“Se a empresa não tiver uma cultura de MSSP nunca o vai ser, por muito que tente”

Como correu o ano de 2022 e esta primeira metade de 2023 para a Check Point?

O ano de 2022 foi muito bom. Não estamos autorizados a revelar números de cada país, apenas globais, mas, em Portugal, conseguimos crescer acima de dois dígitos e foi extremamente positivo.

Temos mantido uma tendência de mais de sete anos de constante crescimento e acima dos dois dígitos que é quase um caso único em toda a Check Point; há sempre oscilações, um ano melhor, outro pior, e nós temos conseguido sempre uma tendência muito positiva e muito constante e isso é muito bom.

2023 é um ano que está a ser um pouco estranho. Vemos a cibersegurança em cima da mesa como nunca, vemos os temas a acontecerem, vemos os clientes a quererem falar daquilo que são os novos temas e não apenas os temas tradicionais como os endpoints e as appliances; fala-se muito de SASE e ZTNA, já se fala muito de IoT, que sempre teve ali um pouco de fora.

Há uma área que se fala pouco e que gostava de ver na agenda que é a área do mobile porque é uma das superfícies de ataque que, provavelmente, mais ajuda a acontecer ataques e os clientes continuam a menosprezar esta área. Depois, há outra área que está atípica por causa da questão da guerra e da crise: não há uma constante nos investimentos ou na adjudicação dos projetos.

Este mercado nunca teve tanta importância, concorda?

Nem tanta visibilidade, nem tanta concorrência como agora, especialmente Portugal; estávamos menos expostos. A Check Point, sendo um dos fabricantes mais antigos – se não o mais antigo – do mercado, tinha uma posição mais dominante. Agora sentimos mais a concorrência. Isso não impede de ter crescimentos consideráveis.

Como evolui o mercado de cibersegurança, especialmente em Portugal?

Não é uma resposta fácil porque, por um lado, vejo num sentido muito positivo. Fala-se muito de cibersegurança, há sensibilidade para a temática. Contudo, não vejo ainda acontecerem coisas que são essenciais.

Se criarmos duas linhas onde uma é o aumento da atenção sobre cibersegurança e a outra é o aumento daquilo que são os ataques e as vulnerabilidades, ainda que a linha do interesse e do número de projetos que se fazem seja positiva, a linha dos ataques continua a crescer a uma velocidade maior e o ganho não é assim tão considerável.

Com o COVID-19, com a aceleração da transformação digital, houve um aumento sobre aquilo que são as superfícies de ataque e se por cada superfície de ataque metemos cinco vetores de ataque, se aumentaram dez superfícies de ataque, na verdade aumentaram 50 vezes os vetores de ataque. É mais do que isto, mas é uma extrapolação que se pode fazer. Aquilo que é o foco nesta área, para mim, não cobre a evolução que está a acontecer na parte dos ataques.

Há um outro fator que agrava a situação que é a falta de recursos que, neste momento, é um problema grave no mercado. Como a área de cibersegurança é uma área trendy, estão a aparecer milhares de especialistas em cibersegurança; obviamente, todos podem estudar, aprender, fazer um curso ou uma formação e é necessário. Às vezes vejo responsáveis de cibersegurança em certas posições que não têm a experiência de vida para ter aquela mesma posição. Aquilo que sei e a forma como vejo o mercado não vem só do que estudei, mas dos anos todos que acumulei de experiência.

Quando vou ter com um Parceiro novo, por vezes perguntam-me que certificações devem fazer. O que digo é que o mais importante não são as certificações, o mais importante é o know-how, até porque há um mercado paralelo de fazer certificações, que até é relativamente fácil. Ter o know-how necessário para acompanhar o cliente – principalmente os de maior complexidade – requer anos. Não consigo fazer uma formação intensiva e as pessoas saírem para ir tomar conta de um operador, de um banco ou de uma seguradora. São anos de experiência.

Sente que estão a emergir Parceiros e pessoas com pouca base?

Estão a emergir Parceiros que se querem focar nesta área e que têm pouca base e pouca experiência. Não basta fazer uma formação num fabricante para ser imediatamente especialista em cibersegurança; posso tornar-me especialista naquele fabricante, não em cibersegurança. A firewall per se não é segurança; ela tem de ser configurada e personalizada à realidade do cliente de forma a dar segurança ao cliente.

Já tive situações de clientes comprarem Check Point e depois a regra era any accept e se houvesse um ataque diziam ‘tinha Check Point e fui atacado’. É óbvio: se as coisas não forem bem configuradas, os ataques vão se dar, mesmo que seja o melhor produto do mercado.

Esta é uma situação que hoje vejo – a falta de recursos – que é agravada por vários fatores. Há muitas empresas a quererem entrar na área da segurança, que está a ter atenção quer nos integradores, quer nos clientes. São necessários recursos e vimos chegar a Portugal – costumo dizer que agora somos a China do outsourcing – empresas internacionais que criam aqui os seus centros, os seus nearshores, onde facilmente pagam mais barato do que pagariam nos seus países de origem, e rapidamente há uma sangria dos recursos, principalmente dos que são mais experientes. Vejo que, neste momento, é gritante em termos do que é cibersegurança. Os próprios clientes têm muita dificuldade em contratar recursos.

Isso não é uma oportunidade para os Parceiros do middle market já que os clientes terão mais dificuldades em contratar recursos?

É, mas ter esses recursos demoram anos e muitas vezes o time-to-market pode ser de meses e não de anos. Isso é um problema.

Outro problema é que mesmo quem sai da universidade não está muito interessado em ir trabalhar para infraestrutura. Querem ser coders, nómadas digitais e não estão para se agarrar a um bastidor ou configurar um SASE ou uma gateway virtual na cloud.

Temos de olhar para esta temática um pouco como os ataques. Apesar de viver de tecnologia, olhamos demasiado para a cibersegurança como algo tecnológico; não é. Aquilo é crime ou interesses económicos, no caso de países, que usa a tecnologia. Se amanhã o valor, em vez de estar dentro de sistemas tecnológicos, estiver noutro sistema qualquer, é para lá que o crime se vai mover.

Este é o primeiro passo que quem queira fazer cibersegurança tem de pensar: os processos, a informação, o valor, onde é que estão e, então, fazer a proteção. Só depois vem a tecnologia.

Quais são as linhas de produtos que estão a registar um maior crescimento em Portugal?

É tudo aquilo relacionado com o utilizador – chamamos de linha Harmony – e tem a ver com o endpoint, com o XDR, com o SASE, com o ZTNA – apesar de não ser um produto, as regras que se aplicam têm a ver com toda essa componente que é a que está a crescer mais. Globalmente, cresce muito, também, a componente de cloud; Portugal está a um ritmo um pouco mais lento, mas também cresce.

Essencialmente são essas duas áreas, no entanto, ainda continua a existir um balanço muito grande com aquilo que é o negócio tradicional e ainda se continua a fazer uma boa maquia de dinheiro à volta daquilo que era o negócio tradicional.

Aquilo que cresce a mais de dois dígitos é a componente do endpoint, XDR, SASE, entramos no mercado de SD-WAN, as VPN, as-a-Service, dar acesso remoto a diferentes aplicações em diferentes locais… esta é a área que mais cresce neste momento.

A Check Point é muitas vezes associada ao mercado de high-end. Quais são as ambições que têm no mercado de PME?

Mudar a perceção que há da marca é algo que é muito difícil, mas, por incrível que pareça, estamos a chegar mesmo às empresas mais pequenas, com cinco ou dez utilizadores. Julgo que somos o fabricante no mercado que tem a melhor solução para este tipo de empresas.

Estamos a desenvolver algumas ações para ter mais sucesso. Obviamente que a falta de perceção da marca é um problema, mas mesmo as microempresas são muitas vezes suportadas por microparceiros. Temos vindo a tentar lá chegar. Já ganhamos por ano mais de 300 novos clientes vindos destas áreas, como o pequeno retalho e pequenas empresas de serviços.

A Check Point é dos poucos fabricantes no mercado que tem uma visão, a anuncia e a efetiva. Essa visão tem a ver com os três C – consolidação, compreensão e controlo – e de termos soluções que cobrem todas as superfícies e vetores de ataque que uma pequena empresa é vítima e gerida a partir de uma única consola. Hoje, conseguimos fazer isso com preços extremamente competitivos com a mesma segurança que oferecemos a um banco ou a um operador, mas a uma pequena empresa.

Uma pequena empresa provavelmente não tem um IT, já não tem um servidor porque o software de faturação está na cloud, o escritório já é híbrido; o que é que essa empresa precisa: gateway no escritório, proteção de endpoints efetivos e que dê proteção dentro e fora do escritório, precisa de proteção do dispositivo móvel e como há uma migração massiva dos servidores de email on-premises para a cloud, também tem essa proteção. Tudo isto gerido numa única consola. Hoje, a Check Point consegue oferecer isto com muita facilidade e a preços competitivos, mesmo muito competitivos.

Por incrível que pareça, apesar dessa perceção, já descemos até do mercado médio para mercados mais baixos e posicionamo-nos, se calhar, como o fabricante que tem a melhor solução – seguindo os três C – para endereçar esses clientes. É simples, compreensiva, vai a todas as áreas de atuação do cliente, tem toda a visibilidade e controlo numa única consola com a melhor segurança.

Quais são as competências que os Parceiros devem ter para serem um MSSP de excelência?

Tudo tem a ver com uma cultura da própria empresa. Se a empresa não tiver uma cultura de MSSP, nunca vai ser um MSSP, por muito que tente. Vai ser qualquer coisa, mas não um verdadeiro MSSP porque vem logo da componente de investimento. Para se ser MSSP, tem de se assumir que se vai fazer um investimento à cabeça que depois se vai obtendo o retorno ao fim de ‘x’ anos. Às vezes, o que vejo – não só com os Parceiros com que trabalho, mas em Portugal no geral – é que se quer com dois ou três clientes recuperar o investimento que deve ser recuperado com 30 ou 40. Isto é um problema. Se não houver a cultura de MSSP no Parceiro, dificilmente serão um MSSP porque vão ter preços que são mais elevados do que aquilo que deveriam ter.

Depois, têm de ter dentro de casa a capacidade de ter processos logísticos e financeiros para fazer o back-to-back com o fabricante e cliente, porque passamos a faturar mensalmente com o cliente e a maioria dos integradores não estão habituados.

Depois, obviamente, ter equipas técnicas que tenham a experiência e a maturidade para perceber que, hoje, o MSSP raramente está relacionado só com uma firewall; estamos a falar de endpoint, de mobile, de cloud, de email, de SASE e é aqui que os MSSP se começam a posicionar porque são modelos mais simples e requerem menos investimento. Estão na cloud e o próprio fabricante faz o modelo com o Parceiro e tudo se torna mais simples. O know-how que é preciso é nestas áreas e não tanto nas áreas tradicionais. Estes são os três vetores que vejo para o Parceiro ser um MSSP de sucesso e é por isso que se calhar não há assim tantos a terem sucesso ou a enveredarem por este caminho.

Como está, atualmente, o Programa de Parceiros da Check Point, especialmente em Portugal? Qual a orientação para o nosso mercado?

Temos um Programa de Parceiros onde a ideia é premiar os Parceiros que se destacam e fazemos essa premiação a diferentes níveis: o compromisso com a Check Point – que normalmente se traduz em volume de negócio –, com o compromisso tecnológico de ter recursos e obrigamos que existam um conjunto de certificações obrigatórias que vão muito além das simples appliances e, depois, fazemos todos os trimestres um QBR e um business plan que vão acompanhando esses Parceiros e faz a evolução do negócio. É com base nestes pressupostos que atribuímos o nível de Parceria.

De alguma forma, o que queremos fazer é premiar os Parceiros que se comprometem connosco e Parceiros de três estrelas têm de ter este compromisso connosco. Já nos aconteceu Parceiros de duas estrelas terem mais faturação do que um Parceiro de três estrelas, mas foi um negócio esporádico e não havia todo o compromisso de desenvolvimento de negócio, de alinhamento do negócio.

O que fazemos com os Parceiros é alinhar os diferentes vetores que a Check Point quer trabalhar – e hoje olhamos para a Check Point em duas grandes áreas, aquilo que é a área do tradicional e a área do new – e é muito importante que o new cresça e continue a crescer, temos um foco muito grande e tentamos que o Parceiro se alinhe e responsabilize com um objetivo que acordou connosco num ano e vamos fazendo a validação.

Já não estamos naquela fase em que temos um Programa de Canal que atribuímos os níveis no início do ano e depois víamos como acontecia no final; não. Ao longo do ano vamos fazendo pontos de contacto e ajuste para que, efetivamente, os Parceiros estejam alinhados com o nosso negócio e nos ajudem a chegar aos nossos objetivos.

Em paralelo, continuamos a procurar novos Parceiros na perspetiva que, mais tarde, englobem este grupo principal. A Check Point oferece – como ofereceu sempre – proximidade, transparência e confiança. A palavra tem de continuar a contar e os Parceiros têm de contar que o fabricante é fiel e está com ele no negócio até ao fim. Isso é muito importante, às vezes até mais importante do que o produto ou o preço. Continuamos a procurar novos Parceiros, principalmente aqueles que nos permitam chegar a novas áreas, a novos territórios, a novos clientes. Aí, não somos exigentes naquilo que são os requisitos para serem nossos Parceiros e recorremos à ajuda dos nossos distribuidores para acompanhar esses novos negócios.

O que esperam do resto do ano de 2023?

As expectativas para o resto do ano são significativas. Temos pipeline para fazer o nosso objetivo e isso implica um crescimento significativo, mas vai depender um pouco de como a economia se vai comportar. Os orçamentos têm de ser executados; se os orçamentos não forem executados, vamos ter uma grande dificuldade. Já não é uma questão de falta de sensibilidade ou problemas tecnológicos, é mesmo uma questão financeira que pode levar os números para um lado ou para o outro.