La ciberseguridad comienza a preocupar cada vez más a los gobiernos que, poco a poco, van diseñando sus estrategias para prevenir incidentes. Del otro lado están quienes combaten contra todo tipo de software dañino y ataques informáticos varios, que consideran que las operadoras de telecomunicaciones tienen una oportunidad para hacer de la ciberseguridad un nuevo negocio. Así lo ve José Medina, director de Innovation & Growth Strategies MSSP de Fortinet, quien en diálogo con TeleSemana.com aseguró que hay menos ciberataques pero más precisos, que la inteligencia artificial (IA) abre nuevos retos y que las regulaciones, aunque no le simpatizan, son necesarias pero deben apuntar a incentivos más que otra cosa. Planteó, al final, la figura del versatilistic dentro de las telcos como una forma de abordar los negocios desde un punto de vista innovador.
¿Cuáles son los desafíos de la ciberseguridad hoy en la región?
La cantidad de ciberataques ha disminuido de 2022 a 2023. ¿Por qué? El cibercrimen avanza. El lado malo avanza en conversión de sus ataques, en tasa de éxito, perfeccionan mucho su técnica. Ya no les interesa la cantidad de ataques sino la calidad. Usan IA en sus ataques, como deep fakes. Y es una de las cosas a las que acuden para hacer reales sus ataques, escoger a sus víctimas, definir qué valor de la empresa atacan y han progresado de manera significativa. En términos de calidad han avanzado, en cantidad han bajado. A nivel empresas hay una concientización mucho mayor que hace tres años. Antes había que convencer a la empresa que era una prioridad, ahora ya no es así. Hablemos de ciberseguridad, es ahora.
¿En este escenario, entonces, qué se hace?
La conversación pasó de nivel, es decir, en cómo lo hago, en prioridades, en arquitecturas. Y es mucho más interesante porque nos reta a ir con recomendaciones puntuales como es asegurar desde el diseño. Si lanzan un diseño y luego aseguras, vas tarde. Cada paso digital hay que asegurarse, no hay que reducir ni eliminar el presupuesto porque si no será tarde.
Otro eje va de la mano de las empresas que ofrecen ciberseguridad. Noto una madurez en cuanto a la decisión de ofertarlo y se evidencia que hace falta un cambio en cómo lo posicionamos. Estamos enfocados en hablar de un producto y perdemos de vista los desafíos que hay, que son los puestos vacíos, los roles de ciberseguridad en la empresa. Hay estadística que dice que usamos el 60 por ciento de los equipos. Noto prioridad en donde veamos cómo lo hacemos para que podamos impactar un poco en la adopción.
Es inevitable no pensar en lo que pasó a partir de la pandemia
Lo que cambió fue la propuesta de valor de la pandemia. Ya no era abrir el local, la tienda. La pandemia habilitó el trabajo remoto, que para mí fue temporal. Con eso las empresas se preguntaron cómo llegar al cliente, cómo hacerlo digital, cómo lograr que hagan click, habilitar una aplicación y todo eso es digitalización. La pandemia aceleró la digitalización de marketing de la empresa, de la estrategia comercial, de llegar a la casa aún sin salir. La necesidad fue tan fuerte que el presupuesto de asegurar eso, a pesar de saber que se estaba abriendo una puerta al ciberdelincuente, suponía hacerlo y luego encargarme de eso. El efecto fue una curva de aceleración para ser resilientes pero se dejó de lado el presupuesto de seguridad, de digitalización, de vectores de ataques. El tema de las claves generó extorsiones, porque el delincuente se mete en cámaras de videovigilancia, con temas privados, y luego siguieron las extorsiones. Pero se abrió la puerta para eso. Cada paso de digitalización es un vector y una puerta de entrada, y la pandemia aceleró las puertas de entrada. Pero hoy hay una madurez bellísima de la propuesta de las empresas.
Después de la pandemia pasamos a la IA, a un despliegue de redes 5G con distinto ritmo en la región, con importantes despliegues de fibra óptica. Entonces ¿qué se puede esperar para la segunda mitad de esta década?
Resumo la IA en dos beneficios, para las personas y para las empresas. Los primeros por la forma en cómo nos comunicamos con las máquinas. LA IA busca procesar grandes cantidades de información. Y hasta en mi lenguaje nativo puedo interactuar con ella, que puedo trasladar a cualquier rol y empresa, y hay accesos a la información de un modo distinto. En relación a la segunda, es una derivada de la primera por el impacto en resultados más acelerados en lo que se hace. Hace unos días en una conferencia en Andicom me llamó la atención el caso de unas gafas donde te los colocabas y por atrás podías escuchar o hablar y hacer traducción en tiempo real. Lo que está ahí es una base de datos de lenguajes a los que tienes acceso: te hablan en chino y le respondes en español y el resultado va más rápido. Esto puede estar diseñado para turistas que no hablan tu lenguaje. Esto te puede abrir a un mundo de turistas.
Entonces los casos de impacto de la IA si lo traslado a las empresas de telecomunicaciones definitivamente voy a la parte operativa. Hoy hay más herramientas avanzadas de administración de la red, de 5G y de ciberseguridad. Con ciertos comandos es posible desplegar más rápido, tener mejores prácticas para atender incidentes. Y esto impacta mucho en el trabajo porque la IA es un componente clave en la empresa. La comunicación tendrá resultados mucho más amplios a través del 5G. Definitivamente, las operadoras están accediendo a un mercado que antes posiblemente no era tan incubmente.
¿Qué cambia con los despliegues de 5G?
Con 5G se accede a un mercado que el sector no lo tenía tan abordado como ciudades inteligentes, comercio, agro, industria, y le da una cobertura y dispositivos que necesitan comunicarse. Con el acceso de la fibra se complementa por el recogido de información. La perspectiva en este escenario es enorme. La telco es una aliada porque vemos que esos tres factores van a impulsar demasiado el rol de una empresa de telco. Todo esto acelerará la digitalización y las oportunidades que abre es diferenciar la propuesta de valor. No solo te habilito un negocio sino que lo hago seguro. Si es de 5G, fibra o servicios administrados el mindset debe ser la responsabilidad de hacerlo seguro. Ese trígono perfecto se complementa con un círculo de seguridad convergente, autosustentable y de crecimiento en el tiempo. Porque los malos son muy buenos identificando cómo extorsionar y pueden quebrar un negocio.
Desde TeleSemana.com estamos convencidos que hoy las cosas en el sector pasan más por el liderazgo que por una cuestión tecnológica. ¿Cómo se lidia con una telco cuando no tiene incorporados estos conceptos y cómo se aborda su fortaleza?
La mayor parte de la interacción de Fortinet con una telco era con el product manager de ciberseguridad, luego con el CTO, hasta que apareció el de soluciones de ciberseguridad. La telco es un socio que puede ampliar el portafolio. Pero no sólo de seguridad, sino también en la nube. Y eso requirió transformar varios procesos y preguntar a quién se le daba el tema. Y no había una respuesta clara para impulsar una Internet segura. Se logró en la mayoría de las telcos de América latina, luego de metodologías comerciales y alianzas de negocios. El 80 por ciento ya tiene ese portafolio. Pero si queremos ir a cloud, a IoT, son más unidades de negocios. Entonces hay que tomar la decisión un poco más arriba, inclusive a nivel de B2B, porque ese negocio comienza a tener más presencia. Hubo un cambio de interlocutor, ahora los acuerdos son más amplios, a nivel ejecutivo. En Argentina, por caso, hicimos un trabajo con gerentes de B2B para hablar del tema. Hace cinco años esto no se podría haber hecho.
Todavía hay muchos procesos por romper, áreas grises sobre la responsabilidad acerca de quién lo tiene que hacer. Porque no se puede ver la ciberseguridad aislada, hay que hacerla horizontal y la telco no está acostumbrada a trabajar así sino por nichos. La ciberseguridad está impregnada en todas las áreas: 5G, IoT, cloud. No está 100 por ciento definido, muchas operadoras hicieron unidades de negocios de ciberseguridad pero seguimos viendo una falta de integración, de grises, en cuanto a poder unificarse. Estamos para liderar esa conversación dentro de las empresas
Además, es algo de prioridad comercial. Algo muy sencillo es la compensación que lidera el comportamiento de las personas en cualquier empresa. Las telcos tienen planes de incentivos, pero no en ciberseguridad. Los tienen para renovación de contratos, para la nube, para otras cosas, pero no en seguridad. Entonces lideramos con otras cosas que no son tecnología.
¿Cómo impacta la cuestión regulatoria en los temas de ciberseguridad?
Tengo situaciones encontradas. Por supuesto que estoy a favor de las regulaciones. Son pieza clave en que haya un control en el riesgo. Cómo accedes, qué preguntas, qué información, no podemos pretender que todo es bonito porque hay maldad afuera. Las regulaciones están pendientes de eso. Nos ayudan a no cometer errores cuando lanzamos un producto, un servicio. Mi única recomendación es que tiene que haber incentivo de negocio para quien cumple la regulación. El que cumple debería poder monetizarla con tranquilidad. A nivel mundial el tema de la neutralidad de la red es super conocido. Y aunque lo entiendo no lo comparto, porque se puede querer una diferenciación para la transmisión de datos y si hay quienes quieren pagar más por eso, que lo tenga, porque la red lo puede habilitar, la tecnología lo permite, pero se limita un poco por pensar en la neutralidad de la red.
Poner regulaciones en ciberseguridad muy complejas van a frenar la innovación porque dan miedo y, por supuesto, requieren mucha inversión. Pero si se logra monetizarlas, porque permiten crear planes diferenciados, quien quiere algo diferente que lo pague, porque al igual que la neutralidad se disparan las ganancias de unos y no de otros, y las telcos no ven ni un centavo en todo este proceso. Ni siquiera pueden hacer sus planes para ver a dónde le interesa a Netflix llegar a nivel residencial. Por eso, no estoy en contra de las regulaciones pero sí tienen que tener sentido de negocio, de habilitar un ganar ganar. Y las telcos sienten que no siempre están ganando. Esa conversación de negocios sobre cómo se lideran las relaciones, cuándo las regulaciones promuevan el ganar ganar resulta más interesante, y no hacerlo por cumplimiento sino por habilitar posibilidades de negocios.
¿Qué otros cambios crees que deben darse en el sector?
El poder del storytelling. Escogí ese tema por la participación de mercado de las empresas de telecomunciaciones en el mercado de seguridad está en el 10 por ciento. Si la comparas con las otras tres áreas como data center cloud, IoT y conectividad corporativa están por encima del 50 por ciento. Está muy fragmentado pero gran de ese negocio se lo están llevando las empresas de reventa de producto, luego consultoras de ciberseguridad, después las telco y finalmente los hiperescaladores. Nuestra invitación es a tomarlo en serio con planes de incentivo, como dijimos.
Una recomendación para las telcos es tomarse en serio cambiar el comprotamiento de compra de las empresas de ciberseguridad. En el mercado laboral existe el versatilistic donde se trata de la persona que sabe evolucionar, no es el especialista. En telcos, el versatilista debe formarse en estrategias de comunicación, en cambiar percepciones, en cambiar comportamientos. Si la empresa logró que nadie piense en un router sino que todos piensen en Internet, deberían lograr repetir su éxito pensando que ciberseguridad no es un funnel sino un servicio mucho más amplio. Y eso requiere un abordaje mucho más profundo, una historia. Porqoe si no se van a seguir concentrando en vender productos cuando se trata de estar tomando en cuenta un cambio de comportamiento en la adquisición de la tecnología por parte del cliente. La competencia está con las empresas que hacen reventa de producto. Y ahí hay que crecer para fortalecerlo, para ampliarlo y observar que es donde está la oportunidad del negocio.
