Sanjay Mirchandani ha sido cocinero antes que fraile. O víctima antes que protector. En 2011, siendo CIO de una multinacional, tuvo que lidiar con un grave ciberataque. Ocho años después, fue escogido como el CEO idóneo para Commvault, una de las empresas líderes del mercado de protección de datos. “Los ataques informáticos se han multiplicado, diversificado y perfeccionado, pueden llegar por caminos inesperados – resume durante una visita a Madrid – y para los atacantes la inteligencia artificial funciona como un potente recurso malicioso”. El papel de Commvault no ha variado: que sus clientes estén preparados para preservar la buena salud de sus datos y, llegado el caso, para retomar la normalidad del negocio.
Sanjay Mirchandani
De media, ha calculado Commvault, una organización típica utiliza hasta 370 aplicaciones en la nube que, tras haber padecido un ataque, tendrán que ser reconstruídos paso a paso. Lo que vende Commvault se define con una palabra que parecería haber sido inventada para el software: resiliencia.
Su eficacia puede medirse por los resultados económicos de la compañía. El año fiscal cerrado en marzo, Commvault generó unos ingresos de 839 millones de dólares (el 93% recurrentes) y en el primer trimestre del actual – etiquetado como 2025 – fueron 235 millones con una progresión del 13% interanual. 803 millones (un 17% más) fueron recurrentes con un total de 9.900 clientes. Apostilla Mirchandani que al final del ejercicio siguiente, los ingresos anuales recurrentes habrán alcanzado el millar de millones.
El parentesco entre ciberseguridad y protección de datos es tan obvio que los proveedores de una y otra conviven y cooperan de muy buen grado, pero no se atreven al matrimonio. ¿Cómo se explica?
[risas] Desde hace unos tres años venimos diciendo que los mundos de la protección de datos y la ciberseguridad están destinados a una fusión. Y lo seguiremos diciendo, porque nadie puede sentirse realmente protegido sin contar con seguridad. En estos tiempos de amenazas evolucionadas, es inevitable que ambos campos vayan de la mano […] Hasta no hace mucho tiempo, podía ser o parecer suficiente con tener un buen backup, pero eso ha cambiado radicalmente: la gran cuestión de actualidad es saber si estamos preparados para recuperarnos de un ataque o una brecha que se pueda producir en nuestros sistemas y que puede ser letal para el negocio.
[…] Un ejemplo perfecto serìa el ransomware. ¿Quién protege mejor contra esta amenaza tan corriente? ¿Un proveedor de ciberseguridad o uno de protección de datos?
Son campos diferentes con puntos críticos de contacto. Vamos a suponer que unos atacantes han conseguido penetrar rompiendo el perímetro o bien que no son entes externos sino que están dentro de la organización atacada tras apoderarse de credenciales para preparar tranquilamente su extorsión. Resulta evidente que esa organización necesitaba medidas de protección para ser resiliente ante el ataque. Entonces, el enfoque debería ser doble: mantener a los malos lo más lejos posible de la posibilidad de causar daño o, si han sido capaces de violar las defensas o, en su caso, si un error se lo ha permitido, la continuidad depende de la capacidad de recuperación. Por consiguiente, la necesidad de protección no ha desaparecido, todo lo contrario […]
¿Todo lo contrario quiere decir que se ha agravado?
Con un ataque del tipo APT (advanced and persistent threat), un simple email malicioso con un archivo adjunto puede abrir camino e instalar el cebo en un servidor. O un recurso cloud puede desbloquearse por error y una contraseña quedar comprometida sin que se advierta el peligro […] y hasta puede que un phishing, algo muy elemental, desborde las defensas existentes pero no actualizadas. Sabemos que las credenciales sociales pueden robarse, en fin… hay demasiados vectores de ataque.
A propósito del “incidente CrowdStrike” del verano pasado, ¿cuál es su opinión de por qué y por qué justamente ahora? Porque no ha estado en juego solamente el software de CrowdStrike sino el ecosistema Windows […]
Peor que eso, se ha debilitado la confianza en una cadena de suministro que queríamos creer absolutamente fiable. Ese fallo ha actuado como disparo de emergencia. Mucha gente que no ha sufrido directamente el apagón informático, se ha visto afectada en alguna medida: prácticamente todo el mundo tiene CrowdStrike o algo similar y no hay duda de que Windows es universal. La solución existe y es muy básica: permitimos a CrowdStrike que inyecte un parche en nuestros sistemas porque lo consideramos un proveedor de confianza. Esos pocos bits nuevos en el sistema son una cuestión de higiene, desde luego, pero ¿podemos estar convencidos de que no recaeremos en el mismo problema o en algún otro parecido? Tradicionalmente, este tipo de razonamientos nos ha llevado a contar con una copia sana que permita volver a un punto de recuperación […] Sigue siendo cierto, pero hemos recibido un aviso de que podría volver a ocurrir.
Esta vez, el fallo parece haber estado en que no se emplearon correctamente los recursos de testing, tal vez por tomar un atajo para cumplir los plazos de salida al mercado.
Un clásico error humano, en cualquier caso. A veces, una cadena de errores impacta a la hora de llevar al mercado un producto que no está debidamente testeado, pero lo aceptamos tal cual: le puede pasar a cualquiera, pero no quiero que me pase a mí […] Afortunadamente, hay técnicas de testing robustas disponibles, pero cuando quieres ganar tiempo, no es raro que la gente se las salte; luego tendrá que pagar o no las consecuencias. Algunas veces no pasa nada y esto crea una falsa confianza.
¿Están preparadas las organizaciones para cambiar esa actitud? ¿Es problemático que haya tantos competidores con soluciones diferentes conviviendo en una misma organización? Se habla mucho de esto últimamente.
Hay mucho donde elegir en el mercado de la ciberseguridad. Productos que son parte de la solución y tal vez sean demasiadas opciones. Pero aquello que nos puede parecer tolerable en el plano de la defensa no es de ninguna manera aceptable en el campo de la recuperación.
Hay mucho donde elegir […] Suponiendo que una organización esté preparada internamente para hacer frente a estas incidencias, se encuentra con una pluralidad de soluciones y de proveedores. Commvault es uno de ellos […]
Hay productos que son parte de soluciones que compiten entre si, no tiene nada de objetable. Admito que tal vez sean demasiadas líneas y que pueden confundir, pero nuestro punto de vista – si hablamos de recuperación – es que ninguna carga puede quedar desprotegida. Si protegeremos el 80% de las cargas dejando el 20% abierto a la posibilidad de un ataque – porque falta un parche o porque algo ha quedado desactualizado, por ejemplo – no podríamos mirar a la cara a nuestros clientes. Aun cuando tuviéramos dos o tres productos de backup o de protección de datos, serían inconsistentes […]
Hablemos de la oferta de Commvault, pues. Durante varios años la estrella ha sido Metallic: ¿ha completado su ciclo en el mercado? ¿Qué hay de nuevo en el catálogo de la compañía?
[…] Para empezar, estamos orgullosos de ser una compañía innovadora. Tenemos más de 1.100 patentes en nuestro espacio de mercado, por lo que creemos ir uno o más pasos por delante de los problemas de nuestros clientes […]. Esta fue la intención al construir Metallic y, con apenas cuatro años de existencia, no creo que sea razonable dar por completado su ciclo [risas] .
Implícitamente, la pregunta era; ¿qué le falta a Commvault para ser todavía más competitiva en un mercado que va cambiando?
Nuestra filosofía es que una carga, cualquier carga que deba ser protegida, puede empezar on-premise y acabar en un entorno cloud o viceversa, o quizás su sitio no sea la nube sino en el edge. Es decisión del cliente. Lo que hemos hecho ha sido construir un producto SaaS de primera línea que se integra completamente en el core de nuestro software: esa plataforma se llama Commvault Cloud y hemos dejado en manos de los clientes la decisión acerca del modelo de integración […] Dicho esto, seguimos innovando sin parar: hace pocos meses lanzamos Clearroom Recovery que, como el nombre sugiere, sería una “sala limpia virtual” altamente escalable y que añade resiliencia a nuestra plataforma mediante el testing en las buenas y también en las malas. Estamos viendo que gana popularidad precisamente gracias a esta cualidad: cuando más testeas, más resiliente eres.
Entiendo que a las patentes y la innovación habría que añadir las adquisiciones.
Correcto. Este año hemos adquirido e incorporado rápidamente la empresa Appranix, que básicamente toma las aplicaciones nativas de la nube y hace fotos fijas de sus recursos, de los datos y los metadatos. De tal modo que si una aplicación, por alguna razón, desaparece, resucita con sólo pulsar un botón. Suya es la solución Cloud Rewind, que lanzamos recientemente.
La amplitud de una estrategia de alianzas es fundamental para cualquier proveedor y Commvault no es una excepción […]
Probablemente tenemos la mejor integración con los suministradores de almacenamiento, desde NetApp a Pure y de Vast a HPE […] y en materia de seguridad desde Palo Alto a CrowdStrike, y de Darktrace a Splunk. Pero deduzco que está pensando en los hiperescalares, ¿no? Commault se caracteriza por tener relaciones profundas con los cuatro grandes proveedores en la nube. Tres son obvios, pero somos únicos en prestar protección nativa para Oracle Cloud. Cada uno de ellos se enfoca en algo que le es propio, pero al final de cuentas nosotros damos soporte a lo que los clientes quieren.
¿Y qué diría sobre el estado de la competición en el mercado propio de Commvault?
Durante bastante tiempo, si preguntaba a mis competidores, a los que conozco bien, qué pensaban de Commvault, estoy seguro de que reconocían nuestra capacidad de innovación. Y creo que seguirán respondiendo lo mismo. Ahora bien, ¿cómo les veo yo a ellos? Les veo en dos mundos y si en mi respuesta hay algún sesgo le aseguro que será marginal [risas]. Hay algunos de la vieja escuela del softwae y con los que competimos casi siempre con éxito. Luego están los que han abrazado el modelo SaaS y protegen determinadas cargas en la nube. No me malinterprete, pero Commvault es la única compañía que actúa a la vez en el datacenter convencional y en la novísima generación de aplicaciones SaaS sobre la misma plataforma. Nuestra filosofía no consiste sólo en innovar sino en el compromiso de facilitar que los clientes innoven […]
¿Vaticina alguna forma de consolidación en la oferta de protección de datos?
Observamos síntomas de ese potencial. Movimientos como el de Cohesity y Veritas van en esa línea; en septiembre, Salesforce adquirió una empresa llamada Own Company para incorporar protección de datos a su portfolio. No me extrañaría que hubiera más [nota: después de la entrevista, Commvault anunció la compra de Clunio, especialista en AWS]. Si la pregunta implica que hay demasiados competidores, no seré yo quien lo diga porque lo han dicho Gartner, IDC y Forrester […] Sin olvidar que cada uno de estos nos sitúan constantemente en el ángulo superior derecho de sus valoraciones de cobertura e innovación
Tenemos que hablar de inteligencia artificial. Todo el mundo habla de lo bueno que podemos hacer con ella, pero muy pocos hablan de lo que los delincuentes pueden hacer con la IA. ¿Cuál es su perspectiva?
En primer lugar, como somos buenas personas, podemos usarla de muchas maneras para ayudar a que los clientes y los usuarios estén seguros, pero lo hacemos con responsabilidad, puesto que nos han confiado su activo más importante, sus datos. Por lo mismo, creemos imprescindible actuar conservadoramente, no en lo que respecta a la innovación sino a nuestro enfoque: la IA tiene que servirnos para mejorar la eficiencia operativa de nuestra tecnología. Ser fácil de usar y ayudar a encontrar el mejor punto de recuperación en caso de ataque. Los delincuentes usan la IA con propósitos maliciosos y por lo tanto es necesario que intentemos anticiparnos: el objetivo, lo tenemos claro, es que el cliente esté protegido un 100% del tiempo mientras que a los malos les basta una oportunidad.
¿Para qué y cómo usa Commvault la IA?
Exactamente como he dicho, con responsabilidad. Formamos parte del programa de Microsoft y tenemos nuestro propio Copilot, que llamamos Arlie que ayuda a los usuarios en el análisis de las raíces, la documentación de las API y en conseguir un uso más rápido e integrado de nuestra plataforma. Son unas piezas operativas en las que hemos puesto mucho machine learning, con la finalidad de reforzar nuestras capacidades de recuperación. Queda mucho por hacer, pero ya con lo que tenemos es importante para los clientes […]
¿La IA hace que Commvault se sienta más fuerte que antes?
Nos aporta un gran potencial, pero también abre caminos por explorar. ¿Puede alguien contaminar los datos gracias a la IA? ¿De dónde proceden realmente esos datos? ¿Cuál es la fuente del modelo de aprendizaje? ¿Estamos entrenando adecuadamente el modelo? ¿Sabemos bien cómo probar su eficacia? Como puede ver, no nos hemos sumado al ambiente de euforia imperante: somos conscientes de que andar es la condición para echar a correr.