Recientemente, ESG completó su segunda investigación anual de proveedores de ciberseguridad de clase empresarial. La historia detrás de este proyecto es la siguiente: las organizaciones empresariales (aquellas con 1,000 empleados o más) tienen demasiadas herramientas puntuales y ahora están involucradas en proyectos para integrar tecnologías de seguridad mientras eliminan algunas herramientas y proveedores en el camino. Esto establece un mercado de seguridad donde las empresas compran más productos de menos proveedores, y esto tendrá un gran impacto en el mercado: menos transacciones, más grandes acuerdos, ciclos de ventas más largos, mayor supervisión del CISO en la adquisición, competencia intensa, etc. Me doy cuenta de que esto es contrario a la forma en que la industria de la seguridad siempre ha funcionado en el pasado, cuando las grandes organizaciones compraban tecnologías de vanguardia para cada capa de una arquitectura de defensa en profundidad. Sin embargo, los datos indican que esta mentalidad histórica está cambiando: el 62% de los encuestados dicen que su organización ahora consideraría comprar la mayoría de sus tecnologías de seguridad (así como servicios de seguridad administrados) de un solo proveedor de ciberseguridad de clase empresarial. Entonces, ¿qué calificaciones son necesarias para ser considerado un proveedor de ciberseguridad de clase empresarial? ESG hizo esta misma pregunta a los encuestados y las dos respuestas principales son extremadamente interesantes para mí: el 34% de los encuestados dicen que el atributo más importante es un portafolio de productos y servicios de ciberseguridad que se alinee con las iniciativas estratégicas de TI. En otras palabras, los CISOs quieren trabajar con proveedores que tengan un conocimiento práctico y profundo de la ciberseguridad en la transformación digital, aplicaciones de IoT, aplicaciones móviles, DevOps, etc. El 27% de los encuestados dicen que el atributo más importante es la experiencia en ciberseguridad específica de la industria de mi organización. Estoy particularmente contento con este dato ya que respalda mi tesis de que la ciberseguridad se está convirtiendo en una aplicación vertical, impulsada por dispositivos/aplicaciones de IoT específicos de la industria, procesos comerciales, riesgos, regulaciones, etc. El resto de la lista consiste en atributos de “madre e industria” empresariales: los proveedores de ciberseguridad de clase empresarial deben ofrecer amplios portafolios de productos y servicios, proporcionar inteligencia de amenazas de clase mundial, ofrecer escalabilidad, facilidad de gestión e integración de productos, etc. Estamos al comienzo de las “guerras de plataformas” donde los proveedores de seguridad compiten por una parte mucho más grande del gasto empresarial. Esto significa que algunos proveedores se destacarán del resto: veremos uno o más proveedores de ciberseguridad empresarial de $5 mil millones en los próximos años. Sin embargo, para llegar allí, los proveedores de ciberseguridad deberán cambiar un poco su enfoque de la siguiente manera: los proveedores necesitarán amplios conocimientos de negocios/IT, no solo habilidades de seguridad. Además, los proveedores de ciberseguridad deben ir más allá de las tecnologías de seguridad horizontales y adquirir una comprensión profunda de los riesgos asociados con los procesos comerciales verticales. Para lograrlo, los proveedores de seguridad deberán invertir en capacitación de negocios/IT, marketing de la industria, reclutamiento de expertos en la industria, reorganización de sus fuerzas de ventas y canales, etc. La mayoría de los proveedores de seguridad tienen actualmente un modelo de ventas transaccional basado en lo que los usuarios están comprando en ese momento. Este mes, es una renovación de suscripción de seguridad web, el próximo mes es seguridad de carga de trabajo en la nube comprada por un grupo diferente con un presupuesto diferente. A medida que las organizaciones buscan soluciones de seguridad distribuidas de clase empresarial, los proveedores deben establecer un modelo de ventas diseñado para ciclos de ventas largos, soporte de ingeniería y mucha atención al cliente. Piense en Oracle y SAP en lugar de los tradicionales McAfee y Symantec.

Leer más en: CSO