Co dziś napędza sprzedaż w branży cyberbezpieczeństwa?
Okrągły Stół CRN Polska
Jeszcze nie tak dawno firmy sprzedające i wdrażające systemy bezpieczeństwa dość powszechnie stosowały w rozmowach z klientami strategię straszenia, a niektóre robią to do dziś. Czy to rzeczywiście działa na klientów?
Karol Kij Najprościej jest sprzedawać bezpieczeństwo właśnie strasząc, ale bardzo tego nie lubię. Zdecydowanie lepiej, gdy klient sam jest świadomy swoich potrzeb. Niestety, ze świadomością u klientów jest tak sobie. W raportach po takim czy innym ataku często okazuje się, że nie można ustalić jego wektora, bo ofiara nie była w ogóle na atak przygotowana. Zwykle firmy zaczynają się interesować bezpieczeństwem dopiero, gdy same stały się ofiarą albo celem stała się ich konkurencja.
Jerzy Trzepla Straszenie samo w sobie nie jest dobrym motorem sprzedaży, ponieważ osoba decyzyjna, reprezentująca sferę biznesu i tak tego opisywanego jej zagrożenia nie będzie czuła. Jeżeli to jest duża firma, decydent ma w niej swój dział zarządzania ryzykiem, przekazujący mu informacje, na podstawie których będzie podejmował decyzje co do inwestycji. Natomiast jego odpowiednik z małej firmy tym bardziej jest skoncentrowany na swoim podstawowym biznesie. Chcąc przetrwać na rynku kolejny miesiąc, nie będzie się skupiał na podsuwanych mu raportach zagrożeń. Dopiero, gdy dochodzi do jakiegoś incydentu, zagrożenie może przebić się do świadomości osoby decyzyjnej.
Mirosław Mycek Straszeniem nie jest pokazywanie konsekwencji braku zabezpieczeń i uruchamianie wyobraźni. A warto to robić. Bardzo często firmy nie zdają sobie sprawy jak poważne są konsekwencje cyberataków dla firmy. To ogromne skutki nie tylko finansowe czy wizerunkowe, ale – jak pokazują przypadki ataków na jednostki służby zdrowia – także sprawa życia. Tam, gdzie trzeba ewakuować szpital, ludzi pod respiratorami, zabezpieczenie infrastruktury rozpatruje się z zupełnie innej perspektywy.
Beata Kwiatkowska W budowaniu świadomości klienta straszenie może być skuteczne tylko na krótką metę. W dłuższej perspektywie będzie prowadzić do zmęczenia i zobojętnienia na zagrożenia. Obserwowałam to, gdy wchodziło RODO. Niemal wszystkie prezentacje epatowały milionowymi karami, co z czasem już na nikim nie robiło wrażenia. Mówiąc wprost, decydenci pytają o trzy rzeczy: czy jesteśmy do tego zobligowani prawnie, co nam za to grozi i czy ktoś już za to – mówiąc kolokwialnie – „beknął”. Jeśli w rozmowach z decydentami nie będziemy się starali pokazać wartości dodanej cyberbezpieczeństwa – co ono konkretnie daje jego biznesowi – to nie zobaczy jej do momentu, aż nie zostanie zaatakowany.
Mówimy o świadomości klienta i w dyskusji pojawił się wątek trendu jeszcze bardziej niepożądanego niż „sprzedawanie poprzez straszenie”, a biznesowo bez wątpienia skuteczniejszego. Można by go chyba nazwać sprzedażą „po szkodzie”?
Karol Kij Nie ukrywam, że gdy mamy wiedzę o ataku na jakąś organizację, to nasi handlowcy od razu próbują się z nią skontaktować. Wtedy okazuje się, że w tym samym momencie robi to 10 konkurencyjnych firm. I trudno się dziwić handlowcom, że próbują wykorzystać takie okazje, choć jednak lepiej żeby dochodziło do nich jak najrzadziej.
Paweł Wojciechowski Kiedyś opowieści o skutecznym ataku na jakąś firmę były traktowane jak bajka o żelaznym wilku. Obecnie każdy klient ma kolegę z tej samej branży, którego to dotknęło. To zupełnie inny rynek niż jeszcze dekadę temu i klienci są świadomi istnienia określonych zagrożeń. Oczywiście pozostaje pytanie, co klient z tą świadomością zrobi. Jaki ma apetyt na ryzyko, na ile jest związany regulacjami i jakie w związku z tym decyzje podejmie. Nawet jak kupi rozwiązanie od nas, a od integratora usługi, to nadal kwestią otwartą pozostaje, co z tym zrobi. Przy czym ważną kwestią jest „skill gap”, czyli brak specjalistów na rynku. Z naszych raportów wynika, że zdecydowana większość firm doświadczyła włamania właśnie z powodu braku odpowiednich zasobów ludzkich.
Czy to dlatego, że coraz trudniej zarządza się cyberbezpieczeństwem?
Paweł Wojciechowski Nawet w bardzo małej firmie, gdy korzysta się z kilku aplikacji, zabezpieczenie wszystkiego wcale nie jest banalne. A co dopiero w takiej, która ma wiele oddziałów i jest grupą kapitałową, która korzysta z setek aplikacji.
Beata Kwiatkowska W walce z cyberzagrożeniami obrońcy stoją zawsze na gorszej pozycji. Muszą chronić wszystko, pilnować każdej luki, a cyberprzestępcom wystarczy skupić się na jednym punkcie. I najczęściej tym słabym punktem jest niestety człowiek. Jeśli napastnikowi nie uda się wykorzystać żadnej technologicznej luki, zawsze pozostaje socjotechnika, która, o ile jest dobrze przygotowana, najczęściej okazuje się skuteczna.
Karol Kij Problemem jest to, że często cyberbezpieczeństwo zrzucane jest na barki działów IT. A przecież oczekiwania wobec tych działów są zupełnie inne – mają dbać, żeby internet działał, nie było problemów z pocztą czy stroną internetową, żeby użytkownik był zadowolony. Bywa, że nawet w większych firmach brakuje działów security, a zamiast tego jest jakaś osoba z działu IT, częściowo oddelegowana do takich zadań. Ten ktoś może być świetnym administratorem, ale na security zapewne zna się tak sobie. A jeśli nawet posiada potrzebną wiedzę, to po prostu nie ma czasu, by zająć się bezpieczeństwem na poważnie.
Paweł Wojciechowski Optymistyczne jest to, że coraz więcej firm uważa, że powinny zatrudniać specjalistę ds. bezpieczeństwa.
Jerzy Trzepla Tyle tylko, że bardzo wiele organizacji nie jest w stanie utrzymać takiego specjalisty, bo jest on bardzo drogi. Dlatego kluczowe stają się usługi zewnętrzne.
- 1
- 2
- …
- 4
- Następna strona ›
Podobne wywiady i felietony
Ofiarą może stać się każdy
„Wkrótce na świecie będzie kilkaset tysięcy hakerów sponsorowanych przez struktury państwowe i działających na ich zlecenie, głównie do prowadzenia ataków na infrastrukturę krytyczną innych państw” – mówi Chester Wisniewski, dyrektor ds. technologii w Sophosie.
Systemy AI wiedzą, ale nie rozumieją
„Jesteśmy w stanie, niezależnie od tego jakiej technologii użyją napastnicy, przygotować się na kolejne etapy ataku na różnych poziomach organizacji, nawet bez wykorzystania sztucznej inteligencji” - mówi Lucy Szaszkiewicz, CEO 1Strike.io.