Seguridad y cloud, foco de F5 Networks
En los tiempos en que el cloud se destaca como el lugar para mover el IoT y la inteligencia artificial, y que todo debe tener una pátina de seguridad que garantice su funcionamiento y la protección de los datos que corren por sus redes, F5 Networks tiene la teoría muy bien aprendida. Lo bueno para ellos es que en la práctica también son buenos con sus productos y estrategias de llegar al mercado.
Con oficinas principales en Seattle, muy cerca de Microsoft y Amazon, van a estrenar un edificio con una torre como puntiaguda en el centro de la ciudad que ha cambiado el skyline, justo al lado del Space Needle, aunque no tan alto. Aunque esta vez Luis Miguel Cañete, director de Canal de F5 Networks para Iberia, tiene en Austin en Texas su destino
Según IDC, es un momento dulce para las empresas del sector de la ciberseguridad por la creciente demanda en este tipo de productos y servicios. ¿Qué balance hacéis en este año fiscal que acabáis de cerrar?
Un porcentaje relevante de nuestras ventas se corresponden puramente con seguridad, y además la compañía ha anunciado este año varias novedades relevantes de producto en esa línea. Claramente, la seguridad la seguiremos teniendo como una de las patas fuertes sobre la que sustentar la estrategia de la compañía durante 2019. Es una de las áreas de crecimiento que en el mercado TI tiene una mayor tracción.
Hay que tener en cuenta que, en nuestro negocio tradicional, el balanceo de carga y la entrega de aplicaciones, los crecimientos a los que estábamos habituados han dejado de existir. La compañía percibió esta desaceleración hace un tiempo, por lo que reaccionó sumando dos líneas nuevas de actuación para el crecimiento, una era la seguridad y la otra es el cloud.
Según los datos económicos, desde octubre los resultados han caído, pero si la empresa ha ido bien, ¿qué es lo que está pasado sin mediar compras ni mala gestión aparente? ¿Podéis darnos cifras de lo que habéis facturado en 2018 en Iberia, o los porcentajes?
Ya sabes que no podemos dar cifras locales, solo lo publicado, que son unos 2.100 millones de dólares. Pero sí puedo decir que hemos tenido un buen año y hemos crecido, incluso por encima de años anteriores… una cifra de dos dígitos si me apuras. Pero respecto a la caída del pasado mes, si la supiera contestar, sería un crack. Creo que hubo una earnings call que tuvo un impacto, lo cierto es que la acción demostraba un gran comportamiento en los últimos meses y de buenas a primeras ha empezado a caer, no solamente la de F5 sino en general las de todo nuestro ecosistema de fabricantes adyacentes. A Palo Alto le ha pasado lo mismo, a Fortinet le ha pasado lo mismo, todos hemos sufrido ahí un bache importante en la cotización, ahora parece que se ha estabilizado y vuelve a una senda de crecimiento. Seguramente ha sido más un tema de expectativas que de la realidad actual de negocio, supera mi ámbito de conocimiento, no ha habido rumores de compras ni nada…
En realidad, no sois una empresa cuya expansión se caracterice por crecer a base de compras, de hecho, lleváis unos años sin adquirir nada…
Y es curioso, porque la compañía sí dijo hace un año y pico que la ambición era diversificar el negocio, y la intención para adaptarse a las nuevas realidades de la transformación digital y sacar nuevos productos para reforzar el portafolio pasaba probablemente por ahí. Ante la disyuntiva de tener que desarrollarlos o comprarlos directamente se priorizaría comprarlos por ganar el time-to-market. Sin embargo, no ha habido adquisiciones y sí lanzamiento de nuevos productos. Con lo cual entiendo que lo que se ha visto fuera en el mercado no era lo suficientemente interesante o no se adaptaba suficientemente a la lógica subyacente del negocio de F5, y se ha decido continuar por la vía del desarrollo propio.
Cada vez llegan a España más empresas en busca de abrir mercado, sobre todo en el entorno de la seguridad, y en especial en redes y comunicaciones. ¿Hay mercado para todos?
Cada año emergen una serie de jugadores, y luego unos tienen éxito y siguen adelante y otros que estaban van desapareciendo, yo creo que es el ciclo normal. Lo que sí es cierto es que la proliferación de amenazas y los vectores de ataque no paran de crecer. Es verdad que la seguridad se viene abordando de una forma reactiva, es decir, salen amenazas entonces salen soluciones para esas amenazas, por eso siempre se ha dicho que los atacantes van por delante. Es verdad que en esa estrategia van surgiendo nuevos jugadores de nicho, pero también es verdad que todos esos jugadores de nicho acaban siendo adquiridos por empresas más grandes en una estrategia de diversificación y expansión del portafolio. Pero sí diría que hay espacio, y que cada vez hay más vectores de ataque y necesidades de nuevas soluciones.
Estamos en un mercado que se dice maduro, aunque pienso que necesita aún una mayor evangelización desde el punto de vista del fabricante. Las grandes empresas empiezan a tener un responsable CISO o CDO de cierto peso, sobre todo frente al CFO en cuestión de mover presupuesto o evitar multas… pero siguen teniendo agujeros sin tapar. ¿Quién lo debe hacer, porque el canal dice que debe ser el fabricante, y el fabricante qué dice?
Creo que debe ser una cosa conjunta, estoy completamente convencido que tiene que ser así. Los incidentes de seguridad siguen ocurriendo, por lo que te comentaba antes, porque siempre vamos un paso por detrás. El atacante solo necesita que uno de sus intentos funcione, mientras que el que defiende necesita que toda la infraestructura y toda la operativa que pone en marcha no falle nunca. Es una labor ingrata y asimétrica, porque al final el atacante siempre va a encontrar el resquicio, o al menos hasta ahora ha sido así. Hace falta seguir invirtiendo y por supuesto es necesaria la labor de concienciación, de sensibilización, de capacitación a los clientes finales, y desde luego al canal. De hecho, es lo que más hacemos los fabricantes, nos dedicamos a capacitar en el uso de nuestras tecnologías tanto a clientes como a canales.
Pero parece que no cala, sigue habiendo incidentes, luego no lo estáis haciendo suficientemente bien. Cuando los “malos” eran simples autónomos vale, pero ahora que son multinacionales…
Igual ahí habría que trabajar a otros niveles, pero tampoco se puede decir que los bomberos están haciendo mal su trabajo porque haya incendios… Porque cuando hay un incendio ahí están y merecen todo mi respeto, y el resto del tiempo están en las escuelas concienciando a los chavales y a la sociedad. Nuestra labor es casi la misma. Estamos tratando de concienciar, pero nuestro alcance es limitado y desde luego lo que no vamos a conseguir nunca es llegar a un estado de seguridad total. Pero es vedad lo que comentas, que ahora que los atacantes están organizados de otra forma y están en un nivel superior, en ese sentido serán los Estados probablemente los que tengan que poner medidas al respecto. Eso ya excede de nuestro ámbito de competencia. Piensa lo difícil que es meter mano a esto, porque igual el ataque está perpetrado desde un servidor en Rusia, pero está organizado por una empresa radicada en África, y los que están detrás son norcoreanos. Ahí hay que establecer medidas de orden superior y haría falta más coordinación de los gobiernos de los diferentes países.
Actualmente trabajáis sobre dos ejes, seguridad y cloud. ¿Qué peso tiene cada una de las dos divisiones y qué políticas vais a seguir en los próximos años?
Todos los anuncios que hemos hecho este año de nuevos productos van en estas dos líneas. El Advanced WAF, que es una evolución del Web Aplication Firewall tradicional que cuenta con capacidades diferenciadoras respecto a cualquier otra tecnología WAF del mercado, y que vamos a empujar muy fuertemente. También estamos apostando mucho por soluciones anti-DDoS y por nuestra solución de orquestación de tráfico cifrado. Con lo cual añadimos nuevas capas de seguridad en torno a las aplicaciones, al final F5 centra sus estrategias en las aplicaciones de nuestros clientes que son la fuente de sus principales activos, la información de negocio. Claramente la estrategia va por ahí, suministrar la mejor tecnología para mantener y actualizar el canal, que es el que tradicionalmente conoce muy bien el mercado del ADC [Aplication Delivery Control] y el mercado de la seguridad.
Por otro lado, estamos apostando también por la estrategia de cloud, porque claramente estamos viendo que se acerca el momento de aceleración de la transformación digital, ya no son pocas las compañías que están dando el salto, y hay muchas otras que no tienen que transformarse porque están naciendo directamente en ese nuevo paradigma del cloud computing. Ese es un negocio para nosotros que es incremental. Lo que estamos viendo es que nuestro cliente actual en la mayoría de los casos su planificación es mantener nuestra estructura on-premises protegiendo sus aplicaciones críticas, pero van saliendo nuevas aplicaciones, probablemente no ya tan core del negocio, aplicaciones de IoT o de marketing, de un orden de relevancia más secundario y que es por donde están empezando a hacer un viaje a la nube, y lo que hemos hecho es adaptar nuestra oferta de soluciones a ese tipo de aplicaciones.
Me explico, hemos sacado lo que llamamos el Cloud Edition, que es una paquetización muy ajustada en términos de rendimiento para garantizar la disponibilidad y protección de aplicaciones secundarias, y por tanto también muy contenidas en precio; hablamos de unos pocos cientos de dólares al año. Esto para nosotros es especialmente interesante, no tanto porque queramos ir a proyectos de cientos de dólares, o euros (ni es nuestro foco ni sé si algún día lo será), sino más bien porque facilitamos a nuestros clientes actuales que están sacando al cloud esas aplicaciones de segundo o tercer nivel en términos de relevancia, y que típicamente se estaban quedando sin protección.
Ademas todo esto combinado con pay-as-you-go, bring-your-own-device, contratos de enterprise agreement, contratos de suscripción o modalidades de pago por uso, lo que nos hace adaptarnos perfectamente a la nueva realidad que nos estaban pidiendo. Una realidad que nosotros estamos viendo que va a ser híbrida, en el sentido que los grandes clientes van a mantener parte de su infraestructura en sus propios data centers, pero es verdad que van a crecer también mucho hacia la nube. Y cuando hablamos hacia la nube no hablamos de una sola nube, sino que hablamos de un entorno multicloud.
Nosotros vamos a jugar ahí un papel muy relevante. Imaginemos un cliente que tiene parte de sus aplicaciones en su CPD, parte en una cloud pública, digamos Amazon, parte en Azure y otra en Google por mencionar las tres más importantes. Como quiere garantizar la disponibilidad y la seguridad, podría adoptar de cada uno de estos cloud providers su propia oferta de seguridad, pero ¿voy a tener un elemento de seguridad diferente para cada cloud dificultando el movimiento entre ellas y renunciando a la flexibilidad? Entonces lo que nosotros proponemos es abstraer la seguridad del entorno del CPD, de manera que vamos a poder dar esa seguridad con independencia del cloud en el que se encuentre y con la disponibilidad necesaria para mover aplicaciones y nosotros con las aplicaciones de una nube a otra.
¿Eso es que vais hacia unas soluciones plug&play, autoinstalables? ¿El cliente las va a poder gestionar por sí mismo? ¿Qué pasa entonces con el soporte?
Soporte va a necesitarse siempre, dependerá de la tipología del cliente su uso. El cliente tipo Juan Palomo seguirá cocinándoselo para él, pero el cliente que, o bien no tiene recursos o bien no tiene interés en esto, necesitará apoyarse en el canal. Y ahí es donde los canales están haciendo un trabajo muy fuerte de adaptación. Al final nuestra tecnología la instala una persona con su conocimiento, puede estar en un canal integrador o puede estar en un cliente final, tenemos clientes con capacidad suficiente para hacerse ellos mismo sus instalaciones, de hecho, incluso tienen un nivel de conocimiento de nuestra tecnología realmente asombroso. Y son luego los más exigentes de cara al canal, pero nosotros no podemos seguir una estrategia de dependencia del conocimiento del cliente final, por lo que donde sí tenemos una estrategia es en el canal. Ahí si tenemos todo un programa de formación y capacitación para que nuestros canales conozcan en profundidad y estén actualizados de todas las novedades para que ellos sí puedan ir a los clientes con independencia de dónde esté nuestra tecnología, sea en el CPD sea en el cloud, y pueda ayudar a los partners a desplegarla y a gestionarla.
F5 es 100% canal, toda su oferta se comercializa a través de canal, ¿cómo se ha estructurado?
En Iberia tenemos dos mayoristas que son Arrow y Westcon, si bien luego por países tiene cada uno de ellos oficinas diferentes y estrategias distintas. Con lo cual casi podríamos hablar de cuatro mayoristas, dos para España y dos para Portugal. Porque con Exclusive Networks ya no estamos, estamos muy agradecidos por el gran trabajo que hicieron abriendo el camino, pero tuvimos que tomar la decisión de llegar al mercado con solo dos mayoristas, se introducía mucha entropía a la hora de trabajar con un tercer elemento donde había una zona de solapamiento muy grande con los otros dos.
Siempre se ha dicho que lo ideal son dos mayoristas, pero también es cierto que con solo dos mayoristas es jugártela y estar en la cuerda floja… por si hay una compra o hay una fusión, o cualquier historia…
Es más delicado aún si tienes un único mayorista, pero también tiene otras ventajas, en el sentido que te simplifica mucho las estrategias y el alineamiento es al 100%. Porque es verdad que cuando tienes más de un mayorista, uno de los retos es conseguir que los dos estén perfectamente sincronizados con tu estrategia, porque al final también hay competencia entre ellos como es lógico. Para mí dos mayoristas es un número muy bueno, en el sentido que entre ellos se cubre todo el mercado, das opciones al canal integrador, ya que hay ocasiones en que los VARs tienen sus preferencias, e incluso hay mayoristas que no trabajan con tal VAR, así que forzar las cosas para que un mayorista trabaje con tu tecnología no siempre es fácil. Cuando tienes dos alternativas se simplifica, diversificas el riesgo mucho más, y en el caso de que ocurra algo de lo que comentas todavía te queda uno para tener tiempo para reaccionar.
También debes tener una cifra de negocio que sea adecuada para ellos, para que la inversión que hacen sea rentable y acorde. Obviamente el mayorista está para ganar dinero, como es lógico. Nosotros también exigimos mucho al mayorista en cuanto a recursos, deben tener recursos de preventa, de postventa, de formación, de desarrollo de negocio, capacitación de sus comerciales… En un mercado más de volumen, igual tiene más sentido tener un pool de cuatro mayoristas, donde ni te impacta nada si de repente uno de ellos desaparece de tu ecosistema. Nuestro negocio es diferente, es un negocio más de valor, más focalizado, no necesitas tantos mayoristas para cubrir el negocio, y ellos también perciben la garantía que aporta una empresa como F5.
Una de las cosas más complicadas que hay a la hora de negociar con los mayoristas son las certificaciones, y todo fabricante necesita tener una base fidelizada de partners. Sin embargo, tenéis un programa de formación bastante duro, se dice, por la exigencia que conlleva, por la inversión que requiere, tampoco es barata… ¿Hay algún plan de suavizar esta vía de acceso a vuestras certificaciones?
A ver, la respuesta corta es no, porque estamos además orgullosos de esa “dureza”. Al final lo que vemos es que el profesional que tiene titulaciones de F5 es un recurso muy bien valorado en el mercado. A mí me están constantemente llamando integradores e incluso a veces clientes finales, y también mayoristas, preguntándonos por gente con conocimientos de F5, y no es fácil, porque suelen estar muy implicados con su empresa. Si bajásemos el nivel de nuestro programa de formación, probablemente tendríamos un alcance mayor del mercado, pero creo que se diluiría la excelencia que pedimos en nuestro canal.
Ahora bien, sí es cierto que a nuestros socios más directos tratamos de ayudarles en el sentido de facilitarles el acceso a la formación, suavizando el coste de la propia certificación. Ponemos a su disposición formadores especializados que les van a ayudar en ese camino, eso siempre ha existido así, pero los exámenes seguirán siendo duros. El esfuerzo del ingeniero que con sus codos se tiene que empollar un manual y tiene que hacer sus prácticas y demás, lamentablemente tiene que pasar por ahí sí o sí.
Y es una formación demasiado continuada, es decir, ¿no se para nunca?
Y cada vez tenemos más niveles en nuestro track formativo, los ciento y algo, los trescientos algo, muy similar a otros fabricantes. Acabamos de terminar ahora la certificación más alta que tenemos que es el nivel 401. El 401 es un nivel que para poder optar a él debes tener todos los niveles por debajo. Lo bueno de conseguir este nivel es que una vez lo obtienes ya solo tienes que renovarte solo de él, no tienes que actualizar cada nivel inferior uno a uno. De manera que un ingeniero que tenga cuatro niveles 300 tendría que hacer cuatro exámenes de actualización, mientras que, si tiene las cinco especializaciones y se saca el 401, con un único examen actualiza todas sus certificaciones previas. Cada vez tenemos más ingenieros en esta división, pero en España no llegan a diez. Imagínate también la cotización que tienen estos perfiles en el mercado laboral… Es brutal porque esta gente tiene un conocimiento de nuestra tecnología muy fuerte.
Luego tenéis el sistema de partners, donde hay tres categorías: platinum, gold y silver, ¿verdad?
Correcto, tenemos también un nivel autorizado que es el nivel de entrada donde no pedimos una exigencia o requisito concreto, pero sí, luego dentro de esta estructura tenemos un par de partners platinum (IBM y Dimension Data); para poder alcanzar un nivel platinum hay que tener unas exigencias no ya solo locales sino también de ámbito internacional, hay que alcanzar unos determinados volúmenes de facturación muy grandes en al menos un mínimo de cinco países, luego aparte ingenieros certificados muchísimos, requisitos que trasciende las fronteras.
Luego tenemos ocho o diez partners gold, y luego un par de partners silver. Es difícil para nosotros la labor de captación de nuevos partners, no porque no haya interés, autorizamos cada semana en el nivel básico a varios. Ahora bien, el ir escalando niveles de partnership es realmente duro, porque tenemos unos requisitos que no son sencillos, pero es que además somos firmes en el cumplimiento, no regalamos nada.
En el caso de la parte de seguridad es lógico, pero en el caso del cloud, ¿no sois más flexibles? ¿No se marca ahí alguna diferencia a la hora de ser partner de una u otra especialidad, o van solapadas?
Van solapadas de momento. No sé si, y desconozco si va a haber novedades en esto, aunque podría tener sentido… porque evidentemente son negocios diferentes. Me explico: lo que sí estamos ahora haciendo es una labor de capacitación de nuestro canal tradicional para adaptarse a los nuevos paradigmas, y de hecho lo que vemos es que una buena parte de ellos preocupados por hacer los deberes, pero ojo, no todos lo están viendo así, pero sí una buena parte.
Por otro lado, hay otro camino que tenemos que recorrer, que es con nuevos partners cloud. En ese sentido ya estamos haciendo un approach directo a ciertos partners con los que tradicionalmente no trabajábamos, pero que entienden el valor que F5 les puede aportar. Se están creando sinergias muy interesantes, porque igual que para ellos para nosotros son negocios incrementales, nos permite llegar a áreas a las que no llegaríamos de otra forma. Y nosotros para ellos también, porque para ellos siempre hemos estado en el otro lado y este acercamiento nuevo lo están viendo muy positivamente. Ojo, solo en los que están entendiendo lo que F5 les puede aportar. Porque son mundos diferentes y no todos acaban de verlo o pueden tener el mismo interés. Al final el tipo de casuísticas que cubrimos no vale para cualquier tipo de cliente, son para clientes en que sus aplicaciones tienen una relevancia importante. Y no siempre nos encontramos con canales que tengan clientes de este tipo.
En el caso de cloud sí parece que va bajando de esa gran empresa, a la mediana con soluciones más flexibles, ¿hay una diferenciación para llegar a estos nuevos partners?
El ajuste que estamos realizando en nuestra oferta está muy orientada a estos nuevos partners, pero al final también está a disposición de todos. Pero es verdad que cuando a estos nuevos partners hablas de pago por uso entienden mucho mejor esa realidad que cuando hablas con un partner tradicional que está acostumbrado a vender el dispositivo pagando up-front con sus mantenimientos anualmente
Un pago por uso para una mediana empresa es ver la luz, porque hace unos años era pago por licencia licencia, y es lo que hay…
De hecho, hay un segmento de partners muy concreto, los proveedores de servicios gestionados MSPs, que siempre han tenido esta problemática, que veían en F5 un fabricante muy interesante para desarrollar nuevos servicios monetizables en su base de clientes, y aportarles nuevo valor y cobrar por ello, pero el problema es que tenían que abordar una inversión upfront cuando todavía ni tenían una masa crítica de clientes que les fuese a comprar la tecnología. Entonces, nos hemos acercado mucho a estos partners MSP con el pago por uso. Y probablemente no sea siempre pago por uso, lo tenemos estudiado en gráficas: a los tres años se cruza con la licencia perpetua, siendo a partir de ahí más caro el pago por uso. Pero con la flexibilidad que te da el poder decidir que este mes la uso y el que viene me doy de baja sin ningún tipo de compromiso le da una libertad total a la hora de lanzar nuevos servicios. Que ese servicio funciona bien y tiene éxito, entonces se plantearán abordar la inversión que inicialmente no hicieron en licencias, pero eso sí, ya con una masa de clientes que te permite rentabilizarlas desde el minuto cero, y dejar de utilizar el pago por uso; o utilizarlo solo para nuevos clientes, e ir consolidando los clientes fijos en plataformas perpetuas. Que también hay que reconocerlo, es donde más margen pueden obtener.
¿A Amazon lo tenéis como posible partner? ¿No han puesto los parters el grito en el cielo?
Para nosotros tanto Amazon como Azure son socios interesantes en el sentido que estamos hablando con ellos y nuestra oferta está disponible en sus marketplaces, lista para ser instalada. Tenemos algún partner pequeño con proyectos bastante interesantes en estos entornos de AWS, mientras que en el de Azure ahí ya tenemos clientes con potencial más grande.
Y no, nadie se nos ha quejado, porque en estos casos siempre hay un partner detrás. No es AWS el que está vendiendo el proyecto, AWS es el que provee la infraestructura as-a-service, pero luego hay que crear el proyecto sobre esta capacidad que pone AWS a disposición del cliente… y eso lo hace un integrador.
¿Algo que apostillar, algún dato más, objetivos para 2019…?
Estamos a dos semanas de marchar para Austin donde tenemos nuestro evento anual de ventas donde todas estas cosas que hemos comentado ahora ya no se guardan para dar titulares. En los tiempos que corren, el TTM es una de las prioridades y según sale una novedad, una vez que está estable, nos lo comunican inmediatamente para que empujemos. Así que no esperamos grandes anuncios sino más bien reforzar las estrategias mencionadas, pero la compañía sí aprovechará para dar a conocer las líneas de cara al próximo año y datos numéricos,. Tampoco los podría compartir… pero obviamente serán de crecimiento. Lo que sí te puedo decir que en términos generales la estrategia de la compañía es no perder de vista el negocio tradicional porque supone una parte importante de nuestros revenues actuales, pero apostar por el cloud y la seguridad como los caminos de crecimiento para 2019.
