• Aruan Silva

Cybersecurity 101

Investir em tecnologia não é uma tarefa trivial. Em função disso, entender os fundamentos das aplicações é essencial para escolher os ativos para compor uma carteira de tech. Repetidamente trouxemos os fatores que têm impactado as empresas do segmento no período recente, bem como nosso posicionamento, mas neste material decidimos adotar uma abordagem mais didática sobre um dos poucos setores que apresentou performance superior ao índice nesse momento de fortes correções e alta volatilidade.


"Tenha medo quando os outros estão gananciosos e ganância quando os outros estão temerosos." – Warren Buffet.


Em artigos publicados anteriormente, Why Cloud/SaaS-Stocks Are Still Attractive e Organizações e indivíduos nunca estiveram tão expostos a falhas de segurança quanto agora, levamos aos nossos investidores uma perspectiva sobre a dimensão do mercado de computação em nuvem e segurança cibernética. Neste, vamos aprofundar a compreensão sobre as aplicações de segurança cibernética, expor os pontos críticos de avaliação das empresas do segmento e identificar os elementos que determinarão o futuro do segmento – ou seja, que ajudam os investidores a identificar as empresas que serão mais relevantes no mercado.


(Global X Cybersecurity ETF vs. NASDAQ 100, 1Y. Elaboração: Newton Tech Fund)


(Global X Cybersecurity ETF vs. NASDAQ 100, YTD. Elaboração: Newton Tech Fund)


Segurança cibernética – uma resposta aos riscos do ambiente digital

Uma organização deve endereçar recursos para a mitigação de diversos segmentos de risco. É muito fácil lembrar de riscos financeiros, de mercado, jurídicos, pois esses temas já alcançaram a linguagem popular e são levados a mídia com certa simplicidade. Entretanto, a área de risco digital, a qual nominamos como segurança cibernética, demorou para atingir os holofotes. Então a primeira noção que o investidor deve absorver é que a segurança cibernética é tão velha quanto o ambiente cibernético, ou seja, trata-se de um setor onde existem fundamentos teóricos, existem soluções antigas, outras que causaram rupturas tecnológicas, uma jornada de evolução para ameaças e defesas, etc.


Conceitos elementares para a compreensão do setor

Organizações e governos detêm e produzem um volume massivo de informações que terminantemente está ligado a uma rede, ou a internet. Dados pessoais, contratos, dados financeiros, etc. Para evitar fraudes, vazamento de dados sigilosos, e proteger informações de diversos gêneros, é preciso adquirir um conjunto de soluções e serviços que façam esse serviço de prevenção e proteção, e é essa infraestrutura que chamamos de segurança cibernética.


Então sempre que você leitor ou leitora, acessar um website, realizar uma compra online, instalar um aplicativo, enviar um e-mail, entrar no wi-fi de um hotel, postar uma foto no Instagram...Você estará gerando demanda para que as organizações no ambiente digital criem um ambiente seguro para a realização dessas atividades.


O segundo elemento é o Hacking. Hacking é a atividade de invasão e uso de informações sem a permissão do detentor da rede e dos dados. O que é crítico sobre o hacking é sua dinâmica e impacto no setor, a relação entre as tecnologias de segurança e os tipos de ataque é similar à de um gato com um rato, onde as empresas de segurança estão sempre correndo atrás dos hackers tampando os buracos que eles deixam pelo caminho. Vale ressaltar que essa é uma analogia grosseira e generalista, ao final do artigo citaremos algumas competências que mudam a dinâmica.


O que as aplicações de segurança cibernética devem entregar

Há uma série de modelos que orientam a fundação de uma infraestrutura de segurança dentro de uma organização e que auxiliam na avaliação da qualidade de uma respectiva aplicação de segurança, um primeiro modelo simples é a tríade CIA, que agrupa os conceitos de Confidencialidade, Integridade e Acessibilidade.



Confidencialidade fala sobre a manutenção da privacidade dos dados, Integridade significa que os dados são confiáveis, e Acessibilidade indica que o acesso é garantido e estável sempre que necessário. Algumas empresas podem fornecer soluções especializadas para cada um desses pilares, ou uma robusta para todos. Há uma movimentação de mercado em prol de setups mais enxutos, uma preferência por soluções mais robustas, mas sob um cenário de constante desenvolvimento de ameaças, uma solução de ampla abrangência pode não ser suficiente, visto que a especialização em determinados tipos de ataques e brechas poderá mitigar riscos com melhor eficiência.


Como funciona a integração de aplicações de segurança

Uma ferramenta que ajuda a visualizar como a integração dessas soluções ocorre é o Cybersecurtiy Framework, criado pelo NIST (National Institute of Standards and Technology) para guiar a estruturação da segurança cibernética organizacional.



(“The cybersecurity framework”. Fonte: https://www.nist.gov/cyberframework )


O framework acima ilustra o que há de mais recente sobre o que se espera de um sistema de segurança, onde de forma cíclica e ativa, a organização busca a capacidade de trabalhar sobre a Identificação de riscos, Proteção de acesso e dos dados, Detecção de invasores e ameaças, Respostas imediatas aos ataques, e Recuperação do impacto do ataque. Quando nós avaliamos um novo player do segmento, as duas primeiras informações que procuramos evidenciar são: a) em quantas partes dessa cadeia o player está posicionado, e b) qual o reconhecimento que suas aplicações recebem nessas áreas. Essa parte é muito importante pois nós compreendemos que soluções que cobrem áreas de maior ataque receberão maiores premiações. A partir dessa análise de portfólio, passamos para a priorização baseado em um conjunto de modelos próprios que identificaram a melhor empresa para análise no momento.


Avaliando empresas de segurança cibernética

A primeira parte para iniciar uma avaliação de empresa do setor de segurança é compreender de que tipo de organização se trata, e quais as características da sua principal oferta. Neste mês, lançamos um vídeo no app da Monett onde utilizamos uma analogia de uma galeria de arte para explicar os níveis de segurança e os principais players de cada nível. Para transferir a nossa explicação para este artigo, de modo simplificado, trouxemos duas tabelas para apresentar empresas que já analisamos e suas características.


Na primeira tabela, temos as grandes corporações, com um mix de soluções integradas para gerar segurança em diferentes níveis:

*A Cisco não atua exclusivamente em segurança cibernética, mas por ser uma provedora de infraestrutura de redes que embarca tecnologias de segurança na sua oferta, incluímos no quadro de comparação.


Na tabela a seguir, temos empresas com soluções de nicho, mais novas, com um crescimento acelerado e tecnologias que apontam para o futuro do segmento:

**Valores referentes ao período de publicação deste artigo.


Uma vez que conhecemos a tecnologia de especialização da companhia, existem três critérios a serem rigorosamente analisados: Robustez tecnológica, Maturidade de roadmap de produto, e Indispensabilidade.


Quanto a robustez tecnológica, procuramos avaliar o quão eficiente é a solução da companhia, e quão consistente é a própria segurança. Para isso, avaliamos o histórico de incidentes de segurança relacionados a solução da empresa, incidentes ocorridos internamente, e a avaliação da solução feita pelo MITRE ATT&CK®, um teste de qualidade referência do setor.


Em maturidade de roadmap qualificamos a capacidade da empresa ser uma referência tecnológica no longo prazo, e para isso conferimos como as novas ofertas se enquadram dentro do mix, como a empresa acompanha tendências do setor, quais foram as aquisições mais recentes e como elas se alinham ao desenvolvimento da organização. Dois indicadores para esse critério são o posicionamento no quadrante mágico de Gartner, e na Forrester Wave™.


Para concluir, analisamos a indispensabilidade das ofertas. E nisso procuramos taxas de cancelamento (churn) em níveis baixos em comparação ao setor, ofertas que se destacam no cenário competitivo, que rompem as fronteiras atuais da tecnologia de aplicação. Além do fator quantitativo, uma opinião tecnicamente especializada influencia a percepção sobre esse critério.


Os campeões estão nas nuvens.

Uma grande mudança na organização das forças de trabalho ampliou o grau de vulnerabilidade das organizações, a migração para sistemas em nuvem estabeleceu o que será o status quo da arquitetura de segurança. Acreditamos que soluções nativas ou orientadas a nuvem, tomarão a liderança do segmento com o passar dos anos. Além da natureza da tecnologia, há ainda a orientação estratégica do mix de ofertas, e nesse caso, um posicionamento focado no modelo ZeroTrust trás um diferencial competitivo determinante. Em termos práticos, ZeroTrust é uma estratégia que parte da premissa que todos os elementos que interagem com a rede, internos e externos, podem ser uma ameaça. Desse modo, a estratégia define limites e permissões de acesso em todos os níveis. Soluções que fortaleçam a aplicação dessa estratégia serão beneficiadas, visto que os perímetros das redes continuam a se dissolver e as forças de ataque continuam a expandir.


O setor de segurança têm sido um separador de águas ao longo desse ano e tem um promissor futuro. Uma análise feita pelo time da Catarina Capital acessa mais níveis de detalhamento sobre essas tecnologias, mas em nossas redes sociais você pode acompanhar conteúdos mais breves sobre as nossas perspectivas sobre o segmento e comentários sobre a performance de empresas do nosso portfólio. Afinal, em novos tempos de guerra, é indispensável considerar a segurança cibernética como estratégia de alocação numa carteira tech vencedora em rentabilidade.


F=ma