En estos tiempos es complejo ser un CISO o el fundador de una startup de seguridad: los recursos son escasos y hay mucho en juego al decidir dónde asignarlos. Esto significa que el CISO que decide si incorporar o no un producto tiene menos tiempo, presupuesto y personal que en los últimos años, y su presentación tiene que ser mucho mejor para justificar la selección.
Como apoyo tiene el número creciente de ataques cibernéticos y ransomware de exfiltración que continúan amenazando los resultados de las empresas y que significa que la seguridad sigue siendo una prioridad comercial. Gartner predice que el gasto de los usuarios finales en el mercado de seguridad de la información y gestión de riesgos crecerá de $172,500 millones en 2022 a $267,300 millones en 2026, por lo que las oportunidades siguen siendo abundantes.
Así como los ejecutivos de seguridad condensan y refinan sus estrategias, los creadores de soluciones deben hacer lo mismo en la forma en que presentan a estos CISO. Ya no hay espacio para que un buen producto gane a un CISO a pesar de una mala presentación.
Con más de cuatro décadas combinadas en ingeniería informática, ciberseguridad y experiencia en inversión y asesoramiento de empresas emergentes de seguridad, estas son las preguntas importantes que el proveedor de una solución de seguridad inteligente debe responder en sus discurso para cerrar acuerdos críticos y adaptarse a la singularidad del cliente y las condiciones del mercado y la industria:
1. ¿Cómo me ayuda la solución a vender más X?
En la industria, a menudo se escucha sobre «una solución que busca un problema», cuando la responsabilidad recae en el CISO que escucha la presentación para descubrir qué problema está tratando de resolver su producto y por qué es fundamental para su negocio. Si bien esto puede haber funcionado en el pasado cuando no había tantas soluciones, hoy puede ser un factor decisivo. Con el creciente número de proveedores ahora en el mercado, los CISO ya no tienen tiempo para hacer este trabajo que debe ser del proveedor de la solución.
Una pregunta que Steve hizo a más de cien proveedores de seguridad como CISO de Levi Strauss fue: «¿Cómo esta solución vende más jeans?»
En demasiados casos, la respuesta fue «estamos aquí para ayudarlo a encontrar más vulnerabilidades o identificar más riesgos en su entorno», lo que lleva a una respuesta rápida de «gracias, no gracias», ya que entregar más problemas al CISO es no ayudar a vender más jeans o resolver un problema. Mostró una falta de comprensión y demostró que simplemente querían vender otra herramienta.
Cuando la respuesta fue similar a «nuestro producto abordará el caso de uso de identificar y remediar la mala configuración maliciosa o accidental de los datos de PII de su consumidor en la nube para limitar el riesgo financiero de multas reglamentarias y el riesgo de marca de violar la confianza del consumidor», demostraron que estaban pensando en el problema comercial y abordando cómo aceptar la responsabilidad de resolver algunas facetas del mismo. La Información de Identificación Personal, PII, es cualquier dato que ayuda a rastrear a una persona o contactar a una persona directamente.
Steve apreció que trajeron una solución a un problema de caso de uso comercial y le permitió determinar rápidamente si esto era «interesante» o importante «en la prioridad de los problemas que necesitaba resolver en los próximos 6 a 18 meses». También era muy común que, cuando se planteaba la pregunta “¿cómo se venden más jeans?”, la persona se detuviera y mirara fijamente, sin estar preparada para responder, lo que resultó nuevamente en un final rápido de la discusión.
Preguntas clave similares para responder podrían ser:
- ¿Resuelve un problema comercial de una manera que le permite al CISO consolidar su plataforma tecnológica existente?
- Por ejemplo, si el producto puede consolidar 2 soluciones y ahorrar un 25 % de sus costes operativos combinados, da margen de maniobra en la justificación o el soporte en cuanto al número de empleados necesarios.
- ¿El producto aumenta la eficiencia del equipo o la efectividad para proteger al negocio sobre lo que tienen hoy?
- La demanda de los CISO por parte de sus ejecutivos es demostrar que cualquier inversión da como resultado ganancias de eficiencia demostrables en 3 a 6 meses. Esto se traduce en automatización para la mayoría de los CISO y «hacer más con menos».
- Además, los CISO están trabajando con sus socios comerciales para analizar que aplicaciones comerciales retirar para ver si existe la oportunidad de reducir la plataforma de seguridad, ya que es posible que ya no se necesite una solución de seguridad existente si se elimina la necesidad de la aplicación comercial subyacente. Por lo tanto, es posible cambiar algunas funciones de seguridad a otra herramienta de seguridad que tengan en su cartera y retirar una. Esta es una oportunidad de venta adicional para un proveedor que tiene un punto de apoyo existente para expandirse, ya que ahora puede ser «lo suficientemente bueno» para algo más que necesita el CISO.
¿Cuánto tiempo/esfuerzo supone integrar la solución en el flujo de trabajo existente?
Un desafío clave para muchas empresas para obtener socios de diseño o para obtener la atención del CISO cuando se reducen los presupuestos de TI es «el nivel de esfuerzo requerido para integrar su solución en un flujo de trabajo existente». Una buena manera de ilustrar esto es la cantidad de esfuerzo requerido (previos) para comenzar a demostrar valor.
Ejemplo 1: una solución de acceso a la identidad que puede determinar qué soluciones SaaS usan los empleados que toma nota de qué aplicaciones tienen OAuth reduce el esfuerzo de integración.
Ejemplo 2: soluciones de seguridad de correo electrónico que se integran muy fácilmente y comienzan a brindar valor.
La reducción de la inversión por parte del CISO o del equipo de ingeniería para conectar una solución de seguridad a sus SaaS existentes o aplicaciones empresariales locales lo colocará por delante de la competencia.
Hay que considerar también el impacto de la integración en los procesos comerciales existentes, no solo la integración/reutilización técnica. Las empresas de detección de phishing/malware de SaaS que integran un simple botón de «informar como spam/phish» en las interfaces de correo electrónico existentes para permitir sin problemas al usuario dar seguridad con datos importantes de una manera que no requiere cambiar la forma en que hacen su trabajo diario.
En la misma línea, en mal ejemplo de reducción del esfuerzo son los proveedores de detección y respuesta de punto final y detección y respuesta gestionada (EDR/MDR) que requieren la implementación de un nuevo agente o complemento para proporcionar valor.
Un compañero de viaje confiable
Los CISO arriesgan su propia reputación cuando compran e implementan una nueva solución de seguridad. Una mala experiencia no es solo un «problema de ayer»; afecta su capacidad en el futuro para obtener financiamiento, personas y patrocinio comercial. Especialmente dada la alta tasa de abandono entre la comunidad de CISO (la permanencia promedio es de 18 meses), es probable que el CISO que esté presentando sea nuevo en su función. Esto significa que es especialmente importante centrarse en cómo su producto o solución puede ayudarlos a sobresalir en su función o ofrecer información que puedan aportar rápidamente a su junta directiva.
Las nuevas compras de seguridad pueden ser de una media de 1 a 3 por año. El tiempo de madurez para esa selección de compra fue de 6 a 18 meses. Por lo tanto, no es un proceso de venta rápido ni un proceso de gran volumen. Para muchos CISO, el proceso de presupuestación anual de una empresa requiere que pensemos con 6 a 9 meses de anticipación para pronosticar lo que planeamos comprar y cuánto costará. Tras ello está el proceso de compra de 3 a 6 meses una vez que tenemos la financiación asegurada. Puede ver por qué buscar una venta lanzando su producto y luego presionando para obtener un POC y PO en 30-90 días simplemente no coloca en una buena posición con el CISO.
Se pierde el negocio y sella su destino cuando se acosa al CISO con múltiples llamadas/correos electrónicos de seguimiento, ya que demuestra que no se ha escuchado sus necesidades.
Estas compras son más parecidas a la compra de una casa que a la compra de un electrodoméstico. Por lo tanto, es crucial saber lo que se quiere y necesita, además de comprender el cronograma.
Fomentar la relación mucho antes y después del lanzamiento. Patrocinar eventos de seguridad locales y asistir a ellos para comprender lo que está sucediendo en el mercado, establecer relaciones con los líderes de seguridad y sus colegas y obtener un mejor manejo de lo que es importante para ellos en los próximos 6 a 12 meses.
Todas estas acciones demuestran que existe una preocupación por ellos y sus empresas, y que se anteponen sus mejores intereses. Cuando llegue el momento de determinar las compras para el próximo período, esta relación infundirá fe inmediata en la empresa proveedora frente a las muchas otras que mostraron, lanzaron y se fueron y nunca demostraron el valor de esa relación.
La forma en que presenta el producto de seguridad nunca ha sido más importante para convencer a los CISO de que sus recursos reducidos se invertirán bien en su negocio. Al hablar sobre el impacto final que puede tener la solución, cómo afectará los procesos comerciales existentes y por qué se debe confiar en el proveedor, los CISO irán con la información más crítica que realmente necesitan.
