Sophos profiteert van hernieuwde focus op security

Sophos groeit hard, heel hard. Althans, dat is wat we opmaken uit de groeicijfers van de verschillende onderdelen van het (zakelijke) portfolio. Dat is best knap, ook al is de security-markt als geheel steeds belangrijker aan het worden en wordt er steeds meer in geïnvesteerd. Daar hebben de recente dreigingen uiteraard ook aan bijgedragen. Wij spraken recent met Erik Farine, de nieuwe Regional Director Benelux voor Sophos. We hadden het onder andere over de uitdagingen en ambities van Sophos. 

Erik Farine, Region Director Benelux bij Sophos
Erik Farine, Region Director Benelux bij Sophos

De security-markt is van nature een versplinterde. Er zijn maar een paar bedrijven die meer dan 1 miljard dollar per jaar omzetten in deze branche, zo hoorden we eerder dit jaar ook al eens toen we op bezoek waren bij Palo Alto Networks. Je ziet dus veel specialisatie, overigens ook een trend van deze tijd. Steeds meer bedrijven gaan inzien dat het beter is om een of enkele zaken heel goed te doen, dan alles maar een beetje. Daarnaast is de security-markt erg lokaal gedreven, geeft Farine aan. Dat maakt het zelfs voor grotere spelers niet eenvoudig om hard te groeien.

Sophos behoort op dit moment overigens zeker al tot de grotere spelers. De jaaromzet voor het afgelopen fiscale jaar (eindigend op 31 maart) bedroeg 768 miljoen dollar. Dan kun je met geen mogelijkheid iets anders dan een serieuze partij genoemd worden. Wil het bedrijf tot de echt ‘grote jongens’ gerekend worden, dan moet daar echter nog wat bovenop. Een omzet van 1 miljard is dan ook het doel dat Sophos zich heeft gesteld.

Zeer forse groei

Om het doel van 1 miljard per jaar te behalen, moet er dus stevig doorgegroeid worden. Dat moet vooral gebeuren op de zakelijke markt. Sophos heeft ook (gratis) software voor thuisgebruik, maar daar ligt de focus niet op.

Binnen de zakelijke markt, ligt de focus verder vooral op het middensegment. Het bedrijf richt zich primair op bedrijven tot 5000 gebruikers. Dat er behoorlijk goed verdiend kan worden aan relatief kleine bedrijven, wordt duidelijk als Farine aangeeft dat Sophos 1/3 van de omzet haalt uit bedrijven die kleiner zijn dan 50 man. Daar zijn er simpelweg heel veel van. Dat weegt uiteindelijk ook stevig door.

Farine somt de groeicijfers van het afgelopen jaar voor het gemak eens op. De XG-firewall business is 263 procent gegroeid in het afgelopen jaar, gewone end-point security 157 procent, Sophos Central 271 procent en Intercept X liefst 319 procent. Uiteraard zijn dit soort percentages altijd afhankelijk van waar men vandaan komt. Sophos is echter geen start-up, dus dit soort triple digit groeicijfers zijn zonder meer indrukwekkend.

Goede tijd voor security

Om nu te zeggen dat het gouden tijden zijn voor security-bedrijven gaat wellicht wat ver, maar de ontwikkelingen zitten niet tegen. Zo is het niet gek dat Intercept X het hardst is gegroeid, als je bedenkt dat dit product bescherming biedt tegen ransomware. Alleen vorig jaar al hebben we met Wannacry, Petya en NotPetya het nodige voorbij zien komen op dat vlak. De lancering van de server-variant van Intercept X zal dit deel hoogstwaarschijnlijk nog wat harder laten groeien. Daarnaast helpt het natuurlijk ook dat Intercept X nog niet zo heel oud is, dus dat er nog veel groei inzit. Let wel, volgens Farine is Intercept op dit moment al verantwoordelijk voor 17 procent van de business die het bedrijf doet.

Dagelijks komen er zo’n 450.000 bedreigingen bij, dus het is ook zeker niet onverstandig om meer te investeren in security. Het wordt daarnaast ook meer en meer targeted malware in plaats van breed opgezette malware. Dat heeft dan weer gevolgen voor waar de nadruk moet komen te liggen op het gebied van security. Encryptie van individuele gebruikers wordt dan bijvoorbeeld belangrijker.

Ontwikkelingen zoals die hierboven beschreven hebben ervoor gezorgd dat security hoger op de lijst met prioriteiten komt te staan bij bedrijven. Dat zorgt onder de streep uiteraard voor meer uitgaven op dat gebied. Farine weet ons te vertellen dat in België gemiddeld 3 procent van het budget werd besteed aan security. Inmiddels is dat al gegroeid naar ruim 5 procent.

Meer dan alleen timing

De forse groei van Sophos is niet alleen maar het gevolg van de tijdsgeest, aldus Farine. Sophos heeft ook een zeer compleet en vooral gebruiksvriendelijk portfolio. Althans, dat is de strategie die Sophos volgt, zoals bij eigenlijk bijna ieder modern bedrijf het geval is. De klant staat centraal, zoals dat zo mooi heet.

Een cruciaal onderdeel van de strategie van Sophos is wat Farine tijdens ons gesprek synchronised security noemt. Daarmee doelt hij op het met elkaar ‘praten’ van de verschillende security-componenten in een organisatie. Dat wil zeggen, firewalls en endpoints die continu in contact staan met elkaar en op die manier een beter sluitend security-net maken. Een firewall kan bijvoorbeeld een ‘ziek’ endpoint isoleren van het netwerk en in quarantaine zetten.

Intercept X is een van de voornaamste pijlers van Sophos en zou je uiteindelijk kunnen zien als de kern van de gesynchroniseerde benadering. Daarnaast is er naast de XG-firewalls en de traditionele endpoint-business ook nog Sophos Central. Hiermee wordt het beheer van alles wat Sophos te bieden heeft gecentraliseerd in een enkel systeem. Daarmee toont Sophos aan mee te gaan met de moderne IT-wereld. Alles wordt meer en meer centraal aangestuurd. Standaardisatie en eenvoud is waar het onder de streep om draait.

Groei zorgt voor wijzigingen in strategie

De groei die Sophos doormaakt is natuurlijk erg prettig voor het bedrijf, het zorgt er ook voor dat er intern het nodige aangepast moest en moet worden. De bestaande structuren werken door die harde groei simpelweg niet meer. Dat zal de voornaamste focus zijn voor Farine de komende tijd. “Qua technologie zijn we er”, stelt hij. Het gaat nu vooral om alles nog beter neerzetten als organisatie.

Onderdeel van de nieuwe strategie is de beweging richting managed service providers (MSP’s). Zowel Nederland als België zijn hierin voor Sophos wereldwijd voorlopers. Beide landen behoren bij de drie grootste groeiers ter wereld op dit vlak. Sophos Central zal hierin uiteraard een cruciale rol gaan spelen. Dat maakt het immers mogelijk voor MSP’s om meerdere klanten vanuit dezelfde omgeving te bedienen.

Verder is de kanaal strategie verzelfstandigd. Voorheen viel dat samen met het direct touch gedeelte. Dat is nu dus uit elkaar gehaald. Het kanaal wordt daarnaast ook getraind. Dat moet natuurlijk ook wel, als je als bedrijf richting een MSP-strategie beweegt. Dan moet er ook voor gezorgd worden dat veel specialistische kennis richting de MSP’s overgedragen wordt. Anders kunnen die hun klanten niet optimaal ondersteunen.

Toekomst: ook grote bedrijven strikken?

Als we zo eens luisteren naar Farine en de cijfers van Sophos bekijken, dan is het duidelijk dat het goed gaat met het bedrijf. Het zou ons verbazen als die 1 miljard niet gehaald wordt in ieder geval.

Hoe zit het met de ambities van Sophos richting de echt grote bedrijven, om die als klant aan zich te binden? Is dat een doel voor de toekomst? Daarmee valt in ieder geval nog de nodige groei te realiseren, lijkt ons. Farine geeft aan dat Sophos hiervoor vooralsnog niet het portfolio heeft. Qua endpoint security (traditioneel en Intercept X) kunnen ze de concurrentie zeker aan volgens hem. In de firewalls missen ze nog de nodige features om echt een goed alternatief te zijn.

Aan de andere kant, Sophos wordt tegenwoordig spontaan uitgenodigd door bedrijven die boven het maximale aantal gebruikers zit waar ze zich normaal gesproken op richten. Dat is iets van de laatste tijd. Ze komen dus langzaam maar zeker op de radar van de echt grote jongens.

Gaat Sophos de sprong naar large enterprises maken? Volgens Farine gaat men dit doen, maar zullen ze dit niet overhaast gaan doen. We kunnen ons voorstellen dat men dit bij Sophos zeker gaat overwegen als er voldoende interesse is. Aan de andere kant kan het ook focus weghalen bij de markt waarin ze juist zo sterk zijn. Dan wordt de positie er onder de streep in het algemeen alleen maar minder op. Het kan dus ook juist sterk zijn om het bewust niet te doen.

Maar goed, eerst maar eens afwachten of, en zo ja, wanneer Sophos de miljard gaat halen. We zullen het in ieder geval goed in de gaten houden.