Mesmo no mundo da segurança cibernética, as discussões sobre orçamentos de segurança empresarial tendem a tornar-se mundanas. No entanto, o actual ambiente macro frustrou quase todas as previsões do mercado e, embora saibamos com certeza que o mercado baixista levou a maioria das empresas à austeridade, o seu verdadeiro impacto nos gastos com segurança cibernética continua a ser um enigma, até hoje.
Um relatório da YL Ventures Com base em dados extraídos de pesquisas com CISOs (Chief Information Security Officers) e tomadores de decisão de segurança cibernética da Fortune 1000, ele lança alguma luz sobre o impacto do mercado em baixa no comportamento de compra, como as estratégias de segurança estão evoluindo em resposta e como as interações dos clientes com os fornecedores mudaram à medida que um resultado.
Metade dos CISOs ainda tem espaço para se adaptarem a novas soluções e, contrariamente às baixas expectativas, 45% dos orçamentos de cibersegurança permaneceram inalterados ou até aumentaram. Especificamente, um terço dos inquiridos (33,3%) reportam orçamentos inalterados e 12,2% viram os seus orçamentos aumentar.
Entretanto, outro terço (33,3%) dos orçamentos de cibersegurança foi cortado, enquanto 21,2% dos líderes de cibersegurança gerem atualmente orçamentos congelados, o que significa que não são possíveis novas despesas.
Imagem: Relatório YL
Faça o primeiro contato
Embora os dados possam parecer intimidadores, os fornecedores ainda têm muitas oportunidades. Uma maioria considerável (75,8%) dos líderes de segurança cibernética ainda está aberta a aprender sobre novos fornecedores; Existem simplesmente mais fatores que são levados em consideração na tomada de decisões. Enquanto quase metade (45,5%) está disposta a encontrar-se com qualquer fornecedor, 18,2% só se reúne com quem aborda estritamente suas prioridades de segurança mais urgentes e 12,1% estão interessados apenas em aprender sobre startups menores e mais jovens.
Na verdade, este é um ótimo momento para as pequenas startups brilharem e talvez para os fornecedores maiores tomarem nota. Aos olhos da maioria dos líderes de cibersegurança, as empresas mais pequenas e em fase inicial tendem a oferecer custos de licenciamento mais vantajosos, bem como parcerias de design, permitindo soluções personalizadas que melhor se adaptam às suas fraquezas e necessidades operacionais únicas.
Atualmente, 26,7% dos entrevistados dependem de serviços gratuitos como meio temporário. Se pensarmos nos dias mais difíceis da pandemia, quando muitos fornecedores de cibersegurança ofereciam os seus serviços gratuitamente, podemos ver amplas evidências de quanta boa vontade esses gestos criaram e como impulsionaram muitas empresas ao topo. Para os vendedores que consideram isto demasiado difícil de engolir, considerem quão eficazes foram as tácticas de aterrar e expandir no passado, e lembrem-se que a crescente onda de conservadorismo fiscal deixa pouco espaço para a teimosia na exigência de gastos mais elevados.
A necessidade de contratos flexíveis fica mais clara através de solicitações explícitas dos próprios CISOs. Muitos CISOs que participaram do relatório usaram palavras duras para os fornecedores que os abordam com grandes contratos após demissões ou fechamentos em massa. Eles têm julgamentos piores para aqueles que ainda dependem da tática ultrapassada de semear medo, incerteza e dúvida em torno do cenário de ameaças. Em tempos tão difíceis e sem fim à vista, espalhe mais negatividade não É o caminho para conquistar corações.
A regra de ouro de compreender as necessidades dos clientes assumiu dimensões adicionais, à medida que cada empresa vivencia a sua própria jornada de pressão financeira. Os fornecedores que podem ser sensíveis a isto irão muito mais longe do que aqueles que não o são.
Falando a mesma língua
O espírito de austeridade, mesmo entre os CISOs cujos orçamentos aumentaram, está a redefinir a forma como as aquisições de novos produtos são avaliadas. Os verdadeiros veteranos da segurança cibernética já estão familiarizados com o processo de luta pela aprovação de novas compras, geralmente com a ajuda de um ROI (retorno sobre o investimento) demonstrável. Esta experiência é mais uma vez útil, uma vez que o retorno do investimento (ROI) e a redução de custos se tornam factores mais importantes do que nunca na tomada de decisões.
Juntos, o retorno sobre o investimento (ROI) e a redução de custos representam 60% dos principais critérios de fornecedores que os CISOs procuram, tornando-os o seu maior fator decisivo na aquisição de produtos. Os fornecedores que não conseguirem demonstrar os retornos que os CISOs terão terão dificuldade em sobreviver no cenário frugal de hoje.
O relatório também revela exatamente como essa frugalidade funciona na estratégia real de segurança cibernética empresarial. Os líderes de segurança cibernética estão determinados há muito tempo a simplificar as suas operações (o que agora envolve orquestrar muitos departamentos) e a esvaziar as suas pilhas de segurança. Eles estão agora sob mais pressão do que antes para fazê-lo. De acordo com os líderes de cibersegurança inquiridos, 80% estão a concentrar os seus esforços na consolidação das suas soluções, 43,3% rescindiram pelo menos um contrato com um fornecedor, 70% estão a confiar mais na automação e 23,3% tiveram de despedir pessoal.
Há muito o que interpretar a partir desses dados. A primeira opção pode não ser surpreendente, mas mesmo assim os CISOs repetem a mesma coisa diariamente: os fornecedores precisam parar de vender recursos como plataformas. Foi assim que as suas stacks cresceram tanto no início. As soluções pontuais também não terão um desempenho muito melhor hoje em dia, já que a maioria das equipes de segurança tem falta de pessoal para perder tempo aprendendo novas tecnologias ou triando mais alertas. No entanto, aqueles que conseguem demonstrar uma pequena curva de aprendizado e fácil integração ainda podem ter uma chance se resolverem um problema importante para os CISOs.
La consolidação é realmente o nome do jogo para empreendedores que buscam construir grandes empresas. Discursos que demonstram como uma única solução pode dar sentido ao ruído ou até mesmo substituir várias outras têm muito mais probabilidade de conquistar os CISOs. Recorda também outra tendência importante: as medidas de austeridade estão a encorajar um regresso ao básico.
Focando no que importa
A principal prioridade atual é proteger os ambientes empresariais existentes com a máxima eficiência e cobrir os pontos cegos restantes. Apesar dos equipamentos e soluções superdimensionados e até mesmo sobrepostos, muitas áreas importantes de proteção permanecem desassistidas. Quando os entrevistados tiveram a opção de selecionar diversas áreas de foco, as seguintes áreas receberam mais atenção: Quando se trata de ambientes, 75% priorizam segurança na nuvem, 50% segurança de dados, 46,9% segurança de aplicativos, 25% segurança da cadeia de suprimentos, 28,1 % de segurança SaaS e 21,9% de segurança de API.
O impulso em direção à segurança geral e básica também se reflete nas disciplinas que estão priorizando: 40,6% priorizam conformidade e gerenciamento de riscos, 31,3% avaliação de vulnerabilidades, 28,1% detecção e resposta e 15,6% acesso remoto. Esta lista pode parecer surpreendente à primeira vista. Onde fica o IAM? Que tal orquestração, correção e análise do comportamento do usuário? O mais visivelmente ausente, é claro, é a IA. Isto não quer dizer que os CISOs não demonstrem interesse nestas áreas, muito pelo contrário.
Pelo menos quando se trata de IA, muitos CISOs estão ganhando tempo para encontrar uma solução adequada e usando as ferramentas existentes para ajudá-los a ver e gerenciar o risco gerado pela IA da melhor maneira possível. Ou estão simplesmente proibindo totalmente o uso de IA generativa. Quanto aos outros tipos de soluções, ainda não existem dados concretos que permitam avaliar quantificavelmente o interesse. No entanto, vemos um aumento acentuado neste tipo de soluções no mercado e podemos esperar que o interesse nelas cresça durante o próximo ano.
Mesmo no que parece ser um deserto de clientes, os fornecedores que jogam bem as cartas ainda podem sair vitoriosos. Isto é especialmente verdadeiro para aqueles que podem trazer esta valiosa experiência para orientar as estratégias dos CISOs nestas áreas, em vez de fornecerem meros avisos sobre os riscos envolvidos.
