La seguridad en internet se ha convertido en un nuevo nicho de inversión al que conviene no quitarle el ojo de encima.
La ciberseguridad se ha convertido, y con motivos más que suficientes (los abundantes ataques experimentados en los últimos tiempos por organizaciones de todo calado, tamaño y condición son los principales), en un área de inversión prioritaria en las empresas. El pasado año 2015, según las previsiones de la consultora Gartner, las organizaciones destinaron casi un 5% más dinero que el ejercicio anterior a reforzar la ciberseguridad: más de 75.000 millones de dólares en concreto. El de la ciberseguridad es, por tanto, un nicho apetitoso de negocio para muchos jugadores del mercado tecnológico. Grandes empresas de todo tipo han abierto divisiones de seguridad de la información haciendo un esfuerzo orgánico o se han dotado de herramientas de este tipo a golpe de talonario.
El ecosistema startup, en este sentido, es uno de los principales suministradores de este mercado. Y no solo en países como Israel o Estados Unidos, sino también en Europa. Datos como los que aporta recientemente Tech.eu lo ponen de manifiesto: en los dos primeros meses de este año 2016 las startups de ciberseguridad han copado la mayoría de los fondos del ecosistema, unos 314 millones de euros en el caso de las empresas europeas e israelíes (en estos países las startups recaudaron en total unos 2.600 millones de euros). Ocho compañías han cerrado, de hecho, negocios superiores a 10 millones euros en dicho periodo. Y, lo más importante, las startups de ciberseguridad siguen naciendo.
Seguridad, un caldo de cultivo de nuevas ‘startups’
“No solo las grandes empresas se están dando cuenta de la pérdida económica que suponen los ataques informáticos, ya sea en tiempo de inoperatividad de sus web o servicios, sino por cuestiones de imagen. Hoy en día las medianas empresas ya están abiertas a Internet, operan y ofrecen sus servicios en la red, por lo que rápidamente ven como son amenazadas sus páginas web y sus servicios”. Así es como explica David Megías, director del Internet Interdisciplinary Institute (IN3) de la UOC, el auge de las empresas de ciberseguridad en el mercado. “Por este motivo”, añade, “este tipo de empresas responden a estos retos creando puestos de trabajo o subcontratando esa seguridad a empresas más pequeñas que les ofrecen los servicios muy especializados en ciberseguridad”.
“Hay dos tipos de empresas, las que saben que han sido vulneradas y aquellas que no lo han descubierto todavía”, sentencia por su parte Ignacio Caño Luna, responsable de Área de la dirección de Operaciones de INCIBE (el Instituto de Ciberseguridad en España). “La información más valiosa se vuelve digital y las empresas sufren vulnerabilidades con accesos a información protegida. La ciberseguridad es prevención y ahora, más aún, detección. Esto explica que se hayan invertido a nivel global 5.200 millones de dólares en 807 operaciones en este tipo de empresas durante los últimos cinco años, según CB Insights. Es un sector cada vez más atractivo para la inversión”.
El propio Instituto ha creado, de hecho, una aceleradora de startups de seguridad. “Como centro nacional de referencia en ciberseguridad, INCIBE tiene entre sus objetivos el desarrollar el sector en España, como motor de transformación social, oportunidad para la innovación y generación de empleo. En este contexto pusimos en marcha la primera aceleradora de startups de ciberseguridad. La acogida ha sido fabulosa y los proyectos seleccionados de gran calidad, con elevado potencial para convertirse en líderes internacionales en su área”, apunta el directivo.
Una persona que sabe a la perfección qué supone crear una startup de seguridad es Antonio Guzmán, director de Innovación de ElevenPaths. La compañía forma parte del entramado de Telefónica, multinacional que, como otras, ha comprendido que para innovar en materia de seguridad necesitaba dotarse de un proyecto como éste, liderado por personalidades del sector como el propio Guzmán y el popular hacker Chema Alonso, CEO de Eleven Paths y ahora también director general de Global Security Business en la unidad B2B de Telefónica Business Solutions. “El auge de las startups de ciberseguridad se debe principalmente a que es un mercado en el que todavía hay oportunidades. La ciberseguridad ha tenido algunas barreras de entrada que poco a poco han ido disminuyendo. Una la de las barreras fundamentales ha sido la concienciación de seguridad que hasta hace relativamente poco ha sido pobre. Si la gente no percibe el riesgo que supone no incorporar soluciones de seguridad en el diseño de sus sistemas o en la forma en la que se interactúa con ellos es imposible que compren o usen soluciones de seguridad. Hoy en día, gracias a la labor de grandes divulgadores y de políticas de transparencia en las compañías que permiten al público en general conocer que existen problemas de seguridad con la información, el panorama ha cambiado”. Por otro lado, afirma el experto, hablar de ciberseguridad supone abarcar muchas líneas diferentes de trabajo: auditorías, criptografía, autenticación, autorización, análisis forense, cibercrimen, etc. “Esta amplia diversidad de posibilidades, sumada a la oportunidad de negocio justifica en alguna manera la aparición de tantas nuevas startups”.
Nichos de futuro
Pero, ¿a qué segmento de este subsector le espera un futuro más brillante? “La ciberseguridad es muy amplia”, manifiesta Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. “El aumento de malware o programas maliciosos que se instalan sin permiso en el dispositivo, ya sea teléfono u ordenador, es imparable. Las empresas que se dedican al estudio y tratamiento de este malware van en aumento, pero también las empresas que se dedican a la recuperación de los datos e investigación de lo ocurrido después de una intrusión en los servidores de las empresas, debido a infecciones de ese malware.
Las empresas medianas también se han de dotar de equipos propios de seguridad, que les permitan actuar en caso de ataque de manera rápida. Se están creando muchos departamentos nuevos dentro de esas empresas”. Para Serra, con el crecimiento, por otra parte, de los servicios de smarts cities, los ayuntamientos se quieren posicionar, “y ese campo de seguridad es muy amplio y se necesita personal especializado en ese tipo de redes y seguridad”. Otro nicho, señala, son las infraestructuras críticas: “Muchas empresas tienen PLC, ordenadores industriales, conectados a redes y a Internet a través de estas. El riesgo para ese tipo específico es elevado, dado que podrían dejar inutilizada una fábrica de producción completamente”.
Guzmán, por su parte, tiene claro que las principales tendencias de desarrollo de soluciones de ciberseguridad son la inteligencia en tiempo real, la gestión de identidades, la seguridad en dispositivos móviles, la gestión de vulnerabilidades, la biometría y la privacidad. “En cuanto a las áreas donde mayor demanda hay de soluciones de ciberseguridad, tal vez sean el ámbito industrial (incluyendo las nuevas implementaciones de Internet de las cosas y las smart cities) y las Administraciones Públicas”, añade.
“Es un sector en formación y cada año surgen nuevos nichos de oportunidad para las startups”, apunta Caño, de INCIBE. Algunos ejemplos que éste pone son las redes de vigilancia e inteligencia, la protección electrónica contra fraudes, la detección y respuesta a amenazas cibernéticas, la gestión de riesgos en tiempo real, las pruebas de seguridad en entornos industriales, automatización y analítica de grandes datos, servicios de seguridad en cloud, etc. “Un aspecto importante son las demandas de reformas regulatorias en cuanto a requisitos de seguridad cibernética. Por ello la Unión Europea está considerando instrumentos de regulación para tomar medidas y garantizar la protección”.
Pero… ¿hay espacio para más?
Teniendo en cuenta la elevada proliferación de este tipo de compañías una pregunta obligada es: ¿hay espacio para más? “Actualmente hay mucha demanda, y muchas empresas que se dedican a la consultoría de aplicaciones están abriendo nuevos departamentos dedicados exclusivamente a la seguridad”, asegura David Megías, de la UOC. “Las empresas grandes y medianas crean departamentos específicos, hay mucha demanda de personal calificado para actuar en esos momentos críticos y en la prevención. Las grandes consultoras de software generan mucho movimiento de personal. Muchas de las personas que han estado un tiempo en esas consultoras crean nuevas pequeñas empresas dedicadas a la seguridad específicamente, con una idea específica. Por ahora hay demanda de estos profesionales”.
Antonio Guzmán, de ElevenPaths, alude al “fuerte dinamismo” que marca la naturaleza de las startups para explicar el fenómeno. “No todas las empresas que se están creando prevalecerán pero es importante que todas compitan en ofrecer la mejor solución y ser capaces de reinventarse para responder a las variaciones del mercado”, apostilla.
Desde luego, para Caño, de INCIBE, esto no es una moda. “Está todo por hacer y un sector altamente competitivo lo que requiere de una aproximación y estrategia internacional. Por ello, desde el Instituto estamos colaborando con el sector privado y apoyando a las empresas para afrontar los retos de forma conjunta a través de un Polo Tecnológico especializado en Ciberseguridad. Estamos muy bien situados debido al gran talento que existe en nuestro país, y la orientación de la innovación a las necesidades específicas que demanda mercado”.
Evidentemente, a nadie se le escapa que con tanta pequeña empresa de seguridad y jugadores tan grandes ávidos de este tipo de soluciones, lo más normal es que muchas acaben siendo absorbidas por los grandes actores del mercado. “El recorrido de las startups es largo y lo normal es obtener varias rondas de financiación durante el proceso. Algunas serán absorbidas por las grandes, pero es posible que alguna pueda ser una gran multinacional controlada por capital español. Dependerá de la ambición de los emprendedores e inversores”, afirma Caño. Serra, de la UOC, cree que “no todas las startups acaban absorbidas, pero sí la gran mayoría cuya idea de negocio funciona y genera beneficios”.
Guzmán, por su parte, ejemplifica con su propia experiencia, la de Eleven Paths, que funciona como una startup pero está bajo el paraguas de una gran multinacional. “La existencia de ElevenPaths solo se debe a la visión innovadora de Telefónica para intentar acelerar la innovación en una línea estratégica muy concreta y hacerlo de una forma en la que el talento pueda permanecer dentro de la compañía. Este modelo es uno más de los que están siguiendo las grandes compañías para satisfacer la demanda de soluciones destacadas. Lo que sí es cierto es que los modelos en los que el conocimiento se externalizaba de la compañía parecen estar tocando a su fin”. De hecho, para el portavoz, “la capacidad de innovación que pueden desarrollar las grandes tecnológicas nunca podrá ser tan rápida como el de las startups”. Por ello, afirma, “es vital que estas grandes compañías estén al día de los avances que se realizan en el mercado, muchas de ellas procedentes de startups, e incorporen aquellas soluciones que puedan mejorar sus catálogos de productos con el establecimiento de acuerdos que resulten ventajosos para ambas partes”. En todo caso, subraya, “esta es sólo una fórmula que pueden aprovechar las startups para resultar rentables”.
España como generadora de empresas de ciberseguridad
El directivo de INCIBE es un convencido de que la demanda de productos y servicios de ciberseguridad seguirá en aumento y que “España está demostrando ser una gran generadora de startups de muy alto nivel”. De hecho, recuerda, INCIBE ha realizado el primer análisis y caracterización del mercado de la ciberseguridad en España que elabora el mapa del sector, identificando a los agentes más relevantes, su estructura y tipología empresarial. En él, apunta, se ha detectado la necesidad de apoyar a las startups para el desarrollo del ecosistema y generación de masa crítica empresarial en ciberseguridad. El experto de la UOC, David Megías, coincide con esta visión: “Hay muchas personas que se dedican a la seguridad. En España existen muchos centros que ayudan a la iniciación de las nuevas empresas. Eso ayuda a poder crear una empresa y probar cómo funciona el negocio, si tiene futuro o no”.
“Las empresas en España están mejorando de forma muy significativa su papel innovador. Además, es cierto que a través del INCIBE existe un impulso fundamental para que esto sea así desde el ámbito gubernamental”, reconoce el director de Innovación de ElevenPaths quien, sin embargo, recuerda que “todavía queda mucho camino por recorrer para estar a la altura de países como Israel, Australia o Estados Unidos”.
Los retos de emprender en seguridad
¿Cuáles son los retos a los que se enfrentan los emprendedores centrados en este nicho de mercado? “Uno es la actualización constante de sus conocimientos, ya que son empresas muy pequeñas que rápidamente han de poder cambiar de tecnología o técnicas nuevas que les afecten en su trabajo”, afirma Megías. “Por otro lado, las grandes empresas tienen mayor capacidad para contratar a un especialista en una determinada tecnología en cualquier momento”, añade Serra.
La usabilidad y la universalidad de las soluciones son los grandes desafíos en opinión de Guzmán. “Sólo garantizando que el uso de las soluciones de seguridad no es un problema para los usuarios y que no existen dependencias tecnológicas o de infraestructura para que estas soluciones lleguen a todos los usuarios se podrá tener éxito en la implantación de un producto”, asevera.
No obstante, hay quien, como Caño, piensa que los retos de los emprendedores en ciberseguridad son “parecidos” a los de cualquier empresa tecnológica, como formar un equipo multidisciplinar con talento y que esté abierto a aprender de forma continua. “Los emprendedores tendrán que ser capaces de ofrecer soluciones escalables eficaces y eficientes que resuelvan problemas importantes demandados por ciudadanos, empresas e instituciones públicas”.
