Mesa Debate Ciberseguridad

Entrevistamos a Miguel Lopez, Country Manager  Iberia para Barracuda

Entrevistamos a Carlos Tortosa, Director de Canal y grandes cuentas en España Eset

Entrevistamos a Roberto Alonso, Director de Cloud & Business de GTI

Entrevistamos a Juan Miguel Fernández, Responsable Técnico Preventa de Ireo

Entrevistamos a David Gasca, Business Unit Coordinator Enterprise Security de V-Valley

Primera cita del año, con el tema de la ciberseguridad encima de la mesa. Los protagonistas de esta ocasión han sido: Miguel López (Country Manager Iberia de Barracuda), Carlos Tortosa (director de Canal y Grandes Cuentas en España de Eset), Juan Miguel Fernández (responsable Técnico Preventa de Ireo), David Gasca (Business Unit Coordinator Enterprise Security de V-Valley) y Roberto Alonso (director de Cloud & Business de GTI). No se lo pierdan.

El escenario
ESPAÑA SE encuentra entre los países de la Unión Europea con mayor índice de riesgo por infección por malware, pero también necesita avanzar en la seguridad de entornos cloud, la adopción de la totalidad de las medidas del RGPD y la protección de sus servicios básicos. Es una contumaz carencia de protección esencial, una falsa ilusión de que “a mí no me va a tocar; si eso, para el año que viene que tendremos más dinero haremos un proyecto”, hemos oído multitud de veces. Pero para tener éxito, al atacante le basta cinco minutos para con movimientos laterales esconderse en el sistema y permanecer invernado hasta que sea despertado de nuevo. ¡Y el tiempo medio de detección de un ataque es de 70 días!

Lo único verdaderamente democrático son los ataques de los hackers, porque no discriminan si eres una empresa grande o pequeña. Seas del Ibex35 o una pyme, te puede tocar. Durante 2019 se han producido 75.000 ataques solo en España, y les toca a los más débiles y en el momento más inoportuno. Algunos igual no han perdido dinero, pero sí han pedido clientes desde el momento que no les han pillado fuera de juego y no han podido atender un pedido porque su sistema estaba caído. El cálculo sin embargo es que cada ataque con éxito le cuesta a la empresa entre 25.000 y 60.000 euros; si es un pequeño empresario, significa que o deja de pagar las nóminas o tiene que hipotecar la casa, y en un país como este con hipotecas a 30 años… lo normal es que haya que cerrar el negocio.

El reto de los MSSPs
El mercado MSP ha experimentado un rápido crecimiento en los últimos años. Según Gartner, el negocio mundial de servicios en la nube pública crecerá un 17,5% sólo en 2019, donde el 31% de las empresas encuestadas declara tener ya externalizada la ciberseguridad, y el 21% tiene previsto hacerlo en los próximos doce meses.

Una de las principales razones es la carencia de talento interno para hacer frente al cambiante mundo de las amenazas. Un tercio (32%) de las empresas con menos de 500 empleados externaliza la seguridad de TI por este motivo. Esto sin embargo que podría ser una oportunidad de negocios para proveedores de servicio gestionados, se encuentran con que a uno de cada dos (51%) MSP le cuesta convencer a los clientes para que adopten este tipo de soluciones que incluso se adaptan mejor a sus necesidades, y de hecho, casi un tercio (30%) identifica los desacuerdos con los clientes como el principal punto débil de su negocio (sea por no entender la tecnología o no entender el presupuesto).

Esta falta de conocimientos sobre seguridad de TI por parte del cliente supone el principal reto para los MSSPs. Casi dos tercios (65%) de los MSSPs creen que los usuarios son la fuente de la mayoría de los problemas relacionados con la tecnología. Por tanto, pueden convertirse en las figuras clave para ayudar a reducir este tipo de riesgos al actuar como asesores y proporcionar la experiencia necesaria a fin de mejorar la protección de la ciberseguridad. La formación y las dotes comunicativas son elementos claves.

El debate
En esta mesa de debate queremos analizar todas estas tendencias para que nos ayuden a conocer mejor el presente e intuir el futuro. En el caso concreto de la ciberseguridad, estar actualizado significa tener protegidos el primer los principales activos de la empresa, que son los datos y su propiedad intelectual e industrial. En segundo lugar, sus infraestructuras y sistemas de hardware y software, sin los cuales tendría muy difícil seguir funcionando, y en tercer lugar, cumplir con los requisitos normativos y contribuir a no erosionar la reputación de la empresa.

A todo ello, no basta con el papel del fabricante sea excelente y tenga que el mejor producto posible, luego hay que hacer llegar esta tecnología a la empresa y adaptarla a sus necesidades específicas. El papel del canal es insustituible, como prescriptor, como integrador, como soporte, como formador… Cada figura tiene su espacio, desde el mayorista al MSSP, y analizaremos el reparto de atribuciones y la función que le corresponda a cada uno.

¿Están las empresas españolas en general más en riesgo que sus homónimas europeas?
Eset: España en más riesgo no, similar a su entorno en la UE sí. Hay otros países que son más objetivo. En la lucha contra el cibercrimen vamos siempre un paso por detrás. Como no suele haber nunca un objetivo claro, lo mejor es la concienciación de distribuidores y partners para que hagan de evangelizadores y que la seguridad sea una pata importante en su negocio, por mucho que la mayoría de las empresas sean pymes que manejan presupuestos pequeños. Y aún así figuramos como el cuarto país en protección de la información.
Ireo: Comparativamente el nivel de riesgo es igual al resto de países europeos. En lo que sí destacamos es en el ethical kacking (los sombrero blanco) orientado a la formación que sale de la Universidad e incluso los autodidactas que se preparan así mismos. Por tipología, la gran cuenta suele contar con su CISO y estar mejor pertrechada, pero una pyme no, con lo que si no se apoya en un proveedor lo tiene más difícil; podría ser el mismo que le lleva el mantenimiento de la impresora, si estuviera capacitado a incorporar en su portfolio la seguridad.
V-Valley: Hay dos clases de empresas, las que ya les ha pasado y las que están a punto que les pase. Las que no tienen perimetrado, mal, pero las que lo tienen da casi igual, porque estén en la fase que estén siempre hace falta poner algo más. La seguridad al 100% no existe. España está igual que el resto de países, ni por detrás ni por delante. Son las empresas las que van a distinto ritmo. A la que le ha pasado va a invertir más que la que todavía no es tan consciente, salvo que haya visto que ha caído cerca y cómo le ha afectado al negocio.
GTI: El ataque no tiene nacionalidades. Tarde o temprano te toca a ti o al vecino. No creo que haya que esperar que le pase algo para reaccionar, con la transformación digital está funcionando también la concienciación en las medidas de seguridad que acarrea y vamos a buen ritmo, al menos no estamos en la cola de Europa.
Barracuda: Por inversión y por concienciación no estamos a la cola, pero tampoco a la cabeza. España es uno de los países más atacados, ya sea por el tamaño de su economía o por el idioma que comparte con un continente y que hace que el coste/beneficio de preparar un ataque tenga un ROI más claro. No sé si las administraciones públicas están al mismo nivel que las empresas privadas, pero mejor que hace uno o cinco seguro que sí. Las empresas son conscientes de que se trata de una inversión y no de un gasto, aunque dudo si las estadísticas y ratios gubernamentales son los correctos por verticales y tamaños. Todavía no se es 100% consciente pero confiamos que se incremente el ritmo de inversión.

¿Es la externalización del servicio la solución?
Eset: Igual la velocidad de concienciación no es la adecuada, a la hora de delegar en una empresa externa. Pero si ya es muy complicado para una empresa encontrar talento en seguridad en ciudades como Valencia para contratar, imagínate en otros sitios más pequeños o remotos; y sin embargo, podría ser una manera de romper la brecha rural y la España vaciada, porque por trabajar podrían trabajar desde cualquier lado teniendo las infraestructuras necesarias. El MSP es un modelo cada vez más explotado y en claro crecimiento.
Ireo: Es difícil medir y evaluar cómo está de nervioso y ver si apoyado en un externo puedes llegar al nivel de seguridad deseado. Pero si no es consciente del riesgo es aún más complicado, incluso a pesar de tener destinado un presupuesto. Al principio se veía al cloud algo inseguro pero es más fácil para medir los niveles de seguridad. Si vamos mejorando la comunicación entre todos sabremos explicar que la externalización es la mejor manera de conseguir especialistas. En el mercado son los que son, y hay déficit para contratarlos, además de que la mayoría de las empresas no se pueden permitir tener en plantilla expertos en ciberseguridad.
Eset: El 99% del tejido es pyme, no tienen un CIO ni siquiera un informático, como para imaginárselos con un CISO. Pero si externaliza es casi prácticamente como si tuviera uno.
V-Valley: Cada vez estamos más acostumbrados a utilizar cosas como servicio: Spotify, Netflix… me adapto y asumo el coste. El renting para el coche, el alquiler para la casa (bueno esto no tanto como en Alemania o el resto de Europa), el cloud para las infraestructuras… es flexible y si quiero más o menos aprovecho esa oportunidad de los servicios gestionados.
GTI: Las tecnologías TI han adquirido un punto de complejidad que si a la pyme le hace no ser capaz por sí misma, tiene sentido entonces externalizarlo porque no va a saber monitorizarlo. Para el distribuidor es fantástico porque va a poder acceder y resolver como un servicio el último bastión de las empresas, su backup, y ofrecerle además un disaster recovery en la nube en vez de tener un NAS.

¿Son las operadoras entonces la competencia natural de los MSSP?
V-Valley: Sí, porque si no nos metemos nosotros, serán las grandes operadoras telco quienes lo hagan.
GTI: Una telco a lo que más llega es a un reset up y al distribuidor le toca jugar la baza de la proximidad. Le toca atender esa demanda porque si no va a salir otro que le quite el sitio. Mucho canal está evolucionando en el offering de seguridad, porque al final la operadora a la vez que te da y cobra el fútbol te puede añadir todo lo demás.
Ireo: Si se ofrece un servicio cercano y ajustado mejor, no que la empresa se tenga que adaptar a lo que hay.
GTI: Antes podías estar vendiendo licencias y no te enterabas si las usaban o las tiraban al río, pero en el cloud sí se ve lo que usas y cómo lo usas, esto es bueno para acompañar el ciclo de venta y poder meter la seguridad en las compras, es una relación muy potente.
Ireo: Lleva su tiempo pero el servicio gestionado es lo más ideal para continuar la relación.
V-Valley: En vez de vender una cosa cada tres años es romper esa dinámica e ir introduciendo nuevas soluciones. Un distribuidor que ofrece un todo en uno o un mayorista que coge todas las piezas y monta ese servicio, no puede hacerlo todo a la vez pero va abriendo mercado.
Eset: Que el partner aprenda a empaquetar y ser un proveedor integral. Los fabricantes damos formación, pero el mayorista tiene que aprender a hacer el paquete y dar un servicio integral. La telco si llega abajo a la pyme llega como marca blanca cogiendo cuota de mercado.
GTI: Usa sus armas, como canal principal del distribuidor puedo crear un paquete de servicios y ganar a la telco. Al final el que elije es el cliente.
Eset: Lo que prevalece es la proximidad. Al partner no le interesa trabajar con alguien que no le coge el teléfono.
V-Valley: Tienen la capacidad de incorporar nuevas tecnologías de las que no son tan estandarizadas, encuentran necesidades no detectadas, dan un pasito más allá.
Barracuda: Aunque a veces se pierde la diferenciación tecnológica, el mercado de los servicios gestionados está creciendo a ritmo sostenido. Tres factores influyen: la complejidad intrínseca del mundo TI, la falta de perfiles y talento en seguridad disponible, y los departamentos financieros en los que se han despertado un mayor interés porque son más sencillos de convencer haciendo la compra tipo opex mejor que capex. Nosotros hemos diseñado un producto específico, el BarracudaMSP, que permite adquirirlo en la modalidad de servicio. Para ello hay dos niveles: un partner MSP de nicho con más cintura para ajustarse a las necesidades; o un partner más grande tipo con su propio SOC.

¿Entienden los clientes el funcionamiento de la seguridad gestionada ante ataques más complejos?
Barracuda: Estamos aún en una fase temprana del MSP. La externalización va por barrios, hay empresas que han asumidos sus roles y otras que no se suman. Pero no se traslada la información correctamente, no todos entienden el concepto de responsabilidad compartida, donde quizás habría que explicarlo mejor o hacer más hincapié. No vale entregar un dossier completo, están sobrepasados y confunde la seguridad física y lógica.
V-Valley: Por muy alta disponibilidad que haya si cae un meteorito, y no tienes replicada la información, aprendes por la vía difícil, solo cuando Santa Bárbara truena. Queda la evangelización, los límites de la responsabilidad propia y del que da el servicio, pero es un aluvión de medidas más orientado a la responsabilidad de los datos.
GTI: El modelo como servicio en pymes ideal y tiene más sentido. Queda mucho camino por hacer, canal por formar y hacer offering más especializado en seguridad o no, todos transicionan a llevar servicios gestionados. Las compañías más grandes que tienen complejos sistemas y todo más híbrido una parte puede que sí y otra parte que no. La oportunidad está en unir los mensajes. Se tiende al O365 y no al Excel dentro de las compañías. Pones el discurso de la seguridad en el backup y el discovery, la necesidad está, y como el canal ser capaces de ofertar como transformación digital.
V-Valley: Siempre el delegado de seguridad hacía la venta de licencias, te activo y te instalo. El manejo del firewall quedaba en manos del partner. En las grandes compañías que sí tienen equipo en el endpoint se les alienta para que migren y los gestionen porque va con el correo y demás. En las pequeñas, pocos habrá que se autogestionen.
Barracuda: Pero otros sí se desentienden una vez instalado, lo que supone una ventana de oportunidad para que el partner despliegue correo, y al revés, oportunidades de venta cruzada.
GTI: En el momento de venta no entra seguridad si el partner no tiene doble perfil.
V-Valley: El partner CSP no suele estar también en seguridad.
Ireo: No está especializado, y hace migración y luego le dicen que cómo tienes esto abierto sin proteger.
V-Valley: Es el partner que le tiene que decir si tiene que implantar, en los grandes tienen su SOC. Se dan dos oportunidades: bien en el endpoint, bien en el perimetral. Y por esto en antivirus se ha convertido en una comodity.
Barracuda: Los partners más exitosos han visto la oportunidad. Vienen de dos mundos: los sistemas y el software. Y a la hora de ir al cloud ver la seguridad y los que la están añadiendo mejor les está yendo. Tienen un know-how importante y parte de el en seguridad.
GTI: Son los partners que no venían de la seguridad los que más se han puesto las pilas. Venían de la gestión y han cogido modelos de MSSP porque le viene hecho el servicio desde el fabricante y no tiene que preocuparse él.
V-Valley: Todavía no es grande en porcentaje, pero el que empieza lo tiene fácil.
GTI: Si existe financiación, de un trimestre a otro se duplica o triplica. Cuando vienes de otro negocio se nota. Las cuentas grandes lo primero que preguntan si tiene MSP. ¿Lo puedo vender como servicio? Ha costado verlo, pero: el comercial tiene la mentalidad puesta en el margen; el cliente en su presupuesto. Se adapta a lo que está pasando, combina a medida y empezar de menos a más. Pero si surge problemática del ransomware no lo para el endpoint y si no lo tengo presupuestado me aguanto ahora sin hacer nada, pero con MSP es asumible.
Eset: Ya hay distribuidores especializados que están metidos en seguridad. Pero otros distribuidores pueden ahora empaquetar dife­rentes herramientas que la ciberseguridad no detectaba y ahora sí, en un paquete cerrado. Buscan un cliente diferencial, con fabricantes específicos, y que como MSP no nos conocían y hemos ido a buscar. El distribuidor partner que ha visto que cierra licencias porque gana más como servicio y tiene herramienta de monitorización. Realmente siempre ha estado ahí desde el año 2000, pero la evolución de las consolas no solo sirve para instalar, sirve también para monitorizar incluso en la nube. Y completar catálogo de servicios de seguridad, pago un precio y me olvido. El mercado en EEUU llega ya al 40% del modelo MSP, pero en España comparativamente es aún muy pequeño todavía.

Muchos partners se quejan de que los usuarios no están por la labor de cambiar a un modelo MSP…
GTI: El mundo no es blanco o negro, todos arrastran su legacy. Tengo presupuestado tres años y lo mantengo pero contratado como servicios.
Eset: Flexibilidad de la contratación, tengo el presupuesto cerrado a tres años, y lo voy dividiendo año a año cogiendo los mismos servicios.
V-Valley: Cada vez más integración entre fabricantes, incluso Microsoft en el endpoint con visibilidad, ahí está la oportunidad de un firewall mejor gestionado que un antivirus, y ahora servicios específicos: forense, auditoría…
GTI: El mundo multicloud y abierto a Azure.
Barracuda: Todos los grandes fabricantes han ido al cloud, en volumen es mucho mayor que lo de seguridad. En un típico proyecto de salir a la nube que valga x millones de euros, la seguridad representa un 10%. Tengo proyectos por valor de x y los partners han sabido ver añadiendo seguridad. Son los que se están llevando el gato al agua. Y los que van a la nube igual. Una ventana de oportunidad para el canal, no el típico de seguridad sino el integrador el que ganar cuota.
V-Valley: Es más rentable el servicio y recurrencia. Es más interesante y diferenciado.
Ireo: El riesgo a cambiar tamién es más grande.
Barracuda: El miedo del canal de integración, vendo migración de una carga y han tenido que rectificar añadiendo seguridad.
GTI: La seguridad es una pata más. Mucho hierro, formación (es como la suite de productividad MS Teams y luego no sabes sacarla partido) y protección de datos. El modelo recurrente de ir ofreciendo servicios como el de Salesforce, ciclo infinito.
Eset: Cuesta más convertir una licencia de un partner fiel en servicio. Añado valor y herramientas pero ocurre menos. Funciona más decirle al partner que tranquilo, que el cliente es suyo.
V-Valley: Está migrando solo el partner que ha perdido el miedo al cloud después de usar Azure. Y ha pasado de la venta one shot en el endpoint al pago IaaS, modelos más híbridos.
Barracuda: Prevalece la idea de que si funciona no lo cambio. Pero se da cuenta que por qué hacerlo en cloud y local si lo puedo hacer todo en cloud. El partner obsoleto perderá su cliente por otros.
Ireo: El fabricante nace por concepto de seguridad en el correo, es el mayorista el que ofrece una capa indepen­diente de lo que haya abajo, y un partner te dice que se integra más nativamente, pero si el cliente se va le va a valer a donde vaya.
Barracuda: Y análoga entre diferentes nubes. complejidad es un caos, y aunque al final se vaya al más económico, que al menos sea consistente y que haya un partner que le diga si se van a quedar los servidores mirando a Internet.
V-Valley: No solo entre nubes. En red le tiene que dar igual.
GTI: El movimiento entre nubes públicas tiene el problema de la visibilidad, necesitas tres consolas.
Barracuda: Nosotros somos el primer fabricante que tenemos una consola común para las tres nubes, y esto va a ir a más. El perímetro no termina en la nube, acaba en la tablet o el reloj wearable. Es la ID lo que va a contar porque será única para todo.

Se dice que el humano es el eslabón más débil en la cadena de la seguridad…
Eset: Hay que concienciar de que pueden fallar.
Barracuda: Queda mucho por hacer. Nadie se lee las cláusulas, no existe concienciación en el usuario de a pie, y en el mundo de empresas es similar. Tú dejas un USB en el suelo del baño y te lo conectan en cuanto pueden. Y ya si ven que hay ficheros con nombres de tipo ‘despe­dida de soltera’ casi el 100% lo va a abrir. Esto ya no es un problema solo de seguridad, es de responsabilidad. Hay que integrarlo en las políticas de RRHH dentro de la empresa y avisar del mal uso que se puede hacer de la tecnología. Pero luego traes cosas de casa, y el 60% de los dispositivos están infectados.
GTI: La diferencia es que en casa no tengo a cambio un “martillo neumático” como herramienta de trabajo.
Eset: Hacen campañas de pentesting, poner el reto dónde salir/entrar, pero a la alta dirección no le puedo decir que no me fío de ellos, y no les dejo acceder a los datos.
Barracuda: Hay usuarios que se creen por encima de la responsabilidad. Queda mucho que hacer a todos los niveles, pero los directivos más porque son objetivo.
Eset: El más crítico.
Ireo: O, “he perdido el portátil, ¿y mis datos, me los recuperas?” Tú eres el responsable de haber hecho un backup, es reponsabilidad compartida, no son conscientes de qué proteger. No se trata solo de estar protegido por estar protegido. No pones una puerta blindada para luego dejar la llave puesta en el cerrojo por fuera. No hay que dejar la responsabilidad solo al usuario. Se puede usar la capacidad de la IA para poder ayudar.
GTI: Si va a dar al botón igual.
Barracuda: La seguridad es cosa de capas. Quiero añadir una reflexión filosófica: en el protocolo de la alarma de incendios todo sale muy bien, pero ¿cuántos han vivido un incendio de verdad? Pues igual con los ordenadores. Ese ataque ransomware al hospital también pone en riesgo muchas vidas. Hay muchos entornos OT que no tienen concienciación.
Eset: La solución simple es que todo el mundo se vaya a su casa. La herramienta respuesta a incidentes no se va a apagar.
Ireo: Es el efecto doble incidente: el ataque, y el apagarlo.
Eset: Un plan de contingencia de trabajar en casa, contemplando específicamente esa posibilidad (en la dana de septiembre de 2019 se nos inundó la oficina y tuvimos que teletrabajar), nosotros sí pudimos porque estábamos preparados, pero no a nivel de tener protocolizado los casos de uso, los servicios mínimos ni una previsión de los costes.
V-Valley: Un fabricante de VPN en caso de emergencia se provee automáticamente un pico de licencias cuando las capacidades se han sobrepasado por un determinado periodo, por ejemplo de tener 200 VPN a soportar 2.000 VPN. Antes estaba reservado a grandes emprsas multinacionales cuando hay un aviso de atentado en las torres gemelas, ahora ya pueden hasta las pymes.
GTI: Ver algo bueno: cambiar el modelo de trabajo con cada vez más herramientas colaborativas. Pero la economía entra en pánico.

¿Ha llegado el momento que la seguridad física y la cibernética se encuentran?
GTI: Partners que vienen del mundo de la seguridad física y gente muy especializada quizá para gran cuenta, igual que alarmas añades una capa lógica y planes de contingencia y si es una recuperación de desastre. Van de la mano, pero son contadas las empresas que ofrezcan a la vez las dos.
V-Valley: Más operadores que dan seguridad física en OT no el que prueba las cámaras, sino proteger esas redes aisladas y equipos viejos.
Ireo: Los fabricantes OT piensan que son silos, pero luego tienen una máquina de café conectada a la nube y han metido al lobo en el corral.
V-Valley: No es tan fácil actualizar sus sistemas operativos
Eset: “Windows XP no está conectado a nada, solo al servidor…” Ese SO va más a potegerlo todo y no se puede parar la línea de producción, que son muchos euros a la semana. Vamos a lo más avanzado y olvidamos lo viejo, y no se sabe lo que hay.
Barracuda: Y además tan heterogéneos y obsoletos o propietarios que nadie más entiende. En OT hay que coger y defender líneas de producción aislándolas tipo firewall que entiende esos protocolos. Por definición son inseguros. El fabricante del robot te mete módulos de cómo cambiar el aceite, pero luego no te deja instalarle un antivirus, o el firmware de las webcams no se puede actualizar, o un Windows NT que no se puede tocar, mejor aislar y dejar pasar solo dispositivos seguros.
V-Valley: Ya no es solo poner firewall y ya está, la mejor solución complementar con MAC IIoT para analizar y perfilar medidas restrictivas. No bloquean la red desde dentro y permite análisis de comportamiento dentro de las redes
Ireo: ¿Y cómo se conectan a la infraestructura OT sus proveedores? No pueden poner agente de control y cómo permite acceso remoto controlado, sesión y auditando, son muy específicos y van a las grandes. Cuando llegue al retail, ¿qué pasará con los aires acondicionados o con mi nevera?.
Barracuda: Otra derivada: cada vez más gente conectada con una app corriendo en la nube pública y usando una API… que alguien ha puesto ahí suplantando a la verdadera. Otro campo por estudiar y tanto por hacer es el desarrollo de una página web y lo quiero en tanto tiempo pero si no llego a los plazos lo primero que sale es la seguridad, y cuando se pide una API o un contenedor igual.
Ireo: 5-10 minutos y el programa ha aprendido si la API es segura y el uso legítimo. Es un campo novedoso aunque el problema existe desde el momento del diseño.
Barracuda: Correlar y secuenciar pasos es la clave, contar con IA y detectar comportamientos anómalos. Si solo monitorizas, no solo vector de ataque. Tener las gafas para todo y tener más capas: cloud, API, servicios de gestión… No ter­minas de parchear y sale otro.
GTI: La IA es hacia donde va todo. El perímetro desaparece pero miles de riesgos encuentran soluciones avanzadas.
Ireo: Como usuario que se compra Alexa… Es más fácil caerte cuando corres que cuando andas.
V-Valley: Tendencia al Zero Trust: no confío en ti hasta que tú me demuestres, impedir sobre todo el acceso, y luego lo que haces.
Ireo: Lo peor, que el usuario lo vea invasivo y nada cómodo.
Barracuda: Volvemos a la concienciación. Sacrificar viabilidad por seguridad… igual no tiene que ser todo tan fácil. Si el mercado no demanda seguridad es añadir un coste, como el acceso biométrico, con lo que no se incorporaría.
GTI: Tiene que ser inmediato.
Barracuda: Y una asignatura en los colegios.
Ireo: Mal si ya tu hijo empieza a meterse en la Deep Web y TOR.
V-Valley: TikTok aprendiendo patrones…
Ireo: Concienciar primero al canal y segundo al usuario final. Yo tengo Windows Defender y no necesito nada más, vale puede que hayas tenido suerte, o que no sabes que tienes un ordenador zombi, o ese ruido constante que hace el servidor de la oficina y está minando…
GTI: La empresa que te dice que no tiene riesgos, pues que se haga un estudio.

¿Sería interesante tener una especie de sello o ránking que situase a la empresa en su contexto?
GTI: Cosas de la legislación que habría que mirar.
Ireo: Pentesting es caro para una empresa. Solo las que saben que sacarán partido, para una pyme malo.
Barracuda: Una inspección de riesgos laborales sí se hace y es caro, y porque es obligatorio hay empresas que viven solo de eso y decirte dónde poner el extintor.
Ireo: Automatizar el pentesting y hacer auditorías no lo va a tener en plantilla. Controlar bajo demanda. El negocio de un sombrero blanco para medirle el 10% y poner remedio el 90%. Puede ser una vez al año y otras empresa necesitarlo cada semana.
Barracuda: Se están dando servicios web de manera automática para páginas web y emails e inspección aleatoria. RGPD es a posteriori, es el marco. No existe percepción. Falta la tecnología estandarizada. El pasar anualmente un análisis de seguridad, sería lo suyo.
GTI: Una buena idea hacer una especie de ITV pero difícil de implementar en general
Eset: Problema es la estandarización de la prueba y qué parámetros medir y certificar. Ya hemos tenido ejemplos de ITV muy manipuladas en Cataluña y Comunidad Valenciana, y haría falta fiarse en un certificador neutro con una escala simple A B C.
Ireo: Al final cada empresa va a determinar un nivel de seguridad, quizás si le acompaña un partner para estandarizar…
V-Valley: Parte de cumplir con el RGPD no es solo evitar multas, sino que es imprescindible para sus seguros de responsabilidad civil, ya que la póliza va acorde al nivel de seguridad demostrado.

¿Pueden volver las AAPP a tirar del carro y ser motor de innovación?
Eset: Visión positiva de las Administraciones Públicas, cada vez más licitaciones con niveles de complejidad más elevados, no se trata únicamente de antivirus para sus endpoints. Todavía hay mucho recorrido por hacer, la senda es la buena, pues el nivel que debe facilitar al ciudadano debe ser muy alto al demandarle y manejar sus datos económicos.
Ireo: Pero ha suspendido más de un Ayuntamiento, que ahora le interesa un NAC cuando antes decía que si son servicios al exterior, son para proteger ese servicio al ciudadano. Antes no era objetivo y ahora sí y de los más jugosos porque tienen la información de todos, y tienen que elegir muy bien incluso si hubiera engorde presupuestario.
V-Valley: Están levantando cada vez más proyectos, a veces muy punteros como alguno para bomberos y fuerzas y cuerpos de seguridad, que esperemos se pueda extender a flotas privadas. La Administración cuando puede, se nota; hospitales, firma electrónica…
GTI: Las AAPP son un motor de las TI, pero hay un poco de todo, no es homogéneo. Ahora, tiene que demostrar su validez, no gastar por gastar, porque gestionan el dato del ciudadano.
Barracuda: Además del marco más regulado del RGPD y el ENS, cabe diferenciar pequeños ayuntamientos de mil habitantes de grandes municipios de un millón. Desde diputaciones y comunidades autonómicas podrían ser centralizados ciertos servicios y hacerlos en plan de economía de escalas. Ya si el presupuesto dado es el adecuado al grado de tecnología deseado o no… A menudo hay presupuesto pero no se ha dotado la plaza que lo vaya a ejecutar. En general no es mala aunque falta por hacer, lo peor es la dependencia de los ciclos económicos y políticos y sus vaivenes.
Ireo: No ha habido parón tecnológico y los mayoristas nos hemos visto en medio de todo este crecimiento. Bien es cierto que podría haber sido quizás mayor, somos optimistas y pensamos que seguirá creciendo en una economía de escala con pequeñas variables. El negocio está dividido en un 80% sistemas y un 20% seguridad, al alza, por lo que los propios profesionales que lo ven eligen ir más por la ciberseguridad aunque también con crecimiento en otros campos.
V-Valley: En seguridad no se ha apreciado un parón, pero sí un poco en servidores. Hay nuevas cosas a proteger y la tendencia no terminará. El cloud y la IoT se multiplicará por el doble o el triple. Habrá consolidaciones en el mercado, seguridad es la parte más pequeña pero siempre va a estar allí, va de la mano de comunicaciones y redes. Dará oportunidades. Mucha ilusión y ambición y crecimiento esponencial, llegada de muchas tecnologías nuevas, los marketplaces.
GTI: Nosotros también optimistas, el mercado mantiene un crecimiento constante porque la tecnología también se hace más compleja y hay más cosas a securizar y la concentración es mayor. Hay grandes players en la nube que hablan de seguridad y de infinitas oportunidades. Partners que no están y se meten, los que hay dan más cosas, y el boom de la seguridad como servicio está por explotar.
Barracuda: No tengo idea de por donde van a salir Trump y los chinos, Israel o Irán y la economía, pero indistintamente las TI irán por encima de las políticas, y la seguridad mejor que IT. Mayores oportunidades para el canal e integradores, diferentes modelos de negocio y los partners capturado más valor por servicios de gestión y externalización en cloud. Una ventana de oportunidad para todos los partners, no solo los tradicionales que ya conocen el mercado, crecer donde no estaban como cloud, pero más por los que no estaban en seguridad y ahora pueden añadir como elemento de diferenciación, por ejemplo consolidación horizontal entre telecos y alarmas físicas. Todo esto son claves del mercado de seguridad, tienen mayor potencial de crecimiento y lo hace tan atractivo como la llegada de nuevos payers.
Eset: Si partimos de la premisa que si en crisis hemos crecido, y si añadimos concienciación y adecuarse al mercado… Soy más optimista todavía, van a ser años muy buenos. La Administración menos brecha y van a invertir más que hasta ahora así que el canal no va a parar de correr.