CISOに売り込むには？営業ではなく共感を大切に

サイバーセキュリティ市場は活況を呈しています。サイバーセキュリティの役割を担う候補者に聞いてみてください。さらに良いのは、CISOへのサプライヤーに聞いてみることです。サプライヤーの対象は特に広範で、成長を続けています。わずか3年前には、世界中で2,000未満のサイバーセキュリティベンダーがいると推定されていました。最近の推測では、米国だけで3,000以上に達しているとされています。他にどれだけのベンダーがサイバーセキュリティを間接的にサポートするITコントロールの一部を提供しているかは不明です。いずれにせよ、CISOには幅広く深い潜在的なサプライヤーの選択肢があり、提供される製品の範囲は拡大し続けています。

それでも、ほとんどのCISOは、自分たちが本当に必要としているものを理解している少数のサプライヤーを好むでしょう。

サイバーセキュリティのサプライヤーは、自分たちが何をしているのか、何を作ったのか、販売可能なものを話します。新しい製品を開発したり、既存のものを強化したりし、CISOと会うときには、CISOがそれなしでは生き残れないかのように話すことが多いです。残念ながら、それは一方的な会話です。CISOは、自分の組織のニーズにもっと関連するように製品の提案をしようとするかもしれませんが、サプライヤーに話を遮られることがあります。なぜでしょうか？サプライヤーの視点から見ると、CISOはサプライヤーの製品やサービスなしでは生き残れないと考えているからです。ほとんどの販売プレゼンテーションで欠けているのは、CISOの考えを理解することです。

サプライヤーは常に、CISOをどのように支援できるかに焦点を当てるべきです。CISOとそのニーズがすべて同じではないことを理解することから始める必要があります。CISOが必要とするものは、彼らが直面する課題、どのようにそれらの課題に対処しているか、そして何を達成したいかによって直接的かつ完全に決まります。

すべてのCISOには個別の言語があります。サプライヤーは、CISOが使用する言語を聞き、それを話すことを学ぶべきです。

CISOの言語の名詞は、彼らが持っている、またはサイバーセキュリティ戦略の一部として検討している技術やプロセスです。動詞は、特定されたコントロールギャップを埋めるために取った行動、既存のプロセスを改善するために取った行動、または新しいプロセスを追加するために取った行動、そして対処できない緩和策に対する懸念です。形容詞や副詞は想像に任せますが、知っておくべきことがあります：CISOは特にストレスを感じているとき、そしてベンダーとのやり取りがストレスを引き起こす可能性があるときに、色彩豊かになることがあります。

聞いてみれば、CISOが経験から話していることがわかるでしょう。これが彼らの初めての経験なのか、それとも何度も経験しているのか？現在の役割にどれくらいの期間就いているのか？どれくらいの期間その役割に就く予定なのか？これらの質問への回答は、サプライヤーがCISOがどこから来て、どこへ向かっているのかを理解するのに役立ちます。

もしCISOが最近組織に加わったばかりであれば、差し迫った課題に対処している可能性が高く、新しい戦略が策定されている最中であってもそうです。サイバーセキュリティプログラムの一部はおそらく変動しているでしょう。この時期には、新しいスタンドアロンの製品を提案するよりも、以前は別々だった機能を統合したソリューションを提案する方が良いかもしれません。新しいCISOにとって、少ないことが本当に多いことがあります。重要なサプライヤーが少ないほど、市場とのやり取りを簡単に管理できます。

CISOがどのセクターで活動しているかを知ることも重要です。たとえば、防衛産業基盤のCISOは、他のセクターのCISOよりも非常に異なる優先事項を持ち、より多くの優先事項を持っています。組織がグローバルに運営されている場合、CISOの焦点は、組織の運営が米国に限定されている場合とは異なるでしょう。グローバルなプライバシー体制だけでも、CISOのプログラムや視点に大きな影響を与える可能性があります。プライバシーの懸念は、実際にはセキュリティの優先事項と競合することがあります。

サプライヤーはまた、組織が規制体制に準拠しなければならないかどうかを知っておくべきです。プライバシーはおそらく一つの体制ですが、組織の性質や運営するセクターによっては他にもあるかもしれません。たとえば、いくつかの規制は、CISOがサイバーセキュリティプログラムをどのように実施するか、何に焦点を当てるか、何を後回しにするかに影響を与えます。予算自体と同様に、CISOは「必須事項」によって導かれます。これらはCSFの実践ではありません。むしろ、越えてはならないレッドラインです。

ほとんどのCISOは、プログラムを整合させるためにサイバーセキュリティフレームワークを選択します。フレームワークは、成功し実用的なプログラムのすべての基盤をカバーすることを保証するからです。最も人気のあるフレームワークはNIST CSFとISOです。サプライヤーにとって、CISOがどのフレームワークに従っているかを知ることは重要ではないかもしれませんが、組織がフレームワーク整合の道をどこまで進んでいるかを理解することは重要です。組織が現在、識別、保護、検出のどれに重点を置いているかを知ることは、CISOとの会話を価値あるトピックや特定の提供物に直接向けるのに役立ちます。

CISOのサイバーセキュリティ組織の規模を知ることも重要かもしれません。ほとんどのCISOは無制限のOpEx予算を持っていないため、プログラムには無制限の人員が割り当てられているわけではありません。CISOがどこに人員を集中させているかを理解することは、組織にとって何が重要かを明確にするのに役立ちます。また、サプライヤーにとって、サイバーセキュリティプログラムのどの部分が第三者にアウトソースされているかを理解することも非常に役立ちます。それらのアウトソースされた役割がプロジェクトベースの機能だけなのか、それとも通常の運用の定期的な機能なのか？

サプライヤーが最近のサイバーセキュリティ評価が実施されたかどうか、そしてその評価がコントロールの状態に関してどのような結論を出したかを理解することは常に重要です。コントロールのギャップを特定することは、これらのギャップを埋めるための最初のステップです。CISOが基本的な問題に取り組み、解決する必要がある場合、新しいプロジェクトに努力と投資を向けることは、非現実的です。

評価結果は、組織の現在の成熟度レベルの指標でもありますが、これらのデータポイントは誤解を招く可能性があります。組織のサイバーセキュリティ機能の成熟度レベルを知ることは、組織の成熟度目標にどのように関連しているかにおいて最も有用です。組織の現在の成熟度レベルが「3」の標準化された平均にマッピングされている場合、それは良いことなのか悪いことなのか？プログラムのどの要素が下回り、どの要素が上回っているのか？最も重要なのは、組織自身の目標は何か？CISOが、いくつかのコントロールにおいて「3」が十分であると判断したのか？その答えを知ることは、CISOをサポートしようとするプロバイダーにとって重要です。

最後に、NDAはCISOとプロバイダーの間で率直な会話を促進する素晴らしい手段です。CISOは「サイバーイベントが発生したことがありますか？」と聞かれることを望んでいないのと同様に、サプライヤーも「あなたの製品やサービスが失敗したことがありますか？」と聞かれることを望んでいません。CISOは過去にこだわるよりも、明日に目を向けることを好みます。私たちは学んだ教訓を集め、修正できるものを修正し、次の日を迎えることを望んでいます。

CISOと協力することは、聞くことを意味します。ほとんどの学習活動を考えてみてください：私たちは聞き、吸収し、保持し、反応します。それがCISOと協力し、彼らが必要とするものを提供する方法です。彼らがサイバーセキュリティの旅のどこにいるのかを学び、どこに向かっているのかを学びます。新しいソリューションがその旅をどのようにサポートできるかを考えます。これをあなたのGPSに保存してください。なぜなら、それはCISOの真の北を示す座標を表しているからです。そして、その後にのみ、旅をより明確に定義し、ナビゲートしやすくし、安全に進むための提案を行います。

はい、CISOは常に新しい技術製品やサービスを必要とします。サイバーリスクが増大するにつれて、ソリューションセットはそれに追いつく必要があります。提供する準備をしてください。

ただし、まずCISOが聞かれる必要があることを忘れないでください。