Sin embargo, muchos de nosotros también recordaríamos que 2021 fue un año de algunos ataques importantes, como el de Colonial Pipeline, y sería difícil imaginar hoy en día una empresa de cualquier tamaño sin gasto ni inversión en ciberseguridad.
Hay pocas megatendencias como la ciberseguridad en este sentido: en la inteligencia artificial (IA), por ejemplo, puede haber muchas razones para usarla o muchos beneficios, pero sigue siendo una opción. Sin embargo, realmente no hacer nada en ciberseguridad ya no es una opción, por lo que se convierte más en una cuestión de los servicios específicos a utilizar y las empresas específicas con las que trabajar.
Un potencial de crecimiento masivo
Se estima que, en 2020, el gasto en cloud computing, específicamente en infraestructura como servicio (IaaS) y plataforma como servicio (PaaS), fue de $106.4 mil millones, mientras que para 2023 se espera que crezca a $217.7 mil millones.
Ahora, las cargas de trabajo en la nube deben protegerse, pero: ¿cuánto gasto se estima en el elemento de ciberseguridad? En 2020, el mismo fue de aproximadamente $1.2 mil millones, y para 2023, se estima que será de $2.0 mil millones. Eso significa que, en 2023, es posible que el gasto de seguridad en la nube sea menos del 1% del gasto de servicios en la nube.
Se estima que el <<gasto en seguridad>> debería estar más cerca de una cifra de entre el 5 y el 10% de un presupuesto de tecnología de la información dado. Esto significa que sería más razonable ver que el gasto de seguridad en la nube alcance en 2023 una cifra de $12.4 mil millones, lo que sería una magnitud de crecimiento de aproximadamente 10 veces en relación con la estimación mencionada precedentemente para el gasto de 2020. Aunque no haya garantía de que el gasto alcance este nivel, se está discutiendo claramente el concepto de que las empresas deben tomar el tema más en serio.
¿Qué es más costoso: lidiar con un problema de ciberseguridad o gastar en esfuerzos preventivos?
Esta es una de las cuestiones críticas en ciberseguridad, porque si resulta menos costoso tratar los problemas después de que ocurren, no habría mercado para las medidas preventivas. Hacia fines de diciembre de 2021, vimos el ejemplo de una empresa que necesitaba resolver un caso particular:
- Un hacker robó en 2019 los datos personales de más de 100 millones de personas de Capital One y de su proveedor de servicios en la nube, Amazon Web Services.
- Capital One acordó, en 2021, pagar $190 millones para resolver una demanda colectiva presentada por estos clientes.
- En 2020, Capital One acordó pagar $80 millones para solucionar las objeciones planteadas por los reguladores de que carecía de los procedimientos de ciberseguridad adecuados cuando comenzó a utilizar la tecnología de almacenamiento en la nube.
Más allá de que los acuerdos acapararon los titulares, piense en los costes de tiempo, en los costes de honorarios legales y la rotación de ciertos empleados que habrán incurrido... si bien puede suceder que nunca sea posible tener una protección del 100% contra todos los hackers, el caso es claro para hacer un foco en las medidas preventivas.
Los gobiernos están tomando medidas
El punto de vista del gobierno sobre la ciberseguridad parece ir, al menos actualmente, por dos vías principales que son:
- La protección de datos: los ciudadanos se han vuelto mucho más conscientes de que sus datos se usan y almacenan de diferentes maneras que pueden no darse cuenta y los gobiernos quieren tomar medidas para “proteger” los datos personales de los individuos cuando y donde sea posible.
- La protección de la infraestructura: el caso de Colonial Pipeline, que generó muchas dificultades para que los consumidores obtuvieran gasolina en mayo de 2021 a lo largo de toda la costa este de los EE.UU.
En julio de 2021, el Senado estadounidense confirmó a Chris Inglis como el primer director cibernético nacional. En mayo de 2021, el presidente Biden emitió una orden ejecutiva que cambió drásticamente la postura regulatoria general, que anteriormente había sido mucho más voluntaria y de no intervención.
Conclusión: la demanda de soluciones de ciberseguridad debería ser relativamente constante
Debemos recordar que ya existen ciertas tendencias que pueden no ser muy sensibles a los cambios en las políticas de tipos de interés. Una de ellas es el cambio del hardware “en las instalaciones” al cloud computing, donde muchas empresas pueden obtener eficiencias y beneficios de costes. Estos cambios requieren paquetes de seguridad diferentes y actualizados, y se espera que continúen hasta 2022. El riesgo clave, tal como lo vemos, es que: si bien muchas compañías de ciberseguridad enfocadas en la nube obtuvieron en los últimos años una rentabilidad increíble en el precio de sus acciones, sus valoraciones podrían ajustarse en caso de que aumenten los tipos de interés por más de que continúe el crecimiento de sus ingresos. Es así como, al pensar acerca de la megatendencia de ciberseguridad, podría ser importante pensar más allá de simplemente las rentabilidades de 2022.