Como vCISO, usted es responsable de la estrategia de ciberseguridad y la gobernanza de riesgos de su cliente. Esto incorpora múltiples disciplinas, desde la investigación hasta la ejecución y la generación de informes. Recientemente, publicamos un manual integral para vCISO, “Sus primeros 100 días como vCISO: 5 pasos para el éxito”que cubre todas las fases implicadas en el lanzamiento de una colaboración vCISO exitosa, junto con acciones recomendadas a tomar y ejemplos paso a paso.
Tras el éxito del manual y las solicitudes que nos ha enviado la comunidad de MSP/MSSP, decidimos profundizar en partes específicas de los informes de vCISO y ofrecer más detalles y ejemplos. En este artículo, nos centramos en cómo crear narrativas convincentes dentro de un informe, lo que tiene un impacto significativo en la propuesta de valor general de MSP/MSSP.
Este artículo presenta los aspectos más destacados de un reciente taller guiado Celebramos un evento en el que abordamos qué hace que un informe sea exitoso y cómo se puede utilizar para mejorar la interacción con sus clientes de seguridad cibernética.
El taller se realizó en colaboración con Jesse Miller, coautor del manual Primeros 100 días y fundador de Consultoría PowerPSA y PowerGRYDJesse es un veterano CISO/vCISO y estratega de seguridad de la información que se ha propuesto ayudar a los proveedores de servicios a descifrar el código para obtener ganancias premium con vCISO. Puede ver el seminario web completo, con más detalles y ejemplos del mundo real. aquí.
El valor oculto de los informes
Según Miller, “una cosa es hacer un gran trabajo y otra muy distinta es que el cliente lo vea así”. En este punto es donde debería centrarse la elaboración de informes. Un proceso de elaboración de informes estricto es la guinda del pastel de un recorrido conectado para el cliente en un programa vCISO exitoso.
Sin embargo, como revela Miller, los informes no tienen como objetivo principal demostrar las actividades que el vCISO realiza para el cliente, lo cual es un error común. Más bien, el valor real radica en convertir al cliente en el héroe de su recorrido de seguridad. Por lo tanto, los informes del vCISO deben centrarse en el cliente y en los objetivos de su organización, no en las actividades del vCISO. El objetivo final de cualquier informe es permitir un debate sobre la estrategia empresarial que gire en torno a la seguridad.
Beneficios de los informes de vCISO
Profundizando en el propósito mencionado anteriormente, los informes de vCISO brindan múltiples beneficios tanto para el vCISO como para el cliente:
Para el vCISO:
- Garantizar que el vCISO esté alineado con las expectativas del cliente
- Asegurarse de que el cliente comprenda su postura de seguridad y cumplimiento.
- Creación de una visión compartida entre el vCISO y el cliente
- Crear consenso sobre un camino de mejora (en lugar de limitarse a impulsar recomendaciones de manera unilateral)
- Consolidar las iniciativas en los resultados empresariales
- Impulsar la retención y las ventas
Para el cliente –
- Controlando su destino de seguridad
- Diseñar su proceso de seguridad en función de los resultados comerciales y permitirles asumir el riesgo asociado con sus decisiones y acciones.
- Toma de decisiones simplificada
- Reducción de ruido
- Ancho de banda y escala
- Conseguir botones y recursos fáciles para la ejecución táctica
- Asegurarse de que perciban el alto retorno de la inversión que se les brinda por su inversión en vCISO
4 secciones esenciales de un informe vCISO
Para descubrir todos los beneficios enumerados anteriormente, se recomienda crear un informe que cubra cuatro secciones:
- Sección 1: Resumen general – El resumen, las métricas de nivel superior y cualquier elemento “candente”.
- Sección 2: Revisión táctica – Cómo funcionan los controles, “historias” de datos y preparación del escenario para las recomendaciones e iniciativas que vendrán en las siguientes secciones.
- Sección 3: Revisión estratégica – Una revisión de la hoja de ruta, celebración de una discusión dirigida por la empresa, recomendaciones y mapeo de los RCT (recursos, compromiso, tiempo) para los próximos pasos.
- Sección 4: Iniciativas futuras – Trabajo actual en progreso, protegiéndose del riesgo y construyendo el embudo de ventas.
Ahora vamos a profundizar en cada uno.
Sección 1: Resumen general
La primera sección del informe ofrece una descripción general y un resumen, adelantos del resto del informe y métricas de alto nivel. También es donde se pueden abordar temas “candentes”. Por ejemplo, informar sobre la presencia de un atacante y responder a cualquier pregunta abierta.
Al ofrecer una breve sección inicial centrada en los resultados, los vCISO pueden compartir de forma concisa la historia que están contando. También permite que los ejecutivos y líderes empresariales se unan a la primera parte del informe para obtener una descripción general, dejando que los profesionales profundicen en los detalles más adelante.
Por ejemplo, en este informe de muestra de Cynomi, podemos ver la primera parte del resumen general, mostrando la puntuación de la postura, junto con una breve explicación sobre lo que significa y aludiendo al riesgo.
Sección 2: Revisión táctica
La segunda sección permite contar historias con los datos. Dado que existe una amplia variedad de datos que se pueden incluir en los informes, es importante asegurarse de que se utilicen los datos correctos. Esto permitirá crear la historia correcta.
Recuerde, la idea es convertir al cliente en el héroe, mostrándole cómo obtiene lo que quiere para el negocio con su programa de seguridad.
Por ejemplo, un público altamente técnico puede acceder a los detalles granulares de los programas de seguridad. Sin embargo, un responsable de la toma de decisiones de alto nivel no podrá comprender la historia a partir de los mismos datos. Por lo tanto, se recomienda automatizar la recopilación de datos y luego cotejarlos y depurarlos para el tipo de cliente al que se presentan.
Esta sección también puede mostrar avances y recomendaciones adaptadas a distintos tomadores de decisiones, incidentes de seguridad y cómo abordarlos, acciones recomendadas para respaldar procesos comerciales (como fusiones y adquisiciones) y más.
Por ejemplo, en esta sección de un informe de muestra de Cynomi, el vCISO puede analizar en profundidad el estado de las distintas políticas y dominios que deben protegerse mejor. Más adelante, el informe también muestra los resultados del análisis que sirven de evidencia para este análisis.
Sección 3: Revisión estratégica
La sección de revisión estratégica tiene como objetivo crear un recorrido de seguridad priorizado. Para construir esta historia, es importante vincular la evaluación de riesgos, la hoja de ruta de seguridad y las recomendaciones. Esto significa crear un sistema en el que la evaluación de riesgos de alto nivel detecte infracciones en los controles de seguridad, como la gestión de vulnerabilidades, el control de malware o la respuesta a incidentes. Luego, el informe de recomendaciones debe indicar claramente qué soluciones deben implementarse y la hoja de ruta debe enumerar las prioridades, es decir, crear un recorrido.
Consejos profesionales:
- No difunda miedo, incertidumbre y duda. En lugar de eso, adopte un enfoque de “sándwich de cumplidos”, comenzando y terminando con comentarios positivos.
- Antes de pedirles a los clientes que gasten dinero, muéstreles cómo las recomendaciones y acciones les permiten ahorrar dinero y respaldar el negocio.
- Utilice el mapeo RCT (Recursos, Costo, Tiempo) para ayudar a los clientes a tomar una decisión.
Por ejemplo, en este informe de Cynomi, el vCISO puede mostrar el estado del cumplimiento de las normas y aprovecharlo para las recomendaciones y la hoja de ruta.
Sección 4: Iniciativas futuras
Al final, llega el momento de analizar las iniciativas futuras. Dado que los clientes no cuentan con recursos ilimitados, esta sección ayuda a poner en cola el trabajo y priorizarlo en función de un consenso empresarial.
Esta sección también ayuda a proteger tanto al cliente como al vCISO de los riesgos. Por ejemplo, mostrar el progreso mes a mes ayuda a demostrar a los auditores y organismos reguladores que el cliente está actuando con la debida diligencia. Esto protege tanto al vCISO como al cliente.
Por último, esta sección genera responsabilidad entre los clientes. Cuando el vCISO muestra claramente los resultados comerciales de aceptar las recomendaciones propuestas, el cliente puede tomar una decisión comercial y asumir el riesgo de esa decisión.
¿Que sigue?
Los informes forman parte de un enfoque holístico de vCISO que genera confianza con el cliente. Convertir al cliente en el héroe le demuestra que usted se preocupa por sus intereses. Cuando esto se verifica a través de informes, se impulsa la escala y el crecimiento de vCISO, lo que hace que su negocio sea exitoso.
Para más explicaciones y ejemplos, mira el vídeo completo. Taller aquí.
Para obtener más consejos profesionales y prácticas comprobadas para vCISO, lea la guía “Sus primeros 100 días como vCISO: 5 pasos para el éxito”.
Para obtener información diaria sobre cómo potenciar las ganancias de su vCISO, Sigue a Jesse Miller en LinkedIn o únete a la Comunidad PowerGRYD.