Интервью с Рустэмом Хайретдиновым про продажи в ИБ в b2b

Редакция CISOCLUB поговорила с Рустэмом Хайретдиновым, заместителем генерального директора группы компаний «Гарда», о специфике продаж решений по информационной безопасности в b2b. Мы обсудили все ключевые этапы: от презентации продукта до заключения контракта и послепродажного обслуживания. Рассмотрели, как выбрать наиболее эффективные каналы сбыта, строить переговорные стратегии и учитывать отраслевые особенности. Также мы затронули вопрос долгосрочных отношений с клиентами и роль пилотных проектов, которые часто становятся решающими в процессе продажи ИБ-решений.

В ходе интервью мы также разобрали, как правильно оценить потребности клиента, какие метрики важны для оценки эффективности продаж, и чем отличается процесс продажи продуктов от услуг в сфере ИБ. Спикер поделился стратегиями работы с госзаказчиками и объяснил, как соблюдать требования регуляторов и обеспечить максимальное соответствие запросам клиента.

Какие основные этапы включает процесс продажи решений по информационной безопасности в b2b-сегменте?

Как в любых b2b-продажах реализуется стандартный цикл: знакомство с компанией – презентация продукта – демонстрация его на стенде – референс-визит – пилотный проект – расчёт спецификации – коммерческое предложение – бюджетирование – конкурс – заключение контракта – поставка — внедрение – приёмо-сдаточные испытания — закрытие проекта. Некоторые этапы могут быть объединены в одно действие, например – «презентация + демонстрация» или пропущены, например, этап «конкурс» может отсутствовать, если продукт уникальный для конкретной задачи и закупка проводится из единого источника.

Как выбрать наиболее эффективные каналы сбыта для продуктов и услуг в области информационной безопасности?

Ответ зависит от способа поставки продукта: лицензия, программно-аппаратный комплекс, подписка на облачный сервис и т.п. У каждого способа есть свои плюсы и минусы, и эти минусы призван демпфировать канал. Например, программно-аппаратный комплекс – это физическое устройство, а значит, должна быть обеспечена логистика, остатки товара на складе, оперативная замена при выходе компонентов из строя и т.п. – ничего такого при поставке лицензии нет: поставка происходит немедленно на носителях или по Сети, а исправления прилетают в виде обновлений. Поэтому для облачных сервисов эффективны партнёры, готовые оказывать финансовые сервисы (например, демпфирование отсрочки платежа, характерной для крупных заказчиков), а при продаже программно-аппаратных комплексов – партнёры с большими складами и отлаженной логистикой. Во всех случаях важно, чтобы канал масштабировал экспертизу: обучал сотрудников и держал работающие стенды с демонстрацией решений.

Какие стратегии переговоров наиболее результативны при продаже ИБ-решений корпоративным клиентам?

В разных случаях работают разные стратегии. Если потенциальный заказчик никогда не пользовался продуктами того типа, что вы предлагаете (то есть ваш конкурент не другой продукт, а «мы же до сих пор как-то жили без этого») – его надо в процессе обучать новым практикам, показывать ценность такого класса решений, проецировать ваш опыт на конкретные кейсы, близкие заказчику и его отрасли. Если заказчик уже пользуется похожим продуктом вашего конкурента, вам надо сосредоточиться не на ценности, а на отстройках – чем вы отличаетесь технически (конкретные функции продукта), архитектурно (есть ли облачная часть, кластеризация и т.п.) и экономически (способ поставки по документам, скидки, рассрочки, общая стоимость владения и т.п.). Важным частным случаем второй стратегии являются переговоры в рамках импортозамещения – возможно, заказчик привык пользоваться более функциональным иностранным продуктом, ныне недоступным, тогда вам придётся, с одной стороны – обещать разработать определённые функции, а с другой стороны – вежливо отказывать в тех функциях, которые вы не можете или не считаете нужным разработать.

Какие ключевые метрики следует учитывать для оценки эффективности продаж ИБ в b2b?

Какой-то особенной специфики ИБ нет, здесь работают обычные b2b-метрики: конверсия воронки продаж, маржинальность, рост этих показателей по периодам, контроль переменных расходов (стоимость сторонних компонентов + cost of sales).

Как долго длится процесс продажи решений по информационной безопасности и какие факторы на это влияют?

В госструктурах и крупных компаниях с госучастием принят годовой цикл бюджетирования и закупки в рамках соответствующих Федеральных Законов, поэтому цикл продаж обычно занимает два года – первый год решение изучают и тестируют, в случае успеха тестирования и понимания необходимости, бюджетируют закупку на следующий год, в следующем году проводят конкурс, закупку и внедрение. В экстремальных случаях (под атакой или после крупного инцидента) возможна закупка из резервов бюджета текущего года, тогда сейлз-цикл будет короче. В небольших частных компаниях бюджетирование чаще всего проектное и происходит по требованию, поэтому сейлз-цикл в них короче, можно уложиться в полгода-год. Быстрее получается редко – ИБ-продукты работают в тесной интеграции с инфраструктурой, бизнес-критическими приложениями и другими ИБ-решениями, хорошенько не протестировав их в рамках пилота для оценки не только функций, но и влияния продукта на инфраструктуру и другие ИТ/ИБ-решения, никто покупать продукт не будет.

Чем отличаются стадии продаж продуктов по ИБ от продаж услуг в этом направлении?

При продаже экспертных услуг (то есть тех услуг, которые можно измерить в человеко-часах – пентесты, аудиты, исследования исходного кода, расследования инцидентов и т.п.) обычно отсутствует часть пилотирования, она заменяется референсом или просто резюме специалистов. При продаже управляемых услуг (то есть тех, которые можно измерить в трафике, количестве событий и т.п. – SOC, antiDDoS, WAF, антиспам, антифишинг как сервисы) пилот представляет из себя полноценное подключение к сервису, просто неоплаченное — поэтому он обычно короче, один-два месяца, за время которого заказчик должен решить, будет ли он продолжать пользоваться сервисом и провести закупочную процедуру.

Как варьируются подходы к продаже ИБ-решений в зависимости от отрасли, например, в финансовом секторе, здравоохранении или телекоме?

Можно условно разделить мотивацию к покупке на основе:

• требований регулятора (основная мотивация к покупке в госструктурах, объектах КИИ, здравоохранении и финансах);
• оценки рисков (промышленность, розничная торговля, Интернет-сервисы).

В первом случае заказчик относится к затратам на продукт как дополнительному налогу, поэтому будет больше спрашивать про минимально возможную цену закупки и про то, какие именно пункты каких требований закрывают функции продукта/сервиса, а удобство пользования и сравнительная эффективность будет вторична.

Во втором случае заказчика будет больше интересовать эффективность, масштабируемость, глубина поддержки, удобство использования и другие рыночные критерии.

Можно упомянуть отдельным пунктом случай, характерный для телекома, когда продукт покупается не для внутреннего использования (или не только для внутреннего использования), а для оказания с его помощью услуг для своих клиентов (обычно такие модели называют b2b2b или b2b2c, в зависимости от того, корпоративным или частным клиентам оказываются услуги). В этом случае покупается средство производства, поэтому оценивается возврат инвестиций и могут использоваться нехарактерные для обычных продаж модели сотрудничества, например, revenue sharing – отчисления производителю ИБ-решения доли клиентских платежей за услугу, оказанную с помощью его продукта – довольно частая практика при продажах antiDDoS и WAF, когда телеком-оператор ставит себе «арендованное решение» и с его помощью оказывает дополнительные услуги своим клиентам по предоставлению телеком-услуг.

Какие особенности следует учитывать при продаже решений по ИБ государственным заказчикам?

Главный мотив к покупке в госзаказчиках – не защита своих ресурсов, а выполнение требований регуляторов, поэтому фокус обычно на «вот это требование выполняется вот этой функцией, аудиторам покажете вот этот отчёт». Также важны неукоснительное соблюдение закупочной процедуры и побуквенное исполнение технического задания, поскольку характерное для коммерческих проектов «в ТЗ написано, что надо делать это так, но можно это же сделать по-другому, проще и быстрее» в госструктурах буквально уголовное преступление.

Кто в компании должен отвечать за продажу ИБ-решений?

Отвечает за продажи в компании в целом коммерческий директор, а за конкретные отрасли или больших клиентов – их директора (топ-сейлы, аккаунт-менеджеры) – они могут называться как угодно, но смысл их работы это определение и реализация стратегии продаж, полное погружение в заказчика, понимание его целей, стратегии, отраслевого регулирования, бюджета, кадровых ресурсов и т.п., а также исследование конкурентного и партнёрского поля, ключевых ИТ-проектов, амбиций на территориальное расширение и всех остальных параметров, которые могут повлиять на объём бизнеса с этим клиентом/отраслью. Остальные службы являются для него ресурсом для выполнения плана продаж.

Как строить и управлять воронкой продаж для решений по информационной безопасности в b2b?

Точно так же, как в любом b2b в крупных компаниях: определить ключевых клиентов, разделить их по степени прогретости, составить индивидуальный план работы с каждым ключевым клиентом, анализировать и тиражировать успешные кейсы, изучать проигрыши и ошибки и на их основе формировать требования к продукту и улучшать стратегию продаж, и т.п.

Какова роль демонстраций и пилотных проектов в процессе продажи ИБ-решений?

Пилотный проект – ключевая стадия в продаже ИБ решений. Не попробовав решение на живой системе в своей собственной инфраструктуре, заказчик вряд ли решится на крупную покупку. Неуспешный пилот – конец сделке если не навсегда, то надолго, часто – до смены команды в заказчике и выпуска новой версии. Успешный пилот (особенно более успешный по сравнению с конкурентами) – прямой путь к сделке, сорваться она может только из-за проблем с бюджетом.

Какие маркетинговые инструменты наиболее эффективны для продвижения решений по информационной безопасности среди корпоративных клиентов?

Прямые экспертные контакты сотрудников компании-производителя и сотрудников покупателей, а также общение счастливых покупателей с потенциальными покупателями. Все остальные маркетинговые инструменты направлены на организацию этих контактов, организационную и техническую поддержку этих контактов.

Какие типичные возражения встречаются в процессе продаж ИБ-решений и как их преодолевать?

«Есть потребность, но нет бюджета» – можно предложить рассрочку, подписку, облачный сервис, рассмотреть программы компенсации государством покупки средств ИБ.

«Мы же как-то без этого жили до сегодняшнего дня – подождём ещё годик» – ситуация с атаками быстро меняется, на слуху огромные инциденты, критичные для бизнеса компаний и карьер их ИТ/ИБ-директоров, давайте развернём наше решение – если не увидите новых инцидентов, которых раньше не вдели, действительно отложим разговор о покупке.

«Нам это неактуально, нас не атакуют, мы никому не нужны» – в вашей отрасли уже есть пострадавшие, наверняка вы общаетесь между собой и знаете детали. Пострадавшие уже озаботились тем, чтобы это не повторилось, вы же можете учиться на их ошибках – делать тоже самое, но предварительно не пострадав.

Как правильно сегментировать целевую аудиторию для продажи продуктов и услуг по информационной безопасности?

Сначала по мотивации – что ими движет: требования регуляторов, оценка рисков или недавний инцидент. Затем по конкретным требованиям (КИИ, ГИС, финансы, медицина – у каждого своё отраслевое и региональное регулирование), страхам (какие атаки и события считаются заказчиком приоритетными – например, сначала защитим периметр, потом займёмся внутренними угрозами) и рискам (какие системы должны быть защищены в первую очередь и с какой надёжностью).

Как оценить потребности клиента в области информационной безопасности и предложить ему наиболее подходящее решение?

Провести аудит самим или воспользоваться результатами недавно проведённого аудита.

Как учитывать регуляторные требования при продаже ИБ-решений в различных секторах экономики?

Изучать их, как текущие, так и опубликованные проекты, «выпячивать» в продуктах соответствующие функции, интерфейсы и отчёты, вертикализировать продукты под разные отрасли с учётом потребностей в прохождении аудитов и аттестаций систем. Своевременно сертифицировать продукты и их новые версии по требованиям регулятора.

Какие стратегии послепродажного обслуживания наиболее эффективны для удержания клиентов в сфере информационной безопасности?

ИБ-продукты это идеальные продукты «навсегда», большинство их очень «липкие»: во время эксплуатации они обрастают настройками, кастомизацией, интеграциями, написанными сами пользователями скриптами. В результате стоимость миграции на конкурента больше экономии, которую может предложить конкурент даже при конкурентном апгрейде типа «новый продукт по цене поддержки старого». Поэтому для удержания клиента достаточно просто нормально поддерживать продукт: вовремя обновляться, быстро закрывать обращения в техподдержку, не затягивать с интересными функциями, появившимися у конкурентов и т.п.

Как развивается рынок решений по информационной безопасности и какие перспективы открываются для b2b-продаж в ближайшем будущем?

Рынок ИБ развивается опережающими темпами, даже быстрее ИТ-рынка за счёт импортозамещения и небольшой конкуренции в большинстве рыночных ниш, и, конечно, из-за неослабевающей «помощи» атакующих, не позволяющих компаниям забыть о безопасности. Самые продвинутые информационные системы (читай – объекты защиты) сегодня у крупных и очень крупных компаний (Интернет-гиганты, госуслуги, финансовые институты, федеральные телеком- и контент-провайдеры, транспортные и логистические компании, компании розничной торговли – просто посмотрите, чьи приложения у вас на экране смартфона). Их ИБ-зрелость высока, они понимают опасность простоя и утечек из их ключевых систем, у них отличные ИБ-команды, глубоко разбирающиеся в технологиях, техниках атаках и защиты – им для работы нужны эффективные инструменты. При этом государство «закручивает гайки» в регулировании, вводя всё более жёсткие санкции за утечки, на подходе оборотные штрафы. Поэтому у b2b-продаж ИБ в обозримой перспективе всё будет хорошо.