0
0
Na minha experiência como CISO no setor, bem como na minha posição atual como CISO-in-Residence na YL Ventures, uma empresa de capital de risco focada em segurança cibernética em estágio inicial, tive a sorte de fornecer aos fundadores orientação e insights sobre o processo de tomada de decisão do cliente e ajudá-los a combinar soluções únicas com problemas tangíveis.
O maior desafio na minha posição é ajudar os fundadores a mudar seu paradigma. Os CISOs são constantemente inundados com soluções que muitas vezes são projetadas sem ampla consideração pelo que os CISOs realmente precisam (dica: não é outro painel). Os fundadores devem ouvir, em vez de assumir. A abordagem ideal seria perguntar ao CISO quais são suas prioridades, quem são as várias partes interessadas e quais outras ferramentas existem em sua pilha, antes de lançar uma solução baseada em suposições infundadas. Com o tempo, compilei uma lista concisa do que os fundadores devem se concentrar ao construir soluções de segurança que os CISOs vão querer comprar.
Defina seu mercado-alvo
Primeiro, defina seu cliente ideal. Se você mira uma pequena e média empresa (SMBs), pergunte a si mesmo – o cliente será forçado a lançar seu produto quando sentir que “superou” sua solução? Se o seu cliente-alvo for uma empresa, no entanto, você terá que lidar com um orçamento maior, processos de negócios complexos, requisitos mais profundos de conformidade e segurança do fornecedor e a necessidade de recursos mais específicos do produto.
Embora as ameaças possam parecer agnósticas, elas impactam organizações de diferentes tamanhos em uma escala diferente. Determine se você está focado em negócios B2B ou B2C, pois eles diferem no que os CISOs podem estar procurando com base nos riscos que priorizam. Seu pitch deve se concentrar em casos específicos de uso, ser o mais adaptado possível aos requisitos do comprador e evitar declarações de risco amplo, sugerindo que seu produto resolva tudo.
Alvo múltiplos potenciais compradores, não apenas o CISO
Hoje, executivos e tomadores de decisão da suíte C estão conscientes das implicações dos ataques cibernéticos em ativos organizacionais e dados de clientes e assumem um papel mais ativo no processo de orçamento e aquisição de soluções de segurança. Mostre a esses atores como seu produto está alinhado aos negócios e quais as capacidades de não segurança que seu produto tem que os líderes empresariais podem aproveitar para cumprir seus próprios objetivos organizacionais. Quando eu era o CSO da Looker, nos concentramos em soluções de segurança que atenderam a múltiplas necessidades em toda a empresa, até mesmo ajudando outras organizações. Funções de segurança ou conformidade são importantes para outros departamentos, como TI ou Legal, por isso você deve considerar ter abordagens de múltiplos compradores e influenciadores antes de começar a comercializar seu produto.
… mas não se esqueça do CISO!
Um exemplo de uma abordagem inter departamental bem-sucedida é direcionar o Chefe de DevOps e o CISO. A disponibilidade é uma métrica fundamental para DevOps, enquanto os controles de segurança podem adicionar atrito que pode diminuir o tempo de atividade. Capacite o CISO a não ser visto como um centro de custos, mas sim um facilitador de negócios. Os CISOs precisarão vender, gerenciar e implantar seu produto, e projetar uma ferramenta eficaz que atenda toda a organização integrada aos processos de negócios os ajudará a fazê-lo.
Além disso, certifique-se de que seu produto tenha vários casos de uso específicos e funções secundárias valiosas, como aumentar a influência do CISO, aumentar a conscientização sobre a segurança do usuário e contribuir para a cultura de segurança. Infelizmente, conheci muitas equipes de startups que estavam focadas apenas nos benefícios tecnológicos de seu produto, ignorando o quadro geral.
Concentre-se no valor que você fornecerá
Quanto mais fácil for o seu produto implantar e mostrar valor, maior a chance de uma venda. As melhores demonstrações do produto garantem que a implantação seja fácil, os resultados sejam gerados rapidamente, e que o cliente experimente um momento “Aha!” todas as vezes. Fornecer valor não deve ser uma questão, e nem a capacidade do seu produto de encontrar problemas de segurança; a única pergunta que deve ser feita é – quantas questões de segurança ele vai encontrar? Se você ainda não ajustou seu valor exato e definido, você pode não ter aterrissado em um produto atraente e diferenciado que terá tração no mercado devido às suas características (mas talvez devido ao seu preço).
Além disso, pense nas necessidades do cliente e em seu ambiente. Seu produto usará um agente ou não será agente, e você sabe se seu cliente prefere uma implantação mais simples com menos sobrecarga ou um caso de uso de monitoramento mais profundo que um agente pode oferecer? Você considerou se seu produto será SaaS ou hospedado pelo cliente? Como os requisitos atuais e futuros de conformidade do cliente podem mudar isso? Uma boa regra é pesquisar minuciosamente e pensar como seus clientes. Por exemplo, uma grande ferramenta que implanta e foca na descoberta se tornará um risco para o CISO se não tiver processos de remediação.
Concentre-se nos riscos dos CISOs e menos na definição de si mesmo através de sua tecnologia. Você também deve considerar amplificar seu valor como um fundador de startup. Apresentam as vantagens de trabalhar com uma empresa fundadora, incluindo inovação, acesso a fundadores para feedback e progresso em recursos específicos solicitados e acesso a talentos técnicos que entendem profundamente o produto.
Faça sua ferramenta jogar bem com os outros
Os CISOs vão querer saber como seu produto é implantado e configurado nas organizações de seus outros clientes e buscar conhecimento compartilhado para melhorar seu próprio produto. Esta é realmente a definição de uma “plataforma”, e um verdadeiro diferencial. O CISO precisará entender completamente quais dados estão compartilhando, como são usados e protegidos e quais benefícios residem em compartilhá-los.
Muitos CISOs estarão abertos ao compartilhamento, desde que o benefício supere seu próprio risco de compartilhamento de dados. Sua ferramenta não deve ficar sozinha e deve se comunicar com outras ferramentas no portfólio do CISO. Torne possível e convincente construir contra ele usando um SDK ou uma abordagem flexível centrada em API. Pense no que os clientes potenciais estão acostumados, garantindo que sua ferramenta possa se integrar em toda a pilha de segurança a outras ferramentas de emissão de relatórios, fluxo de trabalho e orquestração no ambiente do CISO.
Custos mais baixos, maior valor
Os CISOs são sobrecarregados diariamente com complexidade. Se sua ferramenta superar e – idealmente – substituir duas ou mais ferramentas herdadas, os CISOs verão seu valor e não considerarão que seja outra ferramenta em um portfólio de segurança já inchado. É inteiramente aceitável que o fornecedor pergunte ao CISO sobre o orçamento destinado a esse tipo de solução. Você deve tentar se encaixar nesse número e tornar os preços o mais previsíveis e previsíveis possível. Seria também benéfico avaliar o limite orçamentário, além do qual os CISOs precisariam de aprovação do CFO para prosseguir. Os CISOs não querem restringir a implantação para economizar dinheiro, mas se o CISO precisará recrutar ou treinar mais pessoas para usar sua ferramenta – suas perspectivas não são grandes.
Alerta de baixo ruído/alta
Os dashboards são importantes, mas não devem ser necessários para serem visualizados para fornecer seu serviço-chave. Sua ferramenta deve fornecer inteligência acionável sobre riscos elevados, filtrar ruídos desnecessários e bater a equipe de segurança na cabeça quando identificar um problema ou, quando confortável, remediar o problema de segurança de forma automática e transparente. A tecnologia de prevenção funciona bem, mas não consegue lidar com atividades que ocorrem além do perímetro de suas defesas – onde a maioria dos ataques cibernéticos se originam. Ele também não detecta as ameaças que penetraram suas defesas e estão se movendo lateralmente através de suas redes.
A detecção e a resposta, no entanto, são fundamentais para manter um programa de segurança saudável, permitindo que o CISO e as equipes de segurança resolvam ameaças antes que causem danos críticos. Além disso, ao responder a eventos ou problemas – a velocidade importa. Sua ferramenta deve avaliar, analisar e remediar rapidamente com uma intervenção humana mínima, a fim de validar que o problema de segurança ainda não foi explorado.
Se os fundadores se concentrarem nessas sete diretrizes nos estágios iniciais de sua jornada de produtos, eles terão uma compreensão mais holística do que seus clientes precisam. As interações com potenciais clientes devem ser vistas como relacionamentos com parceiros valiosos, construindo confiança em vez de vender.
Fomentar essas relações pode fornecer aos fundadores um valor imensurável a partir do dia zero. Se os CISOs gostarem da sua oferta, eles recomendarão para outros CISOs – um campo de vendas infinitamente mais confiável do que o seu deck. Os CISOs também podem estar inclinados a entrar como consultores da empresa ou, possivelmente, investidores de acompanhamento que irão apoiá-lo durante sua jornada de inicialização. Afinal, os CISOs viram tudo e sabem o que funciona – e o que não funciona. Seus insights, juntamente com uma tecnologia forte, uma estratégia de negócios sólida e parceiros e investidores experientes para orientá-los, ajudarão as startups a conseguir construir um produto que os CISOs vão querer comprar.
FONTE: HELPNET MAGAZINE