[30/11/2018] Las nuevas empresas de ciberseguridad, que no se ven afectadas por las plataformas heredadas, pueden ser más ágiles e innovadoras que sus competidoras más establecidas y, a menudo, pueden ofrecer un servicio más personalizado a un precio más atractivo. Atiq Raza ha visto esto desde ambos lados. Hoy en día, es el CEO de Virsec Systems, la nueva empresa de ciberseguridad de Silicon Valley, pero también trabajó para grandes empresas, incluido un período como presidente de AMD.
"He administrado grandes organizaciones con cientos de proveedores clave", señala el ejecutivo. "Para algunas funciones, usted desea proveedores conservadores y bien establecidos con un largo historial de hacer algo muy bien. Pero para muchas funciones, incluida la seguridad, también necesita las soluciones más recientes, más eficaces y más innovadoras, generalmente de compañías más jóvenes".
"Hay riesgos inherentes al trabajar con innovadores más pequeños, pero para las piezas correctas, las organizaciones inteligentes reconocen los beneficios", señala Raza.
Eso incluye flexibilidad, velocidad, creatividad y capacidad para innovar, añade. "Al no estar atrapados en una mentalidad o metodología fija, y no estar atados por la tecnología existente, tienen la libertad de ser perturbadores, desafiar las suposiciones y crear la primera generación de tecnología que cambia el juego. Por esta razón los emprendimientos suelen derrotar a empresas establecidas en la conducción de nuevos mercados".
Sin embargo, los riesgos de usar emprendimientos son significativos. La puesta en marcha podría cerrarse o comprarse y su tecnología podría cerrarse. Peor aún, debido a la inexperiencia y la falta de controles adecuados, una startup podría cometer errores que podrían comprometer la seguridad de sus clientes, en lugar de mejorarla.
La revista americana CSO habló con una amplia gama de profesionales de TI y seguridad, así como con veteranos de la industria de la seguridad cibernética para conocer sus mejores prácticas a la hora de trabajar con empresas de seguridad.
1. Realizar un control de debida diligencia
"¿Cuánto tiempo se quedarán?” Es la pregunta clave que toda organización debería tener sobre el trabajo con un emprendimiento. Por eso es importante realizar la debida diligencia desde una perspectiva tecnológica y empresarial. ¿La empresa puede demostrar que la tecnología funciona como se afirma? ¿La compañía cuenta con la administración y los fondos adecuados para crecer y sobrevivir?
Para Wendy Nather, trabajar con nuevas empresas puede significar obtener una ventaja, y no solo contra los atacantes cibernéticos. Fue directora de seguridad de TI en UBS, y CISO de la Agencia de Educación de Texas, donde trabajó con emprendimientos de ciberseguridad. Hoy, ella es la directora de CISO Asesores en Duo Security, una empresa de seguridad informática que Cisco compró por 2.350 millones a mediados de este año.
"Cuando decides optar por un emprendimiento de ciberseguridad, es porque está abordando un problema de una manera nueva, o porque ofrece una funcionalidad que va más allá de lo que ha visto con los proveedores establecidos", indica Nather. "Cuando está creando un programa de seguridad aspiracional, quiere ser mejor que sus compañeros y desea encontrar las ofertas más avanzadas que pueda".
Por supuesto, la viabilidad del emprendimiento es una preocupación importante, señala la ejecutiva. El solo hecho de tener una buena tecnología no es suficiente. "Si no son buenos en ventas o en administrar un negocio en general, es posible que no duren mucho", añade. "Así que, además de analizar los productos o servicios, hay que tener una visión más amplia de sus operaciones y modelo de negocio".
Los analistas de la industria o colegas pueden proporcionar la información necesaria aquí. "O puede comenzar de a pocos y planear participar más con ellos a lo largo del tiempo", indica Nather. "Pero eventualmente, a menos que tenga una cartera de seguridad muy distribuida, solo tendrá que arriesgarse con el emprendimiento que realmente le guste".
Ella dice que hizo eso con Internet Security Systems (ISS), que aún era un emprendimiento cuando estaba trabajando para un importante banco suizo. "Eso resultó bien", señala la ejecutiva. ISS desde entonces ha sido adquirido por IBM.
2. Esté preparado para que una empresa más grande adquiera el emprendimiento
Una adquisición por parte de una empresa más grande puede ser tanto una cosa buena como una mala para una startup y sus clientes. "Las nuevas empresas que son solo características y no se adquieren, pueden no tener una silla cuando la música deja de reproducirse, y es posible que tengan que cerrar sus puertas", señala Hitesh Sheth, CEO de Vectra Networks, Inc.
Si se adquieren, los clientes pueden perder la relación personal que solían tener con una pequeña empresa. El producto o servicio también se puede suspender, o cambiar, una vez que se compre un emprendimiento. "Debería estar preparado para que sus mejores proveedores nuevos se adquieran, y sus productos se arruinen por los grandes proveedores", anota John Pescatore, director de tendencias emergentes en el Instituto SANS.
Antes de eso, sin embargo, puede esperar obtener unos años de alto valor, añade. "Es como la diferencia entre reservar una habitación de hotel en una cadena de hoteles establecida y reservar algo en AirBnB", indica Pescatore. "Necesita hacer más debida diligencia. Si no, es probable que tenga una sorpresa grosera. Pero, si hace la debida diligencia y presta atención, puede encontrar algunas gemas reales a las que deseará regresar".
3. Busque casos de uso del mundo real
El solo hecho de tener un producto que funcione bien no es suficiente. Por ejemplo, según Pescatore, el mayor escollo cuando se trata de una startup es que tal vez no puedan escalar su producto para satisfacer las necesidades de sus clientes. "Una innovación de aprendizaje automático que detiene todas las cosas malas y no tiene falsos positivos contra cosas buenas que funcionan en una PC, puede no funcionar en 10 mil PCs que vienen en 250 sabores diferentes", señala.
Pídale a la compañía que proporcione casos de uso del mundo real que sean similares a los suyos. Después de la implementación, no querrá saber que la tecnología de seguridad en la que ha invertido no se adapta a sus necesidades, ni se integra bien con sus otros sistemas.
4. Verifique los antecedentes técnicos y de negocios del personal clave
¿Los desarrolladores clave y la gestión empresarial tienen experiencia en el mercado de la ciberseguridad? ¿Cuál es el historial de las empresas de ciberseguridad en las que trabajaron?
Los emprendimientos con una promesa temprana podrían no ser capaces de hacer frente a las demandas de mejoras e integraciones necesarias para trabajar con otros productos, anota Pescatore. Compruebe si, por ejemplo, el vicepresidente de ingeniería de la empresa emergente proviene de un entorno de ciberseguridad, y descubra cómo se desempeñó en su empresa anterior.
5. Pruebe el producto y el soporte antes de comprar
Cuando obtenga una demostración, evite las secuencias de comandos preparadas y pregunte sobre las capacidades que aún no funcionan. "Si no pueden completar una oración sin una palabra de moda, las alarmas deberían sonar", explica Pescatore.
Nathan Wenzler, estratega jefe de seguridad de AsTech Consulting, una firma de consultoría de seguridad, recomienda que las empresas obtengan una versión de prueba del software y lo pongan a prueba. "No tenga miedo de pedir ayuda al tratar de hacer que funcione", señala. Eso no solo lo ayuda a decidir si el producto es el adecuado, sino que también demuestra la capacidad de respuesta del proveedor.
En general, añade, las empresas nuevas y pequeñas pueden responder más rápidamente a los problemas de los clientes. "Es más probable que pueda llegar a personas clave, desarrolladores principales u otras personas que están más directamente involucradas con el producto y, por lo tanto, pueden abordar los problemas de forma más inmediata", indica Wenzler.
La otra cara de esto es que el emprendimiento podría no tener recursos suficientes para realizar cambios a gran escala o responder a solicitudes importantes, señala Wenzler. "Puede convertirse en un ejercicio de paciencia mientras espera que se haga".
Al evaluar la capacidad de entrega de un emprendimiento, Julie Cullivan, CIO de ForeScout Technologies Inc., dice que se dirige a sus compañeros. "Siempre utilizo mi red para averiguar quién más está trabajando con el proveedor o está considerando trabajar con la startup, por lo que puedo escuchar los beneficios desde su perspectiva o experiencia", indica. "El mayor escollo es si la tecnología aún no está ahí".
Es importante obtener la historia real sobre dónde está realmente la tecnología, anota Cullivan. "Se espera que TI y la seguridad de TI puedan moverse rápidamente, lo que significa que siempre tendrá que priorizar cómo mejorar creativamente su postura de riesgo y optimizar los recursos con soluciones emergentes".
Al mismo tiempo, eso tiene que ser equilibrado con la necesidad de minimizar el riesgo de su organización, señala Cullivan, y con la expectativa de que las cosas podrían no funcionar. "Si va a fallar, falle rápido".
6. Evalúe las propias prácticas de seguridad del emprendimiento
Kathie Miley, COO de Cybrary, ha pasado la mitad de su carrera en startups y la otra mitad en grandes empresas. Por ejemplo, fue directora ejecutiva en Verizon, donde trabajó durante 12 años. "Me encanta la capacidad de las nuevas empresas para proporcionar soluciones nuevas, nunca antes vistas", indica. "Muchas veces, esa innovación supera la necesidad de ir con una empresa más grande y establecida".
Para ella, la diligencia debida incluye evaluar a los proveedores potenciales en sus prácticas de ciberseguridad. "Someto a todos mis socios a las mismas, si no más fuertes, evaluaciones de seguridad y demandas que mis clientes colocan en mi empresa", indica la ejecutiva.
Cuando el emprendimiento falla, ella los descarta. "He elegido tecnológicamente productos que al final no se pudieron comprar porque no pudieron demostrar políticas y controles de seguridad aceptables", afirma. "Dejando de lado la innovación, no puedo arriesgar mi negocio en una empresa que no esté dispuesta a invertir en seguridad".
7. Si no puede analizarlo correctamente, vaya con un proveedor establecido
Si cree que examinar el emprendimiento y administrar esa relación suena a mucho trabajo y como algo problemático, no está solo. "Es un hecho que muchas empresas grandes solo mantendrán relaciones comerciales con organizaciones más grandes", indica David Ginsburg, vicepresidente de marketing de Cavirin, una empresa nueva en el espacio de seguridad de nube híbrida. En esas situaciones, un intermediario podría ayudar, añade, como un revendedor, un integrador de sistemas o un proveedor de servicios administrados de seguridad.
No todos pueden hacer la debida diligencia necesaria en los emprendimientos, indica Pescatore. "Si no lo está, y su empresa no lo hace, entonces es mejor quedarse con los proveedores establecidos".
Maria Korolov, CSO (EE.UU.)