24 abril 2010

Vendiendo seguridad en el mundo empresarial

Si se da la oportunidad de que en una empresa grande tengan abierto un proceso de evaluación y compra de un producto de seguridad que tú vendas. ¿Qué hay que decir? ¿dónde hacer hincapié? ¿en qué insistir o resaltar?

Entre las labores comerciales previas a la visita, ayuda mucho conocer quién/quienes son los interlocutores que se visitarán, qué cargo ocupan (a qué se dedica, si es técnico o no, especialista o generalista,...), y sobre todo la conocer la empresa en sí y su apuesta/necesidad por la seguridad en sus operaciones y procedimientos.

En este tipo de situaciones, en las que existe un interés por una tecnología en concreto, es esencial saber cuál es lo que se llama el "key driver" del proyecto. En el mundo empresarial, la decisión de implantar determinada tecnología de seguridad, surge por una necesidad. Generalmente es para proteger los datos de sus clientes, sus procedimientos, daños en su imagen (si sale a la luz que un sistema ha sido comprometido),... La motivación de esta necesidad puede ser por cumplir con alguna normativa (PCI-DSS, HIPAA, AENOR, ISO,...) o simplemente porque es de sentido común que los sistemas han de contar con un nivel adecuado de seguridad.

Pero ¿En qué se fijan las empresas cuando evalúan los diferentes productos?

Si la necesidad surge por una determinada normativa, el nivel de seguridad y la fecha de decisión del proyecto vendrá dictada por la propia legislación.

De todas formas, y dejando al margen el precio inicial (y de mantenimiento anual) de cada fabricante que se evalúa, que por supuesto que influye en la compra, por mi experiencia puedo resaltar las siguientes:

  • Que la solución técnicamente sea competitiva. En algunos casos, no es necesario ni siquiera que sea la mejor, pero que sea suficientemente robusta para lo que se pretende proteger.
  • Que garantice el servicio. Si en un momento puntual, no es seguro, pues mala suerte, pero lo que no puede pasar es que por un fallo en un elemento de seguridad, se pierda servicio. La alta disponibilidad es imprescindible.
  • Rendimiento. Con que no introduzca un retardo inaceptable en la calidad del servicio, es suficiente en la mayoría de las ocasiones. En general, seguridad está reñida con el rendimiento.
  • Que sea escalable. Si hoy dimensiono mis necesidades, en el hipotético caso de crecimiento (aunque mirando las páginas económicas de cualquier periódico, cualquiera lo diría), que sea lo más fácilmente posible. Generalmente triunfan las soluciones que soportan clustering activo-activo, balanceando carga entre nodos, de manera que si necesito otro nodo, lo añado y todo sigue funcionando.
  • Rapidez de despliegue y configuración. Que introducir esa tecnología en la empresa no sea traumático, no genere falsos positivos ni "moleste" a los clientes y usuarios.
  • Facilidad y tiempo diario de administración. En cada presentación me preguntan cuántas horas/hombre semanales requiere dedicarle a la gestión de la misma.
  • Capacidad de generación de informes/reportes. Lo que nos gusta o disgusta a los humanos nos entra por los ojos. Cuanto más alto es el cargo (y menos técnico sea), más hincapié habrá que hacer en demostrar la relevancia de los informes, gráficos, diagramas, etc,...
  • Nivel y calidad de soporte postventa: los SLAs que da el fabricante o integrador en caso de incidencia: 8x5, 24x7, NBD,... tiempo de respuesta en X horas, etc,...

Al final, cada empresa valorará estas y otras medidas, según lo que cada una priorice. Por eso es importante contar con soluciones que cumplan lo mejor posible los puntos anteriores, y por supuesto saber cuál es el problema que quiere resolver cada cliente o qué motiva su compra. Sólo entendiendo esto se le podrá ofrecer la mejor configuración posible adaptándolo a sus necesidades, desde el momento de la preventa.

5 comments :

Román Ramírez dijo...

Visto cómo anda el mundo últimamente, hay que subrayar el tema de los ANS (Acuerdos de Nivel de Servicio, en español).

Por otro lado, la capacidad de integración de una solución completa con el resto de la aquitectura puede ser definitiva (y terminal en muchos casos).

La mejor solución puede no elegirse debido a que sería complicado ajustarla al engranaje completo.

Hay un valor que echo MUCHO de menos cuando la gente viene a venderme cosas: honestidad.

Si conoces los requisitos y sabes que tu solución no se ajusta, ¿piensas que, por reunirnos quince veces, vamos a adaptar tu esfera a nuestro hueco rectangular? Mal vas :)

Anónimo dijo...

Hola campeones,

Me ha gustado mucho el post, sólo puntualizar un tema:

- AENOR: No es una normativa, es una entidad certificadora acreditada por un organismo de acreditación nacional, en España ENAC. Se dedican a definir las normas y estándares del mercado españo, por así decirlo. Ellos en principio no tienen ánimo de lucro (o eso dicen, pq cobran por certificados y por comprar sus normas).
- HIPAA: Es una ley
- ISO: puede ser estándar (si tiene un esquema de certificación válido y reconocido por una entidad nacional de acreditación: UKAS, ENAC, COFRAC, etc.; o puede ser código de buenas prácticas, si no es certificable.
- PCI DSS (aunque visa y mastercard lo llaman standard, en el sentido purista no lo es, sería más bien una normativa sacada de la manga de los Medios de pago, para que se cumplan una serie de reglas, en este caso de seguridad)
- Personalmente diferenciaría entre : regulación (por ejemplo más sectorial como Sarbanes-Soxley ó SOX, legislación (HIPAA, LOPD) y normativas (PCI-DSS) o buenas prácticas del mercado (ISO 27002,ISO 9002, etc.) y normas o estándares, que no son lo mismo que normativas (ISO 27001, ISO 9001, etc.).

Bueno espero haber aportado mi granito de arena. Un fuerte abrazo,

Net.

qemm dijo...

La Seguridad está de moda y se está llenando de empresas lammeruzas que venden por oido y no por conocimiento.

Ya solamente se quedan en venderte herramientas o informes basados en resultados de herramientas tipo Ossim o Nessus y ya con eso se quedan tranquilos. No se preocupan de lo que un deface o un sqlinjection les puede hacer a la imágen de su empresa.

Aunque pensandolo bien, cuando se ha hecho un deface o algo similar a alguna web, por regla general no ha supuesto un hecho que desemboque en algo "importante" dentro de una empresa. ¿Solamente la pérdida económica por un ataque es importante?, no la perdida de imágen.

En conclusión la seguridad en las pymes no se valora cuando si que se debería valorar, y el porqué es que los problemas asociados los ven como algo anecdótico para contar a los colegas.

qemm dijo...

La Seguridad está de moda y se está llenando de empresas lammeruzas que venden por oido y no por conocimiento.

Ya solamente se quedan en venderte herramientas o informes basados en resultados de herramientas tipo Ossim o Nessus y ya con eso se quedan tranquilos. No se preocupan de lo que un deface o un sqlinjection les puede hacer a la imágen de su empresa.

Aunque pensandolo bien, cuando se ha hecho un deface o algo similar a alguna web, por regla general no ha supuesto un hecho que desemboque en algo "importante" dentro de una empresa. ¿Solamente la pérdida económica por un ataque es importante?, no la perdida de imágen.

En conclusión la seguridad en las pymes no se valora cuando si que se debería valorar, y el porqué es que los problemas asociados los ven como algo anecdótico para contar a los colegas.

Román Ramírez dijo...

Visto cómo anda el mundo últimamente, hay que subrayar el tema de los ANS (Acuerdos de Nivel de Servicio, en español).

Por otro lado, la capacidad de integración de una solución completa con el resto de la aquitectura puede ser definitiva (y terminal en muchos casos).

La mejor solución puede no elegirse debido a que sería complicado ajustarla al engranaje completo.

Hay un valor que echo MUCHO de menos cuando la gente viene a venderme cosas: honestidad.

Si conoces los requisitos y sabes que tu solución no se ajusta, ¿piensas que, por reunirnos quince veces, vamos a adaptar tu esfera a nuestro hueco rectangular? Mal vas :)