35% y en lo que va de 2024 otro 19%. En quince meses más del 50% de capitalización bursátil.
¿De qué empresas del sector puede decirse que son amigas y que es sano colaborar con ellas?
Tenemos más de 200 integraciones nativas con otros fabricantes de soluciones de seguridad y con ellos forjamos propuestas de valor en común. Con Palo Alto y con muchas otras […] Somos conscientes de que si no facilitamos una integración sencilla, nuestros clientes van a tener problemas. Desde el momento cero en el que se desarrolla una solución de CyberArk, se está pensando en su integración con las soluciones que hay en el mercado.
Cuesta creer que el primer pensamiento de un cliente sea la identidad […] Probablemente su prioridad será otra categoría de seguridad.
Mire, cuando los clientes hablan con nosotros, lo hacen por tres motivos. Uno es que quieren saber cómo gestionar los accesos privilegiados o cómo proporcionar a sus identidades los controles adecuados, tanto por seguridad como por cumplimiento regulatorio; nadie puede obviar esa conversación. El segundo es cómo securizar sus puestos de trabajo, para lo que hay muchas soluciones en el mercado pero que en algunas áreas no están suficientemente cubiertas, nosotros las cubrimos.
¿Por ejemplo?
Los puestos de trabajo, o su mayoría, si no están configurados por defecto de manera adecuada, tienen privilegios a la hora de instalar aplicaciones y de ejecutarlas. En empresas donde hay cientos o miles de puestos de trabajo, si no los controlas de manera efectiva, cuando alguien quiera hacer algo que requiere ciertos privilegios, se pueden dar y revocar de forma dinámica y aplicando políticas que sean efectivas y luego puedan auditarse
Le recuerda que falta otra área […]
Sí, sí, trata de cómo solucionar la seguridad de los accesos de terceros. Porque todas las organizaciones tienen múltiples proveedores y múltiples clientes que por distintas circunstancias acceden a sus sistemas… Así funciona el mundo actual. El acceso seguro a las aplicaciones es algo absolutamente critico, más aún si se lo das a terceros que no necesariamente siguen tus políticas: si les damos ciertos privilegios, al menos que sean los mínimos necesarios para hacer lo que tengan que hacer, y que, cuando ya no sean tan imprescindibles, se revoquen los permisos, algo que no siempre se hace, por pereza o inercia. De hecho, en esa brecha se han producido graves incidencias de seguridad provocadas por el acceso de terceras partes, que suelen impactar en las cadenas de suministro.
Me gustaría una descripción del portfolio actual y de cómo se ha ido completando, si puede ser […]
Cómo entendemos la seguridad de las identidades, esto es lo que me pide. Bien. Se trata de proporcionar la seguridad de acceso a cualquier tipo de identidad: sean usuarios, administradores de sistemas, robots, aplicaciones, microservicios […] . Cualquier tipo de identidad para que pueda acceder a cualquier tipo de recursos. Pueden ser aplicaciones, bases de datos, funcionalidades en la nube, entornos híbridos, etcétera. Así lo vemos nosotros, todo soportado por Zero Trust con mínimos privilegios.
¿Por qué una suite? Otros la llamarían plataforma […] el lenguaje como signo de los tiempos, ya me entiende [risas].
Nuestro catálogo ha ido evolucionando desde la gestión pura de accesos privilegiados para identidades humanas hasta ocuparse de las identidades no humanas. Con esto quiero decir que abarcamos la automatización de las identidades que a su vez mira al mundo cloud. Hace poco hemos incorporado la gestión de accesos transparente y segura […] y vemos que el mercado nos está dando la razón, se está produciendo una convergencia.
¿Se vende por piezas o hay que suscribirse a toda la suite?
La vendemos por funcionalidades y por casos de uso. No vendemos productos individuales sino conjuntos de soluciones a problemas que se plantean en los negocios. E intentamos paquetizarlos. Todo es susceptible de ser vendido como suscripción y en modo SaaS, de modo que el cliente puede escoger su proveedor de nube o albergarlo en sus instalaciones […]
¿Qué modelo de negocio prevalece en este momento?
Para empezar, el 99% de nuestros clientes compra a través de partners. Luego, los marketplaces marcan sus reglas. Hay partners que compartimos con otras empresas de seguridad y creo que ninguno trabaja en exclusiva […] En unos cuantos casos son integradores que cuentan con divisiones dedicadas a la gestión de identidades.
Deduzco que hay segmentos verticales más proclives que otros a tener problemas de identidad y a buscar soluciones; también habrá otros para los que no son prioritarios.
La gestión de identidades es un problema general. Los primeros que adoptaron soluciones fueron las entidades financieras, pero luego han cedido protagonismo a las infraestructuras críticas, el sector público y el retail. Obviamente, el sector financiero está muy regulado, por lo que hubo de pasar por controles mucho antes que los demás.
¿Qué rasgos identifican las últimas novedades de CyberArk?
Las identidades no humanas. Hay ahora un enorme interés en securizar las aplicaciones y los microservicios; lo que las empresas tienen son aplicaciones que hablan con aplicaciones y que, para trabajar tienen que intercomunicar con credenciales secretas que, si no se protegieran, serían una fuente tremenda de vulnerabilidades. De las identidades humanas se pasa a las no humanas. Vemos que viene como un huracán la securización de los entornos en la nube.
No todo es responsabilidad de los proveedores, como es natural ¿Cómo se involucran los clientes?
Las empresas, en definitiva los usuarios, tienen que decidir qué políticas aplicar, qué privilegios otorgar a quienes entran y en especial a los administradores. El problema con la nube es la proliferación de identidades que han de ser controladas. El desarrollador de una aplicación DevOps, en cualquier entorno de la nube, tiene privilegios que han de estar bien administrados y debidamente habilitados. Nuestro papel en este plano es proporcionar soluciones multicloud. Permitimos a los usuarios trabajar con seguridad y con capacidad para inventariar las identidades y los privilegios […] El mundo está cambiando, pero los modos de ataque siguen siendo, básicamente, los mismos: robar credenciales a un administrador de sistemas puede abrir subrepticiamente el acceso a aplicaciones que están en la nube y no siempre te enteras.
¿Quiénes son los competidores de CyberArk? ¿Especialistas en el mismo dominio o empresas más holísticas?
Ambas. Lo que vemos es que las empresas tradicionales, que trabajaban en entornos PAM (Priviledge Access Management) y que nacieron después de CyberArk, también han evolucionado hacia la seguridad de las identidades y lo han hecho de forma bastante agresiva. Otras están entrando ahora en este dominio. Nos encontramos con una competencia muy variada y muy motivada. Por nuestra parte, tenemos una base instalada importante, que nos confiere una buena posición competitiva.
La fórmula de la suscripción, que en cierto modo implica cautividad del cliente, ¿asegura la permanencia de este?
No. Pero nos lleva a estar más alertas con la satisfacción del cliente. Si no está contento, puede cancelar la suscripción e irse con otro proveedor: nadie tiene por qué sentirse prisionero. Los clientes son mucho más selectivos a la hora de decidir: planifican lo que se proponen hacer en los siguientes doce meses y sólo compran o suscriben la capacidad que van a necesitar. La tendencia actual tiende a comprar lo que se va a necesitar dentro del plazo de suscripción disponible y, si fuera necesario, lo amplíe.
¿Hay algún rasgo reseñable del mercado español que justifique hablar de cambio de paradigma?
Tradicionalmente, España ha sido un mercado al que le ha costado invertir en servicios de valor añadido. Y si en general le costaba, con la llegada de SaaS y la suscripción, el cambio tiene que hacerse notar. Si no fuera así, el cliente se cuestionaría por qué se está suscribiendo. Lo que invita a un cambio cultural a la hora de invertir en programas de acompañamiento, de los que puede depender el éxito. Y como las empresas no siempre pueden invertir proporcionalmente en servicios, se abre una oportunidad a integradores y proveedores. Este es, creo, el mayor cambio que se está produciendo en el modelo.
CyberArk, como otras de su sector, es una empresa israelí. ¿Está afectada por la movilización de su personal en edad militar?
Como cualquier empresa importante en ciberseguridad, además de estar en Israel tenemos centros de desarrollo en otros continentes. Somos una compañía global y no estamos notando dificultades que no podamos resolver. Los procesos de desarrollo, soporte y la hoja de ruta del desarrollo están diversificados: además de Israel se reparten entre India, Euopa y Estados Unidos.
Humildemente, confieso que desconozco el último lanzamiento de CybrArk. ¿Podría ilustrarme?
[…] Workforce Password Management, completa una de las líneas maestras de nuestro catálogo. En CyberArk, la gestión de acceso privilegiado nació para el entorno empresarial, pero hemos visto que hay otra parte importante de gestión de claves, no necesariamente de la empresa, sino las de sus empleados que, con frecuencia, utilizan soluciones distintas de las corporativas. Lo que ponemos a disposición de las organizaciones es una aplicación que se beneficia de los recursos corporativos, más la capacidad de usabilidad de aplicaciones de otras fuentes.
Me comentaba que 2023 ha sido un buen año […]
Las circunstancias geopolíticas y económicas, con su impacto sobre la inflación y la cadena de suministro, han hecho que los procesos de decisión fueran más complicados que en años anteriores. No ha habido problemas de demanda, más bien lo contrario. Nuestra principal foco lo pusimos en crecer en el IBEX35 y en las AAPP. En estas dos áreas hemos crecido muchísimo en 2023. Nuestro siguiente reto es repetir el éxito en las empresas sub-IBEX.
De lo que ha dicho se desprende que hay un factor intensivo de fondo, la seguridad nacional. ¿Está creciendo la preocupación de las AA.PP por este plano de la ciberseguridad?
Sí y mucho. Se manifiesta en la demanda de certificaciones: para ser habilitado a trabajar con ciertos componentes del sector público, has de tener las máximas certificaciones de seguridad… y las tenemos. Por otro lado, en ese mismo ámbito, estás surgiendo iniciativas reales de inversión en la gestión de identidades privilegiadas, significativamente. En otros países había llegado antes y ahora está llegando a España; para nosotros es un punto de inflexión.
¿Cómo cerrar la entrevista sin hablar de inteligencia artificial? Ya no se discute que puede ser la solución por venir a la vez que una amenaza por venir […]
Hemos constituido un centro de excelencia en inteligencia artificial, un pilar inevitable del nuevo plan estratégico de la compañía. Nace con dos objetivos: uno es dotar a nuestros productos de capacidades de IA y otro es dotar de controles de seguridad a las aplicaciones de IA. El perímetro de riesgo se va incrementando, esta es la clave, por lo que tenemos que disponer de mecanismos de aprendizaje, lo que llamaban ´el ruido de la señal`. Para terminar, déjeme decirle que vamos a ser muy abiertos a la hora de compartir experiencias: con nuestros clientes les diremos lo que pensamos y les preguntaremos lo que piensan. Es una situación temprana, pero ya hemos declarado nuestra estrategia en esta materia. Puede que sea una declaración valiente por nuestra parte, porque quien no lo diga en este momento, será penalizado por el mercado más adelante.