Segurança Cibernética: Descobrindo o Crescimento na Recessão

A pandemia da COVID-19 foi o combustível para a digitalização da economia. A rápida adoção da nuvem, a multiplicação de dispositivos e o aumento da geração de dados acabaram por sobrecarregar os sistemas existentes, expondo lacunas nas defesas das empresas. Paralelamente, os ataques cibernéticos tiveram um grande aumento em todo o mundo. Ambos os fatores estão agora forçando as empresas globais a aumentar os seus gastos com soluções de segurança. Os vendedores de produtos de segurança cibernética pura que atendam às demandas emergentes das empresas, consumidores e daqueles casos de uso governamental, estão vendo o crescimento acelerar. Isto representa uma oportunidade para investidores que buscam exposição a temas de crescimento em meio aos desafios macro-induzidos em andamento.

Principais Conclusões

Os ataques cibernéticos estão crescendo tanto em frequência quanto em sofisticação. A segurança das operações digitais continua sendo uma grande preocupação para empresas globais.
Os principais fornecedores de soluções de segurança cibernética estão constatando a aceleração do crescimento à medida que aumentam os gastos com segurança. Os ganhos demonstram resiliência em termos de faturamentos, receitas e margens.
Esperamos um uso crescente da tecnologia para fortalecer ainda mais os ventos a favor. Os gastos com segurança cibernética provavelmente continuarão a superar o resto do mercado de TI a curto e médio prazo.

O Horizonte de Ataque Está Cada Vez Pior

A ameaça da COVID-19 pode estar recuando, mas o aumento da atividade digital que a pandemia estimulou, não. Em primeiro lugar, o trabalho híbrido continua popular e é provável que se torne uma prática padrão para muitas empresas. Mesmo que as pessoas estejam, em grande parte, de volta aos escritórios, os colaboradores esperam poder trabalhar de qualquer lugar. Essa dinâmica aumenta o território que as empresas precisam defender, requerendo investimentos em soluções especializadas.

Em segundo lugar, o conflito na Ucrânia ilustra as novas ameaças que as empresas enfrentam. As organizações de hackers, hacktivistas e organizações criminosas são vistas visando infraestruturas dos Estados Nacionais com os quais não concordam. Frequentemente, as empresas são pegas no meio, o que elevou a segurança cibernética de um nível de mero desafio de engenharia para uma preocupação executiva. Mesmo o governo dos EUA recomenda que as empresas adotem medidas de proteção mais rigorosas.¹

Em terceiro lugar, parece que estamos no meio de uma ampla transformação digital onde os dados e aplicações empresariais estão sendo levadas para a nuvem. Assegurar essa mudança de ativos de dados é uma área prioritária dos investimentos.

Em quarto lugar, a tecnologia operacional que opera infraestruturas críticas, tais como oleodutos, barragens, redes elétricas e os sistemas de controle industrial que operam cadeias de abastecimento e instalações de produção, estão sendo digitalizados. A proteção desses nós constitui desafios para governos em todo o mundo.

O horizonte de ameaças é cada vez mais perigoso. Durante o primeiro semestre de 2022, os ataques de “ramsomware” cresceram quase 52% em relação ao ano anterior (YoY).² Os ataques de ramsomware como serviço por organizações de hackers bem rastreadas e notoriamente populares, tais como Conti e LockBit, que causaram algumas das piores interrupções por “ramsomware” durante a pandemia de COVID-19, cresceram 500% YoY.³ As ameaças criptografadas continuam a crescer também.⁴ Outros ataques comuns incluem a negação distribuída de serviço (DDoS), “malware” e ataques simples, tais como “phishing” e engenharia social. Uma empresa estadunidense média pode perder US$ 9,4 milhões em violação de dados.⁵ O impacto desses ataques pode ser muito pior. Transações de ativos de dados, credenciais e segredos corporativos são frequentemente vistas na “dark web” por décadas, após o ataque.⁶

Lucros Demonstram Resiliência

Os negócios de segurança cibernética podem ser capazes de alavancar o fortalecimento dos ventos favoráveis para acelerar o crescimento. As empresas de segurança cibernética aumentaram as receitas em aproximadamente 19% em relação ao ano anterior (YoY) para o trimestre mais recente reportado em uma base anualizada, aumentando 680 pontos base (bps) sequencialmente e 1.250 bps em relação ao ano anterior (YoY).⁷ Em nossa opinião, essa aceleração é a melhor evidência do aumento dos gastos empresariais.

Analisando mais profundamente os fundamentos dessas empresas, as margens brutas para as empresas de segurança cibernética permaneceram saudáveis, com uma média de mais de 70%.⁸ As margens de lucro antes de juros e impostos (EBIT) de -0,5% mostraram alguma contração devido aos atuais soluços induzidos pela macroeconomia.⁹ As margens de fluxo de caixa livre foram superiores a 20%.¹⁰

A demanda por plataformas de assinaturas está especialmente forte. A Palo Alto Networks, um fornecedor de software de segurança de rede, aumentou a sua linha superior em 27% em relação ao ano anterior, no segundo trimestre de 2022, e revisou a sua orientação para o terceiro trimestre de 2022.¹¹ As vendas da CrowdStrike, um fornecedor de software de segurança “endpoint”, aumentaram sua linha superior em ~59%, superando as estimativas em 3,6%.¹² A CrowdStrike também aumentou a sua orientação.¹³ O fornecedor de software de monitoramento de tráfego ZScaler aumentou a sua linha superior em ~61% em relação ao ano anterior e revisou a orientação para o lado positivo.¹⁴ Empresas como Fortinet, Sentinel One e Checkpoint, todas superaram as estimativas para o último trimestre informado.^{15, 16, 17}

Muitas dessas empresas também estão implementando estruturas e abordagens inovadoras em uma tentativa de capturar uma participação incremental. A arquitetura “Zero Trust” é uma estrutura de segurança abrangente que, por definição, desconfia de todos os agentes de software e hardware, reforçando assim a necessidade de verificar cada sistema final toda vez que interagir com uma rede mais ampla.¹⁸ Outra estrutura emergente chamada SASE combina as melhores práticas de segurança de rede tradicionais com estruturas de segurança nativas da nuvem – permitindo “logins” remotos e interações de “endpoint” de uma forma muito mais segura.¹⁹

M&A de Segurança Cibernética Não Diminui

À medida que o mercado cresce, acreditamos que os principais fornecedores de soluções, considerados como fornecedores completos, serão capazes de consolidar mais participação, aumentar as margens e crescer mais eficientemente do que a sua concorrência. A atividade de fusões e aquisições (M&A) permanece elevada com as principais empresas de segurança cibernética procurando adquirir pequenas “startups” e preencher lacunas nos seus portfólios de produtos. A Palo Alto Networks adquiriu a Apiiro por US$600 milhões em setembro.²⁰ A CrowdStrike adquiriu a Humio por US$400 milhões em novembro de 2021.²¹

Outros potenciais compradores de empresas de segurança cibernética incluem grandes franquias de computação na nuvem e “hyperscalers” que desejam ampliar os seus portfólios existentes de software para infraestrutura. Para essas empresas, o software de segurança pode ser uma forma de reter grandes clientes e melhorar as margens. Além disso, os fundos de investimentos estão se transformando nos principais agentes de M&A de segurança cibernética. O roteiro é simples: Adquirir ciberempresas pequenas em uma categoria específica, para posteriormente agrupá-las e criar um agente dominante no mercado.

As aquisições mais recentes no setor de segurança cibernética foram realizadas com um valor superior em relação ao resto do mercado de tecnologia. Em junho de 2022, o múltiplo do valor médio para as transações anunciadas era de mais de 9 vezes a receita, quase 25% maior do que o múltiplo da média de vendas para empresas de segurança cibernética.²²

Os Governos Devem Aumentar os Seus Gastos Cibernéticos

A proteção do ambiente operacional on-line para as empresas é uma prioridade para os governos em todo o mundo. As empresas globais perderam quase 6 trilhões de dólares anualmente para o crime cibernético devido à perda de dados, penalidades, perda de produtividade, resgates e ataques que levaram ao fracasso total das empresas.²³ O impacto do crime cibernético pode ser particularmente prejudicial para as pequenas empresas.

O orçamento dos EUA para o ano fiscal de 2023 aumentou os gastos com segurança cibernética em quase 10%, em relação ao ano passado.²⁴ O orçamento incluiu US$ 11 bilhões para o Departamento de Defesa implementar uma arquitetura de confiança zero em seus sistemas de fornecedores.²⁵ Além disso, a Lei de Infraestrutura e Emprego incluiu um par de bilhões de dólares para garantir ativos do governo local.²⁶ Acreditamos que o compromisso do governo estadunidense com a segurança cibernética pode ser um sinal de que os gastos cibernéticos crescerão à medida que outros governos intensificaram as suas defesas.

Conclusão: A Segurança Cibernética Aparenta Estar Bem Posicionada Nesta Recessão

A segurança cibernética deverá evoluir em sintonia com uma tecnologia mais ampla. À medida que os ataques aumentam e as empresas consomem mais produtos tecnológicos, a importância das defesas cibernéticas será primordial. Mesmo em um ambiente potencialmente recessivo em 2023, acreditamos que os gastos com segurança serão o último item a ser espremido. Os Diretores de Informática de todo o mundo consideram a segurança cibernética como um item orçamentário de prioridade máxima em 2023.²⁷Estima-se que os gastos globais com segurança crescerão ~7% para mais de 165 bilhões de dólares em 2022, seguindo um crescimento de ~14% em 2021 e quase 7% em 2020.^{28, 29}

Espera-se que os gastos sejam particularmente visíveis na segurança da nuvem, segurança de “endpoint”, segurança de dados, gerenciamento de identidade e acesso, e segurança de infraestrutura, que foram trazidas à tona pelas necessidades de computação surgidas durante a pandemia. Cerca de 50% de todos os gatos atuais com segurança cibernética são empregados em serviços personalizados, e as soluções hospedadas na nuvem também podem atacar esse bolso.³⁰

Em geral, esperamos que as taxas de crescimento dos gastos provavelmente permanecerão elevadas nos próximos 5 anos, impulsionadas pelo apetite por soluções mais escalonáveis hospedadas na nuvem. Enquanto isso, as ações de segurança cibernética estão sendo negociadas com uma baixa acumulada no ano de 28% em 10 de novembro de 2022.³¹ Dada essa trajetória de crescimento e retração, vemos um potencial atrativo para o tema.

Footnotes

1. Cybersecurity & Infrastructure Security Agency (CISA). (n.d.). Shields up. Accessed on November 3, 2022 from https://www.cisa.gov/shields-up
2. Trend Micro Incorporated. (2022, August 31). Trend Micro warns of 75% surge in ransomware attacks on Linux as systems adoptions soared. https://newsroom.trendmicro.com/2022-08-31-Trend-Micro-Warns-of-75-Surge-in-Ransomware-Attacks-on-Linux-as-Systems-Adoptions-Soared
3. Ibid.
4. Poireault, K. (2022, August 30). Ransomware attacks on the rise in 2022. Iapp. https://iapp.org/news/a/report-ransomware-attacks-on-the-rise-in-2022/
5. IBM Security. (2022, August 1). Cost of a data breach 2022: A million-dollar race to detect and respond. IBM. https://www.ibm.com/reports/data-breach
6. Help Net Security. (2021, October 21). Increased activity surrounding stolen data on the dark web. https://www.helpnetsecurity.com/2021/10/21/stolen-data-dark-web/
7. Refers to stocks part of the Indxx Cybersecurity Index. Data derived from FactSet, on November 10, 2022.
8. Refers to stocks part of the Indxx Cybersecurity Index. Data derived from FactSet, on November 10, 2022.
9. Refers to stocks part of the Indxx Cybersecurity Index. Data derived from FactSet, on November 10, 2022.
10. Refers to stocks part of the Indxx Cybersecurity Index. Data derived from FactSet, on November 10, 2022.
11. Palo Alto Networks. (2022, August 22). Palo Alto Networks reports fiscal fourth quarter and fiscal year 2022 financial results [Press release]. https://investors.paloaltonetworks.com/news-releases/news-release-details/palo-alto-networks-reports-fiscal-fourth-quarter-and-fiscal-6
12. CrowdStrike. (2022, August 30). CrowdStrike reports second quarter fiscal year 2023 financial results. https://ir.crowdstrike.com/news-releases/news-release-details/crowdstrike-reports-second-quarter-fiscal-year-2023-financial
13. Ibid.
14. Bansal, T. (2022, September 8). Zscaler reports fourth quarter and fiscal 2022 financial results. Zscaler. https://ir.zscaler.com/static-files/0801ef45-d173-4557-8428-43a84474d47a
15. https://investor.fortinet.com/static-files/da142bc6-5549-4e7b-9a91-8762cebebeb4
16. https://www.checkpoint.com/downloads/investor/chkp-investor-presentation-q3-22.pdf?v=1.0
17. https://investors.sentinelone.com/press-releases/news-details/2022/SentinelOne-Announces-Second-Quarter-Fiscal-Year-2023-Financial-Results/default.aspx
18. Raina, K. (2022, October 17). Cybersecurity 101: Zero trust security: Zero trust security explained: Principles of the zero trust model. CrowdStrike. https://www.crowdstrike.com/cybersecurity-101/zero-trust-security/
19. Zscaler. (n.d.). Resources: Security terms glossary: What is secure access service edge (SASE)? Accessed on November 3, 2022 from https://www.zscaler.com/resources/security-terms-glossary/what-is-sase
20. Orbach, M. (2022, September 19). Palo Alto Networks on verge of $600 million acquisition of Apiiro. CTech. https://www.calcalistech.com/ctechnews/article/syh51g8wo
21. CrowdStrike. (2022, June 6). CrowdStrike introduces humio for falcon, redefining threat hunting with unparalleled scale and speed [Press release]. https://www.crowdstrike.com/press-releases/crowdstrike-introduces-humio-for-falcon/
22. CrowdStrike. (2022, June 6). CrowdStrike introduces humio for falcon, redefining threat hunting with unparalleled scale and speed [Press release]. https://www.spglobal.com/marketintelligence/en/news-insights/latest-news-headlines/cybersecurity-m-a-still-hot-in-q2-but-economic-uncertainties-weigh-on-outlook-71271067
23. Tech Xplore. (2022, May 10). Global cost of cybercrime topped $6 trillion in 2021: Defence firm. https://techxplore.com/news/2022-05-global-cybercrime-topped-trillion-defence.html
24. Jones, D. (2022, March 30). Biden administration’s FY 2023 budget includes 11% increase for cyber. Cybersecurity Dive. https://www.cybersecuritydive.com/news/biden-2023-budget-cybersecurity/621264/
25. Austin III, L, J. (2022, March 28). The department of defense releases the president’s fiscal year 2023 defense budget. U.S. Department of Defense. https://www.defense.gov/News/Releases/Release/Article/2980014/the-department-of-defense-releases-the-presidents-fiscal-year-2023-defense-budg/
26. BGR Group. (n.d.). Infrastructure investment and jobs act – Cybersecurity. Accessed on November 3, 2022 from https://bgrdc.com/infrastructure-investment-and-jobs-act-cyber-security/
27. Rosenbush, S. (2022, October 17). Cybersecurity tops the CIO agenda as threats continue to escalate. The Wall Street Journal. https://www.wsj.com/articles/cybersecurity-tops-the-cio-agenda-as-threats-continue-to-escalate-11666034102
28. Gartner. (2021, May 17). Gartner forecasts worldwide security and risk management spending to exceed $150 billion in 2021 [Press release]. https://www.gartner.com/en/newsroom/press-releases/2021-05-17-gartner-forecasts-worldwide-security-and-risk-managem
29. Gartner. (2022, October 13). Gartner identifies three factors influencing growth in security spending [Press release]. https://www.gartner.com/en/newsroom/press-releases/2022-10-13-gartner-identifies-three-factors-influencing-growth-i
30. Ibid.
31. Measured by the Indxx Cybersecurity Index. Data derived from FactSet, on November 10, 2022