MSP y MSSP: cómo aumentar la interacción con sus clientes de ciberseguridad mediante informes de vCISO

Como vCISO, usted es responsable de la estrategia de ciberseguridad y la gobernanza de riesgos de su cliente. Esto incorpora múltiples disciplinas, desde la investigación hasta la ejecución y la generación de informes. Recientemente, publicamos un manual integral para vCISO, «Sus primeros 100 días como vCISO: 5 pasos para el éxito»que cubre todas las fases implicadas en el lanzamiento de una colaboración vCISO exitosa, junto con acciones recomendadas a tomar y ejemplos paso a paso.

Tras el éxito del manual y las solicitudes que nos ha enviado la comunidad de MSP/MSSP, decidimos profundizar en partes específicas de los informes de vCISO y ofrecer más detalles y ejemplos. En este artículo, nos centramos en cómo crear narrativas convincentes dentro de un informe, lo que tiene un impacto significativo en la propuesta de valor general de MSP/MSSP.

Este artículo presenta los aspectos más destacados de un reciente taller guiado Celebramos un evento en el que abordamos qué hace que un informe sea exitoso y cómo se puede utilizar para mejorar la interacción con sus clientes de seguridad cibernética.

El taller se realizó en colaboración con Jesse Miller, coautor del manual Primeros 100 días y fundador de Consultoría PowerPSA y PowerGRYDJesse es un veterano CISO/vCISO y estratega de seguridad de la información que se ha propuesto ayudar a los proveedores de servicios a descifrar el código para obtener ganancias premium con vCISO. Puede ver el seminario web completo, con más detalles y ejemplos del mundo real. aquí.

El valor oculto de los informes

Según Miller, «una cosa es hacer un gran trabajo y otra muy distinta es que el cliente lo vea así». En este punto es donde debería centrarse la elaboración de informes. Un proceso de elaboración de informes estricto es la guinda del pastel de un recorrido conectado para el cliente en un programa vCISO exitoso.

Sin embargo, como revela Miller, los informes no tienen como objetivo principal demostrar las actividades que el vCISO realiza para el cliente, lo cual es un error común. Más bien, el valor real radica en convertir al cliente en el héroe de su recorrido de seguridad. Por lo tanto, los informes del vCISO deben centrarse en el cliente y en los objetivos de su organización, no en las actividades del vCISO. El objetivo final de cualquier informe es permitir un debate sobre la estrategia empresarial que gire en torno a la seguridad.

Beneficios de los informes de vCISO

Profundizando en el propósito mencionado anteriormente, los informes de vCISO brindan múltiples beneficios tanto para el vCISO como para el cliente:

Para el vCISO:

Garantizar que el vCISO esté alineado con las expectativas del cliente
Asegurarse de que el cliente comprenda su postura de seguridad y cumplimiento.
Creación de una visión compartida entre el vCISO y el cliente
Crear consenso sobre un camino de mejora (en lugar de limitarse a impulsar recomendaciones de manera unilateral)
Consolidar las iniciativas en los resultados empresariales
Impulsar la retención y las ventas

Para el cliente –

Controlando su destino de seguridad
Diseñar su proceso de seguridad en función de los resultados comerciales y permitirles asumir el riesgo asociado con sus decisiones y acciones.
Toma de decisiones simplificada
Reducción de ruido
Ancho de banda y escala
Conseguir botones y recursos fáciles para la ejecución táctica
Asegurarse de que perciban el alto retorno de la inversión que se les brinda por su inversión en vCISO

4 secciones esenciales de un informe vCISO

Para descubrir todos los beneficios enumerados anteriormente, se recomienda crear un informe que cubra cuatro secciones:

Sección 1: Resumen general – El resumen, las métricas de nivel superior y cualquier elemento «candente».
Sección 2: Revisión táctica – Cómo funcionan los controles, “historias” de datos y preparación del escenario para las recomendaciones e iniciativas que vendrán en las siguientes secciones.
Sección 3: Revisión estratégica – Una revisión de la hoja de ruta, celebración de una discusión dirigida por la empresa, recomendaciones y mapeo de los RCT (recursos, compromiso, tiempo) para los próximos pasos.
Sección 4: Iniciativas futuras – Trabajo actual en progreso, protegiéndose del riesgo y construyendo el embudo de ventas.

Ahora vamos a profundizar en cada uno.

Sección 1: Resumen general

La primera sección del informe ofrece una descripción general y un resumen, adelantos del resto del informe y métricas de alto nivel. También es donde se pueden abordar temas «candentes». Por ejemplo, informar sobre la presencia de un atacante y responder a cualquier pregunta abierta.

Al ofrecer una breve sección inicial centrada en los resultados, los vCISO pueden compartir de forma concisa la historia que están contando. También permite que los ejecutivos y líderes empresariales se unan a la primera parte del informe para obtener una descripción general, dejando que los profesionales profundicen en los detalles más adelante.

Por ejemplo, en este informe de muestra de Cynomi, podemos ver la primera parte del resumen general, mostrando la puntuación de la postura, junto con una breve explicación sobre lo que significa y aludiendo al riesgo.

Sección 2: Revisión táctica

La segunda sección permite contar historias con los datos. Dado que existe una amplia variedad de datos que se pueden incluir en los informes, es importante asegurarse de que se utilicen los datos correctos. Esto permitirá crear la historia correcta.

Recuerde, la idea es convertir al cliente en el héroe, mostrándole cómo obtiene lo que quiere para el negocio con su programa de seguridad.

Por ejemplo, un público altamente técnico puede acceder a los detalles granulares de los programas de seguridad. Sin embargo, un responsable de la toma de decisiones de alto nivel no podrá comprender la historia a partir de los mismos datos. Por lo tanto, se recomienda automatizar la recopilación de datos y luego cotejarlos y depurarlos para el tipo de cliente al que se presentan.

Esta sección también puede mostrar avances y recomendaciones adaptadas a distintos tomadores de decisiones, incidentes de seguridad y cómo abordarlos, acciones recomendadas para respaldar procesos comerciales (como fusiones y adquisiciones) y más.

Por ejemplo, en esta sección de un informe de muestra de Cynomi, el vCISO puede analizar en profundidad el estado de las distintas políticas y dominios que deben protegerse mejor. Más adelante, el informe también muestra los resultados del análisis que sirven de evidencia para este análisis.

Sección 3: Revisión estratégica

La sección de revisión estratégica tiene como objetivo crear un recorrido de seguridad priorizado. Para construir esta historia, es importante vincular la evaluación de riesgos, la hoja de ruta de seguridad y las recomendaciones. Esto significa crear un sistema en el que la evaluación de riesgos de alto nivel detecte infracciones en los controles de seguridad, como la gestión de vulnerabilidades, el control de malware o la respuesta a incidentes. Luego, el informe de recomendaciones debe indicar claramente qué soluciones deben implementarse y la hoja de ruta debe enumerar las prioridades, es decir, crear un recorrido.

Consejos profesionales:

No difunda miedo, incertidumbre y duda. En lugar de eso, adopte un enfoque de «sándwich de cumplidos», comenzando y terminando con comentarios positivos.
Antes de pedirles a los clientes que gasten dinero, muéstreles cómo las recomendaciones y acciones les permiten ahorrar dinero y respaldar el negocio.
Utilice el mapeo RCT (Recursos, Costo, Tiempo) para ayudar a los clientes a tomar una decisión.

Por ejemplo, en este informe de Cynomi, el vCISO puede mostrar el estado del cumplimiento de las normas y aprovecharlo para las recomendaciones y la hoja de ruta.

Sección 4: Iniciativas futuras

Al final, llega el momento de analizar las iniciativas futuras. Dado que los clientes no cuentan con recursos ilimitados, esta sección ayuda a poner en cola el trabajo y priorizarlo en función de un consenso empresarial.

Esta sección también ayuda a proteger tanto al cliente como al vCISO de los riesgos. Por ejemplo, mostrar el progreso mes a mes ayuda a demostrar a los auditores y organismos reguladores que el cliente está actuando con la debida diligencia. Esto protege tanto al vCISO como al cliente.

Por último, esta sección genera responsabilidad entre los clientes. Cuando el vCISO muestra claramente los resultados comerciales de aceptar las recomendaciones propuestas, el cliente puede tomar una decisión comercial y asumir el riesgo de esa decisión.

¿Que sigue?

Los informes forman parte de un enfoque holístico de vCISO que genera confianza con el cliente. Convertir al cliente en el héroe le demuestra que usted se preocupa por sus intereses. Cuando esto se verifica a través de informes, se impulsa la escala y el crecimiento de vCISO, lo que hace que su negocio sea exitoso.

Para más explicaciones y ejemplos, mira el vídeo completo. Taller aquí.

Para obtener más consejos profesionales y prácticas comprobadas para vCISO, lea la guía «Sus primeros 100 días como vCISO: 5 pasos para el éxito».

Para obtener información diaria sobre cómo potenciar las ganancias de su vCISO, Sigue a Jesse Miller en LinkedIn o únete a la Comunidad PowerGRYD.

¿Te resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

ttn-es-57

La gripe estomacal golpea al grupo KLJ de Bruselas en Vlamertinge

La mansión Grand Designs, valorada en 11 millones de libras, provoca furia por las vistas al mar desde la piscina del propietario… mientras el arquitecto es suspendido

Michael Saylor: “Incluso en el escenario bajista, 1 Bitcoin costará 3 millones de dólares”

Gordon recibe un regalo de NPO: «Sus posibilidades ahora están aumentando de verdad»