'Zero Trsut y SASE ponen en valor las soluciones de gestión de identidades privilegiadas' (Carlos Ferro, Thycotic)

El negocio de PAM no es nuevo. Hace tiempo que varias empresas trabajan en un mercado que hasta hace poco no estaba maduro. Hay dos hitos que desencadenan esta madurez, explica Carlos Ferro, Vice President, SEEMEA & Asia de Thycotic. Por un lado, “se hace una anatomía de lo que son las brechas de seguridad y se identifica que las cuentas privilegiadas, o ciertas cuentas que son críticas en los entornos empresariales, aparecen prácticamente en todos los ataques”. Es cuando el mercado empieza a madurar “en el tipo de soluciones que busca para resolver esta problemática” y se empiezan a desplegar las soluciones PAM.

Este contenido salió publicado en el número de Enero de 2020 de la revista IT Digital Secutity.

Pero no sólo maduran los clientes, sino los propios fabricantes. En 1996 Aparece Thycotic, que en 2016, el mismo año que realiza su primera adquisición, decide expandirse internacionalmente. Hasta el día de hoy Thycotic ha sumado 6,2 millones de dólares de inversión en dos rondas de financiación y acumula tres adquisiciones: Arellia y Cyber Algorithms en febrero y noviembre de 2016 respectivamente, y Onion ID en junio de este año y con la que no sólo ha añadido tres nuevos productos a su oferta, sino reforzado su posicionamiento para proporcionar soluciones PAM para entornos IaaS, SaaS y bases de datos, un mercado actualmente desatendido por la mayoría de los proveedores de PAM. En 2020 Thycotic es uno de los líderes del mercado, reconocida por consultoras como Gartner o Forrester.

Según Carlos Ferro, hay factores que están acelerando la adopción de este tipo de soluciones, como es la adopción del cloud, “que hace que muchos de los entornos que están muy controlados ahora pasan a controlarse de una forma diferente”. Haciendo referencia a las identidades que no están asociadas a las personas pero que gestionan información crítica, dice también el directivo que la relación entre las identidades y la información ha variado y que estas situaciones “han acelerado los procesos de madurez del mercado de PAM”. Si hace tres años se calcula que el 70% de las empresas necesitaban una solución de gestión de accesos privilegiados, hoy un 60% requiere complementar la solución de PAM que tienen o adquirir una nueva, dice Ferro, añadiendo que para 2022 “el 75% tendrá ya una solución implantada, lo que significa que habrá un nivel de crecimiento, de adquisición y de despliegue de este tipo de soluciones aún mayor en el mercado”.

Mercado Español

Dice Carlos Ferro que el mercado español sigue un poco la tendencia del mercado europeo. Thycotic desembarca en nuestro país a finales de 2018 “y estamos duplicando nuestra facturación”, con previsiones de crecer más de tres dígitos en 2020.

La pandemia, que como se ha dicho infinidad de veces, ha acelerado muchos procesos de transformación digital, también ha sido un disparador del mercado de gestión de identidades privilegiadas. El teletrabajo, apunta Carlos Ferro, ha disparado “la criticidad de asegurar la gestión de las identidades”, pero a veces nos olvidamos de que el teletrabajo no sólo está asociado al empleado que trabaja desde casa, sino que “también impacta en los proveedores, los contratistas, las consultoras que están trabajando ahora en remoto y que también tienen acceso a la información”. La gran mayoría de los responsables de ciberseguridad, tanto de España como de Europa, “habían pensado en ello en mayor o menos medida, pero la pandemia lo ha acelerado”.

En España “se sigue trabajando con Ingecom”, dice Carlos Ferro cuando le preguntamos por el canal mayorista. Se trabaja además con resellers, integradores de sistemas y proveedores de servicios “porque queremos llegar al mercado con las diferentes posibilidades que se requieren para poder cubrir los diferentes segmentos”.

Gestión de identidades, ¿un mercado saturado?

El de gestión de identidades sin que éstas sean privilegiadas es un mercado en el que si bien no se puede hablar de saturación, hay ya unos cuantos fabricantes bien asentados. Es además un mercado que se ha ido consolidando y para el que los proveedores de cloud desarrollan herramientas específicas que permiten a sus clientes controlar quién accede a sus servicios casi sin coste. Lejos de inquietarle, Carlos Ferro ve la situación como algo que “ayuda a madurar el mercado”.

Recuerda el directivo que alrededor de un concepto emergente suelen aparecer nuevas compañías y que hace dos años se produjeron movimientos de consolidación en este mercado. Cierto, 2018 fue movidito en el mercado PAM: en septiembre de 2018 Bomgar compra BeyondTrust; en julio de 2018 Bomgar compra Avectro; en agosto de 2018 Thoma Bravo se convierte en el mayor accionista de Centrify; en marzo de 2018 CyberArk compra Vaultive; en febrero de 2018 Bomgar compra Lieberman Software; y en enero de 2018 OneIdentity compra Balabit.

Todos estos movimientos no hacen sino “hacer visible la problemática”, dice el directivo, añadiendo: “No nos preocupa competir porque tenemos tecnología que es puntera en el mercado”. Menciona Carlos Ferro que el valor de sus soluciones no sólo está en la herramienta per sé, sino “en la capacidad de integrar esta herramienta con el entorno del cliente para maximizar la inversión. Si le dices al cliente que compró una herramienta que no la puedes integrar o es compleja de integrar… esto termina siendo un stopper para esta evolución”, dice Carlos ferro añadiendo que la ventaja principal de Thycotic “es nuestra capacidad de integración y de poner a disposición de los clientes una cantidad de funcionalidades muy rápidamente”.

Evolución de producto

La evolución del producto está girando en dos áreas, explica Carlos Ferro. Por un lado la compañía trabaja para cubrir todos los segmentos del mercado, tanto en la gran cuenta como en la mediana y pequeña empresa, “porque la problemática es la misma: gente que tiene acceso a información crítica y queremos asegurarla”, de forma que se han desarrollado soluciones que permiten apoyar a esas compañías con las necesidades que ellos tienen.

Por otro lado, “hemos desarrollado un producto puramente nativo cloud que apoya a todas las compañías que se están moviendo en este proceso de transformación digital”, independientemente del momento en el que se encuentren. La idea, explica Carlos Ferro es que puedan contar con una solución PAM en un modelo on-premise, o en un modelo híbrido.

“Y por último, una de las evoluciones que hemos desarrollado en los últimos dos años, y que se consolidó sobre todo en el 2020, son las soluciones de gobierno de estas identidades”. Explica el directivo de Thycotic que hay un área dentro de las cuentas privilegiadas que son las identidades privilegiadas no asociadas a personas, los sistemas que interactúan entre sí. En Thycotic “hemos reforzado nuestro portfolio de gestión de identidades privilegiadas con soluciones de gobierno que nos permiten abarcar y gestionar el ciclo de vida completo”. Añade Ferro que este año se han adquirido unas compañías “que también nos permiten reforzar los accesos remotos”.

Además de reforzar los entornos privilegiados y los entornos de acceso remoto, hace poco la compañía también ha reforzado la integración de dos mundos que parecían complejos, “que es la integración del mundo Linux y Unix con el mundo Microsoft, unificando plataformas que históricamente se solían gestionar de forma separada”.

El futuro de la compañía, asegura Carlos Ferro, es seguir desarrollando nuevas opciones que nos permitan acompañando a los clientes en lo que es nuestra especialidad: las identidades privilegiadas.

Las identidades no son sólo humanas. Las aplicaciones acceden a información y recursos empresariales; hay un mundo de identidades no humanas, de Apis, del IoT, de procesos… ¿cómo está gestionando todo esto Thycotic? Responde Carlos Ferro que ya está contemplado, que se cuenta con soluciones específicas para DevOps, un área de crecimiento dentro de la compañía, así como soluciones para entornos de infraestructuras críticas, IoT y OT.

Respecto a DevOps la compañía acaba de lanzar la última versión de DevOps Secrets Vault, una solución que ayuda a proteger máquinas, aplicaciones y bases de datos en entornos de DevOps. Entre las mejores de DevOps Secrets Vault pueden mencionarse nuevo soporte de credenciales privilegiadas dinámicas para bases de datos, la capacidad de proporcionar máquinas y aplicaciones recién creadas con acceso único a credenciales privilegiadas guardadas y una nueva integración con Azure DevOps.

Otra novedad en cuanto a lanzamientos tiene que ver con Secret Server, cuya última versión ayuda a controlar la superficie de ataque de la cuenta privilegiada con más facilidad gracias a una serie de nuevas capacidades que reducen el número de pasos para administrar todo tipo de privilegios, protegiendo al administrador, al servicio, a la aplicación y a las cuentas raíz del ciberataque.

De cara a 2021 el foco es “seguir acompañando a nuestros clientes en su movimiento a la cloud, que es una de las grandes tendencias; las cuentas de servicios, que son las cuentas no asociadas a personas, como DevOps y OT”.

Rosalía Arroyo