Con 24 años a sus espaldas, más de seis adquisiciones, una facturación anual de unos 600 millones de dólares, y una plantilla en Iberia de más de 60 empleados, CyberArk es un experto en el mercado de gestión de accesos privilegiados.
No es un secreto que el mercado de ciberseguridad es un espacio extraordinariamente complejo con múltiples soluciones que compiten entre sí y se superponen. El foco de CyberArk son las identidades. Las empresas tienen muchos tipos diferentes de identidades que deben proteger, incluidas tanto las humanas como las máquinas. Hoy en día, en ciberseguridad, como en muchos otros ámbitos de TI, el enfoque de plataforma es lo que manda, y CyberArk cuenta con una plataforma integral de seguridad de la identidad.
CyberArk cubre todas las identidades de un extremo a otro, humanos y máquinas. Su enfoque secure-first prioriza la seguridad desde el acceso de empleados y clientes, la seguridad de privilegios del endpoint, la gestión de acceso privilegiado, la gestión de secretos, pasando por la seguridad en la nube y terminando en la administración de identidades.
La compañía respalda su posición competitiva mediante la introducción de nuevas soluciones que amplían y diferencian su plataforma. Las presentaciones recientes de productos incluyen Secure Cloud Access, Secure Browser y una gama de soluciones de inteligencia artificial. Secure Cloud Access proporciona acceso nativo seguro sin privilegios permanentes en entornos de múltiples nubes. CyberArk Secure Browser es un navegador web basado en Chromium que admite iniciativas empresariales Zero Trust. Ofrece seguridad integrada y gestión de políticas centralizada, con características que incluyen navegación sin cookies, protección contra filtración de datos y una solución de reemplazo de contraseña.
De esto y otras cosas hemos hablado con Albert Barnwell, responsable de CyberArk para España y Portugal, a quien preguntamos, entre otras cosas, por la evolución de la compañía. “Un momento clave dentro de la empresa fue la adquisición de Idaptive”, comenta el directivo. En términos generales, esta adquisición amplió la capacidad de CyberArk para ofrecer soluciones de autenticación y gestión de identidades (IAM) junto con su oferta de administración de accesos privilegiados (PAM). Lo que destaca el directivo es que la adquisición no sólo les permitió ofrecer nuevas funcionalidades a los clientes, sino tener una plataforma donde ofrecer nuevos servicios; “contar con una solución puramente SaaS nos permitió cambiar la visión y la estrategia del go-to-market” y responder a las nuevas demandas de un mercado en el que los responsables de TI y ciberseguridad no quieren gestionar un producto o una solución, “sino contratar un servicio”.
La compra de Idaptive fue la base para crear “esa plataforma con servicios unificados y comunes para poder cubrir todos los casos de uso de identidad”, teniendo en cuenta que “en CyberArk creemos que cualquier identidad, en cualquier momento, puede ser privilegiada”.
La plataforma unificada de CyberArk permite “que yo pueda tener unos servicios comunes para poder simplificar y tener mejor retorno de inversión para el usuario final”, porque el problema, recuerda el directivo, es que bajo la adopción del ‘best of breed’ lo que se ha generado es la obligación de tener que gestionar decenas de productos, cada uno con su propia consola. “Nosotros lo que queremos vender es una solución a un problema” asegura el directivo, añadiendo que en los dos últimos años “ya no hablamos solo de PAM con los clientes” y se puede ofrecer una solución mucho más flexible.
“Un momento clave dentro de la empresa fue la adquisición de Idaptive”
La evolución de la oferta de la compañía también ha impactado en la tipología de clientes a los sirve. Nos cuenta Albert Barnwell que el posicionamiento de CyberArk ha estado bastante enfocado en la empresa grande, que son unas 200-300 empresas en España, además de administración pública a nivel de gobierno central. Pero en los últimos tres o cuatro años “hemos visto que empresas más pequeñas empiezan a tener las mismas necesidades, y hemos ido elaborando soluciones que estén más enfocadas en este cliente”. Unas necesidades que vienen marcadas por el hecho de que el 90 por ciento de los ataques conllevan un compromiso de la identidad “y da igual que te pertenezcas al IBEX35 o seas una empresa más pequeña”. En esta situación, la solución para abortar este ataque es poder cortar esa cadena de elevación de privilegios, “y aquí, una herramienta de PAM encaja muy bien”.
Explica el directivo que las empresas más pequeñas, también más inmaduras, necesitan poder securizar las contraseñas, poderlas rotas y establecer sesiones aisladas, y que el mundo Enterprise está un paso más avanzado. Una vez securizados los usuarios humanos, se plantean tres líneas de acción que en los últimos años están ganando mucha tracción: por un lado, cómo securizo las aplicaciones; por otro, cómo securizo los privilegios en el endpoint; y, finalmente, cómo securizo las empresas colaboradoras, esas identidades de la cadena de suministro que se pueden conectar a la infraestructura de las empresas”.
«¿cómo está enfocando CyberArk la gestión de estos accesos desde el punto de vista de Zero Trust?»
Además de ampliar su oferta, CyberArk, también ha evolucionado su modelo de negocio. “Estamos viendo que, para ser competitivos, las empresas están optando por un modelo de servicios Cloud”, dice Albert Barnwell, añadiendo que el proceso de digitalización y transformación de las aplicaciones está generando nueva problemática: “ahora los usuarios se conectan de diferente manera y tenemos diferentes soluciones de proveedores de servicios cloud con diferentes tecnologías, y no tengo una herramienta centralizada para poder controlar todos esos accesos, para saber quién tiene privilegios, quién se puede conectar a qué, etcétera”. Y esto es lo que están pidiendo los clientes: cómo implementar controles para los usuarios que están trabajando y accediendo a soluciones que pueden ser SaaS; cómo se conectan a AWS, Azure o kubernetes. La gran pregunta es “¿cómo está enfocando CyberArk la gestión de estos accesos desde el punto de vista de Zero Trust?”.
La tendencia del mercado es la Plataforma, con mayúsculas. Una plataforma capaz de integrar diferentes herramientas, incluso de diferentes fabricantes, para un control simplificado. De los más de ocho mil clientes de CyberArk, más de mil han migrado a la plataforma de la compañía, Identity Security Platform, a lo que se suman “todos los nuevos, con lo cual vemos que es un empuje muy fuerte y una tendencia muy grande que tiene el mercado”.
Hablando de las identidades de las máquinas, cuya gestión es tan importante con las humanas, menciona Albert Barnwell las aplicaciones, algo sobre lo que están trabajando desde hace más de diez años, “en la época de los servidores”. Asegura el directivo que ese control necesario de las aplicaciones se ha ido extendiendo, y que la llegada de DevOps, de desarrollo ágil, ha supuesto una vuelta de tuerca “porque de repente tienes una cantidad de desarrolladores que están accediendo a producción de una manera muy rápida y ágil. Y es un área de ataque que está creciendo exponencialmente”. Uno de los últimos ejemplos, una brecha en Uber a través de una librería que un desarrollador se había dejado abierta. Asegura Barnwell que las regulaciones no van a diferenciar entre un usuario humano o una aplicación; “si necesitas poner un control de seguridad para un acceso, da hay igual quién tenga que acceder”.
“El cambio al modelo de suscripción se hizo conjuntamente al de plataforma” nos cuenta Albert Barnwell. El poder ofrecer una plataforma, el poder ofrecer un servicio, encaja mucho mejor con este nuevo modelo en el que “yo pago realmente por lo que necesito durante el tiempo que necesito”.
CyberArk comenzó la transición de su modelo de negocio hacia el software como servicio, o SaaS, hace un par de años. Se trata de un modelo que ofrece una tarifa de suscripción mensual o anual para acceder a los productos de un proveedor. Los ingresos por suscripción de CyberArk representaron el 61 % de los ingresos totales en el segundo trimestre de este año en comparación con el 46 % del mismo periodo del año anterior.
Últimos lanzamientos e IA
Decíamos al comienzo de este contenido que este año la compañía ha lanzado Secure Cloud Access y Secure Browser. Sobre el primero nos cuneta el responsable de CyberArk en España que ha tenido mucho interés por parte de los clientes porque puede solventar una problemática: ¿cómo puedo poner controles desde una plataforma unificada a las identidades que puedo tener en Google, AWS o Microsoft? Explica el directivo que a los clientes les da igual que las soluciones estén en su servidor o estén en la nube, o en qué nube están, “deben tener los mismos controles, las mismas medidas de seguridad. Y que tengan diferentes herramientas es una problemática”. Lo que buscan, añade es “poder enfocarse en trabajar su negocio, más que tener que gestionar diferentes herramientas”.
Con Secure Browser, aún en proceso de lanzamiento, “lo que queremos dar a los clientes es una capa más de seguridad”. Teniendo en cuenta que la mayoría de los ataques llegan a través del endpoint, dice Albert Barnwell que la mayoría de los navegadores con los que se trabaja no están gestionados desde la empresa para poder establecer unas medidas de protección. Lo que ha hecho CyberArk, explica, es “lanzar al mercado un navegador enfocado al mundo de la seguridad para poder, desde el punto o de vista de la gestión de identidades, acceder a diferentes aplicaciones de una manera segura”.
Hablando del impacto de la IA generativa y cómo está abordando la situación CyberArk, menciona el directivo el informe sobre amenazas que elabora cada año su compañía donde se recoge que para el 99% de los clientes encuestados creen que la Inteligencia Artificial les va a afectar negativamente desde el punto de vista de seguridad porque se está viendo que los ciberdelincuentes la están utilizando para mejorar sus ataques.
Las inversiones de CyberArk en IA tienen como objetivo facilitar la aplicación de controles de privilegios inteligentes a todas las identidades. Explica la compañía, que la plataforma Identity Security de CyberArk autentica contextualmente las identidades y autoriza de manera dinámica la menor cantidad de privilegios necesarios. Por ejemplo, la automatización de la creación de políticas habilitada por IA procesa datos de terminales para ajustar automáticamente las políticas y reducir el riesgo.
Nos cuenta Albert Barnwell que CyberArk se ha creado un centro de Inteligencia Artificial “para investigar cómo la IA nos puede ayudar a mejorar nuestros productos”. Entre otras cosas, la IA puede ayudar a hacer un time to market de nuevas versiones o de nuevas funcionales de una manera mucho, mucho más rápida”, dice Barnwell.
También se investiga cómo poder utilizar la IA para el beneficio de las soluciones y de los clientes; “aquí, el caso más fácil de explicar sería todo lo que sería la parte de Analytics, donde realmente le estamos sacando mucho provecho a la inteligencia artificial”.
En términos generales destaca que la tecnología está ahí, que no se va a ir y que quien sepa utilizarla mejor es quien va a tener una capacidad y una ventaja competitiva contra el resto, independientemente del sector.
