Продажи в кибербезе имеют свою специфику: даже этапы сделки в этой сфере отличаются от классической последовательности, которая описана в маркетинговой литературе. А еще продажнику в ИБ сложно обойтись без использования OSINT. Да, сбор информации о цели в открытых источниках пригождается не только в пентестах и хакинге. 

Если вы не ждете, что бог торговли Гермес прилетит в своих крылатых сандалиях и поможет выполнить годовой план на 110%, предлагаем ознакомиться с best practices в продажах ИБ-услуг, которыми поделился наш BDM Иван Куракин. Передаем ему слово. 

Стадии продаж в кибербезе

О канонических пяти стадиях продаж, наверное, знает каждый, кто занимается коммерцией. Вот эти пять «столпов»:

  • установление контакта с клиентом;

  • выявление потребностей;

  • презентация продукта или услуги;

  • работа с возражениями;

  • заключение сделки.

Иногда перечень шагов расширяется за счет сбора обратной связи или дополнительных продаж.

В кибербезе очередность сделки выглядит немного иначе:

  • определение ЦА и поиск клиентов;

  • поиск лидеров принятия решений (ЛПР-ов) и лидогенерация;

  • выявление потребностей клиента и формирование предложения;

  • установление контакта с клиентом;

  • созвон с клиентом и презентация продукта;

  • проведение пилота (например, развертывание демоверсии продукта);

  • подписание договора.

Как видно, наша очередность тоже содержит стадии из классического подхода, но и в них немало своих отраслевых особенностей. Теперь обо всем по порядку.

Шаг 1. Поиск клиентов

В какие компании «заходить»? С ответа на этот вопрос начинаются b2b-продажи в любой сфере, и кибербез не является исключением. Вот пара лайфхаков, которые я использую в своей практике:

  1. Ищите в открытых источниках сведения о кибератаках на бизнесы. Узнать об атаках можно не только из новостей, но и по некоторым косвенным признакам. Например, специальные боты в Telegram, Discord и различных мессенджерах агрегируют информацию об утечках данных. Если в компании часто происходят подобные инциденты, не исключено, что руководство бизнеса уже осознало всю серьезность проблемы и находится в поиске ИБ-решений, которые помогут защитить корпоративную сеть.

  2. Следите за изменениями в законодательстве. Многие ИБ-компании отслеживают требования надзорных органов к организациям из разных отраслей. Так удается сразу предлагать потенциальным клиентам решения, которые необходимы им для выполнения условий комплаенс.

  3. Мониторьте закупки потенциальных клиентов. Здесь все просто. Можно изучать электронные торговые площадки разных компаний и находить объявления о закупках различных ИБ-решений.

Шаг 2. Поиск ЛПР-ов и лидогенерация

Даже если бизнес постоянно теряет деньги и данные из-за кибератак, не факт, что все руководители осознают ценность цифровой безопасности. Чтобы ваше предложение не попало под сукно или в спам, надо выходить на заинтересованных ЛПР-ов. Прежде всего это CISO, CIO и CTO. Иногда имеет смысл обращаться к CEO и СOO, которые могут перенаправить вас к профильным руководителям. Например, к начальнику ИБ-службы, HRD, CDTO, директорам проектных офисов.

Поиск ЛПР-ов в онлайн-продажах

«Охотиться» на ЛПР-ов в онлайне лучше всего на профессиональных площадках вроде LinkedIn и его менее популярных аналогов (Professionali, Tenchat). Кроме того, можно разместить рекламу в профильных группах в Telegram, хотя в нашем случае это принесло нулевую конверсию. Если у кого-то из читателей был более удачный опыт такого поиска ЛПР-ов, расскажите об этом в комментариях. 

Вернемся к LinkedIn. Соцсеть позволяет добавлять в друзья порядка 200 человек в неделю и отправлять сообщения объемом до 200 символов пятерым незнакомым пользователям. Френдить собеседников нужно, поскольку это открывает вам контакты уже их друзей. С поиском контактных данных также помогут приложения для сейлз-менеджеров и эйчаров (Lusha, Kaspr.io, ContactOut).

Отдельного внимания заслуживает премиум-аккаунт LinkedIn. Возлагать на эту опцию излишние надежды не стоит: по сути, она дает только золотую плашку в шапке профиля и открывает страницу Sales Navigator. С этой страницы можно отправлять сообщения еще 50 пользователям в неделю. Вот только письма приходят не в мессенджере соцсети, а на имейлы обладателей аккаунтов. А значит, в большинстве случаев такие сообщения улетают прямиком в спам. На 250 писем, которые я отправил потенциальным клиентам в течение пилотного месяца LinedIn Premium, мне ответил всего один человек. Так что подобная опция кажется «неводом для ловли тины морской». Опять же, если у кого-то есть удачные кейсы общения с клиентами с помощью премиум-аккаунтов, будет интересно почитать об этом в комментариях.

Поиск ЛПР-ов в офлайн-продажах

В офлайне продажники действуют двумя основными способами: пишут официальные письма в разные компании и участвуют в отраслевых форумах. Иногда старые добрые бумажные письма на имя генерального директора приносят неплохую конверсию. Особенно если потенциальный клиент — это государственная или бюджетная компания. Такие организации обязаны давать официальный ответ на любое обращение.

Теперь об участии в профильных мероприятиях. Во-первых, следует взять с собой побольше визиток. Когда ЛПР целевой компании делится своей карточкой, а вам нечего дать ему взамен — это неловкая ситуация.

Во-вторых, вспомним завет классика: «Учиться, учиться и еще раз учиться!». Продажнику не помешает прочитать учебник по деловому и дипломатическому этикету. В такой литературе описываются принципы проведения подобных мероприятий, раскрываются роли участников. Становится понятно, чего ожидать от разных собеседников, как вести себя во время общения. В конце концов, работа с холодными клиентами «в полях» — это во многом презентация своего личного обаяния и профессионализма, поэтому мелочей в поведении продажника не бывает.

Также в качестве ликбеза хочу посоветовать учебник по языку телодвижений, например, под авторством Алана Пиза. Книга научит специалиста по продажам тоньше считывать заинтересованность собеседника в предлагаемых услугах.

Шаг 3. Формирование предложения

Итак, связка «компания-должность-ФИО-контакты ЛПР-а» выстроилась. Настало время определить, какой именно ИБ-продукт или услугу предлагать клиенту. Для этого требуется получить комплексное представление о целевой компании. Здесь помогут несколько источников информации. Первый из них — это портал nalog.ru, где можно узнать обороты и примерную численность персонала организации. Это позволит оценить масштабы и платежеспособность бизнеса. 

Второй ценный источник сведений — это Хедхантер. По открытым вакансиям можно понять, какие продукты или услуги могут понадобиться компании. Например, если эйчары разместили 20 объявлений о поиске DevSecOps, то логично предложить такому клиенту аутстаффинг.

Третье поле для сбора информации — новости на сайте самой компании и в любых открытых источниках (например, на сайте Forbes). Аффилированность с материнскими или дочерними организациями несложно проверить на Rusprofile. Словом, на этом этапе продажникам открывается самый широкий простор для OSINT.

Шаг 4. Установление контакта с клиентом

Если у вас сформировалось понимание, к кому именно и с каким предложением обращаться, пора вступать в контакт с клиентом. Лично я начинаю с того, что вписываю в сводную эксель-таблицу имейл, Whatsapp- и TG-аккаунты ЛПР-а. Затем направляю письмо ему на почту. 

Чтобы облегчить себе задачу при написании писем, можно разработать готовые шаблоны. При этом следует соблюдать несколько правил переписки с клиентом:

  1. В шапке письма указывайте конкретную цель обращения, например, «Пентест для ООО “Ромашка”».

  2. Если ЛПР-ов несколько, указывайте их имейлы в адресной строке в порядке занимаемых должностей — от самого большого начальника и по нисходящей. Что уж поделать, таков деловой этикет.

  3. Обращайтесь к адресатам исключительно по имени, а не «уважаемые коллеги».

  4. Поясните ЛПР-у, откуда вы взяли его контакты (допустим, нашли на LinkedIn или узнали на CISO-форуме). Идеальный вариант — если контакты адресата вам дал CEO компании. 

  5. Подготовив драфт письма, проверьте его на соответствие MECE (mutually exclusive, collectively exhaustive). Это принцип группирования тезисов, который использует McKinsey при написании слайдов в своих отчетах. Суть MECE в том, что пункты письма должны быть «взаимно исключающими» (т. е. никаких повторов одних и тех же мыслей разными словами) и «совместно исчерпывающими» (т. е. в совокупности ваши тезисы должны давать исчерпывающее описание проблемы). 

Еще один полезный инструмент для проверки драфта — пирамида Минто. Это способ структурирования текста, при котором сначала излагается главный тезис, потом — обоснование и, наконец, источник. Приведу абстрактный пример пирамиды Минто в действии:

Предлагаем провести для сотрудников тренинг по кибербезопасности, в ходе которого они научатся распознавать фишинговые атаки. Фишинг представляет серьезную угрозу для вашего бизнеса, т. к. в компании работает N тысяч сотрудников, каждый из которых имеет доступ к чувствительным данным. 

На следующий день после отправки письма уместно названивать ЛПР-у, пока тот не согласится заключить сделку ненавязчиво напомнить о себе в мессенджерах и уточнить, удалось ли ЛПР-у ознакомиться с полученными презентациями и готов ли он пообщаться более предметно. Так письмо не затеряется в потоках почты.

Нельзя забывать, что аккаунт продажника в мессенджере — это тоже лицо поставщика ИБ-услуг. Описание зоны ответственности и опыта специалиста по продажам добавит профилю привлекательности. Также нужно проверить настройки аккаунта и удостовериться, что вам могут писать незнакомые люди.

Шаг 5. Созвон с клиентом

Наконец, наступает долгожданный момент: ЛПР соглашается на видеосозвон. Первым делом следует сверить с клиентом часы — и это вовсе не метафора. Поскольку ЛПР может физически находиться в другом часовом поясе, уточнение «по Москве» не будет лишним при согласовании времени встречи. Иначе продажник рискует пережить, возможно, главный эпикфейл за свою карьеру: упустить лида из-за невнимательности и разницы во времени.

Что касается самой беседы, то полагаться исключительно на экспромт рискованно. Нужно заранее определить и постоянно держать в голове вашу цель (например, согласие ЛПР-а на пилот), а также набросать опросник для клиента. Полезно расписать на бумаге примерный план разговора: что и в какой последовательности спрашивать у собеседника и, напротив, рассказывать ему. Конечно, беседа всегда может зайти в неожиданное русло, но наличие шпаргалки перед глазами поможет вовремя сориентироваться и не потерять нить разговора. Другое правило — следовать подготовленному опросному листу и записывать вводные данные со слов клиента. Так у вас сразу сложится примерное понимание будущего коммерческого предложения.

Если на встрече обсуждается конкретный ИБ-продукт, понадобится участие профильного специалиста, который сумеет ответить на сложные технические вопросы. 

По итогам звонка нужно сразу написать чек-лист, чтобы зафиксировать договоренности и не забыть ничего важного. Следующий шаг — отправка опросного листа ЛПР-у. В идеале хотя бы частично заполнить этот документ за клиента, попросив его указать лишь недостающую информацию. Так вы освободите ЛПР-а от лишних усилий и покажете свою клиентоориентированность.

По остальным шагам вплоть до завершения сделки сложно дать какие-то универсальные советы. Этот этап работы обычно регулируется внутренним корпоративным регламентом каждой ИБ-компании.

Шаг 6. Послепродажное взаимодействие

Работать по принципу «главное продажа, а потом хоть потоп» недальновидно. При грамотном подходе поставщик ИБ-услуг способен расширить свое присутствие в клиентской компании. Например, можно предложить клиенту бесплатный аудит ИБ. Если проверка выявит, скажем, потребность в установке DLP-системы, такую меру удастся обосновать клиенту на конкретных фактах. 

Заодно стоит попросить заказчика написать благодарственное письмо, чтобы выложить его на странице в LinkedIn. Желательно, чтобы клиент еще и порекомендовал ИБ-компанию своим знакомым в профессиональном сообществе. Механику такого сарафанного радио подробно описал Максим Батырев в книге «45 татуировок продажника». Для поддержания связи с клиентом можно сообщать ему о новых продуктах и услугах каждый день примерно раз в 3 месяца.


Вместо заключения хочу привести две цитаты, которые я всегда держу в голове во время работы. Первая — из книги «Пять колец самурая» Миямото Мусаси: «Бей в самое слабое и незащищенное место». Вторая — не совсем точная, но близкая к тексту — из мемуаров маршала Константина Рокоссовского: «Один из принципов успешной операции — предельная концентрация сил и средств на ограниченном участке соприкосновения». 

Ключевой принцип продаж в кибербезе представляет собой сочетание этих двух мудрых мыслей. Если бить сильным ударом (по-настоящему целевым предложением) в слабое место (т.е. стремиться решить главные проблемы клиента), то шансы на успешную продажу существенно повышаются.

Комментарии (2)


  1. bromium
    10.09.2024 23:05

    Если честно, OSINT’а особо в статье и не увидел


    1. fenom82
      10.09.2024 23:05

      Ну что же вы. Заголовок, в картинке и где то в тексте.