¿Vendes a un CISO? Practica la empatía, no la venta agresiva
El mercado de la ciberseguridad está en auge. Pregunta a cualquier candidato para un puesto en ciberseguridad. Mejor aún, pregunta a cualquier proveedor de CISOs. El público proveedor es especialmente vasto y sigue creciendo. Hace solo tres años, se estimaba que había menos de 2,000 proveedores de ciberseguridad en todo el mundo. Las estimaciones recientes apuntan a más de 3,000, y eso es solo en EE. UU. ¿Quién sabe cuántos otros proveedores ofrecen alguna parte discreta de controles de TI que indirectamente apoyan la ciberseguridad? De cualquier manera, está claro que los CISOs tienen una amplia y profunda gama de proveedores potenciales, y el universo de ofertas está en constante expansión.
Aún así, la mayoría de los CISOs probablemente preferirían solo un puñado de proveedores que realmente entiendan lo que los CISOs realmente necesitan.
Los proveedores de ciberseguridad hablan sobre lo que hacen, lo que han creado y lo que tienen disponible para la venta. Desarrollan nuevas ofertas o mejoran las existentes y, cuando se reúnen con los CISOs, con demasiada frecuencia hablan de esas ofertas como si ningún CISO quisiera estar sin ellas. Esa es una conversación unilateral, desafortunadamente. El CISO puede intentar intervenir, para hacer que la presentación del producto sea más relevante para las necesidades de su organización, solo para ser interrumpido por el proveedor. ¿Por qué? Desde el punto de vista del proveedor, un CISO no podría sobrevivir sin el producto o servicio del proveedor. Lo que falta en la mayoría de las presentaciones de ventas es una apreciación de lo que realmente preocupa a un CISO.
Los proveedores siempre deben enfocar su discurso en cómo pueden ayudar a los CISOs. Necesitan comenzar entendiendo que los CISOs y sus necesidades no son todos iguales. Lo que un CISO necesita está directa y completamente informado por los desafíos que enfrentan, qué tan bien enfrentan esos desafíos y lo que quieren lograr.
Cada CISO tiene un lenguaje individualizado. Un proveedor debe escuchar el lenguaje que usa un CISO y aprender a hablarlo.
Los sustantivos en el lenguaje de un CISO son las tecnologías y procesos que tienen implementados o que pueden estar contemplando como parte de su estrategia de ciberseguridad. Sus verbos son las acciones que han tomado o planean tomar para cerrar brechas de control identificadas, mejorar procesos existentes o agregar nuevos, y las preocupaciones que tienen por las mitigaciones que no parecen poder abordar. Deja que tu imaginación complete los adjetivos y adverbios, pero ten en cuenta esto: los CISOs pueden ser coloridos, especialmente cuando están estresados y las interacciones con proveedores pueden causar estrés.
Escucha, y escucharás a un CISO hablar desde la experiencia. ¿Es esta su primera experiencia o ya han pasado por esto varias veces? ¿Cuánto tiempo han estado en su rol actual? ¿Cuánto tiempo planean estar en él? Las respuestas a estas preguntas pueden ayudar a un proveedor a entender literalmente de dónde viene un CISO y hacia dónde se dirige.
Si un CISO ha sido recientemente incorporado a una organización, es probable que esté abordando desafíos urgentes e inmediatos, incluso mientras se desarrolla una nueva estrategia. Partes del programa de ciberseguridad probablemente estén en cambio. Este puede no ser el momento para presentar nuevas ofertas independientes tanto como soluciones consolidadas que combinen capacidades previamente separadas que hagan el trabajo del CISO un poco más fácil. Para un nuevo CISO, menos puede ser realmente más. Menos proveedores críticos generalmente se traducen en un control más simple de las interacciones del mercado.
También es importante saber en qué sector opera el CISO. Un CISO en la base industrial de defensa, por ejemplo, tendrá prioridades muy diferentes, y más de ellas, que un CISO en otro sector. Si la organización opera a nivel global, el enfoque del CISO será diferente que si las operaciones de la organización están confinadas a EE. UU. Los regímenes de privacidad globales por sí solos pueden impactar los programas y la perspectiva de un CISO de maneras significativas; las preocupaciones de privacidad pueden, de hecho, competir con las prioridades de seguridad.
Los proveedores también deben saber si la organización debe cumplir con regímenes regulatorios. La privacidad es probablemente un régimen, pero puede haber otros dependiendo de la naturaleza de la organización y el sector en el que opera. Algunas regulaciones, por ejemplo, impactarán la forma en que los CISOs llevan a cabo su programa de ciberseguridad, en qué eligen enfocarse y qué dejan en segundo plano. Al igual que los presupuestos mismos, los CISOs se guían por sus “deberes”. Estos no son prácticas CSF. Son, en cambio, líneas rojas que no se pueden cruzar.
La mayoría de los CISOs eligen un marco de ciberseguridad con el cual alinear su programa porque los marcos aseguran que todas las bases para un programa exitoso y práctico estén cubiertas. Los marcos más populares son NIST CSF e ISO. Para los proveedores, puede no ser relevante saber qué marco sigue un CISO, pero sí es relevante entender dónde está la organización en su camino hacia la alineación con el marco; saber que una organización actualmente está enfatizando identificar o proteger o detectar puede ayudar a dirigir las conversaciones con el CISO directamente hacia temas de valor añadido y ofertas particulares.
Conocer el tamaño de la organización de ciberseguridad de un CISO también puede importar. La mayoría de los CISOs no tienen presupuestos de OpEx ilimitados, lo que significa que sus programas no tienen personal ilimitado asignado a ellos. Entender dónde un CISO coloca la mayor parte de su personal puede aclarar qué es importante para la organización. También puede ser muy útil para un proveedor entender qué partes de un programa de ciberseguridad han sido subcontratadas a terceros. ¿Son esos roles subcontratados funciones basadas únicamente en proyectos, o son funciones regulares de operaciones normales?
Siempre es crucial para los proveedores entender si se han realizado evaluaciones recientes de ciberseguridad, y qué concluyeron esas evaluaciones con respecto al estado de los controles. Identificar brechas en los controles es siempre el primer paso para cerrar esas brechas. Ignorar brechas obvias en los controles, a favor de algún nuevo proyecto para esfuerzo e inversión, es un punto de partida nulo para los CISOs que necesitan abordar y resolver lo básico primero.
Los resultados de las evaluaciones también son indicadores de los niveles actuales de madurez de una organización, pero estos puntos de datos pueden ser engañosos. Conocer el nivel de madurez de las funciones de ciberseguridad de una organización es más útil en cómo se relaciona con los objetivos de madurez de una organización. Si los niveles actuales de madurez de una organización se mapean a un promedio normalizado de “3”, ¿es eso bueno o malo? ¿Qué elementos del programa puntúan por debajo y por encima? Lo más crucial, ¿cuáles son los propios objetivos de la organización? ¿Ha determinado el CISO que, para algunos controles, “3” es suficiente? Conocer la respuesta es crítico para cualquier proveedor que busque apoyar a un CISO.
Por último, los NDAs son instrumentos maravillosos para facilitar una conversación franca entre el CISO y el proveedor. Un CISO no quiere que le pregunten “¿has tenido un evento cibernético?” más de lo que un proveedor quiere que le pregunten “¿alguna vez ha fallado tu producto o servicio?” Los CISOs prefieren mirar hacia el mañana en lugar de quedarse en el ayer. Recogemos lecciones aprendidas, arreglamos lo que podemos y esperamos vivir para luchar otro día.
Trabajar con un CISO significa escuchar. Piensa en casi cualquier actividad de aprendizaje: escuchamos, absorbemos, retenemos y reaccionamos. Esa es la manera de trabajar con un CISO y darles lo que necesitan. Aprende dónde están en su viaje de ciberseguridad y aprende hacia dónde se dirigen. Piensa en cómo una nueva solución podría apoyar ese viaje. Guarda esto en tu GPS, porque representa las coordenadas del verdadero norte del CISO. Y luego, solo entonces, responde con sugerencias que hagan el viaje mejor definido, más fácil de navegar y más seguro de recorrer.
Sí, los CISOs siempre requerirán nuevos productos y servicios tecnológicos. A medida que el riesgo cibernético crece, los conjuntos de soluciones deben mantenerse al día. Prepárate para ofrecérselos.
Solo recuerda que primero, los CISOs necesitan ser escuchados.
Recursos Adicionales
- Informe Evalúa la Privacidad y Cumplimiento de tus Comunicaciones de Contenido Sensible
- Artículo del Blog ¿Qué es una Red de Contenido Privado?
- Artículo del Blog Kiteworks Utiliza su Propia Red de Contenido Privado
- Artículo del Blog¿Qué es un Informe SOC?
- Artículo del BlogEnviar PII por Correo Electrónico: Lo que Debes Saber