Presença de investidores pode corroer uma solução de cibersegurança?
A entrada de fundos de investimento em empresas de cibersegurança, especialmente os de private equity, vem levantando uma preocupação crescente entre órgãos governamentais e grandes corporações: até que ponto essa presença interfere na qualidade técnica e na robustez de produtos críticos, como soluções de VPN?
Uma análise recente publicada pela agência Bloomberg aponta que, nos Estados Unidos, parte de funcionários do governo federal e executivos do setor privado está revendo a forma como avalia softwares de segurança. Não se trata mais apenas de testar funcionalidades, checar certificações e examinar relatórios de vulnerabilidades. Cada vez mais, o histórico de aquisições, a estrutura acionária e o perfil dos investidores passam a fazer parte do checklist de risco de tecnologias consideradas estratégicas.
Segundo a publicação, algumas organizações chegaram a substituir, em suas redes, VPNs pertencentes a empresas controladas por private equity. O movimento não é apenas técnico, mas também de governança: em avaliações de risco, a participação de fundos de private equity passou a ser considerada um fator relevante na análise de confiabilidade das soluções.
O caso da Ivanti é um dos mais emblemáticos citados. A empresa nasceu em janeiro de 2017 a partir de uma fusão promovida pela ClearLake Capital, seu principal investidor, que uniu duas companhias já presentes em seu portfólio: Heat Software e LanDesk. Nos quatro anos seguintes, sob a batuta dos controladores, a Ivanti saiu às compras e adquiriu cinco outras empresas. O resultado, porém, não foi apenas ganho de escala: o balanço financeiro entrou no vermelho no período, pressionado pela estratégia agressiva de aquisições.
Em entrevista à reportagem, o ex-diretor de TI do Goddard Space Flight Center da NASA, Rob Leahy, resume uma percepção recorrente no mercado: na experiência dele, empresas sob controle de private equity tendem a priorizar aumento de lucro e redução de dívida, muitas vezes em detrimento de investimentos contínuos em desenvolvimento e manutenção de produtos. Em cibersegurança, onde correções rápidas, pesquisa permanente e engenharia altamente qualificada são fundamentais, esse desequilíbrio pode sair caro.
A Bloomberg já havia apontado, no ano anterior, problemas semelhantes em outra gigante do setor: a Citrix, importante fornecedora de VPNs. Depois que a Elliott Investment Management e a Vista Equity Partners assumiram o controle da companhia em 2022, a maior parte da equipe de segurança de produtos – cerca de 70 profissionais – foi demitida. Segundo a agência, a redução drástica da área teria sido seguida de uma sequência de ataques cibernéticos de grande porte direcionados à empresa, num momento em que sua base de clientes dependia fortemente da estabilidade e proteção de suas soluções.
No caso específico da Ivanti e da divisão de VPN Pulse Secure, ex-funcionários ouvidos – muitos deles engenheiros da Pulse ou executivos de alta gestão da Ivanti – relataram, sob anonimato, que a pressão intensa para cortar custos levou os controladores a demitir profissionais considerados essenciais para a manutenção e evolução do Connect Secure. Isso teria ocorrido exatamente em um período de aumento expressivo no volume e na sofisticação dos ataques cibernéticos voltados a soluções de acesso remoto.
A empresa, em nota enviada à Bloomberg, negou que o modelo de propriedade exercido pelos investidores tenha prejudicado sua operação. Afirmou ainda que VPNs, por natureza, são alvos de alto risco e sofrem tentativas de ataque com grande frequência. Apesar dessa defesa, o histórico recente acabou chamando a atenção das autoridades de segurança dos Estados Unidos.
No início de 2024, a CISA (Cybersecurity and Infrastructure Security Agency), órgão federal responsável por proteção de infraestruturas críticas, emitiu uma ordem de emergência pouco comum às agências do governo americano: a determinação foi para que desconectassem imediatamente o software de VPN Connect Secure. O motivo: espiões chineses teriam explorado falhas no código, conseguido se infiltrar na solução e acessado redes de quase duas dezenas de organizações. O episódio reforçou, na prática, a preocupação de que decisões financeiras e de corte de custos possam afetar diretamente a solidez de produtos de segurança amplamente utilizados.
Esse cenário levanta uma questão delicada para CISOs, gestores de risco e conselhos de administração: como equilibrar a necessidade de eficiência econômica – algo que investidores naturalmente buscam – com a natureza crítica das soluções de cibersegurança, que exigem alto investimento contínuo em pesquisa, teste, correção e resposta a incidentes?
Em muitos casos, o modelo clássico de private equity parte de uma lógica clara: adquirir empresas com potencial, cortar despesas, otimizar operações e, em prazo relativamente curto, buscar valorização para revenda ou abertura de capital. Quando esse modelo é aplicado a setores menos sensíveis, o impacto pode ser administrável. Mas, em segurança digital, a redução de quadros técnicos, atraso na correção de vulnerabilidades e diminuição de orçamento para P&D não são apenas riscos financeiros: podem significar brechas exploráveis por grupos criminosos ou atores estatais.
Outro ponto pouco discutido é o efeito cultural dessas mudanças. Equipes de engenharia de segurança costumam trabalhar sob grande pressão, com foco em qualidade, revisão de código e monitoramento contínuo. Ao serem submetidas a cortes sucessivos, metas financeiras agressivas e trocas constantes de liderança, tendem a perder talentos-chave – que migram para empresas onde a missão de segurança seja percebida como prioridade real, e não como um custo a ser comprimido. Isso fragiliza o “capital intelectual” das soluções, mesmo que o produto continue a ser vendido com o mesmo nome e reputação histórica.
Para compradores de tecnologia, especialmente em ambientes sensíveis como governo, finanças, saúde e infraestrutura crítica, passa a ser fundamental incluir questões de governança e propriedade nas matrizes de risco. Não basta perguntar se a solução tem criptografia forte ou certificados de conformidade; é preciso investigar quem controla a empresa, quais foram as mudanças recentes na estrutura acionária, se houve ondas de demissões em equipes de segurança, e como está a transparência em relação a incidentes passados.
Uma abordagem prática para CISOs é tratar o “perfil do investidor” como um vetor adicional de risco. Organizações podem, por exemplo:
– Monitorar anúncios de fusões e aquisições que envolvam seus fornecedores de segurança.
– Reavaliar contratos sempre que houver entrada de fundos de private equity ou grandes mudanças de controle.
– Exigir, em due diligence, informações sobre a manutenção de equipes de segurança e planos de investimento em P&D após a aquisição.
– Incluir cláusulas contratuais que prevejam níveis mínimos de suporte, prazos de correção de vulnerabilidades e transparência em divulgação de falhas.
Também é importante diferenciar: a presença de investidores não é, por si só, sinônimo de risco. Existem fundos especializados em tecnologia que entendem a criticidade da segurança e mantêm – ou até ampliam – os investimentos em equipes técnicas e inovação. O problema surge quando o objetivo de rentabilidade de curto prazo se sobrepõe completamente à necessidade de investimento estrutural em segurança, criando um cenário em que “cortar” parece mais atraente do que “proteger”.
Para os próprios fornecedores de cibersegurança, o aprendizado é igualmente claro. Empresas que buscam capital precisam negociar, desde o início, o entendimento de que segurança não é um centro de custo comum. É um pilar do negócio. Comprometer a integridade do produto pode até gerar economias imediatas, mas mina a confiança de clientes estratégicos, abre espaço para concorrentes e expõe a empresa a sanções regulatórias, ações judiciais e danos reputacionais difíceis de reverter.
O caso Ivanti/Pulse Secure e o histórico recente da Citrix funcionam, portanto, como alertas para todo o ecossistema. Eles mostram que a discussão sobre cibersegurança não pode ficar restrita apenas às áreas técnicas. Conselhos, investidores, reguladores e líderes de negócios precisam entender que a qualidade de soluções como VPNs, firewalls, sistemas de detecção de intrusão e plataformas de gestão de identidade está diretamente ligada às decisões de investimento e à estabilidade das equipes que as sustentam.
No fim, a pergunta que fica para qualquer organização que depende de soluções críticas de segurança é direta: o fornecedor do qual você depende está, de fato, investindo para tornar o produto mais seguro a cada ano, ou apenas extraindo valor até o limite, sob pressão de resultados financeiros? Em um ambiente de ameaças em constante expansão, essa resposta pode determinar não só a eficácia da defesa cibernética, mas a própria resiliência do negócio.