Zscaler: “La filosofía de Zero Trust es la mejor aproximación para responder a los retos actuales de ciberseguridad.”

Antonio Adrados Herrero,
Linkedin
Zscaler refuerza su liderazgo con Zero Trust, cumplimiento normativo y uso seguro de IA

En esta entrevista, Pablo Vera explica cómo Zscaler aplica su propia tecnología, impulsa la co-innovación y apuesta por la IA y Zero Trust para acelerar la transformación empresarial.

En el marco de la celebración del evento de Zscaler, Zenith Live 2025, en Praga (República Checa) a lo largo de esta semana,Silicon ha contado con la oportunidad de entrevistar a Pablo Vera, country manager de Zscaler para España y Portugal. En esta entrevista, Vera, destaca cómo la empresa practica el “dogfooding”, utilizando su propia tecnología. Su “obsesión por el cliente” se refleja en la co-innovación con más de 1000 clientes anuales, quienes participan en el diseño y pruebas beta. Zscaler asegura el cumplimiento normativo (RGPD, Esquema Nacional de Seguridad) en España, procesando datos sin almacenarlos y garantizando la residencia de los logs en Madrid y Barcelona. Su filosofía “Zero Trust” invisibiliza la infraestructura, eliminando privilegios excesivos y agilizando la integración tecnológica en fusiones y adquisiciones, reduciendo el “time to value”.

Mirando al futuro, la estrategia de Zscaler se centra en “Zero Trust Everywhere”, la protección de datos y el uso seguro de la Inteligencia Artificial. La empresa procesa 500 mil millones de transacciones diarias, aprovechando esta telemetría para la detección y predicción de amenazas, potenciado por adquisiciones estratégicas como Avalor y Red Canary. Zscaler busca ser un socio de negocio, alineándose con la regulación (DORA, NIS 2) que se considera un motor para la resiliencia digital sin frenar la innovación.

Dogfooding company

–  Me gusta últimamente empezar las entrevistas preguntando sobre un concepto que he encontrado que es puramente americano, que es “dogfooding”. No sé si estás al corriente de lo que significa “dogfooding company”, que son aquellas empresas que utilizan su propia tecnología. Quería saber si Zscaler es una “dogfooding company”.

Sí, sí que lo es. Nosotros, al final, somos una organización de alrededor de 9.000 empleados en todo el mundo que operamos en muchísimos países con perfiles diversos y, evidentemente, utilizamos nuestras tecnologías para probar en un entorno amigable el impacto y los beneficios, y también para beneficiarnos de las promesas que hacemos a nuestros clientes. Es una buena práctica en general que la empresa utilice a sus empleados como un banco de pruebas. Claramente, si tienes confianza en que tu producto va a ser bueno para los clientes, el mayor motivo es en un entorno amigable decir: “Oye, lo hago con mis propios empleados”.

–  Bien, entiendo que estas nuevas soluciones que habéis aportado estos días las habéis lanzado en forma beta para clientes, para poder probarlas y desarrollarlas antes de anunciarlas a la clientela general. Quería saber más o menos cómo está siendo este grado de adopción tanto en España y Portugal y si me puedes comentar algún caso de uso concreto. No hace falta decir nombres, pero que sirva de ejemplo para dar contexto.

Sí, una de las cosas que hace la empresa muy bien y que forma parte de la filosofía de nuestro fundador, Jay Chaudhry, es la obsesión por el cliente. Él es el primero que está obsesionado con los clientes, quiere visitarlos y se reúne con más de 1.000 clientes al año, teniendo muchísimas interacciones directas. Esto crea una cascada hacia abajo, donde se escucha a los clientes para evaluar el grado de satisfacción, qué funciona bien y qué necesita mejorar, y también para adelantarse a necesidades que puedan surgir en relación con la exposición de los negocios a la tecnología. Así es como surgen las ideas de innovación. Después, hay un proceso de desarrollo de productos y servicios que implica pruebas, exponiendo los productos gradualmente a los clientes. Los clientes también participan en la fase de diseño, no solo probando los productos, sino también involucrándose en su concepción. Esto es fundamental para nosotros y es una práctica común en la industria: exponer gradualmente, hacer pruebas beta o alfa, y luego evolucionar hasta que el producto esté generalmente disponible. Tenemos clientes que se prestan con facilidad a participar en este proceso de adopción, mejora y maduración gradual del producto, no solo con pruebas de laboratorio, sino con pruebas reales, lo cual es beneficioso para nosotros.

–  ¿Vuestros clientes que colaborar con la innovación de Zscaler pueden sentir que tienen alguna ventaja al probar alguna beta que lanzáis?

Sí, los clientes que participan en este tipo de procesos son, primero, clientes que tienen la capacidad de hacerlo, porque requiere esfuerzo por su parte. Es un equilibrio en el que puedes influir o conseguir que determinadas demandas tuyas se incorporen más rápidamente al producto. Segundo, también implica un esfuerzo, ya que no se trata solo de probar, sino de participar en reuniones y hacer documentación, co-innovando. Cuando esto se propone, no faltan clientes que quieren participar en los procesos de adopción temprana. Esto es una buena muestra de que los clientes confían en nosotros como empresa, porque saben que cuando les pedimos esa ayuda, también es beneficiosa para ellos y redunda en algo positivo.

Soberanía de datos y cumplimiento normativo

–  Ahora me gustaría hablar sobre la soberanía de datos y cumplimiento normativo RGPD, y especialmente en Europa, porque claro, en Estados Unidos es otro tema aparte. Quería saber cómo aseguráis vosotros que vuestras soluciones cumplen este tipo de reglamentos y cómo vuestra infraestructura aborda eficazmente estas preocupaciones para las empresas en España y Portugal, y si han notado un aumento de demanda de servicios de residencia de datos en Europa y especialmente en España y Portugal.

Nosotros cumplimos toda la regulación de los países en los que operamos; es una cosa que hacemos por defecto. Nos adaptamos según van habiendo evoluciones en los cuerpos normativos para cumplir. Además, lo hacemos desde el punto de vista de estándares de seguridad demandados en cada país. Por ejemplo, en España, con el Esquema Nacional de Seguridad, tenemos certificación alta en la parte de nuestra red y productos incluidos en el catálogo CCN-STIC para adopción segura y consumo seguro, no solo para el gobierno, sino para otras entidades sujetas al Esquema Nacional de Seguridad.

Desde el punto de vista de protección de datos, como hemos dicho hoy en una de las keynotes, nosotros nunca almacenamos los datos de los clientes. Procesamos los datos de los clientes, pero no los almacenamos. La parte de almacenamiento de los logs para la telemetría, para tomar decisiones y para que los clientes tengan sus paneles de mando con sus métricas, eso sí lo almacenamos en cada uno de los países. Particularmente en España, tenemos dos data centers en Madrid y otro en [no se especifica la tercera ubicación, solo “o sea“]. Así que la residencia de los logs está garantizada.

–  Teniendo en cuenta estos nuevos lanzamientos que habéis hecho esta semana, me gustaría conocer cuáles son los desafíos y las estrategias que vais a llevar a cabo para conseguir los objetivos que tenéis marcados para un plazo de un año y medio en España y Portugal.

Sí. Nosotros estamos alineados con la estrategia de desarrollo corporativo y a nivel general. Seguimos esa tendencia porque realmente es la tendencia que también existe en España. España es un mercado maduro que va un poco en la misma línea, dirección y ritmo que el resto del mundo en ciberseguridad y tecnología. Así que estamos en seguir evolucionando el modelo de Zero Trust Everywhere, que es aprovechar nuestra aproximación de tener una nube global que permite conectar cualquier cosa con cualquier cosa de manera segura y controlada. Esto incluye usuarios con aplicaciones, aplicaciones entre sí, dispositivos con aplicaciones o con usuarios, y emplazamientos. Todo eso se puede conectar de manera segura con diferentes herramientas tecnológicas que permitan adaptarnos a cada caso de uso. Ese sería Zero Trust Everywhere, como el primer paso.

El segundo paso es proteger los datos estén donde estén y cómo se consuman, permitiendo que los datos, que son el petróleo del siglo XXI, sean utilizados por las empresas de la manera más efectiva para su negocio, de manera segura. Es lo mismo, da igual dónde esté la información o desde qué dispositivo se consuma. Tenemos capacidad multivector para controlar y aplicar políticas consistentes para la organización, permitiendo la máxima productividad con el mínimo riesgo.

Y por último, todo lo relacionado con la proliferación de inteligencia artificial, incluyendo los agentes, la “Agent AI”. Nosotros nos adaptamos y evolucionamos nuestros productos para permitir el uso seguro y la adopción segura de la inteligencia artificial. Esto aplica a la inteligencia artificial “tradicional” orientada al negocio (identificar patrones, análisis de datos para anticipar demandas, mejorar productos y servicios), la inteligencia artificial generativa que aumenta la productividad de los usuarios o terceros, y finalmente, la “Agent AI”, que son entornos de inteligencia artificial donde no hay un humano detrás, que interactúan entre sí para producir acciones. En todos esos casos, utilizamos nuestra tecnología para controlar esas comunicaciones y lo que ocurre en ellas, aplicando controles de seguridad para que sean eficaces pero sin incrementar el riesgo. Esos son los tres aspectos fundamentales.

¿Para conseguir qué? Reducir riesgos, reducir costes, agilidad en el negocio, proporcionando seguridad, simplificando la capa tecnológica con nuestra plataforma, tratando de consolidar tecnologías en nuestra propuesta, y acelerar la transformación. Esto lo hacemos con nuestra tecnología, pero también asociándonos con terceros; tenemos asociaciones tecnológicas con decenas de partners para permitir que nuestros productos y servicios se integren con otras tecnologías que utilizan los clientes, y acelerar esa adopción.

–  De los lanzamientos, ¿hay alguno que destaques por encima del resto, que te haya llamado más la atención o que tengáis como más entusiasmo con ese lanzamiento?

A mí me entusiasman todos. Porque realmente lo que veo es que la compañía está tomando una apuesta muy firme por la innovación y dedicamos cientos de millones al año simplemente en innovación. Tenemos un porcentaje muy alto y se está notando en el desarrollo de los productos. Yo creo que hay varias áreas en las que estamos acompañando a los clientes que están más avanzados. Por ejemplo, lo que hemos hablado antes, “Agent AI”. Es algo que está empezando a aparecer porque es una ventaja para los clientes y es ya un grado de madurez adicional respecto a la generativa. Es, ¿qué más puedo hacer? Agentes que accionen. Ahí, por ejemplo, es una cosa que me parece superestimulante ver que nosotros tenemos una posición de liderazgo tecnológico para permitir esa adopción segura de “Agent AI”. Nosotros lo estamos haciendo directamente en mejorar nuestras capacidades de operación y facilitar a los clientes el poder ser más eficaces en operaciones de seguridad.

La adquisición de Red Canary, por ejemplo, me parece que nos abre un ámbito en el que vamos a permitir que Red Canary, con todo lo que hacía de servicios de MDR más toda la automatización o hiperautomatización, y utilizando nuestra telemetría, tenga esos modelos para acelerar su impacto porque tienen un volumen de datos gigante, más grande del que estaban manejando antes. Y viceversa, mejorar nuestras capacidades de detección permitiendo que nuestros procesos de automatización sean más rápidos. Sería injusto si menciono solo dos porque hay un montón que a mí particularmente me interesan, pero estos dos en particular me gustan. Uno muestra que estamos en el filo de la innovación, liderando, y la otra parte es ampliar nuestra capacidad de ser relevantes para los clientes en la parte de operaciones de seguridad. En esos dos son de los que me parecen más estimulantes.

Zero Trust y normativas

–  Respecto a las normativas, Zero Trust poco a poco se va convirtiendo en un estándar. Tanto en el Reglamento General de Protección de Datos (RGPD) como en la seguridad, por ejemplo, en AI Act, la seguridad de los datos es primordial y nuclear, pero Zero Trust yo creo que va un poco más allá. Como el derecho nace viejo, me gustaría saber qué carencias puede tener todavía la legislación, ¿veis algún aspecto que todavía falta por implementar en las normativas?

A ver, la regulación, por un lado, la Zero Trust, puede ser un estándar, puede ser una manera de hacer. Es una filosofía. Es una manera de abordar la seguridad y yo creo que es la forma adecuada para conseguir las tres cosas que hemos dicho: reducir el riesgo, reducir el coste y acelerar la adopción de la tecnología, sin poner frenos. Es una buena aproximación, tiene una serie de principios. Luego depende de cómo se materialice desde el punto de vista tecnológico; hay diferentes formas de materializar Zero Trust. La nuestra se basa en simplificar al máximo la carga para el usuario y la organización, cubrir todos los casos de uso y entender que para nosotros debe haber una conectividad segura, un uso seguro de la información y una adopción segura de la inteligencia artificial 13. Nosotros facilitamos eso con una red global que reduce la carga de trabajo, los esfuerzos y las inversiones de nuestros clientes.

La regulación, bueno, yo creo que está evolucionando en una buena dirección al poner el énfasis en ella. La regulación va poco a poco granularizando, llegando a cosas más concretas, pero yo creo que lo está haciendo bien a nivel de principios estratégicos. Lo primero es, pues, DORA, NIS II, ¿dónde debe estar el riesgo? ¿Quién es el responsable del riesgo de la organización?. Esto es un aspecto fundamental que al final la responsabilidad y el “accountability” (como dicen en Estados Unidos) tienen que estar bien dirigidos para que luego la acción de la organización sea ejecutiva. Ahí ayuda a posicionar dónde está el riesgo y quién es el responsable del riesgo, no es el equipo de ciberseguridad, ellos son quienes deben actuar, pero no son los responsables.

Segundo, ir granularizando y siendo más concreto: ¿qué es necesario? Por ejemplo, la resiliencia digital. No puedo pensar en evitar al 100% tener un incidente de seguridad; es probable que lo tenga, y la probabilidad de tenerlo es del 100%. Ahora es cómo abordo eso y cómo lo afronto desde un punto de vista eficaz y eficiente para poderme recuperar lo más rápido posible con el menor impacto para mis clientes, accionistas, empleados o para la ciudadanía en general. La regulación ayuda a eso.

Es cierto que llegar a una granularidad tecnológica es difícil, y eso no va a suceder. Entonces, tiene que haber, por un lado, maneras de hacer, tecnologías, esas filosofías; y por otro lado, una regulación que vaya poco a poco evolucionando. Europa lidera normalmente el tema de regulación, lo cual creo que es positivo, porque luego vemos que, por ejemplo, el RGPD ha inspirado regulaciones similares en otros países.

Hay cientos de regulaciones de privacidad, por ejemplo, que están inspiradas de una manera muy notable en el Reglamento General de Protección de Datos. Lo que hay que hacer es que la regulación no suponga un freno a la adopción de la tecnología. Tiene que ser algo que permita una adopción segura, responsable, pero que no impida la innovación ni frene. Ese es un poco el equilibrio. Yo creo que se está consiguiendo. Nosotros lo que sí vamos a hacer siempre es ser muy escrupulosos en el cumplimiento de las normativas de los países en los que operamos. Eso siempre.

–  Como ha dicho vuestro fundador, Zero Trust es vuestra filosofía primaria. Entonces, quería saber qué nivel de adopción se está observando en España y Portugal para las capacidades de Zero Trust Exchange, B2B y Federation, y cómo estas soluciones facilitan la colaboración segura y los procesos de fusiones y adquisiciones en España y Portugal.

La filosofía de Zero Trust es la mejor aproximación para responder a los retos actuales de ciberseguridad. Realmente, se trata a todo el mundo por igual desde el punto de vista de que nadie tiene privilegios, ni por ser empleado ni directivo; todo el mundo tiene que demostrar y verificar de manera continua su confiabilidad. Se aplican todo tipo de controles que son transparentes o lo más transparentes posibles para el usuario, pero que garantizan que no tienen privilegios adicionales. Por ejemplo, no se conectan a la red, las conexiones son punto a punto y en algunos casos están limitadas en el tiempo, garantizando que no haya riesgo por confiar en exceso.

Respecto a terceros o modelos de fusiones y adquisiciones, trato igual a un empleado interno que a un partner o a un tercero. De esta manera, si el empleado puede trabajar y usar las aplicaciones con productividad de forma ágil y transparente, el tercero igual, sin exponer a mayores riesgos. Lo que ocurre con modelos basados en VPN o conexiones punto a punto entre socios es que, al hacer una conexión punto a punto y situar a los empleados de esa empresa en mi red, pueden tener movimientos laterales, creación de privilegios y acceso a aplicaciones no autorizadas, lo que aumenta el riesgo. No es necesario hacer eso.

Lo mismo ocurre con una VPN: es algo que se publica, una puerta abierta a internet para que cualquiera pueda intentar entrar. Si esa VPN tiene una vulnerabilidad, un tercero malicioso podría acceder a la información sin que yo lo sepa. Con el modelo de confianza cero, evito todo eso. Primero, invisibilizo mi infraestructura; no hay ninguna puerta abierta hacia el exterior. Invito a la gente a conectarse desde el interior de la organización hacia afuera, no permito conexiones entrantes, todas las conexiones se inician desde dentro, son salientes. Invito a alguien activamente a entrar.

Controlamos granularmente a qué tiene privilegio para acceder solo a las aplicaciones que necesita. No ve el resto de la red, no hay acceso a una red, no hay posibilidad de movimientos laterales, ni propagación o escalada de privilegios; el tráfico está perfectamente contenido. Esto se aplica tanto a terceros como a empleados que acceden remotamente, o en un proceso de fusión y adquisición.

En procesos de adquisiciones, lo que permito es que la empresa adquirida (empresa B) integre el uso de mis aplicaciones de una manera muy rápida, aplicando el mismo principio. Da igual quiénes son, incluso el direccionamiento IP de la otra empresa o el tipo de aplicaciones que utilicen, puedo conectar fácilmente. En particular, en procesos de adquisiciones, la integración tecnológica, que es uno de los principales elementos del “time to value” (cuando materializo las sinergias de haber integrado esa empresa a mi negocio), se reduce muchísimo con Zscaler. Las sinergias tecnológicas y de negocio se materializan mucho más rápido y el beneficio se acelera. Tenemos un papel importante en eso, y todo se basa en el mismo principio: confiar y facilitar de una manera muy transparente para el usuario esa integración y el uso de las aplicaciones de negocio.