A punto de cumplir 10 años en Palo Alto Networks, los últimos tres y medio al frente de la subsidiaria en México, Daniela Menéndez, es de las pocas mujeres en el país que dirige una empresa de tecnología y —menos común aún— en el ramo de la ciberseguridad.
Creyente de la prevención como una de las mejores armas contra el cibercrimen, en entrevista descartó que exista una amenaza única y predominante para las organizaciones y aunque afirmó que en la actualidad el ransomware “es la más común porque trae una recompensa inmediata”, indicó que hay muchas más.
“Algo muy importante siguen siendo las vulnerabilidades y el riesgo más grande seguimos siendo los usuarios”, afirmó la directora general para México (CM) de Palo Alto Networks, empresa que en el país —comentó— crece a doble dígito tanto en equipo como en ventas.
En la conversación, la ejecutiva también se refirió a la ley de ciberseguridad y la regulación que México necesita en la materia, la aplicación de la inteligencia artificial en sus soluciones, la complejidad de la consolidación de proveedores, el talento en México y el esfuerzo que hay hacer para lograr una paridad de género en la industria.
“Tenemos que hacer la evangelización para que haya más mujeres entrando a carreras STEM [Ciencia, Tecnología, Ingeniería y Matemáticas]. En las universidades hay un predominio del género masculino, pero es por gusto. Es una carrera muy atractiva: creativa, de mucho aprendizaje, innovadora y te da muchos reconocimientos. Hay que pregonarlo más”, comentó.
México crece a doble dígito para Palo Alto
Palo Alto Networks cerró su año fiscal 2023 en julio pasado con un crecimiento en ingresos de 25% con respecto al año anterior para alcanzar los $6,900 millones de dólares y estima que el siguiente año crezca 19%.
La firma de ciberseguridad parece que cumplirá su meta. En noviembre pasado reportó un aumento en sus ingresos de 20% tan solo en el primer trimestre de su año fiscal 2024. Su CEO Nikesh Arora explicó que “un nivel de ataques sin precedentes está alimentando una fuerte demanda en el mercado”.
En el caso de México, comentó Menéndez, el crecimiento es estándar, también a doble dígito y destaca en la región latinoamericana. “Si bien toda América Latina tiene muy buen crecimiento, México ha tenido un gran comportamiento a nivel histórico en la expansión de Palo Alto”, dijo.
La empresa con sede en Santa Clara, California (Estados Unidos) opera en la región dividida en tres: México, Brasil y un área multipaís (MCA, por sus siglas en inglés).
En los dos primeros con “equipos muy fuertes y robustos” de servicios profesionales y soporte, mientras que en la tercera con presencia menor en Costa Rica —donde está la operación administrativa—, Colombia, Perú, Ecuador, Chile y Argentina.
Para la compañía, la operación en “México y Brasil es muy similar”. Algunos semestres, detalló la entrevistada, uno tiene mejores números que el otro, luego al revés y en algunas ocasiones igual. Su expectativa es “seguir creciendo como ha sido hasta ahora de dos dígitos como mínimo”.
El enfoque de Palo Alto permanecerá en el midmarket (las empresas medianas más grandes y los corporativos) pues —a diferencia de otras tecnológicas que empiezan a poner los ojos en compañías más chicas— ella consideró que aún “hay mucho segmento en el mercado medio”.
Interrogada sobre el efecto nearshoring, Menéndez apuntó que ya se nota “consistentemente” y “va creciendo”. En principio, abundó, “mayormente son clientes que ya lo eran, pero también hay un incipiente crecimiento en nuevos”.
Mucho talento, pero poco preparado
Con cerca de 14,000 colaboradores a nivel global, Palo Alto Networks opera en 150 países. En México, su equipo lo conforman entre 50 y 60 personas. La cifra exacta, dijo Daniela Menéndez, es difícil saberla pues no han dejado de contratar.
“Hemos crecido mucho en los últimos dos años. Previo a la pandemia, lo hacíamos muy conservadoramente. Se crecía más en Estados Unidos o Europa. A raíz de la pandemia, fuimos lo atípico, porque si bien muchas empresas despidieron gente, nosotros contratamos”.
Según Menéndez, desde entonces la compañía en México crece “en porcentaje, a doble dígito bajo” y lo hace más en el equipo de soporte. “Se está construyendo esa área”, apuntó.
Reconoció que “sí nos ha costado un poquito de trabajo, honestamente, reclutar los perfiles que estamos buscando, que son muy específicos”. Cuando lanzas una oferta laboral, abundó, “llegan cientos de candidatos, pero para el conocimiento, quizás más avanzado, que buscamos el embudo se va afinando”.
Nos ha costado un poquito de trabajo, honestamente, reclutar los perfiles que estamos buscando, que son muy específicos
Daniela Menéndez
En su visión, México es un país “muy talentoso”; sin embargo, “no hay suficiente inversión” para crecer esa oferta. “Indudablemente hay escasez de talentos preparados. Es un problema mundial”, comentó.
Y añadió que en el país la fuga de talento hace más complejo el reclutamiento y genera un “robadero” en toda la industria (fabricantes, clientes, canales) por ganar a los mejores cuadros.
“Preparar talento es una decisión muy difícil. Uno: tienes que analizar cuánto tiempo logras el retorno de inversión. Y dos: trabajar mucho, y es lo que hemos hecho, en cómo conservarlo”.
En este tema, el trabajo remoto —señaló— ya es una constante y dejó de ser esa prestación atractiva. Su apuesta es integrar al personal a una empresa global que “siempre está innovando”
En el caso de su equipo comercial, Menéndez descartó más contrataciones. “En ventas, al día de hoy, están los que tienen que estar y no planeo tener mayor crecimiento”.
Crecer sin un orden y una estrategia, reflexionó, “es hacerlo en la forma equivocada porque no le das tiempo al personal de integrarse, de adoptar la cultura de la compañía y para nosotros eso es muy importante”.
¿Pagar o no pagar ransomware? Complicado
A pregunta expresa sobre si las organizaciones víctimas de ransomware deben pagar el rescate, Daniela Menéndez respondió: “Soy de la estricta teoría de no pagar. Mientras lo hagan, van a seguir incentivando ese crimen, porque sigue siendo rentable”.
De acuerdo con sus datos, el monto promedio para la recuperación en las grandes empresas está sobre $500,000 dólares. “Para cuando ya te encriptaron la información también ya exfiltraron datos. Aunque les pagues, no hay honor entre delincuentes porque no hay que obviar que es delincuencia”.
Insistió en que una vez que la información ya está afuera “es imposible controlar cuántas copias se hicieron, cuánto gente sacó información, qué se vendió”.
Sin embargo, reconoció que “más allá de un sí o un no, el tema es complejo”. Cuando una empresa ya es víctima, “si no tuvo la precaución o los fondos, ¿cómo le haces? Es donde las empresas tienen que aplicar un esquema de riesgo aceptable”.
Detalló que en las organizaciones “siempre se tienen que hacer estos ejercicios internamente” para saber desde qué pasa y a quién le hablo si se recibe a un ataque, hasta definir responsables de la negociación o en qué momento y hasta cuánto se está dispuesto a pagar.
“Esa conversación es algo que debe ser parte consistentemente de los consejos directivos, del director general con las áreas relevantes, financieras u operativas, y siempre tiene que estar involucrado el CIO y el CISO, que muchas veces no vemos todavía que sean parte de esa conversación estratégica”, señaló.
Una mayor conciencia de la ciberseguridad
En la industria IT es bien sabido que la pandemia fue un motor para impulsar la transformación digital de las organizaciones.
En ciberseguridad, según Daniela Menéndez, “se dio una mayor concientización”, que no necesariamente estuvo relacionada a un aumento de ciberataques, sino a una pérdida del control de la seguridad perimetral que provocó una mayor conciencia.
La líder de Palo Alto Networks en México reconoció que aunque “incipiente” ya existe en la dirección general de las organizaciones una conciencia sobre los riesgos por las amenazas cibernéticas, pero indicó que aún falta.
“Es culpa de nosotros, los especialistas en ciberseguridad. Tenemos la tendencia de hablar demasiado técnico y lo hacemos muy complicado. Necesitamos hacerlo simple, relacionable”, señaló.
Y enfatizó: “Si no puedo transmitirle a nivel negocio al CFO, al director general, por qué es importante para ellos y por qué tiene que ser parte de la agenda estratégica no vamos a lograr esa conciencia al nivel que tenemos que estar”.
En su visión, la prevención en México aún no es suficiente y varía en cada organización según la madurez de la empresa, que no siempre está relacionada con el tamaño de la misma. “Si tienen que cumplir con regulaciones de otros territorios, entonces la conciencia es mucho mayor y es parte vital del negocio”, dijo.
Obligar a reportar un ataque, no es suficiente
“Estamos mejor de lo que estábamos en años anteriores, pero hay mucho por hacer a nivel de ciberseguridad en nuestro país”, afirmó la directora general para México de Palo Alto Networks, quien consideró que lo que más se necesita es “una regulación mucho más estricta en la privacidad de los datos”.
Menéndez comentó que actualmente “es un tema de firmar un papelito, cuando es físico, o un click through agreement, pero de todas formas comparten tu información”.
Sobre la ley de ciberseguridad que se trabaja en el Congreso mexicano, la entrevistada señaló que la conoce, pero no lo suficiente, y está entre sus pendientes estudiarla a fondo.
“De lo que sí alcancé a revisar: Nos falta mucho. Sí es un buen punto de partida, porque de no tener nada, tenemos que partir de una base. En función a ese análisis, es muy positiva. [Pero] si ya vamos a hacer algo, deberíamos construirlo mejor desde el principio y tratemos de pensar en escenarios futuros que nos van a alcanzar”.
—¿Deberían las empresas estar forzadas a revelar que fueron cibertacadas? ¿Serviría?— se le preguntó.
—Sí, pero no es tan fácil el sí. En Estados Unidos, lo que han hecho y que sí deberíamos copiar todos los países, es que hay una consecuencia: hay un ataque, se tiene que reportar y lleva una consecuencia, por lo tanto genera una conciencia corporativa más importante y no solamente va desde el sector privado: hay órdenes ejecutivas de [Joe] Biden que forza a las empresas tener esa conciencia— respondió.
En México, agregó, “ni es obligatorio, ni está regulado, ni está penalizado. Tenemos la trifecta perfecta para la falta de acción”.
Empresas del cibercrimen en México
Daniela Ménéndez tiene claro que “los atacantes también se la pasan innovando, son creativos, le calculan”. Incluso, puso de ejemplo las empresas del cibercrimen: organizaciones bien estructuradas, con página web, departamento de recursos humanos o áreas subcontratadas.
“Las personas no saben [para quién trabajan], creen que lo hacen para una consultora de ciberseguridad, que son analistas de amenazas —tú estás ahí para averiguar cuál es la vulnerabilidad que alguien más usará—. Funcionan como células terroristas, cada célula es independiente y no comparten información”, explicó.
—¿Existen en México?— se le preguntó.
—Se cree que existen. No puedes asegurar algo hasta que no tienes una prueba. La mayoría de la información que tenemos viene de otros países donde sí existe una investigación mucho más detallada. Pero ya hemos visto rasgos en varios ataques que han sucedido en México—dijo.
“Como no tenemos leyes que estén al nivel de lo que se requiere y de los avances que tiene la ciberdelincuencia, pues no tenemos tampoco el cómo poder hacer ese seguimiento a nivel legal y a nivel leyes”, señaló.
“Inclusión de género y edad, para mí es vital”
De acuerdo con Daniela Menéndez, Palo Alto es una empresa muy inclusiva a nivel global. Aunque en su plana mayor, solo dos de las 11 posiciones son ocupadas por mujeres: la directora de Recursos Humanos y la CIO.
En su opinión, “es importante el mejor recurso, pero dando la misma oportunidad”. Cuando se refiere a inclusión, no solo habla de la causa feminista, sino también de equipos multigeneracionales.
“La inclusión en género y en edad para mí es vital y mi equipo lo refleja. Casi 50% son mujeres. En México hoy somos los más diversos de toda América Latina, dentro de Palo Alto, y también en [la industria] de ciberseguridad”.