Hoe overnames van leveranciers van cyberbeveiliging aan te pakken

De rol van cybersecurity en het algemene belang om ervoor te zorgen dat CISO's aan tafel zitten voor het overnameproces in zijn geheel is goed gedocumenteerd; de waarde van gegevens en de complexiteit van IT/IT-beveiligingsomgevingen in de ondernemingen van vandaag betekenen dat informatiebeveiliging een kritisch onderdeel is van het traditionele due diligence-proces bij een deal, vooral vanwege de snelheid waarmee nieuwe bedreigingen kunnen opduiken. En volgens de CISO's van ondernemingen zal 2020 al een mijlpaaljaar worden voor de consolidatie in de sector.

Cyberbeveiliging M&A en consolidatie van de sector is al aan de gang

Negentienentwintig was een druk jaar voor deals in de beveiligingssector; grotere spelers kochten kleinere spelers op om hun portefeuilles uit te breiden. De overname van Carbon Black door VMware en de recente aankoop van Nyansa zijn goede voorbeelden, evenals de overname van Symantec door Broadcom en de aankoop van Demisto door Palo Alto Networks. En, gezien de immense proporties van point tools die de beveiligingsomgevingen van organisaties ontlasten, is er zeker vraag naar en behoefte aan meer unies.

Ondanks de voordelen van een opgeruimde omgeving kan het een uitdaging zijn om geconsolideerde instrumenten te verwijderen of bij te werken.

"We zullen in 2020 minder leveranciers hebben omdat ze weg geconsolideerd worden, dus daar moet je je op voorbereiden," voorspelde Marc French, CISO & managing director van product security group. "Als je zeven leveranciers had, kun je teruggaan naar drie, en je moet voorbereid zijn op de projecten die je gepland had en die geherstructureerd moeten worden als gevolg van marktbewegingen. Ook door platformbedrijven die endpointoplossingen of andere tools als pakket aanbieden, voorspel ik dat organisaties zullen eindigen met een handvol leveranciers van oplossingen op één platform die het grootste deel van je beveiligingsomgeving draaien."

"Nieuwe bedrijven ontstaan als water uit een fontein, en het tempo van nieuwe startups zal waarschijnlijk helemaal niet vertragen," aldus Sam Curry, CSO bij Cybereason. Hij stelde: "De stimulans is aanwezig voor startups om te dromen over groei en overname. Dit zal allemaal doorgaan in 2020, en hoewel niemand zijn SIEM of antivirus wegdoet, zal de industrie waarschijnlijk de merken zien vervagen die haar 20 jaar hebben gedomineerd en een nieuwe lichting middelgrote bedrijven zien opkomen in een gezonde verjonging van de industrie."

Als verwacht wordt dat dit jaar nieuwe, middelgrote bedrijven op het toneel zullen verschijnen, betekent dit dat klanten zich nu ook moeten voorbereiden.

De impact van de overname van beveiligingsleveranciers op uw bedrijf beoordelen

Hoewel het aan het nieuw overgenomen bedrijf is om toekomstplannen en tijdschema's te verstrekken voor zijn producten en/of diensten die in uw omgevingen worden ingezet, kunnen CISO's hun eigen verkenning uitvoeren om te zorgen voor bedrijfscontinuïteit.

1. Als uw leverancier na de aankondiging van een overname nog geen toekomstplannen en tijdschema's heeft meegedeeld, neem dan contact op en onderzoek de mogelijkheid om een zinvol gesprek te voeren over veranderingen die een impact kunnen hebben op uw bedrijf - bijvoorbeeld of uw product of platform zal worden verbeterd? Hoe kunt u tot overeenstemming komen over de toekomstige routekaart voor uw product? Bovendien zal het overnemende bedrijf de bestaande business willen behouden, waardoor het waarschijnlijk is dat er officiële communicatie over de deal zal zijn die product roadmaps omvat.
2. Controleer de SLA's en contracten om inzicht te krijgen in de reikwijdte van de dienstverlening, want bij verlenging zal de nieuwe entiteit waarschijnlijk nieuwe contracten willen opstellen, misschien een nieuwe prijsstructuur, of een andere verandering die van invloed zal zijn op de SLA's.
3. Voer een audit uit van de prestaties van de beveiligingsleverancier - houdt hij zich aan de SLA, en is het een bedrijfskritisch instrument?
4. Denk na over het doel van de overname; als het overnemende bedrijf van plan is waarde toe te voegen aan bestaande klanten door bestaande producten te verbeteren en op andere gebieden uit te breiden, kan de stap positief zijn. Als de deal echter is gesloten als kostenbesparende maatregel, is het verstandig om zo snel mogelijk contracten te herzien en toekomstplannen te bespreken.
5. In dit verband moet worden nagegaan of de oplossing van de nieuwe leverancier een aanvulling is op de bestaande productsuite, dan wel of het waarschijnlijk een platform voor meerdere oplossingen zal zijn.

Aan het gebruik van hulpmiddelen van derden in uw omgeving - al dan niet in verband met beveiliging - zijn risico's verbonden.

"Als je een klant bent die een beginnende leverancier heeft geselecteerd voor je beveiligingsomgeving, weet je dat er een kans is dat ze er morgen niet meer zijn", zegt Kristyn Ulrich, VP van corporate development bij Mimecast. "Je gebruikt de tool of dienst omdat deze voldoet aan je zakelijke behoeften, en je hoopt dat als ze naar de beurs gaan of worden overgenomen, de voorwaarden die van invloed zijn op je bedrijf je zullen beschermen voor de duur van het contract."

Tegelijkertijd kunnen meer gevestigde cyberbeveiligingsbedrijven het doelwit worden van overnames als zij niet meegroeien met het veranderende landschap.

Volgens Christina Van Houten, chief strategy officer bij Mimecast, gebruiken de meeste bedrijven M&A om groei en omzet te kopen. Maar er zou meer waarde moeten worden gehecht aan de relatie lang voordat de transactie plaatsvindt, door middel van regelmatige strategiediscussies, deelname aan en presentatie op elkaars offsites, conferenties en klantenaccounts.

"Al deze verschillende manieren om de mensen, het product en het bedrijf in het algemeen te leren kennen, zijn belangrijk," zei Van Houten. "Het gaat er niet om de transactie tot een goed einde te brengen; het gaat erom klanten toegevoegde waarde te bieden en een beter bedrijf te worden."

Vooruitkijkend naar 2020 en 2021 denkt Ulrich dat de cyberbeveiligingsmarkt snel zal blijven groeien door de aard van nieuwe bedreigingen, wat de deur openzet voor meer beveiligingsstartups en verkopers van point-tools. Ze voegde eraan toe: "Als we de waarderingen zien die deze bedrijven krijgen naarmate het aantal deals dit jaar toeneemt, stimuleert dat nieuwe bedrijven om de markt te betreden. Er is een punt waarop elke volwassen markt de piek van zijn consolidatie bereikt en de groeipercentages de neiging hebben om af te zwakken. Ik denk dat we daar nog niet zijn, en de bedreigingen zijn zo groot dat het moeilijk is om dat op korte termijn te zien gebeuren."