Роль продажника на этой ВКС: не быть молчаливым наблюдателем, а быть гидом и переводчиком между техническим экспертом (Presale-ИБ) и бизнес-проблемой заказчика. Он должен заранее подготовить почву и помочь эксперту бить точно в цель.

Почему аудит — это не опционально, а обязательно? (Объяснение для продажника и заказчика)

Любой опытный продажник в ИБ должен донести эту мысль на языке выгоды и рисков:

«Строить без проекта — рисковать деньгами» (аргумент эффективности):

Метафора: «Вы же не начинаете строить дом без проекта архитектора и геологической разведки участка? Так и здесь. Внедрение СЗИ «вслепую» — это покупка дорогостоящего оборудования, которое может оказаться несовместимым с вашей сетью, избыточным для ваших рисков или, что хуже, недостаточным для выполнения требований закона. Аудит — это и есть тот самый «проект» и «разведка»».

«Чтобы лечить, нужен диагноз» (аргумент целесообразности):

Объяснение: «Наша цель — не просто «впарить» вам коробку, а решить вашу проблему и обеспечить реальную безопасность и compliance. Мы не знаем, какие именно системы у вас уже развернуты, как настроены маршрутизаторы, есть ли неустраненные уязвимости. Аудит покажет «диагноз», и только после этого мы предложим «рецепт» — точный план внедрения именно тех СЗИ, которые закроют ваши «дыры» в соответствии с регуляторами».

«Чтобы выполнить закон, нужно знать отправную точку» (аргумент compliance):

Ключевой аргумент, где нужны знания продажника: здесь продажник, понимающий регуляторику, бьет точно в цель. Он говорит на языке ответственности заказчика: Для подпадающих под 152-ФЗ: « Для составления модели угроз в соответствии с Приказом № 21 Роскомнадзора нам обязательно требуется провести обследование информационных систем персональных данных (ИСПДн). Без этого мы не сможем документально обосновать выбранные меры защиты перед регулятором». Для операторов КИИ (187-ФЗ): «Иван Иванович, в соответствии с Приказом ФСТЭК № 239, система безопасности КИИ создается на основе результатов категорирования и актуальной модели угроз. Чтобы разработать эти документы и корректно применить требования регуляторов провести детальный аудит вашей инфраструктуры. Иначе мы не сможем гарантировать, что созданная система пройдет аттестацию».

Роль продажника с опытом в ИБ на этом этапе:

Предварительная квалификация: до ВКС он уже примерно понимает, под какие законы попадает заказчик. Он мог провести легкий OSINT (посмотреть сайт, новости, вакансии компании на предмет поиска ИБ-специалистов) и заранее сообщить эксперту Presale: «Коллега, внимание, это оператор связи, вероятно, субъект КИИ, готовь кейсы по 187-ФЗ».

Формулирование запроса: он помогает заказчику сформулировать его «боль» не как «хотим купить DLP», а как «нам нужно обеспечить соответствие требованиям N приказа ФСТЭК по защите информации, составляющей коммерческую тайну, и мы не уверены, что текущая конфигурация нам это позволяет».

Управление возражениями: когда заказчик говорит: «Зачем нам этот аудит, просто дайте коммерческое предложение на те системы, которые мы запросили», продажник не теряется.

Слабая реакция (обычный менеджер): «Ну, это наша стандартная процедура…» Сильная реакция (эксперт-продажник): «Понимаю ваше желание ускорить процесс. Однако, исходя из вашего статуса [например, оператора КИИ], некорректный подбор средств защиты может привести к тому, что при проверке ФСТЭК вы получите предписание, и эти системы не будут зачтены. Это прямые финансовые потери. Аудит — это страховка от такого риска. Он сэкономит вам бюджет в долгосрочной перспектуре, так как мы предложим именно то, что нужно, и в нужном объеме. Давайте мы проведем для вас аудит, и если наши выводы покажут, что запрошенные вами системы не нужны или нужны другие, — мы вернем вам стоимость аудита». (Это сильный ход, показывающий уверенность в экспертизе).

#кибербезопасность , #продажииб , #presale , #аудитбезопасности , #152фз , #187фз , #фстэк , #комплаенс , #информационнаябезопасность , #dlp , #кии , #испдн , #модельугроз , #аттестация , #риски , #штрафы , #бизнеспроблемы , #техническийэксперт , #вкспереговоры, #у