Análisis del Mercado y Tendencias en España”, realizado a finales de 2004 entre más de 500 profesionales en toda Europa –100 en España- involucrados con la Seguridad de la Información en sus organizaciones y que analiza el comportamiento del mercado de la Seguridad de las TI: decisiones de inversión, tendencias en tecnologías y servicios, y quiénes señalan los usuarios como principales proveedores de servicios y soluciones.
Dinámica del mercado y de las organizaciones en España
Entre las principales conclusiones de estudio se observa que las organizaciones de nuestro país muestran una actitud más positiva hacia el gasto en Seguridad de TI que hacia el gasto en las tecnologías en general.
Al haberse reducido los presupuestos de TI en los últimos años, las inversiones en seguridad tecnológica no han crecido en términos absolutos, sino relativos. META Group prevé un incremento neto de más del 7% en el gasto en seguridad en 2005. Los presupuestos de TI también se incrementarán en 2005 alrededor de un 2%. Globalmente, la media del presupuesto de seguridad, como porcentaje del presupuesto de TI es de un 10%, incluyendo planificación de Recuperación de Desastres/Continuidad de Negocio.
Al contrario de lo que se podría esperar, son las compañías de menos de 500 empleados las que gastan significativamente más (11%), mientras que el gasto disminuye (6%) para las organizaciones más grandes (más de 5.000 empleados). Un factor que contribuye a este hecho es que el presupuesto de seguridad es más visible en organizaciones más pequeñas, mientras que en grandes compañías las inversiones en seguridad, a menudo se encuentran ocultas en otras áreas presupuestarias del portfolio de TI, como la arquitectura, infraestructura, etc.
Los elementos del gasto en seguridad de TI han cambiado en los últimos años. Así, casi la mitad de cada euro gastado en seguridad va a parar al personal interno y/o externo, mientras que sólo un 30% se gasta en productos. El 20% restante corresponde a otros temas, como el mantenimiento y actualizaciones.
“Hemos podido comprobar como sólo el 49% de las compañías encuestadas tenía un equipo dedicado de especialistas en seguridad y el 38% un Chief Information Security Officer, con responsabilidad sobre la seguridad de TI”, comenta Nemesio Arbeloa de META Group.
Percepción de los usuarios y desarrollo del mercado
Los usuarios encuestados aún perciben el ataque de virus y el “código malicioso” como el mayor factor de riesgo en seguridad, y no es sorprendente que el grado de utilización de soluciones de protección contra virus sea casi del 100%. Los firewalls son también casi un estándar en la mayoría de las compañías. De igual forma, las tecnologías de control de acceso a servidores y monitorización de seguridad, así como autenticación de usuarios (local y remota) muestran un alto grado de utilización.
El estudio refleja que en 2004, el mercado de productos y servicios de seguridad de TI estuvo influido por los requerimientos de seguridad crecientes por un lado, y los presupuestos de TI reducidos por otro. La relevancia de la seguridad de TI continuó aumentando, impulsada por las noticias frecuentes sobre virus, spam y otros riesgos.
META Group espera que el mercado de seguridad de TI sea una de las mayores áreas de crecimiento del sector TI, con tasas superiores a la media, en los próximos años. “Estimamos una tasa de crecimiento anual compuesta (TCAC/CAGR) media del 8% para productos y del 10% para servicios”, comenta Arbeloa.
El estudio también analiza el mercado de productos, y refleja que los temas relacionados con seguridad de contenidos, gestión de seguridad, servicios web e incluso tecnologías móviles generarán una necesidad constante de innovación.
Por otro lado indicar que el mercado de servicios de seguridad de TI está liderado por las subsidiarias locales de proveedores internacionales. El clima económico incierto también contribuye a una cierta resistencia a contratar nuevos profesionales y por tanto a contar con proveedores de servicios externos para determinadas tareas.
Los servicios para pruebas de penetración, ethical hacking, auditorías de seguridad y evaluación del riesgo se están desarrollando lentamente, lo que indica un aumento de la concienciación sobre la seguridad, pero también un incremento en la incertidumbre acerca de la fiabilidad de las infraestructuras y procesos de seguridad. Las metodologías de evaluación del riesgo están todavía bastante inmaduras y serán usadas principalmente en grandes empresas en el medio plazo.
Decisiones de compra
El estudio de Meta Group refleja que las decisiones finales de compra son tomadas más frecuentemente a nivel ejecutivo (CEO/CIO/director de TI) y no a nivel tecnológico o de seguridad. Los proyectos siempre son planificados por un equipo de staff, en el que el departamento de Recursos Humanos cada vez juega un papel más importante. Los usuarios prefieren un proceso formal de Petición de Ofertas (RFP), donde controlen el proceso a su conveniencia.
El precio no es un factor predominante a la hora de decidir. Sólo un 35% lo citaron – lo cual no significa que el valor o el beneficio de una inversión no se tengan en cuenta.
“Los resultados del estudio han supuesto una magnífica herramienta de conocimiento de un mercado tan complejo y difícil de segmentar como es el de la seguridad. Asimismo, nos permite planificar nuestra estrategia en este segmento, que es una pieza fundamental de nuestra cartera de servicios.», señala Alberto Gascon, Business Consulting Director de ATOS ORIGIN.
Oportunidades de tecnología y servicios
El estudio destaca que las intenciones de compra en áreas de gestión de identidades e infraestructura indican, no sólo nuevas oportunidades de negocio para soluciones de gestión de identidades que podríamos llamar tradicionales, sino también para otro tipo de aplicaciones, como smart cards y otras tecnologías de control de accesos. También se ha incrementado la percepción por parte de los usuarios de los beneficios de contar con nuevas appliances de seguridad en ciertos entornos.
”Nos alegra ver cómo Novell está yendo por el camino correcto. Novell lleva desarrollando su estrategia de seguridad desde hace muchos años y a través de estos datos nos damos cuenta como nuestra compañía es uno de los principales jugadores en este sector. Novell dispone de soluciones para todo tipo de necesidades, sea cual sea el tamaño de la empresa o el sector en el que desarrolle su actividad”, comenta Julián Rubio, director general de Novell Spain.
Meta Group prevé inversiones en proyectos de autenticación fuerte y gestión de identidades, aunque estas áreas son las que a menudo no se consideraban como parte del presupuesto de seguridad de TI. La detección y prevención de intrusión en los hosts, así como los firewalls personales, también se encuentran en la lista de inversiones para los próximos 12 meses.
Asimismo, se observa una clara tendencia hacia el outsourcing de Seguridad. El 69% de los encuestados afirma que su compañía externaliza uno o más servicios de seguridad, probablemente dentro de grandes proyectos de outsourcing. Esto incluye servicios de consultoría y planificación así como operaciones. Existen planes moderados para externalizar más servicios en todas las áreas.
Percepción de los proveedores
La puntuación de percepción del mercado para los proveedores que ocupan los cuatro primeros puestos varía desde el 95% y el 89% de conocimiento para Cisco y McAfee respectivamente, Symantec con un 83%, y Novell en cuarto lugar con un 78%, aunque hay que aclarar que todas estas compañías compiten en mercados diferentes.
Mientras que las puntuaciones de percepción del mercado para los proveedores que ofrecen (en exclusiva o de forma conjunta) servicios de seguridad de TI, varían entre un 72% para IBM Global Services, pasando por Atos con un 49% (debido probablemente a los procesos de M&A de los últimos años) hasta llegar a unos pocos proveedores con unos porcentajes en torno al 0%. Las puntuaciones de rendimiento de los proveedores de servicios están entre un 70% (Atos Origin) y un 85% (T-Systems), lo que sitúa a dicha compañía en una posición muy buena.