En un producto convencional el modelo de gestión sugiere que una de las responsabilidades de un líder es rastrear y optimizar las métricas, medidas cuantitativas que reflejan cómo las personas se benefician de una solución específica. Cualquiera que haya leído libros de gestión de productos, asistido a talleres o simplemente pasado por una entrevista, sabe que lo que no se mide no se puede gestionar.
Sin embargo, la práctica de gestión tiene más matices. El contexto importa mucho, y las realidades de las diferentes organizaciones, geografías, culturas y segmentos de mercado influyen en gran medida en lo que se puede medir y qué acciones se pueden tomar en función de las observaciones obtenidas. Este análisis se centra en la gestión de productos de ciberseguridad y cómo los líderes de métricas se sienten tentados a rastrear e informar que pueden no ser del todo relevantes.
Precisión de detección
Aunque no todos los productos de ciberseguridad están diseñados para generar algún tipo de detecciones, muchos lo hacen. La precisión de la detección es una métrica que se aplica a las herramientas de seguridad que activan alertas que notifican a los usuarios que se ha detectado un comportamiento específico.
Dos tipos de métricas son útiles para realizar un seguimiento en el contexto de la precisión de la detección:
- Falsos positivos (una falsa alarma, cuando la herramienta se activa en una detección de comportamiento normal).
- Falsos negativos (un ataque fallido, cuando la herramienta identifica erróneamente un ataque como un comportamiento normal y no activa una detección).
Los proveedores de seguridad se enfrentan a un desafío serio, y me atrevo a decir, imposible de ganar: cómo reducir la cantidad de falsos positivos y falsos negativos y acercarlos lo más posible a cero.
La razón por la que es imposible lograr esto es que el entorno de cada cliente es único y la aplicación de una lógica de detección genérica en todas las organizaciones conducirá inevitablemente a brechas en la cobertura de seguridad.
Los líderes deben tener en cuenta que los falsos positivos hacen que sea más probable que se pase por alto una detección crítica real, mientras que los falsos negativos significan que el producto no está haciendo el trabajo para el que se compró la herramienta.
Tasa de conversión
La tasa de conversión es una de las métricas más importantes. Esta métrica rastrea el porcentaje de todos los usuarios o visitantes que realizan una acción deseada.
Quién es el propietario de las conversiones en la organización dependerá de quién pueda influir en el resultado. Por ejemplo:
- Si el producto está completamente orientado a las ventas y si el trato se cierra está en manos de las ventas, entonces la conversión es propiedad de las ventas.
- Si el producto está completamente dirigido por el producto y si un usuario gratuito se convierte en un cliente de pago está en manos del producto, entonces la conversión es propiedad de los equipos de marketing y producto (el marketing es el propietario del registro en el sitio web, el producto es el propietario de la conversión en la aplicación).
La tasa de conversión es una métrica increíblemente importante, ya que significa que la empresa puede capturar de manera eficiente el interés del cliente y traducirlo en ingresos. Si bien los gerentes de productos de ciberseguridad deben monitorear de cerca la conversión, deben comprender algunos matices que la rodean.
En ciberseguridad, el proceso de compra es increíblemente complejo: no solo depende en gran medida de la confianza, sino que también lleva mucho tiempo e involucra a una gran cantidad de personas: profesionales de seguridad, CISO, legales, de cumplimiento, de compras, etc.
Incluso las llamadas empresas dirigidas por productos no son una excepción: la experiencia en el producto es solo uno de los muchos factores que influyen en el proceso de compra. Además, normalmente no existe una relación de uno a uno entre los usuarios y los clientes: diez usuarios anónimos que se registraron en diferentes momentos con los dominios de gmail.com podrían formar parte del mismo equipo de seguridad que evalúa la herramienta desde diferentes perspectivas. Por lo tanto, el seguimiento de la conversión se realiza mejor a nivel del cliente que a nivel del usuario.
Uso y participación
Tradicionalmente, los equipos de productos tienen la tarea de aumentar el compromiso y garantizar que los usuarios no solo vuelvan sino que pasen tiempo usando el producto. Esto se debe a la comprensión de que cuanto más tiempo pasan los usuarios en el producto, más probable es que experimenten un valor real, desarrollen un «hábito» y, por lo tanto, continúen usándolo.
El bajo uso a menudo está relacionado con una mayor probabilidad de abandono, mientras que la alta participación de los usuarios ayuda a las empresas a validar que están resolviendo un problema importante, recaudar capital (los inversores buscan ingresos y compromiso) e identificar nuevas oportunidades de expansión. Sin embargo, este enfoque no funciona de la misma manera en la ciberseguridad.
Comencemos mirando un ejemplo real. Supongamos que una empresa compró una plataforma de orquestación y automatización de seguridad (a menudo abreviada como SOAR) para eliminar tareas manuales innecesarias y simplificar la comunicación entre muchos de sus productos de seguridad. Al principio, el equipo de seguridad estará muy activo en la configuración de los flujos de trabajo, la configuración de la automatización y la creación de conjuntos de acciones para que el centro de operaciones de seguridad (SOC) funcione sin problemas.
Una vez realizada la configuración inicial, el equipo dejará de interactuar con el producto y es posible que solo uno o dos usuarios inicien sesión dos veces al mes para modificar algunas configuraciones aquí y allá. Si bien la sabiduría convencional puede hacer sonar la alarma de que el cliente no está comprometido con un alto potencial de abandono, la realidad podría ser todo lo contrario: el producto le está ahorrando mucho tiempo al equipo de seguridad y está satisfecho de que todo funcione sin problemas. De hecho, podría pasar que ni siquiera se necesitase comprobar el producto con frecuencia.
Este ejemplo destaca una verdad simple pero a menudo olvidada: la mayoría de los productos de ciberseguridad que agregan mucho valor a la seguridad son invisibles. Al tener que navegar entre 20 y 70 herramientas, los equipos de seguridad solo se involucrarán activamente con unas pocas, dejando que el resto haga su trabajo en segundo plano.
Es por eso que los equipos de productos deben adoptar un ángulo diferente cuando buscan comprender si el producto se está utilizando: en lugar de buscar participación, pueden rastrear el flujo de datos, alertas y otras tareas centrales que muestran que el producto está funcionando correctamente.
Después de comprender que un equipo de seguridad medio usará decenas de paneles de productos para hacer su trabajo, muchos proveedores se entusiasmaron con la idea de un «panel de vidrio único», una pantalla para controlarlos a todos. Todos los proveedores quieren que su producto sea el único panel de control que queda, y con ello, hay una lucha constante por la atención del usuario.
Los líderes de productos deben comprender esta realidad y aceptar el hecho de que ser una herramienta muy querida que funciona muy bien en segundo plano puede ser una mejor idea que ser un tablero construido desde el exterior del que todos se quejan por deficiencias en la cobertura.
Centrarse en lo que importa
Crear productos de alto rendimiento que resuelvan problemas de seguridad complejpos es dificil, y más aún llevarlos al mercado. No es de extrañar que los líderes de productos se sientan tentados a buscar atajos y formas fáciles de medir cómo están avanzando hacia sus objetivos. Desafortunadamente, aunque las métricas cuantitativas son de gran valor, la mala definición puede convertirse fácilmente en una distracción.
La gran mayoría de las empresas de ciberseguridad son nuevas empresas, que operan principalmente en el espacio B2B. Los propios equipos de seguridad también son bastante pequeños. En términos prácticos, todo esto significa que los gerentes de producto ven un bajo volumen de usuarios y actividad en el producto, y métricas como usuarios activos diarios (DAU) y usuarios activos mensuales (MAU) no brindan mucha información útil. En este entorno, probar herramientas como las pruebas A/B o tomar decisiones basadas únicamente en datos cuantitativos no es factible.
Para identificar las necesidades de los usuarios y concentrarse en lo que importa, los gerentes de productos deben buscar información cualitativa. Puede ser útil:
- Hablar con los equipos de ventas e ingeniería de ventas para obtener visibilidad del proceso de ventas: qué preguntas hacen las personas, qué problemas buscan resolver, qué brechas han experimentado en otras soluciones, etc. A veces, prestar atención en las llamadas de ventas puede proporcionar más información que varias encuestas de clientes combinadas.
- Trabajar con ventas en la realización de análisis de pérdidas y ganancias. En particular, puede ser muy útil conectarse con clientes potenciales que decidieron optar por ofertas competitivas y aprender sobre su proceso de evaluación, oportunidades de mejora y brechas que identificaron.
- El análisis de las preguntas que llegan al centro de soporte puede resurgir qué áreas del producto son difíciles de usar, qué características críticas faltan y cuáles son difíciles de descubrir.
Lo que es más importante, practicar hábitos de descubrimiento continuo y hablar con usuarios, posibles clientes y no usuarios ayudará a los gerentes de producto a comprender las necesidades, los puntos débiles y los desafíos que enfrentan los equipos de ciberseguridad, y posteriormente diseñar productos que los resuelvan.
En caso de duda, siempre es mejor hacer una pregunta y comprender las motivaciones reales de los usuarios en lugar de seguir lo que parecen sugerir los datos, sin un contexto más amplio.
