"El producto, sin servicios, no vale para nada" (Aiuken)

“El mercado es muy ‘vendor drive’, muy dirigido por los vendedores”. Quien lo dice es Juan Miguel Velasco, CEO y fundador de Aiuken Cybersecurity, una compañía especializada en servicios de seguridad y servicios cloud. Divide este experto el mercado en tres: productos, servicios y personal. El 40% del mercado de seguridad se lo llevan los productos, un 30% los servicios y otro 30% las personas, los expertos que se necesitan para la gestión de la seguridad; “el mercado sigue estando muy dirigido por el fabricante. Ahora es el EDR, o el CASB, pero los clientes empiezan a darse cuenta de que la seguridad es un proceso, y éste no empieza y termina en un producto”, dice Velasco, asegurando que sin servicios el producto no vale para nada. Esta filosofía ha llevado al integrador a trabajar “con 65 fabricantes, y creo que me dejo alguno, porque somos bastante agnósticos”, dice su fundador.

Este contenido está publicado en el número de Abril de la revista IT Digital Security, disponible desde este enlace.

Aiuken prefiere hablar de problemas y soluciones, sin marcas ni siglas, sobre todo en un mercado que evoluciona tan rápido. Asegura que son muchos los que hace años, y no tantos, planificaron su estrategia en torno a la protección del perímetro, “y de repente han desaparecido los datacantes. El último en venderlos ha sido Telefónica”, que los ha vendido a un tercero en una operación global. Asegura Juan Miguel Velasco que los tres grandes proveedores de cloud pública “están arrasando completamente” y que las empresas han pasado de querer proteger el perímetro a irse al cloud, “¿y cómo te proteges ahora? Eso es lo que nosotros estamos viendo”.

La adopción del cloud conlleva un cambio drástico: “el mercado de seguridad tradicional, como se conoce al de los antiguos integradores y resellers, estará muerto cinco años”. Detrás de esta dura afirmación una experiencia de más de 20 años y el asegurar que los proveedores de cloud están ofreciendo los servidores, las bases de datos… y que la seguridad va a estar ahí. Y si no son más específicos con la seguridad es porque también tienen a los propios fabricantes de seguridad como clientes y partners y porque “la seguridad tiene ese místico tabú”, dice Velasco, añadiendo que, a pesar de eso, de preferir no hablar de seguridad, “están negociando, está avanzando” en torno a este concepto. Asegura el directivo, además, que los fabricantes están muy convencidos de su innovación tecnológica, “que es cierta, pero la cuestión es que si ellos [los proveedores cloud] dan una tecnología que no hace lo mejor, pero hace lo adecuado, y además la dan gratis, pues no sé qué puedes hacer ahí”.

¿Necesitaríamos un proveedor clave europeo? “Para mí sería una ‘must’. Sería obligatorio”, asegura Juan Miguel Velasco, comentando que en realidad tenemos uno, Equinix. La experiencia de Aiuken en Emiratos Árabes llevan a su director general a explicar que en este país de Oriente Medio “existe un cloud gubernamental de obligado uso para el gobierno y para todas las entidades que dan servicio al gobierno. Lo han diseñado ellos, la pagan ellos, y a los proveedores externos internacionales les obligan a ser compatibles con ese cloud. Y a mí eso me parece muy lógico”.

Y no sólo habla Juan Miguel Velasco de proveedores cloud europeos, sino “también proveedores de seguridad europeos”, cuyo número es reducido. Esto nos lleva a hablar de la consolidación del mercado, no sólo de fabricantes, que es constante, sino en relación con el mercado de integradores de seguridad, donde últimamente han sido noticia Accenture, Grupo SIA, IECISA o Secura. Reflexiona Velasco en que la consolidación llega de cuatro grandes actores: Telcos, grandes integradores mundiales, fabricantes y los fondos de capital o inversión.

Dice Velasco que las telco se mueven por su propio capital y que los grandes integradores son más peligrosos. Recuerda que más del 50% de lo que Accenture se ha gastado en compras en los últimos años (2,5 billones de dólares) han estado relacionadas con seguridad; “se han dado cuenta de que ya no pueden crecer por IT, por Digital Transformation, porque es un mercado que ya tienen y se van al siguiente sector que está explotando, que es el de la ciberseguridad”. La consolidación entre fabricantes es normal para apuntalar la oferta, para conseguir más cuota, y luego están los fondos “que se están metiendo porque lo multiplicativo de las compras son brutales”. Y no sólo fondos que compran empresas directamente, sino los que están detrás de los fabricantes de seguridad, como ha sido el caso de la compra de Panda Security por parte de WatchGuard.

“Los fondos son los que están yendo en contra de la consolidación del mercado. Pero por una razón: cuanto más tarde consolidadas el mercado, más tiempo tienen ellos en buscar inversiones, fortalecerlas y hacer que valgan más”, asegura Velasco. Pone como ejemplo el caso de Symantec, que compró BlueCoat con ayuda de un fondo para hacerse más grande y dar mucha rentabilidad al fondo, para ser después comprada por otra empresa, Broadcom, que no olvidemos que tiene otro fondo detrás…

Sobre las Telco dice que “intentan buscarse nuevos caladeros” en un momento en que su negocio natural, la voz y los datos, ha caído; “si la fibra costaba 80 y ahora vale 30; le meto el fútbol y vale 100; le quito el fútbol vale 30… Pues te meto lo de Prosegur y te meto lo de ciberseguridad y ya te he vendido algo más”. Como ejemplo Telefónica, la operadora más avanzada en lo que a servicios de seguridad se refiere. X by Orange lleva un año intentando hacerse un hueco en el mercado sin grandes resultados, igual que Vodafone con su oferta Conectividad Aumentada, un pack para llevar la seguridad a las pymes. “A lo mejor con 200 millones te puedes comprar todos lo MSSP (proveedores de servicios de seguridad gestionada) del mercado”, dice el CEO y Aiuken, añadiendo que “Telefónicas se podría comprar 4 o 5 compañías inmediatamente, pero es la propia ambición de los fondos, que riega de dinero a sus empresas pequeñas o medianas, para que crezcan un poco más, para que sean un poco más caras los que convierten el mercado en una ruleta, lo convierten en una bolsa”.

¿VPN Está muerto?

Cambiamos de tercio. Dejamos de lado el mercado para hablar de tecnología. En la que ha sido la última entrevista cara a cara antes de la debacle sanitaria que nos afecta, con metro y medio de distancia, preguntamos a Juan Miguel Velasco si, como se vienen diciendo desde hace un tiempo, las VPN están muertas. 

Introducida al mercado hace casi dos décadas, la tecnología VPN empresarial ha sido excepcionalmente duradera. La mayoría de las grandes organizaciones aún emplean una solución VPN como una manera de proporcionar a empleados, clientes y terceros acceso remoto seguro a aplicaciones internas. Sin embargo, lo que una vez fuera una utilidad simple y efectiva se ha convertido en una solución cada vez más ineficiente e insegura cuando se ve en el contexto de las redes modernas de hoy. La movilidad, el famoso BYOD y las aplicaciones cloud están probando los límites de las VPN empresariales.

“La VPN tradicional está muerta, pero VPN cloud no”, dice Velasco, añadiendo que lo que puede traer esta crisis del coronavirus es “la muerte de las MPLS”. Explica que ahora mismo, con las conexiones de cloud y la propia conexión del operador de fibra, se puede tener VPN Cloud con un montón de fabricantes a un precio muchísimo más barato, “y tienes una calidad servicio muchísimo más alta que una MPLS”.

Añadía en su momento lo que ahora es una realidad: todos los que podemos estamos teletrabajando, y la venta de conectividad remota y segura se ha disparado.

Y lo fundamental en seguridad es…

“Gestión de identidades y protección del dato son para mí cosas fundamentales”, asegura Juan Miguel Velasco. Ahora mismo, en un modelo sin perímetro y sin entorno físico “lo más importante es proteger quién eres para que en todos los entornos donde estás interactuando seas tú y nada más que tú, y nadie te suplante”. Y añade el directivo que el Privileged Account Management y el escalamiento de privilegios, “sigue siendo una asignatura súper pendiente”. La gestión de identidades es fundamental “porque somos nosotros en un montón de entornos. Hay mucho que avanzar”, dice el CEO de Aiuken.

Sobre la seguridad del dato dice que es fundamental porque todo es digital, y añade un tercer elemento esencial: la seguridad de la conexión. “Si combinas tu identidad, la protección del dato y la protección del canal, eso para mí lo más importante. Lo demás son cuentos, porque la seguridad perimetral no existe”, concluye.

Rosalía Arroyo