Más allá de proteger los datos y la información, Varonis se ha centrado desde su fundación en desarrollar software capaz de mapear, analizar, administrar y migrar datos no estructurados. Es decir, se ha especializado en datos generados por humanos, un tipo de datos no estructurados que incluyen hojas de cálculo, documentos de procesamiento de texto, presentaciones, archivos de audio y vídeo, correos electrónicos, mensajes de texto y cualquier otro dato creado por los empleados que a menudo contienen información financiera de una empresa, planes de productos, iniciativas estratégicas, propiedad intelectual, etc.
Fundada en 2005, la compañía ha pasado por ocho rondas de financiación que suman 30,5 millones de dólares, y ha realizado una adquisición, la de Polyrize, que había desarrollado una tecnología para mapear y analizar las relaciones entre los usuarios y los datos alojados en repositorios cloud como como Salesforce, G-suite o Amazon S3, para correlacionar las distintas cuentas utilizadas para acceder a estos almacenes.
“Ahora somos una empresa SaaS”
El mercado de Big Data se valoró en 41.330 millones de dólares en 2019 y se prevé que tenga un valor de 116.000 millones para 2027, lo que supone un crecimiento medio anual del 14 %. Por otra parte, se espera que el mercado de seguridad crezca una media del 13,3% y alcance los 298.700 millones de dólares para 2027. Varonis está preparada para impulsar su crecimiento en ambas industrias con su plataforma de protección, visibilidad y seguridad de datos que ayuda a identificar dónde se encuentran los datos confidenciales de los clientes, tanto on-premise como en la nube, así como protegerlos y asegurarse de que cumplan con los requisitos de cumplimiento. Entre sus competidores cabe mencionar a Netwrix o Veritas.
Para saber cómo ha evolucionado la propuesta de la compañía, cuáles son los retos a los que se enfrentan las empresas a la hora de proteger los datos, o cómo evoluciona su transición al mundo SaaS hablamos con Mark Wilcox, VP and General Manager UK&I/DACH/SEUR, de la compañía días después de que se anunciara una actualización del acuerdo de distribución que une a Varonis con Ingecom ante los avances de la primera por un modelo de negocio basado en SaaS; un nuevo acuerdo que “encaje con nuestra estrategia, con nuestra nueva plataforma, y las nuevas acciones que estamos pensando aplicar en el territorio”, explica Enterprise Account Manager de Varonis, también presente en esta entrevista.
Preguntado por la evolución de la propuesta de Varonis, explica Mark Wilcox que cuando se piensa en el ecosistema de seguridad que tienen los clientes “en lo que tradicionalmente se han centrado es en la protección del perímetro, y no se dan cuenta de que lo que persigue el ciberdelincuente es el dato. Así que nos sentamos tan cerca del dato como sea posible”. La propuesta de la compañía, nos explica, se basa en: protección de datos, protección contra amenazas y cumplimiento. Varonis ofrece a los clientes “la capacidad de mostrarles dónde se concentran sus activos digitales más críticos y quién tiene acceso a esos activos, pudiendo rastrear quién accede”. Añade el directivo que, entendiendo que existe una relación entre el acceso otorgado a un empleado y el uso que hace de los mismos, “colocamos estos dos metadatos y tenemos la capacidad de decir que, de las cinco mil personas que tienen acceso a ese dato confidencial, sólo cinco necesitan realmente acceder a él, lo que genera una reducción de riesgos importante”.
Respecto a la protección contra amenazas lo que hace la compañía es monitorizar los datos de los clientes 24×7. Asegura que la compañía tiene la capacidad de superponer amenazas potenciales o actividades sospechosas controlando el contexto, el comportamiento y los dispositivos para garantizar que quien accede es quien dice ser, y accede al dato correcto desde el lugar y dispositivo adecuado. Puro Zero Trust.
“La automatización lo es todo”
El número de productos que la compañía ofrece a través de su oferta como servicio van desde prevención del ransomware, prevención de pérdida de datos, gobernanza, clasificación… Los clientes reciben un informe de las actividades de los usuarios, que incluye información de su nombre, IP, dispositivos, localización, los archivos que han creado, así como la información que han compartido y descargado. Los responsables de ciberseguridad reciben alertas cuando los usuarios descargan grandes cantidades de información, la comparten con otros dominios o utilizan IPs sospechosas. Estos responsables pueden aprobar las acciones, prohibirlas o reportar la actividad.
Respecto al diferencial de la compañía respecto a otras propuestas del mercado, tiene claro Mark Wilcox que está en “nuestra capacidad de encontrar problemas y solucionarlos automáticamente sin tener ninguna interacción”. Como caso concreto nos pide que supongamos que en Office 365 hay un enlace que contiene datos confidenciales que están abiertos a todos en la empresa o, lo que es peor, abiertos públicamente a Internet; “podemos eliminar ese enlace porque ese es un riesgo que no queremos tener. Y podemos monitorizar este tipo de cosas y entregar un informe al cliente con todos los enlaces que contienen datos confidenciales que están abiertos a demasiadas personas. Creamos una política y eliminamos automáticamente ese riesgo. Nunca hubiera soñado con ese tipo de automatización en el pasado”.
“Ahora somos una empresa SaaS”, responde el directivo cuando le planteamos en qué momento están de la transición hacia el modelo de software como servicio. Aclara que, “obviamente”, se sigue apoyando a los clientes que han estado utilizando el producto on-premise pero que “SaaS lo hace todo mucho más fácil. Es un mecanismo de entrega para todas las cosas geniales que siempre hemos hecho, y nos da la capacidad de automatizar muchas cosas”. Añade que con la propuesta SaaS de la compañía, los clientes están mucho mejor protegidos con mucho menos esfuerzo “gracias a nuestra solución automatizada y respuesta proactiva a incidentes”; además, SaaS es más fácil de implementar y tiene costes de infraestructura significativamente más bajos.
El primer servicio de Varonis en 2005 fue Windows File Transfer Protection. Desde entonces, la empresa ha sabido adaptarse y adoptar las tendencias del mercado y la industria, ofreciendo productos y servicios relacionados con la seguridad de bases de datos de sus clientes. Estos clientes provienen de una amplia variedad de diferentes mercados e industrias, que van desde grandes corporaciones con muchos empleados hasta pequeñas organizaciones de nueva creación que toman una decisión temprana para proteger sus sistemas de información y entrada de datos.
“Lo que persigue el ciberdelincuente es el dato”
Asegurando que la automatización lo es todo, dice Mark Wilcox que el futuro pasa por “continuar por el camino de la automatización tanto como podamos” cuando le preguntamos por el roadmap de la compañía. Añade que, desde el primer día, la misión de Varonis fue seguir los datos dondequiera que residieran y protegerlos allí. Y ahora todo se está trasladando a la nube; “estamos protegiendo las aplicaciones en la nube, no solo Office 365, sino también salesforce.com. La cantidad de datos confidenciales que residen en Salesforce es increíble. Y la capacidad de comprender el acceso en Salesforce es muy difícil”, asegura, mientras nos cuenta que son muchas más las aplicaciones que se van sumando a la lista.
Varonis cubre los directorios de Windows (MSFT), Azure o Azure Active. A finales del primer trimestre de este año la compañía anunció su intención de atacar mercados objetivo más grandes, incluidos Azure Blob, GitHub, Google Drive y Salesforce (CRM), ya mencionado.
