ישבתי לשיחה עם רוב גרצ'ן (סגן מנהל אבטחת מידע בחברת Nike), שרי ראיין (סמנכ"לית אבטחת מידע בחברת Juniper Networks), ג'ושוע דניאלסון (סמנכ"ל אבטחת מידע בחברת Copart) וראיין פריטס (סמנכ"ל אבטחת מידע בחברת ADT), כדי לשמוע כיצד הם מנהלים את התקציבים שלהם ומעריכים מוצרים ופתרונות אבטחת מידע.
בניית תקציב
לפני שיזמים נפגשים עם לקוח פוטנציאלי, עליהם לקחת בחשבון שהלקוח כבר בנה את התקציב שלו. מנהלי אבטחת מידע בארגונים קובעים סדרי עדיפויות ותוחמים את הגבולות לסיכונים סבירים בסביבות העבודה שלהם בהתאם לקווי יסוד מסויימים. על-פי ג'ושוע דניאלסון, המכון הלאומי לתקנים וטכנולוגיה (NIST) וארגונים דומים, מסייעים לחברות לבסס סטנדרטים אחידים לגבי סיכוני אבטחת מידע ומציבים קווי יסוד כלליים בנושא.
עבור מנהלי אבטחת מידע, הטכנולוגיה היא אמצעי ולא המטרה. לדברי רוב גרצ'ן, "הטכנולוגיה חשובה, אך אינה הגורם המכריע בהחלטה האם לרכוש מוצר מסויים. ההחלטה מושפעת במידה רבה מהתמונה המלאה של הסיכונים הקיימים באותו רגע וכיצד ניתן לצמצם אותם". כאשר לקוחות שוקלים פתרון מסוים, הם מסתכלים על הפערים בתוכנית האבטחה שלהם ובוחנים האם אותו פתרון עשוי לצמצם את הפערים הללו. לרוב, מנהלי אבטחת המידע לא יגידו: "אנחנו זקוקים לבינה מלאכותית", אלא "אנחנו צריכים לטפל בבעיה מסויימת. אם בינה מלאכותית היא הדרך הכי טובה, נשתמש בה". זו אבחנה דקה, אך חשובה. כפי שאומר ראיין פריטס, "כאשר אני חושב על רשימת ההוצאות שלי, אני בעיקר חושב מהם הסיכונים הקריטיים שאני צריך לצמצם".
האם ההשקעה כדאית?
זיהיתם את הבעיה הנכונה מתוך רשימת הסיכונים של הלקוח, כיצד תוכיחו את הערך שיש לכם להציע? חשוב לזכור שאבטחת מידע לא מייצרת הכנסה לארגון. לכן, מנהלי אבטחת מידע מודדים את החזר ההשקעה בצורה שונה ממנהלים אחרים בארגון. הם שואלים את עצמם: האם הפתרון מתייחס לתחומי סיכון בסדרי עדיפות גבוהים? האם הוא יעלה את רווחי החברה באמצעות הפחתת הסיכונים הללו? ואם כן, האם הוא מחליף מוצרים קיימים, או מגדיל את הערך שלהם? האם הפתרון מעצים את הארגון ומייעל את תוכנית האבטחה שלו?
שרי ראיין רואה ערך רב בפתרונות המייעלים את תהליכי אבטחת המידע בארגון. "אנחנו מתמודדים כיום עם סביבת עבודה מאד מורכבת. לכן, אנו מחפשים פתרונות שיהיו דומים לכלים הקיימים וישתלבו בסביבת העבודה הקיימת בקלות".
אתם יכולים לסייע למנהלי אבטחת מידע להצדיק את השקעת הזמן והמשאבים במוצר שלכם אם תבטיחו שהפתרון שלכם יוטמע במהירות (דבר שיפחית את עלות ההשקעה), ושהוא מסוגל להחליף כלים מסורתיים (דבר שיפחית הוצאות כלליות וימחיש את הערך של המוצר שלכם). לאור המחסור הקיים בהון אנושי בתחום אבטחת המידע, חשוב לשקול גם את עלות ההון האנושי הכרוכה בהטמעת הפתרון שלכם. אם ברצונכם להשיג עמדת פתיחה טובה, הדגישו בפני הלקוח הפוטנציאלי את היכולת של הפתרון שלכם למקסם את החזר ההשקעה (אשר תפחית את הסיכון) ולמזער עלויות (פריסה, הטמעה ותחזוקה).
איך להעביר את המסר שלכם?
שרי ראיין מציינת ש"אם אתם ממוקדים בפתרון ספציפי, עליכם להבהיר במדויק מהי הבעיה שאתם פותרים וכיצד זה יעזור לי בפועל". זה נשמע פשוט, אך פעמים רבות יזמים לא מצליחים להעביר בזמן המוגבל העומד לרשותם, מהו הערך העיקרי שמציע הפתרון שלהם. שוק אבטחת המידע רווי מאוד וקל לאבד את הקהל שלכם, לכן חשוב מאוד לבדל את הצעת הערך שלכם מאלה של המתחרים.
באופן כללי, פתרונות אבטחת מידע נחלקים לשתי קבוצות: פתרונות המתמקדים בחסימה והתמודדות עם סיכונים נפוצים, או פתרונות חדשניים המטפלים בסיכונים חדשים. בכל הנוגע לפתרונות מהסוג הראשון (המסורתיים), נטל ההוכחה קל באופן יחסי, שכן לקוחות מבינים את הבעיה ומעוניינים לשמוע כיצד הפתרון ייתן להם ערך משמעותי לאורך זמן. במקרים כאלה, הגישה הטובה ביותר היא לרוב אסטרטגית מכירה "מלמעלה למטה", הכוללת מסר ברור.
אולם לדברי ראיין פריטס, גישת המכירה המוצלחת ביותר בנוגע לפתרונות חדשניים היא שונה. "בכל מה שקשור לסיכונים חדשים צריך להיות פשוט ובסיסי. עליכם למצוא תומכים נלהבים בדרגים הנמוכים יותר של הארגון, אשר יתקשרו את המסר כלפי מעלה". שרי ראיין מוסיפה, כי "כיום אין יותר סיכונים חדשים טהורים. עליכם להסביר באופן ברור וישיר כיצד אתם יכולים להשתלב במערך אבטחת המידע והמוצרים שכבר יש לי. כלומר, איך אתם יכולים לייעל את מה שכבר קיים בסביבה שלי ולא להוסיף לה מורכבות".
התמקדו בעיקר
כאשר אתם כבר מגיעים לפגישה עם לקוח, הצעת הערך שלכם צריכה להיות קצרה ועניינית. ראיין פריטס ורוב גרצ'ן התרשמו במיוחד ממצגות שנמנעו מניפוח מלאכותי. ראיין אמר: "אני יכול להסתדר בלי הכותרות. הן קצת כמו שקופיות מלאות בלוגואים. כלומר, נפלא שכל השמות הללו הם הלקוחות שלך, אבל זה לא מסביר לי למה אני צריך להיות הלקוח שלך". רוב מסכים: "אם תוותרו על השקופיות שמציגות את הסטטוס שלהם במסע לגיוס הכספים, זה ירשים אותי... תגיעו מהר לנקודה שעוסקת בבעיה שלי ואיך אתם יכולים לצמצם אותה".
אני שומע רבות מרשת היועצים שלנו, שמנהלי אבטחת מידע מודעים היטב לפרצות אבטחה המופיעות בכותרות, והם אינם זקוקים להסבר מפורט בנוגע למה שקרה וכיצד הפתרון שלכם הוא זה שהיה מונע את התקרית. באותה מידה, הצגת שאלות כמו "האם ניהול חולשות האבטחה חשוב לכם?" נתפס בעיניהם כמיותר. כל מנהל אבטחת מידע דואג לאבטחה. לכן, התמקדו באופן שבו הפתרון שלכם מסוגל לטפל בחששות הללו וקצרו את המבוא שלכם ככל האפשר.
איך תשיגו את תשומת ליבם המלאה של מנהלי אבטחת המידע?
אני נמצא בקשר יום-יומי עם מנהלי אבטחת מידע בחברות הגדולות בעולם ("Fortune 500"), והם מדגישים שני דברים: (1) הם מתעניינים בטכנולוגיות חדשות ורוצים לשמוע עליהן מוקדם ככל האפשר כדי לדעת מה המצב בשוק ; (2) מדי יום הם נאלצים לסנן יותר מ-300 ספקים שפונים אליהם. אם תפנו אליהם בצורה נכונה, הם ישמחו לשמוע רעיונות מעולים. עליכם להתחיל לחשוב כמו הלקוחות ולהתמקד בהפחתת סיכונים ולא בהגדרתם בעזרת טכנולוגיה. לפני שאתם מתחילים לפתח ממשק "טוב יותר", תחשבו מהם ההרגלים של הלקוחות הפוטנציאליים שלכם ויישרו עם זה קו. כבר בהתקשרות הראשונית, הקשיבו היטב ובואו מוכנים עם היכולת להתמודד עם הבעיות הספציפיות של הארגון וכמובן, היו כנים ותמציתיים. "תנהגו כך", אומר רוב גרצ'ן, "ואקדיש לכם את תשומת ליבי המלאה".
ג'ון ברנן - הכותב הינו שותף בקרן ההון סיכון YL Ventures, המתמחה בהשקעות בשלבים מוקדמים בתחום הסייבר סקיוריטי. באמצעות הידע המעמיק שלו בסייבר והניסיון שצבר בעולם קרנות ההון סיכון, הוא מסייע לחברות הפורטפוליו של YL Ventures ובמיוחד לאלה הנמצאות בשלבי הצמיחה הראשונים שלהן, לפתח קשרים עסקיים עם לקוחות פוטנציאליים ואסטרטגיות חדירה לשוק האמריקאי.
