O mercado de cybersecurity vive o seu momento mais dinâmico da história, e finalmente está na crista da onda em termos de investimentos prioritários. Pesquisas, nos mais diversos setores, países e públicos, têm revelado invariavelmente as mesmas coisas: todos estão preocupados, investindo em proteção, contratando sem parar, muito mais do que nos anos anteriores.
Mas, qual a razão de tudo isso? Existem vários elementos que contribuíram para a construção desse cenário, mas todos eles ficam pequenos quando comparados ao grande motivo: a transformação digital.
Transformação digital, em poucas palavras, quer dizer colocar a tecnologia no core business de uma organização. E como cybersecurity sempre foi a reboque da tecnologia, acabou também indo para o core business, necessária para a sustentação dos negócios. Imediatamente passou de “recomendado” para “obrigatório”. E assim o mercado explodiu...
Nesse cenário, as atividades de M&A também aceleraram. Corporações, fundos de private equity, fundos de venture capital, e investidores em geral, estão buscando oportunidades nos quatro cantos do planeta.
Independentemente de estar comprando ou vendendo, como líder de negócios é importante entender a melhor forma de estruturá-los para obter o máximo deles e, ao mesmo tempo, minimizar os riscos. Este paper o ajudará a fazer exatamente isso, fornecendo 10 diretrizes essenciais para projetos de M&A bem-sucedidos em cybersecurity na América Latina. Essas diretrizes foram elaboradas para garantir que seus negócios de M&A não apenas maximizem o valor, mas também proporcionem um sucesso duradouro.
Se você está no sell-side, é o sócio, o empreendedor, siga essas diretrizes para fazer um bom negócio, escolher um bom comprador, para se juntar a uma tese que não esteja cometendo os erros comuns aqui descritos. Ou então foque só no seu cash out!
Se você está no buy-side, em fundos de private equity ou de venture capital, ou em áreas de M&A ou corporate development de estratégicos, siga essas diretrizes para escolher os alvos certos, que apresentem as maiores alavancas de valor para sua tese, para estabelecer metas e expectativas adequadas, ou ao menos para não entrar na lista dos executivos triturados em M&A de cybersecurity!
Acredite, essas diretrizes podem salvar você de entrar numa furada.
Então, vamos a elas...
1. Primeiro QUEM, depois O QUE.
Em qualquer negócio, QUEM são os empreendedores, executivos, profissionais que tocarão a empresa, sempre será mais importante do que O QUE será feito, mesmo porque não faz sentido você ter os melhores e não os deixar apostarem naquilo que acreditam. Como disse Steve Jobs, “não faz sentido contratar pessoas inteligentes e dizer a elas o que fazer; nós contratamos pessoas inteligentes para que elas nos digam o que fazer”.
No entanto, quando falamos de cybersecurity, essa regra ganha contornos muito mais fortes, pois é um mercado complexo. Da concepção da oferta até o delivery, do entendimento do comportamento do cliente até o fechamento dos negócios, da compreensão do idealismo dos empreendedores até a contratação e retenção dos escassos profissionais, cybersecurity é para especialistas. Aqui não há lugar para curiosos, generalistas, muito menos para amadores. Ou seja, se você quiser ter sucesso no seu M&A, profissionais da área devem estar envolvidos.
Já imaginando o que os gestores generalistas irão argumentar, um lembrete: não estamos falando só do aspecto técnico, de bits & bytes. Gerir uma empresa de cybersecurity requer conhecimento profundo da área. Desenhar estratégia e produtos, fazer marketing, vendas, delivery, e gerir pessoas, também!
Muito comum o erro de acreditar que TI e cybersecurity são as mesmas coisas. E que gestores, vendedores e outros profissionais de TI também darão conta de cybersecurity. Em vendas, por exemplo, os executivos de cybersecurity têm que “fazer chover”, enquanto em TI os volumes são muito maiores, os ciclos são muito menores, e o processo é muito mais simples. Então, você contratou aquele CEO da empresa consagrada de SaaS ou de infraestrutura de TI para ser o CEO do seu negócio de cybersecurity? Bem, acho que ambos irão se frustrar. Dificilmente serão a exceção para justificar a regra.
2. BRASIL, depois MÉXICO. E você resolveu 70% do problema.
O Brasil detém 40% do mercado de cybersecurity da América Latina. O México 30%. Os outros 30% estão distribuídos nos outros 31 países. Isso mesmo, 31 países, culturas, legislações, políticas, ambientes de negócios diferentes. Muitos deles não vale a pena nem chegar perto, ou porque são muito pequenos, ou porque são muito distantes, ou porque sofrem política e economicamente. Venezuela e, mais recentemente, Argentina, são exemplos de destinos não recomendados.
De longe, o Brasil é o país mais recomendado e onde tudo deve começar. Mesmo com todas as difíceis características de um país latino-americano, o Brasil é um continente, 12ª maior economia do mundo, instituições fortes, e o local das maiores empresas na região. Aqui também é o lugar onde a cybersecurity está mais desenvolvida, tanto do lado do cliente quanto do lado do fornecedor, se tornando mais fácil sair daqui para ofertar soluções para o resto da região (o contrário é quase impossível – o Brasil, culturalmente e tecnicamente, dificilmente compra soluções de outros países da América Latina).
Depois disso, o México, e estaremos em 70% do mercado. E bem próximos aos Estados Unidos, maior mercado do mundo quando falamos de cybersecurity. Essa proximidade também é muito importante. Sim, o México é tão complexo quanto o Brasil, e será necessário pessoal local, que conheça os atalhos, a cultura, o ambiente e negócios. Nenhuma novidade, mas o México é único.
Se tiver fôlego para mais, a ordem é Chile, Colômbia e depois Peru. E boa sorte com a expansão “internacional”.
3. Projeto de bilhões? Aqui AINDA NÃO.
O mercado de cybersecurity na América Latina, de acordo com uma compilação de várias fontes (todas apresentam números bem diferentes), é de aproximadamente US$12 bilhões. Destes, cerca de 40% não são endereçáveis, pois estão nas mãos das telcos, big techs, cloud providers, ou representam o mercado B2C. Ou seja, temos US$ 7,2bi para trabalhar, em 33 países e divididos em quase 400 providers. É isso mesmo.
Todos esses números comprovam que não cabe uma empresa de bilhões na região, nem projetos de consolidação mirabolantes nesses níveis. Ao menos por enquanto.
Então, vamos estabelecer números e metas razoáveis para não frustrar ninguém: nem o investidor que confiou o dinheiro a quem quer que seja, nem o empreendedor que vai trabalhar duro para o upside, nem os fundos com seus mínimos retornos de “3x investimento, em dólar” para começar a remunerar quem fez acontecer.
4. Serviços e tecnologias SIMPLES.
Cybersecurity é rocket science. Ponto. Se quiser falar de tecnologia de ponta nessa área, multiplique por um número grande essa complexidade. Ao mesmo tempo, nossa região nunca foi terra fértil para desenvolvimento de tecnologia de ponta. Ou seja, fuja desse risco.
Então, o que é possível fazer aqui na região, em termos de escopo? Essa é a lista:
Serviços gerenciados (MSS, MDR, etc.)
Serviços de consultoria
Serviços de integração
Revenda de produtos (hardware, software e serviços relacionados)
Desenvolvimento de tecnologias “simples”, tais como automação de processos (GRC, SOC Automation, Hardening Automation Tools, Phishing Tests, Privacy/Security Compliance Tools, etc.), Threat Intel, Identity Orchestration, e integrações de tecnologias de ponta adicionando uma “última milha” de novas features que podem conferir algum diferencial na oferta (ex: SIEM com Threat Intel para enriquecer dados).
E só.
5. Tese de ESCOPO, não de escala.
Quando o assunto é M&A em cybersecurity, principalmente na América Latina, o tema crítico para a tese é o escopo, não a escala. Por exemplo, muitas são as teses de criar um big player na região. Mas esse elefante vai precisar ter tromba, quatro pernas, rabo e orelhão. Ou vai se tornar um Frankenstein que vai confundir todos os stakeholders: clientes, parceiros, distribuidores, colaboradores e investidores não conseguirão montar ou entender a storytelling. E isso é mortal para qualquer negócio.
Além disso, teses de big player em cybersecurity precisam tomar um cuidado importantíssimo: se apresentar como one-stop-shop nesta área virou motivo de piada. O tema é tão complexo e extenso que nem a maior empresa de cybersecurity do mundo se atreveu a tentar resolvê-lo por completo. Então, não é na América Latina, 5% do mercado mundial, que vamos fazer isso. Ainda tem um detalhe para não esquecer: o cliente não vai colocar toda a segurança dele nas suas mãos, nem que você seja o maior, o melhor, o mais bonito e o mais reconhecido de todos os tempos!
Não destrua sua credibilidade com esse discurso, afinal credibilidade é importante para qualquer negócio, e em cybersecurity é vital.
6. AGILIDADE é o nome do jogo.
US$ 7,2bi divididos entre 33 países e quase 400 providers. Resumindo, há uma super fragmentação no mercado de cybersecurity na América Latina. Sim, há espaço para um big pure player, com atuação regional real, nos limites já discutidos anteriormente (hoje não existe nenhum big pure player com atuação, ao menos, no México e no Brasil, os dois maiores mercados da região).
No entanto, se sua tese é a consolidação desse mercado, esteja preparado para fazer rápidas e volumosas aquisições e integrações. Processos tradicionais, de mercados maiores, não irão funcionar aqui. Você precisa de 1 ano e milhões de dólares para adquirir qualquer player, porque seu processo e seu compliance requerem isso? Então esse mercado não é para você.
Na América Latina inteira existem 2-3 players relevantes (receitas acima de US$100MM), poucas empresas médias (entre US$ 50MM e US$ 100MM), algumas de pequeno porte (entre US$ 10MM e US$ 50MM), mas a grande maioria (cerca de 90%) é formado por empresas de até US$10MM. Então é bom evitar ilusões...
7. Crescimento orgânico é MARGINAL.
Qual a sua tese? Tornar-se o principal pure player em cybersecurity na América Latina? Criar uma business unit de cybersecurity relevante para o seu negócio? Consolidar o mercado? Seja qual for a tese, você não vai conseguir nada relevante, no curto prazo, com crescimento orgânico.
Numa compilação de várias fontes (novamente, todas apresentam números bem diferentes), o mercado de cybersecurity cresce de 10 a 15% ao ano, sendo que três áreas crescem entre 20 e 30% ao ano: application security, cloud security e identity. No entanto, como já discutido, o mercado da América Latina é de US$ 7,2bi divididos entre 33 países e quase 400 providers. Essa super fragmentação não vai te permitir crescer organicamente de forma a mexer seu ponteiro significativamente. A ação inorgânica será vital para o sucesso do seu projeto de M&A.
8. Revenda e integração para ENGORDAR OS NÚMEROS.
Todos sabemos que o negócio de revenda e integração tem um valuation baixo. No entanto, globalmente, o mercado de cybersecurity é distribuído em 60% produtos e 40% serviços e, como já discutido, nossa região nunca foi terra fértil para desenvolvimento de tecnologia de ponta. Ou seja, precisamos revender muito produtos dos outros, tornando o negócio de revenda e integração relevante para qualquer player local, caso o total de receita seja importante.
Dado este cenário, o cuidado é para não se caracterizar como uma empresa de revenda e integração, o que vai fazer você navegar em terras áridas tanto em termos de valuation quanto em termos de atratividade. Assim sendo, algumas possibilidades são:
Manter um mix de receita saudável, com o negócio de revenda e integração não ultrapassando 30% da receita total do negócio (claro que não existe um número mágico);
Trabalhar, com produtos de alto valor agregado, mais complexos, onde o papel da companhia seja relevante no jogo entre fabricante – distribuidor – revenda/integrador – cliente;
Inserir os produtos na prestação de serviços, como no modelo de serviços gerenciados de segurança (MSS), onde o cliente paga um valor mensal pelo conjunto de produtos e serviços.
Outros modelos existem e já são praticados hoje, sempre com o objetivo de fugir do modelo box moving tradicional. Mas o fato é que quando falamos do mercado de cybersecurity, os grandes fabricantes mundiais detêm a maior parte dele, e nossa região ainda está longe de ter uma participação importante como fabricante. Mas se você quer ser o vendedor de sapatos que viu na Índia uma grande oportunidade, porque muitos andam descalços, boa sorte!
9. Cliente público na MEDIDA CERTA.
Também sabemos que negócios com grande receita advinda do segmento público são pouco atrativos. Ocorre que, na América Latina, dos US$ 7,2bi endereçáveis, cerca de 35% vêm de clientes governo. Ou seja, é um mercado difícil de ignorar.
Tendo em vista essa realidade, a diretriz é ter cliente governo de qualidade, na medida certa. E o que isso significa? Vejamos algumas recomendações...
Clientes governo não devem ultrapassar 35% da receita total do negócio (novamente não existe um número mágico);
Focar em clientes governo com bom histórico de pagamento, processos transparentes e, idealmente, receita própria, tais como tribunais, bancos públicos etc. Fuja dos municípios;
Manter controles internos que garantam um processo ético, moral, legal e transparente no atendimento a clientes públicos;
Praticar a mesma política comercial do mercado privado.
O objetivo aqui é não abdicar desse grande e importante mercado, mas é importante cuidar para não ter qualquer dependência dele e, mais ainda, cuidar para não se envolver em processos obscuros que possam macular valores e princípios éticos.
10. ADJACÊNCIAS que podem alavancar os números.
Sim, o mercado de cybersecurity na América Latina é importante. Mas não é gigante. Assim sendo, se sua tese precisa de maior robustez em termos de receita, e margens, a solução pode estar em mercados adjacentes, que possuem uma intersecção não marginal com o mercado de cybersecurity: os mercados de privacidade, de antifraude, de OT security, e de segurança física.
As especialidades são sim diferentes, mas as zonas cinzentas são cada vez maiores, levando empresas (clientes finais) de todo o planeta a aproximarem seus esforços em todas essas áreas, muitas delas condensando a gestão dos temas em uma só estrutura organizacional, o que tem aproveitado as sinergias e diminuído os conflitos do dia a dia. Adicionalmente, temas como antifraude e OT security têm ganhado cada vez mais atenção da alta gestão das organizações, dada a proximidade com o core business.
Assim sendo, faz sentido essa expansão de atuação, tanto que a cada dia surgem mais empresas que englobam todas essas soluções, oferecendo ao cliente maior valor em seu portfolio. Claro que com storytelling adequado, sem confundir ninguém.
Se quiser obter mais informações de como a SAFONT REIS Cybersecurity Advisors pode ajudar em seus processos de M&A, acesse https://www.safontreis.com/m-a-cybersecurity-advisory-services.
Comments