Conoscete il "tool sprawl" nell'ambito della cibersicurezza?
![](https://www.wisdomtree.eu/-/media/eu-media-files/blog/refresh-images/technology/cybersecurity/technology_22_1151x564.png?h=564&iar=0&w=1151&sc_lang=it-it&hash=90C399A743B5ABC54ABDA4CBBEC87BEC)
Ci rendiamo conto di avere un pubblico diversificato, composto probabilmente da imprenditori individuali, dipendenti di grandi società, dipendenti di aziende più piccole e forse anche da pensionati o disoccupati.
Qualunque sia la vostra situazione, siete consapevoli di quanti siano i vari strumenti di cibersicurezza con cui interagite? Un gestore di password? Un'interfaccia single sign-on? Uno strumento specializzato per la posta elettronica? Un altro strumento specifico per l'accesso a un'infrastruttura di cloud computing?
Il punto è che più cose si apprendono sulla sicurezza informatica, più ci si accorge che esistono tantissimi fornitori, ciascuno dei quali è specializzato in diversi tipi di protezione. Abbiamo visto che l'espressione "tool sprawl" è stata impiegata per descrivere il panorama della cibersicurezza del 2022 e pensiamo che ne abbia fornito una rappresentazione esauriente1.
Quanti sono gli strumenti attualmente utilizzati dai clienti?
I clienti aziendali possono gestire portafogli di 60-80 strumenti (nei casi limite ve ne sono alcuni che giungono a impiegarne anche un massimo di 140)2. Immaginate di gestire tutti questi strumenti nel corso di una normale operazione aziendale.
Uno dei motivi per cui il contesto attuale è caratterizzato da un numero così alto di strumenti potrebbe essere legato all'evoluzione del ruolo del direttore della sicurezza informatica (Chief Information Security Officer - CISO): dieci anni fa, era considerato un "buon CISO" quello che si occupava soprattutto dell'acquisto e dell'implementazione di strumenti; nel 2022 il CISO è più che mai una delle principali priorità per il consiglio di amministrazione e per la dirigenza di una società e ora un "buon CISO" viene valutato in base ai risultati anziché all'implementazione degli strumenti3.
Un'indagine condotta da Gartner ha rilevato che per l'88% dei consigli di amministrazione la sicurezza informatica rappresenta un "rischio d'impresa" più che un "rischio tecnologico"4.
Inoltre, com'è ovvio, nel 2022 la superficie di attacco si è espansa enormemente e spesso è possibile che vengano costituite società basate su nuove tipologie di intelligenza artificiale e tecniche di apprendimento automatico, per utilizzare un esempio che potrebbe comportare una proliferazione aziendale.
Gli affari stanno già decollando nel 2022
Al 18 agosto 2022, fondi di private equity e le rispettive società in portafoglio hanno finanziato 162 operazioni commerciali in tutto il mondo per la cibersicurezza, per un valore di 34,9 miliardi di dollari. Se si prosegue con questo ritmo, l'importo potrebbe superare il dato del 2021 (36,4 miliardi di dollari con 308 operazioni)5.
Le valutazioni sono l'elemento trainante. Nel 2020 e per gran parte del 2021 le società di cibersicurezza quotate di più recente costituzione, molte delle quali specializzate nel cloud, hanno registrato un'imponente espansione dei multipli, raggiungendo di conseguenza valutazioni appetibili. La crescita è stata consistente, ma i prezzi non sono convenienti in un ambiente in cui il costo del capitale è stato molto basso per un periodo lunghissimo.
Con l'ascesa dell'inflazione e il cambiamento delle politiche di molte banche centrali che in precedenza avevano adottato un'impostazione espansionistica a sostegno della crescita, molte di queste società hanno subito una brusca compressione dei multipli. Ciò ha consentito agli operatori di private equity specializzati nella creazione di offerte di prodotti consolidati di rilevare aziende interessanti a prezzi molto più bassi.
Uno di questi operatori è Thoma Bravo, rivelatosi particolarmente attivo: nel solo ambito dell'identità, Thoma ha concordato l'acquisto di Ping Identity per 2,8 miliardi di dollari e di SailPoint per 6,9 miliardi di dollari6.
Il consolidamento è uno dei sogni dei clienti, possibilmente una risposta al "tool sprawl" di cui abbiamo parlato prima. Nel mercato si ha la sensazione che potrebbero già esserci troppe aziende, ragion per cui non c'è solo l'esigenza di una maggiore innovazione, ma anche quella di costruire piattaforme integrate affinché i clienti possano accedere ad un unico posto e usufruire di più servizi.
Option3 è un esempio di azienda che è passata dal finanziamento di nuove società all'acquisizione di medie imprese in fase avanzata per l'attuazione di strategie di acquisizione e costruzione; sta pianificando l'istituzione di un fondo del valore di 250 milioni di dollari, finalizzato a una strategia per acquisire piattaforme7.
Le private equity sono interessate alle società di cibersicurezza per molte ragioni, ma hanno registrato tassi di abbandono inferiori rispetto ad altre imprese nel settore del Software-as-a-Service (SaaS). Tendenzialmente, inoltre, hanno generato margini elevati.
Come far fronte al rallentamento del contesto economico?
Come avviene in molti altri casi, i confronti storici possono aiutarci solo fino a un certo punto; se pensiamo allo stato della sicurezza informatica nel 2007-2009, nel pieno della "grande recessione", il quadro era totalmente differente: nel 2022 i bilanci per la sicurezza informatica sono ben diversi rispetto al 2007, quando rispecchiavano il considerevole rallentamento di quel periodo8.
Non occorre cercare lontano per trovare citazioni di esperti secondo cui, anche se la spesa per la cibersicurezza potrebbe risentire di un rallentamento del contesto economico, con tutta probabilità ne risentirebbe meno di altri settori. Esistono molti obblighi normativi o elementi considerati "requisiti essenziali" per l'operatività delle aziende, a causa dei quali è molto più arduo per loro tagliare la suddetta spesa.
Inoltre, le autorità di regolamentazione stanno alzando la posta. Negli Stati Uniti la Securities and Exchange Commission ha studiato una norma che richiederebbe di divulgare un "incidente rilevante di sicurezza informatica" in un documento pubblico. Tale divulgazione dovrebbe avvenire in tempi piuttosto rapidi, verosimilmente per reagire a determinati tipi di attacchi e violazioni: si pensi al caso di SolarWinds, con la portata dei danni potenziali che, mesi dopo l'attacco, continuava a crescere senza sosta9.
Anche se le autorità di regolamentazione non richiedono di aumentare la spesa per la sicurezza informatica, questo sarà probabilmente l'impatto causato dall'applicazione di determinate norme da parte di tali autorità.
Conclusione: un megatrend per tutte le stagioni?
Recentemente Norges Bank Investment Management, il maggior fondo di investimento sovrano al mondo (1,2 mila miliardi di dollari), ha indicato che la cibersicurezza è la sua maggiore preoccupazione attuale, dichiarando di far fronte a tre gravi attacchi in media al giorno. Il fondo subisce pressappoco 100.000 attacchi all'anno e ne classifica circa 1.000 come gravi10.
Le aziende attive nel settore finanziario sono sempre più prese di mira e quelle operative nella regione nordica avvertono molto concretamente la vicinanza della Russia durante il conflitto in Ucraina.
Benché molti temi di investimento possano risultare alquanto discrezionali o soggetti a ritardi in un contesto economico in rallentamento, la sicurezza informatica non rientra fra quei temi. Non possiamo sapere quali saranno esattamente le società o i servizi che registreranno la crescita più rapida, ma ignorare la sicurezza non è un'opzione.
Fonti
1 Fonte: Alspach, Kyle. “Thanks to the economy, cybersecurity consolidation is coming. CISOs are more than ready.” Protocol. 17 giugno 2022.
2 Fonte: Alspach, 17 giugno 2022.
3 Fonte: Alspach, 17 giugno 2022.
4 Fonte: “Gartner Survey Finds 88% of Boards of Directors View Cybersecurity as a Business Risk.” Gartner. Comunicato stampa. 18 novembre 2021.
5 Fonte: Shi, Madeline. “PE dealmaking thrives in cybersecurity sector.” Pitchbook. 23 agosto 2022.
6 Fonte: Shi, 23 agosto 2022.
7 Fonte: Shi, 23 agosto 2022.
8 Fonte: Alspach, Kyle. “Cybersecurity spending isn’t recession-proof. But it’s pretty close.” Protocol. 6 giugno 2022.
9 Fonte: Alspach, Kyle. “’Game-changer’: SEC rules on cyber disclosure would boost security planning, spending.” VentureBeat. 10 marzo 2022.
10 Fonte: Klasa, Adrienne & Robin Wigglesworth.” Financial Times. 22 agosto 2022.