HayCanal.com

Expertos en seguridad debatieron en hayCANAL sobre el pago por uso

El 7 de junio de 2022, representantes de Check Point, Watchguard y Crowdstrike participaron en una mesa redonda de hayCANAL, disponible para su visualización en esta web.

Dentro de los Debates 2022 de hayCANAL.com, abordamos en esta ocasión el pago por uso y los pilares de la seguridad en el mismo, así como la actualidad y el futuro del puesto de trabajo.

El coloquio, moderado por la periodista Carla Solano, responsable de hayCANAL, ha contado esta vez con la participación de Eusebio Nieva, Director Técnico de Check Point para España y Portugal, Ricardo de Ena, Area Sales North Manager en WatchGuard, y Álvaro García, Senior Sales Engineer de Crowdstrike.

La mesa redonda ha arrancado planteando en qué medida se ha acelerado la modalidad de pago por uso con la pandemia, especialmente en el cliente final. La primera intervención ha corrido a cargo de Ricardo de Ena, Area Sales North Manager en WatchGuard, que se ha referido a una “digitalización forzada” para definir el fenómeno: “Las empresas no estaban preparadas para, de la noche a la mañana, cerrar las oficinas y tener que teletrabajar”, señalando la carencia de portátiles, VPNs, etc., “para dar acceso remoto a los clientes finales para que siguiera la actividad comercial”. El directivo apunta que eso, unido a la todavía persistente crisis de los chips, “provoca que no se piense en ciberseguridad”. Con ese ritmo de digitalización existente desde entonces, “ahora estamos tratando de volver a poner esa capa de seguridad que ya previamente se estaba viendo que era completamente necesaria, pero ahora en este entorno más híbrido”, en alusión a las diferentes modalidades de trabajo (presencial, remoto) y al uso de la nube.

Eusebio Nieva, Director Técnico de Check Point para España y Portugal, ha matizado pero reforzando la misma idea de Ricardo de Ena, al destacar que “muchas empresas cuyo departamento de IT no necesitaba llegar a un nivel de excelencia, durante la pandemia han tenido que escalar servicios que estaban diseñados para 5 ó 10, y que ahora necesita toda la compañía”. En esa situación, “tú no puedes contratar de la noche a la mañana a 200 especialistas para escalar ese servicio”, lo que según Nieva ha generado que haya cada vez más demanda de “servicios de seguridad implementados desde los fabricantes, o bien partners, o bien integradores, etc., que proporcionen esos servicios y que sean capaces de escalarlos adecuadamente”. El directivo ha explicado que “ciertas de las tecnologías alrededor de SASE son precisamente cómo escalar parte de la arquitectura de seguridad o de red sin necesitar un departamento de IT escalado de la misma manera”. “Muchas compañías han tenido que recurrir a esos servicios para poder sobrevivir y atender a la demanda”. Nieva concluye que, al igual que el teletrabajo, esas soluciones han venido para quedarse, lo que lleva a las empresas a delegar en los expertos en seguridad para poder dedicarse a lo que saben hacer.

Por su parte, Álvaro García, Senior Sales Engineer de Crowdstrike, observa en el pago por uso una continuidad, algo que está cambiando el modelo de negocio, pero ya con una cierta inercia: “No deja de ser una herramienta que se tiene que utilizar cuando tienes unos picos de demanda intensivos en tu producción. No todo el mundo tiene su estructura de producción organizada para asumir picos, ni tampoco ofrece esos picos”. Por lo tanto, “los modelos de pago por uso, donde entra la virtualización, y donde entra el cambio de infraestructura de tecnología que hay detrás, va lento”. Álvaro García asegura que “yo no he visto un cambio exponencial en mis clientes”, ya que “hay ciertos negocios en los que esto es vital, es el triunfo o no triunfo, y por lo tanto, en esos segmentos lo siguen aplicando, no es algo que haya cambiado de muy corto plazo a esta parte”. El directivo cree que es algo “que tiene que contemplarse, y tienes que tener una figura para darle cabida a esos “X negocios” que sobreviven básicamente con ese modelo”. “Como fabricante no puedes dejar a esa gente de lado”. Ante la pregunta de Carla Solano de hayCANAL sobre si el pago por uso ha venido a quedarse, Álvaro García cree que “ha venido a quedarse, pero no para todo el mundo, al menos en este momento”. “Vendrá para quedarse a medida que la gente vaya transformando su modelo de negocio”.

1

Al respecto de la última cuestión planteada, Eusebio Nieva de Check Point ha intervenido a continuación para añadir que “lo que sí ha venido para quedarse es el pagar por lo que usas y poder escalarlo”, es decir, “tener la opción de no tener que comprar nada, o comprar lo mínimo, para ser capaz de escalar ese servicio”, poniendo la VPN como ejemplo más claro. A su vez, Ricardo de Ena de WatchGuard ha añadido que “la demanda que estamos viendo ahora es ciertamente curiosa, porque las pequeñas empresas ya confiaban en una empresa de IT que le daba servidores, mantenimiento, etc., y ahora el cliente final le está pidiendo a esos mismos proveedores que ya le estaban dando infraestructura IT que le ofrezca ciberseguridad como servicio”, lo que ha llevado a que partners que no estaban muy especializados en ciberseguridad, de repente tienen esa necesidad de ofrecer pago por uso y escalabilidad. Álvaro García de Crowdstrike ha objetado que “hay una parte muy bonita del pago por uso y una parte muy peligrosa del pago por uso, y dependiendo de a quién le preguntes le encanta o no. A los financieros de las empresas no les gusta absolutamente nada tener gastos no predecibles”, concluyendo que “si en tu modelo de empresa está muy cerca lo que tú vendes de lo que tú produces, tienes poco miedo a adaptarte al pago por uso”, ya que se genera una demanda de un servicio que se va a vender inmediatamente.

Aprovechando este hilo de la conversación, Carla Solano ha introducido en ese momento la aportación del canal a la cuestión financiera. En ese sentido, el propio Álvaro García ha comentado que, respecto a Crowdstrike, “nosotros siempre nos apoyamos en el canal, pero no es fácil hacer la ligazón entre la tecnología, el pago por uso y la implicación financiera que tiene eso”.

Ricardo de Ena ha explicado que WatchGuard “somos una empresa 100% canal, y confiamos en los mayoristas porque hay un aspecto del pago por uso que ni siquiera depende del fabricante, sino que es el propio cliente que lo único que necesita es financiar, y nosotros como fabricante no podríamos financiar un proyecto para un cliente final”. “Por eso nos apoyamos mucho en nuestros mayoristas de valor”, llamados así porque “uno de los valores que dan es precisamente el de poder financiar”. A continuación, ha expuesto la metodología WatchGuard FlexPay, con cuatro tipos de método de pago: El tradicional de 1 a 3 años; el pago mensual; el pago anual de manera mensualizada (el cliente final pide pagarlo mensual, pero al fabricante se compra anual -o a 3 años-); y el modo suscripción, que será un pago por uso a mes vencido, según lo consumido.

Por su parte, Eusebio Nieva ha dicho que “nosotros tenemos dos estrategias principales: Si al cliente le interesa un producto específico, generalmente nos apoyamos en un mayorista que, ayudado por nosotros, canaliza la financiación”. “Por otra parte, tenemos un programa denominado Infinity, en el cual, si al cliente le interesa una solución completa de seguridad, en la que abarcamos prácticamente todos los productos de Check Point, entonces somos nosotros los que podemos proporcionar eso en un formato de una especie de licencia por uso completa anual”, con una flexibilidad en cuanto a la parte que se va a usar cada año (CPD, nube, etc), permitiendo unos gastos predecibles.

Finalmente, Álvaro García ha afirmado que en Crowdstrike “tenemos una licencia de pago por uso precisamente para el uso intensivo de determinados servicios”. “Hay empresas que tienen este módulo muy adaptado y la supervivencia del éxito de sus productos dependen de ello”. “Y por supuesto también tenemos los modelos de financiación a través del canal, que básicamente contienen los modelos que habéis comentado vosotros”.

2

 

Los pilares de la seguridad

El segundo gran bloque temático del debate ha comenzado proponiendo el interrogante acerca de cómo lograr que los pilares de la seguridad se vuelvan sencillos, pero a la vez sólidos, en un entorno tan cambiante como el actual. Eusebio Nieva ha querido ser claro al afirmar: “Desde mi punto de vista, la seguridad siempre va a ser compleja, de hecho es de las disciplinas más complejas que existen, porque abarca absolutamente todos los campos de IT”. No obstante, apunta Nieva, “otra cosa es que consigas que la seguridad te dé las alertas adecuadas y se entrometa lo menos posible, tanto en la gestión como en el usuario”. Lo que todo el mundo quiere es que “la gestión sea simple en el sentido de que, si tú tienes un problema, puedas reaccionar rápidamente y saber cómo reaccionar, y que además el problema sea realmente un problema”, en alusión a los falsos positivos, “y que al usuario no le interfiera y no sea un obstáculo”. El profesional de Check Point ha reconocido que “el usuario es uno de nuestros aliados pero también uno de nuestros enemigos, porque muchas veces el poder que tiene de deshabilitar o de interferir en las normas que pone el que dirige la seguridad afecta a cómo de segura está una compañía”; En ese sentido, advierte que “hay que educar a los usuarios”.

Ricardo de Ena ha subrayado que la estrategia de WatchGuard está precisamente enfocada al pilar de la sencillez: “Tenemos cuatro líneas de negocio, y tratamos de unificarlo todo en una única plataforma, y hacerla lo más sencilla posible, pero teniendo un equilibrio entre la sencillez y que sea potente”; de manera que “las cuatro tecnologías que tenemos hablen entre ellas: Si tengo dos, tres o cuatro tecnologías, tengo que especializarme en ellas para tratar de cerrar ese círculo de seguridad; En cambio en WatchGuard damos lo más sencillo posible con las cuatro líneas de negocio que cubrirían lo mínimo que necesita cualquier empresa, y si necesita servicios, esa misma plataforma unificada está pensada y orientada al servicio de MSP, para que ese proveedor o partner que ofrece ciberseguridad como servicio pueda sacarle una vuelta de tuerca más a la tecnología que el cliente está demandando”.

En tercer lugar, Álvaro García ha considerado, ante la cuestión que él mismo planeta de “por qué esto cambia tanto, por qué tengo la sensación de estar continuamente en una posición en la que siempre tengo algo que hacer porque esto no acaba de funcionar”, que “estamos en un entorno no maduro y muy cambiante. La presión de lo que tenemos que hacer es alta. Los estándares no tienen más de 3 – 10 años de vida”. Álvaro afirma que “Crowdstrike se plantea siempre qué es lo importante de lo que estamos haciendo”, y eso es “poner el incidente de seguridad en el centro de todo”. El experto asegura que “el incidente es lo fundamental; no la tecnología, no las capas, no la interconexión…”. Luego plantea: “¿Qué necesito para el incidente?”, y reflexiona, “cuando yo diseñe mi arquitectura, tengo que pensar cómo debería hacerlo para reducir la exposición al riesgo de incidentes”, pensando a futuro, “y eso es lo que no sucede”, el diseñador de la arquitectura “generalmente no piensa cómo se va a mantener eso”. Ante eso, la labor del ingeniero de ciberseguridad “es estar en equipos de trabajo interdisciplinares, que es algo que falta en la mayoría de las empresas”. Y una vez puesto el incidente en el centro y reducida la superficie de riesgo “tengo que buscar la sencillez”. Y concluye: “Crowdstrike diseña todo lo que hace pensando siempre en que tiene que haber un capital humano que no es prescindible; En nuestro caso son los hunters”, haciendo hincapié en incentivar la actualización de su personal.

Al respecto de lo anterior, Eusebio Nieva ha querido discrepar un poco, en el sentido de que “es cierto que el capital humano es fundamental en la seguridad”, pero “hay herramientas, no para sustituirlos (a los expertos en ciberseguridad), pero sí para automatizar los procesos”, poniendo el ejemplo del machine learning, con el que “hemos pasado de tener un 90% de ratio de acierto a un 99%”, lo que significa una diferencia entre “tener una alarma o tener 200”. Ricardo de Ena ha reconocido diferir de ambos: “Cada cliente es un mundo. ¿Creéis que todos los clientes necesitan un SOC? ¿Creéis que todos los clientes necesitan un hunter? Yo creo que no, creo que depende del cliente”, lo que no significa que no necesiten ciberseguridad, y de hecho es algo que ahora, tras la pandemia y con la guerra, Ricardo cree que la industria ha asumido con más facilidad. Álvaro García ha afirmado estar de acuerdo con ambos, pero “siempre te ocurre lo mismo en las mesas de trabajo desde hace mucho años ya”. “Y la realidad es que no hay una solución “ciber mágica””. Por otro lado, “no hay que equivocarse en el grado de madurez con la calidad de lo que estoy detectando; Un grado de madurez significa que yo no necesito saber quién me ha atacado necesariamente, necesito que no me ataque”.

3

Eusebio Nieva da la razón a Álvaro García: “No hay balas de plata”, hay herramientas necesarias para situaciones determinadas, y personal que sepa usarlas, pero no soluciones mágicas. Y también coincide con Ricardo de Ena en que la guerra y la pandemia han incentivado la concienciación de la gente en seguridad: “Tienes que tener una paranoia sana: Que no llegues a desconfiar absolutamente de todo el mundo, pero sí que tienes que desconfiar de todo lo que te venga de Internet, por defecto y por definición”. Ante la pregunta de Carla Solano sobre dónde debería estar esta concienciación, Nieva lo tiene claro: “Desde arriba hasta abajo, desde el usuario que se dedica a apretar tornillos hasta el director de la compañía”: Uno es el primero que va a ser atacado, y el otro es el que tiene que invertir en seguridad. “La formación de los usuarios es fundamental”, así como “tener un plan y una estrategia de seguridad que se adapte a tu compañía”.

Ricardo de Ena añade que “tenemos que proteger el dato esté donde esté, precisamente por los tiempos en los que vivimos”, ya que “ahora el dato está en Office 365, en Google, en Amazon…”, y destaca la necesidad de la concienciación de los teletrabajadores frente al ransomware. Álvaro García ha querido insistir en el valor del personal cualificado y las auditorías, y lo ha ejemplificado poniendo de relieve el tema de la protección de identidades.

A continuación, Carla Solano ha pedido a los invitados que ofrecieran tres recomendaciones para el canal y el cliente final. Álvaro García ha comenzado aconsejando “que los CISOs piensen en abrir sus equipos de trabajo y meter a una persona que sepa de seguridad en las reuniones, en las conversaciones, en los diseños, y que una buena planificación ahorra muchos problemas y dinero”. En segundo lugar, “no hay una tecnología mágica, pero sí hay una tecnología que hace las cosas posibles”. Finalmente, “el canal es una parte fundamental, pero tiene que acercarse al cliente en el gap en el que nosotros como fabricante no podemos llegar”. Eusebio Nieva ha coincidido: “Tienes que tener un plan de ciberseguridad; si no lo sabes hacer, contrata a alguien que te ayude”. Segundo, “los equipos necesarios para implementar ese plan y que nadie se desvíe, o que las desviaciones sean controladas”. Y respecto al canal, “nos falta canal especializado; hay mucho canal generalista, pero yo creo que falta especialización en seguridad”. También Ricardo de Ena insiste en tener un plan, “y dentro de ese plan, ir listando las posibles vulnerabilidades, ataques, vectores… y tomar medidas sobre ello”. Respecto al capital humano, echa en falta la presencia “de un responsable de seguridad dentro de la empresa”.

Concluido el debate, cada uno de los tres invitados se ha dirigido a sus clientes para explicar de forma sintetizada la estrategia de sus respectivas compañías.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos