“Es imposible luchar contra el mal uso de la Inteligencia Artificial con seres humanos”

De ser una empresa de protección de datos a una que ofrece soluciones de ciber resiliencia. CommVault está en pleno proceso de transformación de su negocio y de la propuesta que hace a las empresas. Richard Gadd, vicepresidente senior de Commvault para EMEA e India, concede una entrevista a La Razón en la que no solo habla de este cambio, sino de lo que supone luchar contra el mal uso de la Inteligencia Artificial y los nuevos escenarios que esto plantea para proteger el activo más valioso de una empresa: sus datos.

CommVault quiere evolucionar y ser algo más que un proveedor de protección de datos. ¿Cómo describiría Commvault?

Es una empresa que se esfuerza por convertirse en líder del mercado en ciberresiliencia. Tradicionalmente, venimos ser una empresa de protección de datos, pero el cambio que estamos haciendo es cómo tomamos nuestra herencia y la forma en que hemos evolucionado a lo largo de los años y nos convertimos en una verdadera empresa de ciberresiliencia.

¿Por qué y cómo están haciendo esta transición?

Cuando miras lo que está sucediendo en el mercado, hay un par de factores en juego. El primero es el reconocimiento del valor de los datos y los desafíos a los que las personas se enfrentan para gestionar estos datos en lo que llamamos una empresa híbrida. Hay una proliferación de datos en una mezcla de nubes públicas y privadas, tienes puntos finales, lagos de datos... Los datos viven por todas partes y son realmente complejos. En su mayoría, las personas están eligiendo entornos cloud híbridos, con una elección inteligente sobre dónde usar nubes y dónde seleccionan usar soluciones locales (on-premise). Cuando juntas todo eso, se vuelve realmente complejo. Y se convierte un poco en un caldo de cultivo para la ciberseguridad. Estamos viendo este masivo aumento en el cibercrimen, que le costó a la economía mundial 30.000 millones de dólares en 2023. Un reciente anuncio del Foro Económico Mundial clasificó al cibercrimen y la inseguridad cibernética como una de las mayores amenazas para la economía mundial, por detrás de los desastres naturales y el cambio climático. Otro reciente informe de Allianz (una compañía de seguros reconocida) identifica la ciberresiliencia y la ciberseguridad como uno de los mayores riesgos para las empresas en 2024. El riesgo y el aumento en el cibercrimen es masivo.

Pero luego piensas en dónde está cambiando la industria. Un amigo me hizo un gran comentario “No puedes comprar ciberseguridad”. Le pregunté qué quería decir con eso y me lo explicó. “El gobierno federal en los EE.UU. gastó mil millones de dólares tratando de ser ciberseguro, y aún así sufrieron un ataque. JP Morgan gastó medio billón de dólares siendo ciberseguro. Aún así fueron atacados. Y podría enumerar un sinfín de clientes, grandes organizaciones que han sido violadas”. La cuestión no es si vas a ser atacado, sino cómo te recuperas y cómo te preparas para esa recuperación. Y ahí es donde entramos nosotros, porque eso es algo que hemos hecho durante años realmente bien.

Cuando hablamos de cambio, estamos hablando de que la industria está cambiando hacia las cosas que hacemos, lo más importante, y estamos cambiando hacia la creación de una solución de ciberresiliencia más completa para nuestros clientes.

Si no se puede comprar la ciberseguridad, ¿cuál sería su consejo para que una empresa tuviera más resiliencia?

Las empresas han hecho inversiones significativas en sus capacidades de seguridad. Vemos que es nuestra responsabilidad mejorar eso. Pero creo que, como dije, hemos asumido que la única forma de ser resiliente es asegurarse de que puedes recuperarte una vez que has sido atacado. Tener un plan de recuperación sólido y tener la capacidad de poder practicar y probar esa recuperación, creo que es probablemente el mejor consejo que podría dar a una organización. Nuestra responsabilidad es integrarnos con estas compañías de seguridad para que podamos unir los puntos y crear un entorno verdaderamente resistente.

¿Cree que en el pasado las empresas estaban enfocadas en la defensa y ahora están cambiando y enfocándose en el aspecto de la recuperación?

De nuevo, un amigo, con un fuerte trasfondo de CISO, me dijo “si tuviera una máquina del tiempo, diseñaría mi infraestructura de seguridad de manera muy diferente”. Porque todo comenzó con el perímetro y luego las personas trabajaban desde el exterior hacia adentro. Por eso, si tuviera tiempo de nuevo, rodearía los datos con seguridad. Y eso es prácticamente lo que hacemos.

La joya de la corona de cualquier empresa son los datos. Así que lo que realmente necesitamos proteger no es el perímetro, porque el perímetro ya no existe. Ahora con la computación en la nube, con el borde, todos pueden acceder a la información desde cualquier lugar, en cualquier momento. Necesitamos proteger y tener siempre disponible el activo más crítico, y eso son los datos. Así que esa es la razón por la que, como una cebolla, ponemos diferentes capas de seguridad. Ser resiliente significa poder volver a un estado normal en caso de una recuperación de desastre o un ataque.

Pero, con respecto a los datos y los entornos híbridos, ¿las empresas saben dónde están los datos?

Ese es un muy buen punto. Creo que hay mucha complejidad en torno a la capacidad de gestión de los datos en un entorno híbrido. Esa es la realidad, y ese es parte del desafío. El cambio en la gestión de datos es un primer paso importante hacia una mejor resiliencia y una mejor seguridad. CommVault tiene 27 años con el mejor software de protección de datos. Tenemos 100.000 clientes usando y aprovechando nuestro software de protección de datos en las instalaciones. Hace cuatro años, el enfoque de nuestros clientes era la aceleración hacia la nube. Como consecuencia de eso, creamos una empresa llamada Metallic, que era nuestra oferta de SaaS, nuestra oferta en la nube. Tenemos más de 4.000 clientes. Si agregas eso a través de proveedores de servicios, probablemente sea cinco veces eso, 130 millones de beneficios anuales recurrentees y la solución SaaS de más rápido crecimiento de todos los tiempos. Así que fue un éxito rotundo. Ahora, si piensas en los componentes de una empresa híbrida, y tienes el on-premise y la capacidad de la nube, la capacidad ahora de traer esas dos soluciones que se codificaron en el mismo código bajo un solo panel nos da una capacidad de gestión única.

Los clientes no saben dónde están los datos críticos debido a esta complejidad multicloud. Así que esto es perfecto para los malos actores, como puedes imaginar. Así que lo que solíamos hacer en el pasado, antes de que llegáramos con todo nuestro enfoque, era parchear el silo. Si empiezas a fragmentar por silos, estás dando a los delincuentes una gran oportunidad para entrar. Sin hablar de la complejidad, la capacidad de gestión, el costo total de propiedad, y así sucesivamente. Nuestro enfoque es una plataforma única. Así que gestionamos, descubrimos y te damos el cumplimiento correcto al nivel correcto en el momento correcto con un solo enfoque.

También podemos ayudar a los clientes a mitigar riesgos porque tenemos la capacidad de analizar datos. Indexamos todos los datos. Y eso nos da la opción de entender archivos huérfanos, qué información está en un sistema de archivos que no debería estar allí basado en, digamos, HIPAA, por ejemplo. Entonces, si identificamos una cadena de caracteres que es XXXX-XX (lo que puede parecer una tarjeta de crédito o una dirección, o digamos una radiografía), en el momento en que eso sucede, podemos levantar una bandera y decir: tienes información en ese lugar, independientemente de si está en la nube o en cualquier otro lugar. Levantamos la bandera y los clientes pueden tomar medidas inmediatamente. Pueden archivarlo, pueden eliminarlo, pueden moverlo al lugar correcto y así sucesivamente. Por lo tanto, la mitigación del riesgo es importante además de estar preparados y aparte de recuperarse.

¿Podría explicar cómo funciona la solución? Porque si el cliente no sabe dónde están sus propios datos…

Hemos gastado millones en una interfaz de usuario, digamos, amigable para nuestros clientes. Entonces, independientemente de cómo trabajamos en segundo plano, es muy fácil de usar. Todo está automatizado. Ahora lanzamos Arly, un copiloto basado en inteligencia artificial que te acompañará, guiándote para realizar cualquier tarea en la interfaz: desde protección de datos, archivado, informes, eliminación de datos, creación de nuevas políticas… lo que necesites, Arly te ayudará. Como Alexa en tu hogar.

La forma en que trabajamos es: leemos datos en formato nativo. Es decir, si eres Oracle o eres Microsoft, eres SAP o cualquier proveedor, te garantizamos que usaremos tus propias API, o API estándar. No leemos datos en formato propietario ni nada parecido. Usamos tus componentes, los que publicas, y trabajamos juntos con alianzas técnicas. Y luego la magia es que escribimos datos en formato agnóstico, y eso nos da un superpoder, que es la portabilidad. Nuestros datos son comprensibles por comodidad, así que puedo migrar una antigua base de datos de Oracle que se ejecuta en AIX, y puedo moverla a la infraestructura de la nube de Oracle al instante. Esa magia nos da una posibilidad única de ayudar a los clientes a moverse de nube a nube, pero también a ser más confiables y más, digamos, resilientes cuando necesitas recuperar algo. Y eso es parte de la recuperación en sala limpia, que es uno de los usos fundamentales que estamos anunciando. La recuperación en sala limpia está dando la posibilidad a nuestros clientes de tener una sala limpia, es decir, un espacio amplio que invocaremos si estás bajo ataque. En esos casos necesitas un espacio limpio para recuperar tus datos. Y lo peor que puedes hacer es traer de vuelta una base de datos ya infectada, porque vuelves al punto de partida. Así que garantizamos que los datos van a estar limpios porque los creamos a demanda. Recuperamos en ese lugar, y puedes hacer dos cosas. Una de ellas es la forense. Así que puedes analizar con tu Crowd Strike, proveedor de terceros, tus datos, o incluso puedes continuar dando servicio desde este lugar en caso de necesidad.

¿El formato en que crean esos datos es un estándar abierto?

Todo es estándar, abierto. La sala limpia se basa en Azure, en Microsoft. Pero todo lo que hacemos, de nuevo, cuando escribimos datos, es en formato API. Y cuando escribimos datos en el almacenamiento, que también es flexible, está en formato estándar.

Supongo que tiene una asociación con todos los proveedores, incluidos proveedores de la nube.

Así es. Entre Oracle y AWS, Azure y Google, creo que hemos escrito más de tres exabytes de datos en esas nubes. Somos socios significativos para todos esos proveedores de la nube. Es realmente una parte importante de nuestra estrategia, como has señalado.

¿Cuál es el riesgo más importante al que tienen que enfrentarse las empresas ahora mismo en términos de ciberseguridad?

Hay un millón de riesgos, pero probablemente tengo dos respuestas. Una son las regulaciones. En los Estados Unidos tenemos varios problemas. Para enero del 2025 toda la industria de finanzas y seguros necesitan cumplir con Dora. Perder conformidad tiene un gran impacto en marca y sanciones. El segundo, para mí, es la inteligencia artificial. La forma en cómo la inteligencia artificial avanza masivamente, cómo los ataques ocurren increíblemente rápido y muy astutamente… es imposible tratar de luchar contra IA con seres humanos. Necesitas luchar contra IA con IA. Por eso construimos IA dentro de nuestra plataforma.

Los proveedores como CommVault debemos invertir mucho dinero en investigación y desarrollo. En los últimos cinco años creamos 500 patentes, más que todos los competidores juntos. Invertimos mucho dinero y esfuerzo en nuestro ejército. Eso nos da, de nuevo, una ventaja competitiva, que es única. Volviendo a la inteligencia artificial, cada segundo, ocurren 19 ataques de ransomware en el mundo. Es imposible lidiar con eso desde la perspectiva de un ser humano. Puedes tener un ejército de personas, pero tendrás un ejército de robots de inteligencia artificial atacándote. Ataques polimórficos, ataques que cambian constantemente. Tienes que confiar en proveedores como CommVault, capaces de lidiar con eso. En segundo lugar, que sean capaces de integrarse con terceros como nosotros, para que podamos crear un enfoque único para abordar todo esto.

Con respecto a la inteligencia artificial, ¿cómo están lidiando con este nuevo riesgo y cómo están integrando la inteligencia artificial para combatir otra inteligencia artificial?

Es genuinamente una espada de doble filo porque hay tantas cosas positivas que podemos incorporar en nuestra capacidad a través de la inteligencia artificial... Pero también proporciona un conjunto de herramientas completamente nuevo para los malos actores. La proliferación de malware causada por la IA es masiva. La única forma de vencer a la IA es armar a nuestros clientes con las herramientas impulsadas por la IA para combatir la amenaza.

Entonces, estamos cambiando este escenario de humano contra humano a inteligencia artificial contra inteligencia artificial.

Exactamente. Buena IA versus mala IA. En cualquier caso, no es nuevo para nosotros. Hemos tenido inteligencia artificial durante muchos años aunque no lo llamáramos inteligencia artificial. Pero para mitigar los riesgos, hemos estado detectando anomalías de los datos de producción en vivo, diferencias entre los datos en vivo y los datos de respaldo. Pero conocemos ambos. Con el análisis de riesgos, tenemos la posibilidad de indexar y entender los datos, el 99% de los ataques afectan ambos mundos hoy. Los malos actores ya no quieren alojarse en tus datos en vivo. También quieren impactar tus datos de respaldo para asegurarse de que no puedes recuperarte. Ese es el nuevo enfoque. Para entender las diferencias, tenemos muchas técnicas diferentes. La detección de anomalías es una de ellas. El fingerprinting es otra. No quiero ser demasiado técnico, pero lo tenemos desde hace muchos, muchos, muchos años. Ahora con Arly, también tenemos la posibilidad de entender y darte un contexto sobre cuál es el último virus recuperable bien conocido. En la situación de caos de que has sido impactado, necesitas recuperarte, no quieres empezar a entender todas tus copias de seguridad para ver cuál está limpia. Podemos decirte de inmediato que esa copia parece limpia. Entonces puedes usar la recuperación en sala limpia para probarla, para recuperarla, para hacer la forense, y luego si está limpia, puedes volver a la producción. Así que diría que necesitas seguir un marco y tener un plan de recuperación sólido evitando la fragmentación. La fragmentación es el enemigo de la seguridad.

En cuanto al cumplimiento que ha mencionado, ¿cree que, especialmente en Europa, esta nueva regulación ha ayudado a negocios como el suyo? Todas las empresas son conscientes de que, si sufren un ataque cibernético, tienen que reconocer haber sido una víctima. ¿Cree que también está ayudando a la seguridad?

Definitivamente, ha ayudado. Es como las estadísticas que mencionaba antes del Foro Económico Mundial. Cuando llegas a ese nivel, te das cuenta de que hay un problema. Lo que estamos viendo en el mercado son fuerzas casi competidoras. Tenemos esas presiones económicas que, en circunstancias normales, obligarían a los clientes a no hacer nada. Y esta fuerza mucho mayor, impulsada en parte por el cumplimiento, pero también en parte por el riesgo empresarial, y eso ahora es una prioridad para los CEO. Dora no solo está exigiendo que tengas un plan de ciberseguridad, ciberresiliencia, sino que también está exigiendo que debes poder probar y practicar esa recuperación también. Y nuevamente, eso ayuda, específicamente, a nuestras organizaciones y organizaciones como las nuestras.

Como responsable de una región tan amplia como EMEA y la India, ¿ve mucha diferencia entre regiones en términos de cómo las empresas y la administración pública luchan contra el cibercrimen?

Diría que no. Hay lugares como, por ejemplo, en Medio Oriente, donde tienen más un enfoque de arriba hacia abajo. De hecho, diría que las organizaciones gubernamentales están corriendo incluso más rápido y más duro en estos riesgos que las empresas privadas. Pero en general, creo que es bastante consistente. Ahora, si miras la región de EMEA versus los Estados Unidos, entonces hay diferencias porque creo que cosas como la soberanía de los datos y otras cosas similares dictan cómo las organizaciones gubernamentales reaccionan a la amenaza.

¿Ve diferencias en cuanto a la situación geopolítica?

Honestamente, no he visto eso, pero estoy seguro de que hay diferencias en términos de los niveles de riesgo basados en la situación geopolítica y cualquier alineación que tengan.

¿Cómo ve a las empresas españolas en términos de ciberseguridad?

España es un mercado fuerte en la nube y, al igual que la mayoría de los otros países europeos, tiene una fuerte presencia en la empresa la cloud híbrida. Las dos prácticas más grandes son la resiliencia cibernética y la nube híbrida.

¿Cuáles son los objetivos con la nueva estrategia de su empresa?

Desde nuestra perspectiva, creo que es la oportunidad más grande para crecer. No creo que hayamos sido nunca más relevantes para nuestros clientes de lo que somos hoy. Y eso es porque resolvemos el desafío más grande. El 98% de las empresas ven la resiliencia cibernética o la amenaza del cibercrimen como su imperativo número uno. Estamos construyendo una propuesta que resuelve para la mayoría de las organizaciones. Esa es la prioridad número uno.

La pregunta no es cuándo vas a ser atacado, es cuándo y cómo te recuperas después de un ataque.

Correcto. Tenemos un director de producto que ha estado en esta empresa durante 27 años. Hay dos observaciones que hace. La primera es que este es el cambio más grande que ha visto en 27 años en términos de dirección y enfoque porque lo vemos como el mayor desafío del mercado. Pero también es alguien que construye nuestras propias capacidades internas para que pueda mostrar eso a nuestros clientes. Pero primero tenemos que hacer lo que estamos defendiendo. Algo que es difícil porque es inevitable que pase en algún momento. Es probable que seamos atacados. Muchos de nuestros competidores han sido violados y es bastante público. Pero creo que tendremos un plan de recuperación sólido en el caso de que esa eventualidad golpee.