Güvenlikten Kazanmak: Bir Kanal Perspektifi
Güvenlik pazarı değişim geçiriyor ve eğer işletmenizin geleceğini teminat altına almak isterseniz, ticarileşmiş teknolojilerin ötesinde yeni meralara bakmanın zamanıdır.
Warren Buffett bunu en iyi şekilde söyledi: “Kronik olarak su alan bir teknede, gemiyi değiştirmeye tahsis edilen enerji, delikleri kapatmaya adanan enerjiden daha verimlidir.”
Esasında, insanlardan su alan tekneyi oradan hızla çıkarmalarını isteyerek Buffett’ın söylediğini geliştirmenin bir yolu olabilir.
Günümüzün temel güvenlik teknolojileri için de batmakta olan bir gemiyi çağrıştıran çok şey var. Antivirüs ve firewall’lar gibi güvenlik teknolojilerinden elde edilen gelirler artık yeterli değil. Bilhassa son birkaç aydaki gibi kurumsal güvenlik alanının yeni teknolojilerin gelişiyle birlikte şahit olduğu büyük dönüşüm zamanlarında. Sonuç şu: Gerçek para kazanmak artık antivirus ve firewall’larla ilgili değil; ve eğer zekiyseniz çoktan daha kazançlı güvenlik teknolojilerine yönelmişsinizdir.
Bunu henüz yapmadıysanız sorulması gereken soru, bu altın madenleri nerede? Ve bunlardan kazanmak için ne gerekiyor?
Ağır Düşüş
Mumbai merkezli MIEl e-Security’de direktor Anuj Gupta bu trendin farkındaydı. Firmanın eskiden güvenlik gelirlerinin yüzde 65’ini oluşturan Antivirüs (AV) ve tümleşik tehdit yönetimi (UTM) şimdi yarı yarıya düştü; yaklaşık yüzde 30’a. “UTM ve AV emtialaştılar, bunun sonucu kirli bir fiyat savaşı oldu,” diye konuşuyor Gupta.
Bir kanal ortağı perspektifinden, daha ticarileşmiş güvenlik ürünlerinin satışı çok fazla anlam taşımıyor. Müşterileri desteklemek için gereken piyade erlerinin sayısı ortadayken, AV ve UTM gibi ürünlerin değeri günbegün daralıyor. “Hem satış öncesi hem satış sonrası artık bu işi daha anlamsız hale getirdi,” diye konuşuyor Gupta.
Gelirlerinin yüzde 40’tan fazlasını güvenlikten türeten MIEL e-Security işte bu yüzden daha zengin meralara odaklanmaya başladı. Geçen yıl direktör Gupta ‘Gelişen Teknoloji Servisleri’ adını verdikleri, öncelikli olarak DLP, SIEM, veritabanı güvenliği ve SCADA sistemleri için siber güvenlik dahil olmak üzere yeni güvenlik alanlarına odaklanan ayrı bir bölüm kurdu.
Bugün 30 kişi olan bu güçlü ekip yoğun olarak yeni teknolojiler üzerinde eğitiliyor, diyor Gupta. Ve büyük müşterilerin kazanılmasıyla pazarda varlığını hissettirmeye başladı. Ancak pahalı kaynaklara yapılan yatırımlar ve iyi tanımlanmış bir yol haritasıyla, zamanını büyümek için harcayacak, şeklinde konuşuyor Gupta.
Temel güvenlik teknolojilerinde daha az bir değer gören tek kurum MIEL e-Security değil. Güvenlik alanında uzmanlaşmış Delhi merkezli ACPL Systems da öyle. “Önde gelen ürünlerinizi (AV ve UTM için) arttırmak için pazarda yeterli hareket alanı var ama marjlar daraldı. Hiçbir şekilde onlar sonuca etki etmiyor,” diye konuşuyor CEO Vishal Bindra.
Bangalore’daki güvenlik odaklı firma Esteem Infotech’in CEO’su Prabhakar S., daha az hoşgörülü. “200 Rs (rupi) fiyatlı bir AV çözümü için iki haneli bir kazancın size bir yardımı olmayacaktır,” diye konuşuyor.
Chennai’deki Secure Nework Solutions’ın CEO’su N.K. Mehta da Gupta’nın işaret ettiği kirli fiyat savaşının işaretlerini görüyor. “UTM fiyata hassas bir pazar çünkü çok fazla tedarikçi var,” şeklinde konuşuyor. Onun firması da eve ekmek götürmek için AV’ye güvenmiyor. “Onu tek başına konumlandırmıyoruz veya sadece bir ağgeçidi düzeyi anlaşmanın parçası ise uyguluyoruz,” diyor Mehta.
Sorunun bir parçası pazar içindeki yoğun rekabetin temel güvenlik teknolojileri için ortaklara fiyat düşürme baskısı yapması ki bu kârlılığı buharlaştırıyor. “AV yüksek getirili bir iş değil,” diyor ITCG Solutions MD’si Nilesh Kuvadia.
Bununla birlikte kanal oyuncularının bu ürünlerden vazgeçmesi zaman alacak. Söz gelimi Chennai’deki Digital Track Solutions’da UTM ve AV halen firmanın güvenlik tarafındaki aslan payına katkı sağlıyor.
AV’nin “yüksek getirili bir iş” olmadığına inanan Kuvadia dahi, “AV, çeşitli yerlerden gelen tehditler ortaya çıktıkça her zaman talepte olacak eskimeyen bir ürün,” şeklinde konuşuyor.
2011-2012’de 500 milyon Rs gelir elde eden Delhi merkezli Futuresoft Solutions’ın CEO’su Vipul Datta gibi diğerleri, UTM gibi güvenlik ürünlerinin modasının geçeceği düşüncesini reddediyor. Esasında o önümüzdeki üç ila beş yıl içinde işletmelerden UTM için olan talebin sadece artacağına inanıyor.
“Son kullanıcı hizmet organizasyonları popülasyonu 5 milyona kadar olan şehirlere bakıyor. UTM yüzde 80 fonksiyonellik sunan ve uzaktan kontrol edilebilen tek bir kutu. Sahiplik ve destek maliyeti kurumsal perspektiften oldukça düşük,” diyor Datta.
Kanal ortaklarından temel güvenlik teknolojilerinden vazgeçmek konusunda isteksizlikle karşılaşırsanız, gerçekten çok da uzak değilsiniz. Bu ACPL Systems gibi firmalar arasında güçlü bir şekilde hissediliyor. Bir taraftan CEO Bindra AV’deki marjların neden o kadar düşük olması gerektiğini anlamıyor; “Bu yüksek servisli bir iş. İnsanlar malware, farklı OS’ler, dahili Windows ağı ve daha birçok şeyi bilme gereksinimi duyduğundan AV daha kompleks bir hal alıyor.”
Diğer taraftan AV’deki gelirlerin hızla düştüğüne şahit oldu. Beş yıl önce antivirüs ACPL gelirlerinin yüzde 80’ini oluşturuyordu. Bugün ise bu yüzde 10’a düşmüş durumda. “Bu üzücü,” diyor Bindra. “Küçülen marjlar bizi veritabanı güvenliği, DLP, IPS ve Web güvenliği tarafına yönelmeye zorladı. Bugün bir sürü ortakla rekabet etmek yerine teknoloji eğrisini daha hızlı yükseltmeyi tercih ederiz.”
Bindra riski azaltmak için güvenlik işlerini daha kazançlı yeni alanlara genişleten bir grup küçük kanal ortakları arasında yer alıyor. Rakamlardan giderseniz bu stratejide bir hata bulmak güç. Hindistan Bilgi Güvenliği Anketi 2012’ye göre (dünyadaki en büyük güvenlik anketlerinden birisi) endüstriler ve gelir büyüklükleri çapında organizasyonların güvenlik bütçeleri yeni teknolojiler ve bulut bilgiişlem, BYOD (kendi teknolojini getir), sosyal medya, veri güvenliği gibi teknoloji trendleri tarafına belirgin bir yön değişikliğini işaret ediyor.
MIEL e-Security’de Gupta hatta daha fazla fırsat görüyor. “Websense DLP iyi servis gelirlerine sahip,” diyor Gupta. “SCADA güvenliği kompleks fakat biz uygun pratiğe sahibiz ve ona 360 derece yaklaşımla bir güvenlik danışmanlığı inşa ediyoruz. SIEM (güvenlik enformasyonu ve vaka yönetimi), ayrıcalıklı kimlik yönetimi ve IRM (enformasyon risk yönetimi) talepte olan, yeni bir grubun parçasını oluşturan diğer teknolojiler. McAfee Sentrigo dışında veritabanı güvenliği için diğer tedarikçileri değerlendiriyoruz.”
Temel olmayan çözümler tarafına yönelmenin fazladan bir yararı mevcut: Sizin pazarınızı geliştiriyor. “Biz şimdi global olabileceğimiz güvenlik uygulamaları inşa ediyoruz,” diyor Gupta. “Websense DLP ile Hindistan dışında anlaşmaları üstleniyoruz,” şeklinde sürdürüyor konuşmasını.
Veri anahtardır
Son birkaç yıldır organizasyonlar ağ güvenliğinden başlayarak, Web güvenliği ve uygulama güvenliği üzerinden, şimdi de veri güvenliği üzerinden güvenlik gamında oradan oraya geçti. Veri üzerindeki büyüyen odak, Hindistan Bilgi Güvenliği Anketi 2012’ye göre gelecek yıl veri korumayı geliştirmeye yönelik yatırımlarını arttıracağını söyleyen Hindistan’lı organizasyonların yüzde 23’ünden belli. Bu, veri güvenliği oyununa girmeden çok önce Esteem Infotech’ten Prabhakar’ın takip ettiği bir gelişmeydi. Dört yıl önce Bangalore merkezli firma DLP, şifreleme ve uygulama kontrole yöneldi. “Müşteriler tutucu olsalar da, bu yeni teknolojilerdeki en iyi fırsatı öngördük,” diyor Prabhakar. İki yıl önce firma dünya genelindeki Mohasis ofisleri için McAfee Application Control’un 20,000 lisansını konuşlandırdı. Ve bugün, geçtiğimiz mali yılda gerçekleştirdikleri 110,000,000 Rs’lik gelirlerin yüzde 40’tan fazlasına DLV ile şifreleme katkı sağladı, diyor Prabhakar.
Esteem Infotech hiç şüphesiz erken başlayanlardan. Ancak eğer siz ilk gemiyi kaçırdıysanız, üzülmeyin halen çok geç değil. Ankete göre Hindistan’lı organizasyonların yüzde 72’sinden fazlası önümüzdeki 12 ayda veriyi korumanın bir yolu olarak DLP’yi uygulayacak.
Veri güvenliği üzerindeki bu keskinleşen odak, kanal ortaklarının müşterileri arasında görmeye başladığı bir değişim. “Onlar (CIO’lar) ağ içinde olanları kontrol edemezler ama veriye olanlar onların ilgisindedir”, diyor ACPL’den Bindra. Daha önce İK ve iş geliştirme müdürleri uygulama veya ağ güvenliğiyle pek ilgilenmezlerdi. Fakat şimdi firma paydaşları ve diğerlerinin elinde daha fazla veri var. “DLP, DRM (dijital hak yönetimi) ve BYOD hakkında konuştuğumuzda gruplar çok daha fazla ilgili,” şeklinde konuşuyor.
Kanal ortaklarının tamamı veri güvenliğine aynı göçü görmüyor. “DLP ve bulut büyük işletmeler için iyi,” diyor Secure Network Solutions’dan Mehta. Öncelikli olarak KOBI’lere odaklanan, geçen mali yılda 150 milyon Rs gelir elde eden firma siparişler arasında ağgeçidi güvenliği, UTM, bulut veya DLP’ye yönelik bir değişim görmüş değil. “Müşteriler DLP istiyorlar fakat onlar ağgeçidinde mi veya masaüstü seviyesinde mi istediklerinden emin değiller. DLP çok büyük bir okyanus. Dolayısıyla ağgeçidi DLP daha fazla talep görüyor,” şeklinde konuşuyor.
Wikileaks sağ olsun, veri güvenliği (ve veri kullanılabilirlik çözümlerinin önemi) konusunda giderek artan bir farkındalık mevcut; küçük iş birimlerinde dahi, şeklinde konuşuyor Embee Software CEO’su Sudhir Kothari. “Müşterilerle IRM, DLP ve yüksek kullanılabilirlik çözümleri gibi çözümlerin ROI’si hakkında konuşuyoruz. Bu bize azami geri dönüş ve müşteriler arasında sadakat sağlıyor,” diye sürdürüyor konuşmasını.
Satış döngüsü ödünü
AV, UTM ve firewall ürünlerindeki daralan taleplerin tek bir nedeni var ki o da kanal ortaklarının daha üst seviye güvenlik teknolojiler tarafına yönelmesidir. İşte bir diğeri: İkincisi daha şişman marjlar sunuyor. DLP gibi teknolojileri konuşlandıran firmaların çoğu net kâr odağına sahip olma eğiliminde, satışlara değil.
“Güvenlik marjları birkaç sene öncesinde iki haneli seviyelerdeyken, diğer yazılım ürünleri arasındaki düşük marjlar çoğu firmayı güvenliğe çekti. İşletmeler DLP, SIEM veya yetenekli personel ile teknik yeterlilik talep eden teknolojilerden ciddi marjlar elde etti,” diyor Taarak India CEO’su Harish Tyagi. Firmanın işlerinin tamamı, servisler ve danışmanlık ekspertizi dahil, güvenlikten geliyor. Ancak yeni teknolojileri devreye sokarak net kârı canlandırmanın cazip olması kadar, bu planlama ve denge kurmak için isteklilik gerektiriyor. “Uygun bir biçimde hazırlanmalısınız ve bunu müşteriye gitmeden önce yapmalısınız” diyor ACPL’den Bindra. “Web uygulamaları, firewall’lar, DLP, IRM’in tümü uygulama döngüleri daha uzun olduğundan işletme üzerinde doğrudan etkiye sahip,” şeklinde konuşuyor Bindra.
Bu Digital Track Solutions MD’si S.T. Muneer Ahamed’in teklarladığı bir düşünce. Ağ güvenliği ve depolama çözümleri firmasında Ahamed yeni teknolojileri toplam marjlarının temel güvenlik teknolojilerinden daha iyi olduğunu ancak satış döngülerinin daha uzun olduğunu ifade ediyor.
Ekstra marjın bir bölümü, müşterilerin aynı zamanda AV, firewall’lar ve UTM’i emtia olarak görmeleri (ama DLP gibi teknolojileri öyle değil) olgusundan geliyor. “Birçok müşteri AV ve firewall’ların ücretsiz uygulanmasını bekliyor,” diyor Esteem Infotech’den Prabhakar. “Diğer taraftan onlar profesyonel bir uygulama için yüksek ödeme yapmaya razılar. Bir DLP projesini tamamladıktan sonra, söz gelimi, 70-80 sayfaya varan dokümantasyonumuz oluyor ve biz aynı zamanda müşterilerimizin çalışanları için eğitim de sunuyoruz,” diye konuşuyor. Esteem Infotech DLP, şifreleme ve uygulama kontrolü için asgari 501 noktada müşterinin ihtiyacını gideriyor.
Kalifiye firmaların beklediği marjlar doğrulandı, diyor Bindra; güvenlik yetenekli insan gücünün ve danışmanlık servislerinin yüksek bedelle geldiği bir endüstri olduğundan. Örneğin onun firması yakın zamanda bir ay içinde üç DLP siparişi aldı; teknolojinin değerini gösteremeyen veya uygulayamayan diğer firmalar tarafından satılan siparişler.
“Bu artık sıradan bir satış değil,” diye kabul ediyor Prabhakar.
KOBI’lere yöneliyor olsanız dahi bu daha az bir sıradan satış. Fakat bu avantajı olan bir strateji. Müşteri taleplerine göre özelleştirilmiş güvenlik danışmanlığı servisleri KOBI’ler için büyük bir farklılaştırıcı, diyor Secure Network Solutions’dan Mehta. “Eğer bir müşteri birkaç saat içinde bir uygulamayı değiştirme yeteneği istiyorsa, bu hiçbir tedarikçinin yerine getiremeyeceği bir şey. Bu yüzden yüksek bedel talep ediyoruz,” şeklinde konuşuyor. “Diğer firmalardan çözümler satın alan birçok müşteri servisleri bir yıl aldıktan sonra bize yaklaşıyor. Servisler (danışmanlıklar dahil) geçen yıl iki katına çıktı ve aynı şeyi bu yıl için de görüyoruz,” diye sürdürüyor konuşmasını.
“Eğer KOBI segmentine satış yapıyorsanız, stratejinin satış döngünüz üzerinde etkili olduğunu anlamanız bilhassa önemli. KOBI’ler için satış döngüsü kurumsal pazar için üç ila dört ayken genellikle bir ila iki aydır ve bu marjları etkiliyor,” diyor Taaran India’dan Tyagi.
Buluttan kazanmak
Hindistan Bilgi Güvenliği Anketi 2012’ye göre Hintli işletmelerin ve IT liderlerinin önemli bir kısmı (yüzde 52) bulut bilgiişlemin onların organizasyonları için en büyük güvenlik riskini temsil ettiğini açıklıyor. Sadece yüzde 16’lık kısım güvenlik durumlarının firmaları buluta geçtikten sonra daha iyi olduğunu söylüyor. Nasıl bakarsanız bakın, bulut içerisindeki yollarını bildiklerini gösterebilen organizasyonlar için bu oldukça büyük bir iş fırsatı yaratıyor.
Gupta’nın MIEL e-Security’si hızlı bir biçimde bu fırsatı değerlendirenlerden. Geçtiğimiz yıl firma MEDS adlı bulut tabanlı, uç nokta uyumlu ürününü çıkardı. Orta ve büyük çaplı organizasyonları hedef alan bu çözüm şimdiden 35’in üzerinde müşteriye sahip, diyor Gupta. Onlar ürünü aynı zamanda Orta Doğu ve diğer ülkelere de götürdü. Şimdi ikinci bulut projesi üzerinde çalışıyor. “Symantec Messagelabs ile bulut üzerinden e-posta arşivleme çözümlerini değerlendiriyoruz,” şeklinde konuşuyor Gupta.
Bununla birlikte diğer firmalar buluttan kazanç sağlama konusunda daha güç bir zaman geçiriyor. Chennai merkezli Digital Track Solutions her ne kadar güvenlik pazarında on yılı aşkın bir deneyime sahip olsa da ve buluta yönelmeleri için müşterilerini agresif bir biçimde cesaretlendirse de, yeni müşteriler bulmak oldukça güç, diyor genel müdür Ahamed. Ama o henüz havlu atmış değil. “Müşteriler bulut kabiliyetimiz konusunda emin, daha da önemlisi bunun etrafındaki güvenlik için de,” diye konuşuyor. Satışları desteklemek için firma, kıdemli satış temsilcilerinin mevcut müşterilere DLP ve bulutu, yeni satışçıların ise bu teknolojileri yeni müşterilere benimsetmek olduğu yeni bir strateji geliştirdi.
Esteem Infotech’de Prabhakar bulutun potansiyelini desteklemek için zaman harcamıyor. “Altı ay içinde bulut güvenliğine terfi etmeye yöneldik,” diye konuşuyor. “Buna daha önce geçen firmalar iyi para kazandı. Eğer bunun üzerinde agresif olmazsak, o zaman büyük bir fırsatı teperiz.”
Prabhakar bu avantajdan ilk faydalananlardan olmak isteyenler arasında yalnız değil. “DLP ve bulut bilgiişlem halen nispeten niş bir çözüm olduğundan az bir rekabetle yüzleşiyoruz,” diyor Ahamed. “Bol miktarda eğitimi içeren bu ürünleri satmak için OEM’lerden büyük destek var.”
“Odağının mimarilerini birleştiren müşterilerine yardım etmek (DLP, GRC ve bulut bilgiişlem gibi teknolojileri teşvik etmek değil) olduğunu söyleyen Future Solutions’dan Datta bile, buluttan kazanılacak paraların olduğunu belirtiyor. “Büyük işletmeler hızlı bir biçimde buluta geçmeyecek. Ancak dağıtık organizasyonlar (20 kullanıcıdan az olanlar) çoğunlukla FMCG, finans ve turizm sektörleri bulut tabanlı servisleri araştırıyor,” şeklinde konuşuyor.
BYOD ve dahası
Hindistan Bilgi Güvenliği Anketi 2012’ye göre diğer bir belirgin trend de BYOD. Bu durum akıllı telefon ve tabletlerin güvenliğini sağlamak üzere ilkeler oluşturan organizasyonların sayısından belli. Hintli işletmelerin yüzde 46’sından fazlası önümüzdeki 12 ay için mobil cihazlarda malware tespitini birincil öncelik olarak benimseyeceklerini açıkladı. Bir diğer yüzde 66’lık kesim ise firmalarının mobil cihazların güvenliği üzerine daha fazla harcama yapacağını açıkladı.
Bu planların bir kısmı kanal oyuncuları için çoktan iş fırsatlarına dönüşmüş durumda. “Biz ağırlıklı olarak büyük işletmelerdeki mobil cihazların güvenliğini sağlamaya odaklanıyoruz ve Symantec çözümleriyle iyi kazanımlar elde ettik,” diyor Datta. Onun firması Futuresoft’un tüm yaklaşımını değiştirdiğini, içerik yönetimini büyük bir hikayeye dönüştürdüğünü söylüyor; bu içerik korumayı ve içerik yaşam döngüsü yönetimini kapsayan bir hikaye.
BYOD’a hitap eden güvenlik pazarı halen olgunlaşmış değil. Ve burada önde gelen ve uzman olarak bilinmek isteyen oyuncular için bir şans yatıyor. “Uygulamaların yüzde 90’ına yakını ‘birleşik’ çözümler yüzünden cihazlara geçirilemiyor. Pazar’da BYOD’un kapsam ve genişliğini kapsayabilecek kapsamlı bir çözüm yok,” diyor MIEL e-Security’den Gupta. Diğer taraftan bu onun havuza dalmasını engellemiyor. Mobil cihaz yönetiminin (MDM) çok yakında ‘Gelişen Teknoloji Servisleri’ grubunun bir parçası olacağını ifade ediyor.
Pazarın henüz olgunlaşmamış olması, yetenekli işletmelerin fikir önderleri olarak görülmesi (dolayısıyla danışmanlık servisleri sunmaları) için bunu mükemmel bir zaman yapıyor. “Teknolojiyi uygulamak roket bilimi değil ama fikir süreçleri ve İK ilkelerinin bir işletme için yerli yerinde olması gerekiyor,” diyor ACPL Systems’dan Bindra.
Baroda’daki ITCG Solutions’dan Kuvadia, birkaç müşteriyle BYOD projelerini başlattıklarını ve güvenliğin güç olduğunu bildiriyor. Kendisi aynı zamanda 5 milyon nüfusa kadar olan şehirlerde güvenlik geliştirmelerinin büyük şehirlere nazaran daha güç olduğunu ekliyor.
Yetkilendirme ve IRM diğer bir gelecek vaat eden teknoloji; bu Digital Track Studios’un ArrayShield ve diğer tedarikçilerle birleşerek girdiği bir alan. “Çok şükür ilklerden olma avantajını elde edeceğiz,” diyor Ahamed.
Chennai’deki Secure Network Solutions’dan Mehta, kayıt ve raporlama tarafında yükselen bir talep gördüklerini ifade ediyor; uyumluluk sağ olsun.
Bu arada MIEL e-Security’den Gupta, firmasının güvenlik gelirlerinin yüzde 15 ila 20’sinin ‘Gelişen Teknoloji Servisleri’ biriminde geldiğini söylüyor. “Birkaç yıl içinde bu yüzde 50’nin üzerine çıkacak,” tahmininde bulunuyor.
Bu onun kaçırmak istediği bir gemi değil.