La cadena de valor del sector de la ciberseguridad es un modelo que permite describir cuáles son y cómo se relacionan entre sí las principales actividades y fases o eslabones de la cadena, necesarias para la prestación de los productos y servicios de ciberseguridad a los destinatarios o clientes finales.
La cadena de valor de la ciberseguridad está compuesta por tres grandes actividades:
- Fabricación de los componentes de software y hardware.
- Distribución de productos de ciberseguridad.
- Prestación de servicios de ciberseguridad.
Algunos agentes operan en los tres eslabones, como es el caso de fabricantes de software especialistas y generalistas que, o bien venden a minoristas, o al cliente final.
A continuación, se presenta la cadena de valor, aplicándose posteriormente cada uno de los agentes que forman parte de ella:
Fabricación
En este eslabón se encuentran los fabricantes de software, hardware y mixtos.
- Los fabricantes de software proveen de soluciones y aplicaciones no físicas que garantizan la seguridad en la red y contribuyen a la gestión y control de acceso web e identidad de los usuarios.
- Los fabricantes de hardware desarrollan soluciones y herramientas criptográficas, así como sistemas y aplicaciones, todas ellas físicas, que garantizan la seguridad en la movilidad y en las redes corporativas.
- Los fabricantes mixtos son proveedores de productos hardware y software cifrado, diseñados para proteger las redes y proporcionar una conexión segura a las mismas.
De manera general, los agentes involucrados en la actividad de fabricación se relacionan directamente con los distribuidores y mayoristas, que forman parte del siguiente eslabón de la cadena de valor, para la comercialización de sus productos.
Existen fabricantes de software que desarrollan soluciones destinadas a cubrir las necesidades de los particulares y algunas pymes, vendiéndolos a los minoristas o directamente al particular.
En el caso de los proveedores de servicios gestionados de seguridad (MSSP, del inglés Managed Security Service Providers), que proporcionan servicios externalizados de ciberseguridad, la relación es directa con los fabricantes, sin que se produzca interacción con los agentes de la distribución.
Distribución
Este eslabón está compuesto por empresas que hacen de conexión entre las actividades de fabricación y de prestación de servicios. Los agentes que operan en él se describen a continuación:
- Los mayoristas son empresas que compran y venden productos de ciberseguridad a consultoras, a los integradores y a los proveedores de servicios gestionados de seguridad. Los mayoristas pueden estar especializados en seguridad TIC o bien ser generalistas (informática, telecomunicaciones, etc.). También, se caracterizan por tener un ámbito de actuación, bien regional, bien nacional.
- Los distribuidores venden directamente a empresas de ciberseguridad o a clientes finales los productos de ciberseguridad. En ocasiones, tanto mayoristas como distribuidores, comercializan sus productos a los revendedores de valor añadido (VAR, en inglés Value Added Reseller).
- Los minoristas son generalmente puntos de venta constituidos por tiendas físicas de informática, grandes superficies e incluso pequeñas consultoras, dirigidas a las pymes y particulares.
Servicios
Este eslabón de la cadena de valor presenta varios agentes, algunos de ellos, sin conexión con eslabones anteriores: proveedores locales de servicios, revendedores de valor añadido y las consultoras.
Consultoras tecnológicas
Las consultoras tecnológicas son aquellas empresas, especializadas o generalistas, que cuentan con servicios de asesoramiento, respuesta y soporte relativos a las tecnologías de seguridad. También, ofrecen servicios de integración de tecnologías, así como servicios de seguridad en alojamientos web, servicios gestionados y Software de seguridad como Servicio (Saas, en inglés Software as a Service).
Integradores
Los integradores crean soluciones complejas de seguridad TIC, adaptándose a las necesidades de los usuarios. Con frecuencia, utilizan productos de diversos fabricantes y los complementan con soluciones propias. Estas soluciones incluyen el diagnóstico de la situación del cliente, el diseño e ingeniería de la solución, la parametrización y adaptación al entorno, la implementación, la puesta en marcha de la solución y el servicio técnico postventa. La mayoría de integradores ofrecen también servicios de consultoría tecnológica.
Los Proveedores de servicios gestionados
Los MSSP, siglas del inglés, Managed Security Service Providers, proporcionan servicios externalizados de seguridad al cliente, incluyendo servicios de consultoría, servicios de desarrollo o de integración; como por ejemplo, la monitorización de cortafuegos, la gestión de seguridad en la movilidad o el control de cuentas de usuario y acceso a la red.
Se trata de empresas de referencia a nivel internacional, con un tamaño mediano y tendencia a crecer en nuevos mercados mediante el desarrollo de tecnología propia.
Excepto los proveedores locales, el resto de agentes del eslabón servicios comercializan sus bienes y servicios al cliente final, entre los que destacan la Administración Pública, empresas, operadores críticos, PyMEs y particulares, siendo este último el menos habitual.
Tipos de clientes y soluciones
Tipos de clientes
Los clientes finales o demandantes de ciberseguridad se clasifican en tres grandes grupos: Administraciones Públicas, empresas y pymes, autónomos y particulares.
Según el grado de complejidad de los sistemas de los clientes, éstos demandan distintos tipos de servicios y soluciones, quedando estructurados de la siguiente forma.
Administraciones Públicas (AAPP)
Las principales amenazas que pueden sufrir las administraciones públicas son el ciberespionaje y la sustracción, publicación y venta de información sensible a través de Internet. Por tanto, el sector público requiere soluciones de seguridad integral, de ciberinteligencia y ciberdefensa, que contribuyan a la defensa de los organismos públicos locales, regionales y nacionales. Las administraciones públicas demandan:
- Servicios reactivos, destinados a responder a una amenaza o incidente que pueda haber sufrido un ordenador o un sistema de información de la Administración y a minimizar su impacto.
- Servicios proactivos, aquellos destinados a reducir los riesgos de seguridad a través de información e implantación de sistemas de protección y detección.
- Servicios de gestión, ofrecidos con el fin de dotar de seguridad a los procesos de trabajo.
Las consultoras, los integradores y los Proveedores de servicios gestionados de seguridad (MSSP) comercializan las soluciones y los servicios a este cliente.
Grandes empresas
La demanda de soluciones de ciberseguridad del sector privado atiende al sector en el que opera la empresa, diferenciándose los que pertenecen a sectores catalogados como infraestructuras críticas.
Se considera infraestructura crítica, toda infraestructura estratégica (es decir, aquella que proporciona servicios esenciales) cuyo funcionamiento sea indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.
Los principales servicios demandados por las infraestructuras críticas son soluciones industriales, con una alta especialización en el sector, en la región o en la tecnología, y soluciones de seguridad integral.
El resto de las grandes empresas, por su parte, son también susceptibles de ataques de ciberespionaje industrial, de control e interrupción de sistemas y de sustracción y venta de información confidencial. Sin embargo, una de las mayores amenazas son los insiders, personas que han mantenido o mantienen alguna relación con la empresa y tienen o han tenido acceso a información sensible y a los sistemas de la misma.
Las soluciones y servicios que demandan son de todo tipo, desde auditorías técnicas, gestión de incidentes, soluciones de seguridad integral hasta seguridad en la nube. Estas soluciones son proporcionadas, asimismo, por los agentes anteriormente comentados.
PyMEs, Autónomos y particulares
La principal amenaza para este último grupo es el uso/abuso o reventa de información privada que han proporcionado como clientes a organizaciones privadas y los ataques de ciberdelincuencia.
Los productos orientados a estos clientes son soluciones básicas, herramientas puras de ciberseguridad, como un antivirus. La distribución se realiza mediante la concesión de licencias o bien la entrega de un producto físico. Es frecuente la existencia de un modelo freemium y otro gratuito de este tipo de soluciones.
Fuente: Caracterización del subsector y mercado de la ciberseguridad, ONTSI
Adaptado por la División consultoría de EvaluandoSoftware.com