In un periodo nero per i titoli growth, la sicurezza informatica potrebbe essere una nota positiva in futuro
Recentemente abbiamo completato un roadshow tra Milano, Ginevra, Madrid, Londra e Parigi, parlando di sicurezza informatica con gli investitori. WisdomTree vanta un’ampia gamma di strategie di investimento tematico e, per ogni tema, c’è spesso una collaborazione tra WisdomTree e un esperto in materia. In questo caso abbiamo avuto l’occasione di viaggiare con Team8, la società che fornisce dati per classificare correttamente le offerte delle aziende sottostanti nell’ambito della cibersicurezza.
Gli attacchi informatici sono proseguiti mentre eravamo in viaggio
Durante il tragitto è stato dato ampio risalto alla notizia di una violazione di alcuni sistemi di Uber. Il metodo impiegato era particolarmente degno di nota, poiché consisteva in una richiesta di autorizzazione a due fattori che è stata inviata ripetutamente a un dipendente finché questi non l’ha approvata1. Questo fatto ricorda a tutti noi un’importante verità in tema di sicurezza informatica: di solito il percorso più semplice per violare un sistema passa attraverso una persona, specie se si è in grado di estenuarla o di frustrarla.
Da allora è apparso un altro articolo degno di nota: Brands Review Data Privacy Policies After $1.2 Million Sephora Settlement (Alcuni brand rivedono le politiche sulla riservatezza dei dati dopo la multa di 1,2 milioni di dollari pagata da Sephora)2.
Abbiamo viaggiato per l’Europa, dove ogni singolo investitore era ampiamente conscio dell’esistenza del regolamento generale sulla protezione dei dati (RGPD). Molti statunitensi potrebbero pensare che negli USA non esistano leggi simili, ma nel 2018 è stato approvato e nel 2020 è entrato in vigore il California Consumer Privacy Act. Il 1° gennaio 2023 il California Privacy Rights Act, che amplia e modifica la normativa precedente, potrebbe causare un brutto risveglio per tante aziende.
Più di 100 società pubbliche e private hanno ricevuto lettere dal procuratore generale della California Rob Bonta, nel quadro dell’indagine a tappeto sulla grande distribuzione che ha portato alla multa inflitta a Sephora, e da allora sono state spedite molte altre lettere.
La protezione dei dati è uno dei nostri principali temi informatici ed è significativo tenere d’occhio tutto ciò che allarga il cerchio oltre l’RGPD europeo.
È bene separare il contesto macroeconomico dal megatrend
Molte delle società più innovative nel settore della cibersicurezza operano avvalendosi del modello di business Software-as-a-Service (SaaS), che è divenuto popolare nell’universo del cloud computing. La caratteristica principale di queste aziende consiste nel modo in cui i clienti si abbonano a un determinato servizio per un periodo di tempo: le imprese di successo nel settore del SaaS tendono a offrire prodotti in grado di “incollarsi”, nel senso che i clienti si abbonano e in seguito non fanno rapidamente marcia indietro per annullare l’abbonamento.
Se consideriamo che il tempo medio di fidelizzazione per un determinato prodotto dura 5-7 anni, un’azienda SaaS ha un buon ventaglio di opzioni: una, spesso discussa, è quella di avere un tasso netto di fidelizzazione superiore al 100%; in altri termini, i clienti non solo continueranno a usufruire del servizio, ma spenderanno di più per rinnovarlo o magari si abboneranno ad altri servizi tra quelli offerti dall'azienda. Un’altra possibilità che viene spesso dibattuta riguarda il costo di acquisizione dei clienti: sentiamo dire frequentemente che “la crescita è l’unica cosa che conta”. Ora, se acquisire un cliente costa grosso modo un anno di ricavi provenienti dalla clientela e la permanenza media dura tra 5 e 7 anni, potrebbe essere un'idea ragionevole spendere quel denaro per potenziare la crescita. Se l'azienda funziona a dovere, sarà sempre possibile ridurre quella spesa in futuro (sperando che i clienti siano aumentati) e avere un’attività maggiormente redditizia.
Il succo del nostro discorso è che, sebbene oggi la narrazione sia tutta concentrata sulla redditività piuttosto che sulla crescita, nell’universo SaaS quest’ultima è ancora rilevante. Se si considerano le caratteristiche specifiche delle aziende sottostanti, è chiaro che siamo in presenza di grandi potenzialità di fondo che potrebbero celarsi dietro la nebbia costituita dalla loro attuale improduttività.
Le aziende continueranno a spendere?
È stato relativamente facile convincere la gente con cui abbiamo parlato del fatto che tutti, siano essi aziende o persone, hanno bisogno di una strategia informatica.
Un dato statistico ampiamente discusso tra i responsabili delle tecnologie dell’informazione e dei settori informatici è quello in base a cui si dovrebbe dedicare alla cibersicurezza il 7-10% circa della spesa IT3. Ne deduciamo che, se riteniamo probabile una crescita complessiva della spesa IT in un determinato periodo, anche la spesa per la sicurezza informatica dovrebbe aumentare in modo analogo.
Tuttavia, un altro aspetto di questo dibattito riguarda la possibile alternanza di diversi tipi di spesa IT in periodi differenti; dai segnali che possiamo osservare, il “panorama delle minacce” per la sicurezza informatica è piuttosto insidioso. I CISO (ossia i responsabili dei settori informatici) di alcune delle più grandi società al mondo ne sono consci e stanno reagendo di conseguenza: il pensiero è rivolto in primo luogo alla difesa e alla protezione, nonché a spendere quanto occorre per provvedere a questi settori. Perciò, in un contesto in cui assistiamo, per esempio, allo svolgersi della crisi tra Russia e Ucraina, i budget per la sicurezza informatica potrebbero aumentare più della spesa IT generale.
I temi che costituiscono il futuro della cibersicurezza
WisdomTree si concentra su sette temi chiave della sicurezza informatica che si ritiene rappresentino le aree più critiche per il futuro. È importante non pensare a quel che ha funzionato in passato nell’ambito della cibersicurezza, ma considerare piuttosto ciò che funzionerà in futuro. I temi in questione sono i seguenti:
- Sicurezza dei servizi cloud
- Sicurezza più intelligente
- Resilienza e ripristino
- Sicurezza degli oggetti
- Un mondo senza confini
- Sicurezza dei dati
- Sicurezza anticipata
Uno degli aspetti più intriganti nelle discussioni sulla sicurezza informatica consiste nell’esaminare questi temi e vedere come riguardano da vicino il mondo in cui viviamo. Per esempio, l’espressione “Shift-Left” (in italiano “spostamento a sinistra”) potrebbe sembrare un po' criptica; si tratta invece di un termine utilizzato dagli sviluppatori di software e significa pensare alla sicurezza in una fase iniziale del processo di sviluppo del software. Questo potrebbe essere un modo per ridurre il rischio di generazione di codice non sicuro che potrebbe causare “supply chain hacks” (attacchi informatici alle catene di approvvigionamento), come abbiamo visto qualche anno fa nel caso di Solar Winds. Tali attacchi sono pericolosi perché chi li sferra accede a un software utilizzato da molti clienti.
Un altro aspetto dei temi in questione è il fatto che ciascuno di essi potrebbe avere una propria specificità temporale: la sicurezza dei servizi cloud continua a crescere rapidamente e si conferma assolutamente necessaria ma, a un certo punto in futuro, potremmo scoprire che tutti sono già "passati al cloud". Una volta compiuto questo “passaggio” adottando la corretta configurazione, potrebbe essere l’ora di rivolgere l'attenzione altrove. La sicurezza dei dati, peraltro, potrebbe essere solo all’inizio se paesi diversi al di fuori dell’Europa cominciano ad approvare leggi più rigorose in materia di protezione dei dati. Spesso è il potenziale di responsabilità a determinare cambiamenti nel comportamento.
Conclusione: evitate che la performance a breve termine distolga la vostra attenzione dalla cibersicurezza
Il 2022 è stato un anno difficile per la performance di molte azioni delle società Software-as-a-Service e quelle nel campo della sicurezza informatica non hanno fatto eccezione. Secondo noi, l'attuale calo delle valutazioni rispetto a un anno fa potrebbe riservare un punto di entrata più interessante per chiunque disponga di una strategia a più lungo termine in relazione a questo tema di primo piano.
Fonti
1 Fonte: Winder, Davey. “Uber Hack Update: Was Sensitive User Data Stolen & Did 2FA Open Door To Hacker?” Forbes. 18 settembre 2022.
2 Fonte: Coffee, Patrick. “Brands Review Data Privacy Policies After $1.2 Million Sephora Settlement.” Wall Street Journal, 27 settembre 2022.
3 Fonte: Violino, Bob. “How much should you spend on security?” CSO. 20 agosto 2019.
Blog correlati
+ La policy della Banca centrale ha catalizzato un'opportunità di valutazione nello spazio software