Entrevistas
«Estamos empezando a ver que los nuevos CIOs son perfiles con experiencia en ciberseguridad»
Juan Grau
Regional Sales Manager
Bitdefender
Con más de treinta años de experiencia en el sector TI, Juan Grau ha visto casi de todo en el mundo de la tecnología profesional. Su carrera se ha movido entre dos mundos muy relacionados entre sí, el de las redes y el de la seguridad informática. Tras pasar por compañías como Aerohive, Huawei o Ruckus Wirelss, Grau ocupa desde hace un año la posición de Regional Sales Manager en Bitdefender. En MCPRO hemos querido hacer balance de ese primer año y cómo encara un 2020 que desde luego, está más lleno de retos que nunca.
[MUYSEGURIDAD] Después de todos estos años trabajando directa o indirectamente en el campo de la seguridad informática, ¿qué es lo que más te llama atención de las empresas españolas en este terreno?
[Juan Grau] Lo que puedo decir que he visto, sobre todo cuando estoy fuera es que en España hay una especialización en todos los procesos relacionados con la gestión de ventas en IT y especialmente en seguridad, que no he visto en ningún otro país. También creo que como en España hay menos recursos para desarrollar según qué proyectos, hay un gran esfuerzo para hacerlo realmente bien.
Por otro lado tienes que ver el tejido empresarial de nuestro país. Vivimos en un país en el que solamente hay unas pocas grandes empresas en la parte superior de la pirámide, que luego se extiende hacia muchas otras empresas de tamaño mediano o pequeño. Eso significa que los recursos TI de esas empresas y no hablemos ya de seguridad, suelen ser muy escasos.
Pero también llama la atención que incluso en empresas que son consideradas grandes en España, solo dispongan entre 15 y 30 personas que formen parte de su departamento IT. En esa ecuación resulta evidente que los especialistas en seguridad son muy pocos. Descubres que son muy buenos profesionales, que cuentan con pocos recursos y tienen un conocimiento sobre todo generalista. Solo las empresas que están en el IBEX tienen un departamento de seguridad potente con recursos especializados.
[MUYSEGURIDAD] ¿Qué balance haces de BitDefender en 2019? ¿Qué esperáis de cara a este año?
[Juan Grau] El crecimiento de 2019 fue de dos cifras, por encima del doble del crecimiento del mercado español y algo por encima del crecimiento de BitDefender a nivel mundial. En cuanto a lo que va de año, llevamos un crecimiento del 20% en este trimestre por encima del trimestre pasado.
[MUYSEGURIDAD] ¿Crees que la crisis actual de salud pública puede afectaros y ralentizar ese crecimiento?
[Juan Grau] Bueno hasta hace no mucho hemos tenido una situación de inestabilidad política que preveía ralentizaciones en la economía, por no hablar de las inversiones (falta de) desde la administración pública. Por otro lado, es cierto que esta crisis (coronavirus) a nivel mundial está haciendo que bajen las bolsas y una ralentización de la economía. Con eso hay que jugar.
Nos puede afectar pero es pronto para verlo. Las inversiones de este año ya están aprobadas y no todas las empresas las cambian. A corto plazo no es algo que nos esté preocupando. Si esta situación se mantuviera hablaríamos de un problema que tendríamos que plantearnos de cara al año que viene.
Teniendo en cuenta eso creo que al sector de la ciberseguridad es de los que menos se van a ver afectados. Mientras tienes unos desaceleradores globales, existen otros aceleradores en el mercado de la seguridad.
Por ejemplo lo acontecido en el mes de noviembre en España con ataques como el Ryuk y con caídas sonadas que han afectado a muchas empresas ha causado mucha preocupación. Además se produjo en un momento en el que la gente estaba evaluando el presupuesto IT para el siguiente año.
[MUYSEGURIDAD] Dirías entonces que hay más inversión este trimestre de lo que había el año pasado
[Juan Grau] Yo noto cierta alegría en las inversiones, mucha más inversión a principios de este año que el año pasado. El año pasado veníamos de un año anterior en el que parecía que no pasaba nada y en el que las empresas se habían olvidado de algunas cosas que habían afectado a su seguridad con anterioridad. Este año “gracias” a que los ataques críticos se han producido en el momento “adecuado” han aumentado los presupuestos que las empresas están destinando a ciberseguridad.
[MUYSEGURIDAD]: 2019 fue el año en el que completasteis vuestra oferta de servicios gestionados
[Juan Grau] Los servicios gestionados de Bitdefender se presentan como una medida de ayuda a los partners, no pretende competir con ellos, sino que es un apoyo. Y está especialmente destinado a aquellos partners que no tienen capacidad para desarrollar sus propios servicios gestionados.
Y de nuevo creo que esto es muy interesante para el tejido empresarial español por el tamaño de empresas que hay. Tenemos partners que trabajan con nosotros y ofrecen sus propios servicios gestionados como MSPs, o incluso partners que se sitúan en la capa más alta de valor que están dando estos servicios a grandes empresas.
Pero luego tenemos un tejido de canal compuesto por muchas empresas pequeñas a las que creemos que este tipo de servicios pueden encajarle ya que no puede realizar las inversiones que requiere un servicio gestionado completo. Es un servicio que no requiere una certificación por parte del partner y que está disponible para todos ellos. Se lanzó el año pasado pero es ahora cuando estamos viendo que hay una mayor demanda.
[MUYSEGURIDAD]: También habéis presentado Academy Bitdefender, ¿en qué consiste el proyecto?
[Juan Grau] La idea es reforzar dos cosas. Una es reforzar el programa de formación de los partners, y por otro lado fomentar el diálogo de la comunidad de técnicos certificados en BitDefender.
Vamos a realizar más eventos que enfaticen la parte más técnica de nuestros partners. Por un lado mostraremos las últimas novedades y daremos talleres de formación a la vez que compartimos información y obtenemos feedback por su parte. Hasta ahora se hacía más con un formato tipo road show pero queremos con la accademy tener más impacto.
[MUYSEGURIDAD] ¿Cómo es vuestra apuesta por las empresas?
[Juan Grau] Consideramos tres tipos de empresa. Hay un tipo de empresa que no tiene recursos IT, que va por precio. No tiene capacidad para distinguir el valor que podemos aportar, y no da valor a una solución completa.
El segundo tipo de empresa serían aquellas que tienen un tamaño de más de 200 empleados y pueden llegar hasta los 5.000. Empresas que tienen un buen departamento IT, intentan comprar lo mejor de lo mejor pero no pueden comprar de todo y no tienen recursos suficientes para dedicarse a aprender todas las herramientas que hay en el mercado. Finalmente tenemos a las del IBEX y otras similares. Normalmente cogen lo mejor de lo mejor y ellos mismos realizan las integraciones que mejor se adaptan a su infraestructura.
Nuestro foco está sobre todo en el segmento intermedio. Ser eficaces y eficientes en seguridad y a la vez consumir muy pocos recursos. Creo que tenemos el mejor producto, la mejor solución. Queremos ir a ese tipo de empresas ya que tal vez en un segmento más grande nuestro valor final se perdería. Para una empresa que tiene cincuenta personas trabajando en IT y dos en seguridad informática, creo que nuestro producto es ideal.
[MUYSEGURIDAD] Con la proliferación de soluciones de seguridad gratuitas, ¿crees que algunos fabricantes están descuidando el mercado de consumo?
[Juan Grau] Lo que te puedo decir es que en el mercado de consumo BitDefender Total Security se mantiene como producto estrella y que se está vendiendo bien en todo el mundo con buenos crecimientos en Iberoamérica y creo que Europa estamos entre los tres primeros.
Pero el de los productos gratuitos es un problema que me he encontrado también en las empresas, muchas siguen confiando únicamente en la solución que incluye de serie el sistema operativo. Si bien es cierto que empiezo a ver un cambio de tendencia.
El problema no es tanto que sea un producto gratuito que viene incluido en el sistema operativo sino que los productos básicos, tanto lo gratuitos como los de pago que tenemos los fabricantes, están empezando a ser ineficientes. El tipo de ataques que se dan hoy en día no se pueden parar con un tipo de producto tradicional. Otra cosa que merece la pena destacar es que a diferencia de otras marcas nosotros cobramos por nuestros productos, no tenemos ninguna necesidad de vender los datos de nuestros usuarios.
[MUYSEGURIDAD] ¿Por qué crees que si bien es cierto que las empresas se esfuerzan en proteger el escritorio parece que no hacen lo propio con los smartphones corporativos?
[Juan Grau] Por el mismo motivo que la gente piensa que Mac es seguro, que Linux es seguro y que Android es seguro. Y esto pasa en España más que en otros lados. Cuesta hacer ver incluso a los clientes que la información que tenemos en nuestro dispositivo móvil es mucho más sensible que la que tenemos en nuestro portátil.
[MUYSEGURIDAD] Y esto empeora cuando hablamos que son dispositivos que se conectan a las redes corporativas de las empresas
[Juan Grau] Las políticas son muy permisivas. Somos muy permisivos en general. Tal vez porque no hemos tenido esos grandes escándalos mediáticos que sí se han publicitado en países como Estados Unidos. ¿Qué porcentaje de BYOD (Bring Your Own Device) hay? Al principio era muy poquito pero ahora es brutal. Es un problema que le contamos todos los días a las empresas.
Nos pasamos el día asegurando los ordenadores portátiles profesionales, servidores e incluso los móviles corporativos pero luego permitimos que cualquier móvil de un visitante o de un empleado se conecte a una red WiFi y muchas veces esa red WiFi no está securizada.
Nos hemos pasado reforzando el perímetro y haciendo castillos en torno al perímetro y luego le hemos dado a los empleados todo tipo de dispositivos que lo penetran con total facilidad. Además no solo pueden perder su información personal sino que puede poner en peligro otros dispositivos IoT
Un móvil infectado se puede poner a buscar impresoras. Se conecta a una impresora antigua que tiene un sistema operativo que nadie ha revisado y le mete un malware y tienes un dispositivo que está escaneando tráfico y enviándolo fuera. Te aseguro que los usuarios no saben eso y se asustan.
[MUYSEGURIDAD] Pero como decías antes, con presupuestos IT limitados, ¿dónde se traza el límite de la inversión IT necesaria?
[Juan Grau] No pongo ninguna barrera en lo que puede hacer una empresa para concienciar a los usuarios sobre la importancia que eso tiene. Los usuarios no piensan en que lo que hacen con el PC no les afecta a ellos, sino a la empresa y que incluso, puede poner su puesto de trabajo en peligro. Esto que es grave en los empleados es todavía más grave en los directivos.
En cuanto a los niveles de seguridad y herramientas…muchas veces pensamos que somos objeto de un posible ataque. Intenta poner todo lo que puedas, pero no intentes hacerlo todo por tu cuenta. Para el tejido empresarial de España mucha parte tiene que ir a través de partners externos, confiar en esos servicios gestionados de los que hablábamos al principio. Saber qué inversión merece la pena hacer de forma interna y qué hay que externalizar porque en la mayoría de las empresas no hay recursos humanos para ello.
[MUYSEGURIDAD] Para terminar… ¿qué opinión tienes sobre la evolución de la figura del CISO en Epaña?
La percepción que tengo es buenísima. Hay grandísimos profesionales en España. Pero el CISO como se entiende con capacidad de tomar decisiones solo está en las grandes corporaciones. Hablo de un CISO que muchas veces está fuera del departamento de IT, que es el valor real del CISO. Que tiene que velar por la seguridad de la empresa aunque vaya en contra de las directivas IT de la misma. Este es un modelo que no ha llegado de momento en España salvo de forma excepcional.
En las medianas empresas lo que vemos normalmente es un responsable de seguridad que depende del CIO. También me he encontrado con casos y cada vez más, que son CISOs o profesionales con experiencia en seguridad informática los que están ascendiendo a puestos de CIO.