Редакция CISOCLUB побеседовала с Дмитрием Пудовым, заместителем генерального директора и основателем компании NGR Softlab, о том, как рождаются идеи для создания продуктов по информационной безопасности и как эти идеи превращаются в востребованные решения. Дмитрий рассказал, какие подходы используют разработчики для поиска вдохновения, как запросы клиентов и рыночные тренды формируют направление работы вендоров, и почему важно превращать даже самые смелые задумки в реальные продукты.
В интервью эксперт подробно описал, как проводится исследование рынка ИБ перед началом разработки, как тестируются гипотезы и какие принципы учитываются при формировании концепции будущего продукта. Дмитрий поделился, как подход fail fast and fail cheap помогает командам быстро проверять гипотезы, а активное взаимодействие с целевой аудиторией позволяет минимизировать риски на всех этапах создания решений. Также он рассказал, почему разработка MVP в сфере ИБ требует проработки функционала и высокой степени готовности продукта даже на ранних стадиях.
Отдельное внимание в разговоре было уделено вызовам, с которыми сталкиваются вендоры на этапе внедрения ИБ-продуктов, и ключевым критериям, оцениваемым в процессе пилотных проектов. Дмитрий объяснил, как компании выстраивают взаимодействие с первыми клиентами, какие метрики определяют успешность продукта на рынке и почему развитие продуктового портфеля существующих игроков становится более перспективным, чем появление новых вендоров.
Как возникают идеи для создания продуктов по информационной безопасности и что обычно является источником вдохновения для вендоров?
Универсального рецепта не существует. Иногда это яркие внезапные идеи, так называемые инсайты, иногда запросы с рынка в решении той или иной задачи, иногда долгая работа по созданию образа будущего продукта через анализ рыночных ниш, возможностей, существующих решений и т. п. Вообще, идеальный источник вдохновения — актуальные проблемы клиентов. Если они существуют, устойчивы и никем не решены (неважно, по какой причине), перед вами открывается возможность. Дальше вопрос лишь в том, можете ли вы ей воспользоваться. Например, в этом году мы выпустили на рынок новый продукт, который появился благодаря запросу одного из наших ключевых заказчиков. Он не смог найти на рынке существующее решение и обратился к нам со своей задачей. Мы начали с простого средства автоматизации, которое затем трансформировалось в полноценный продукт enterprise-уровня. Сама потребность заказчика не уникальна для ИБ-рынка, и сейчас этот продукт уже доступен широкой аудитории.
Как проходит процесс исследования рынка ИБ перед началом разработки продукта? Какие ключевые аспекты вы оцениваете?
При оценке проектов мы учитываем наличие собственной экспертизы в сегменте и емкость продуктовой ниши. Экспертиза позволяет точнее прогнозировать сроки создания решений, повторно использовать ряд наработок и технологий, помогая оптимизировать инвестиции и повышать скорость доставки продукта на рынок.
Сделать можно практически все. Однако, заходя в новую для себя нишу, вы должны заранее иметь ответ на вопрос: где вы привлечете экспертизу? Уже несколько лет рынок труда является соискательским, и поиск команды, обладающей релевантными знаниями, опытом и нужными вам софтовыми качествами, может превратиться в вызов. В конце концов все это время и деньги.
Потенциальный объем рынка определяет масштаб инвестиций и их целесообразность. Здесь стоит обратить внимание на слово «потенциальный», потому что происходящие изменения среды или контекста (законодательства, технологического ландшафта, экономической среды и др.) могут существенно влиять на его объем. Та или иная продуктовая ниша может увеличиться или кратно уменьшиться в достаточно короткий промежуток времени. Например, создание и распространение технологии контейнеризации привело к появлению новых классов продуктов в области информационной безопасности, а после распространения смартфонов практически исчезла ниша персональных камер.
Как формируется концепция будущего ИБ-продукта и на каком этапе принимается решение о необходимости его разработки?
Сначала происходит ментальное проектирование — необходимо защитить перед скептиками идеи и конвертировать их в более понятные потребителю цели, решаемые задачи, получаемые выгоды, боли клиента. Это позволяет выделить (если ранее это было не очевидно) ключевые преимущества продукта, которые необходимо держать в фокусе на всех последующих этапах — скорее всего, это будет основой будущего ценностного предложения. Зачастую нужно проверить несколько гипотез на техническую реализуемость.
Мы стараемся не задавать рамки для research-подразделения: они могут использовать практически любые технологии и инструменты при проверке гипотез и прототипировании. Их ключевая задача — как можно быстрее подтвердить гипотезу и достигнуть ключевых характеристик продукта или доказать их достижимость. На этом этапе важно соответствовать одному из основных принципов дизайн мышления — fail fast and fail cheap.
Прототипов может быть много, и главное — быстро уметь их воспроизводить и модернизировать до появления удовлетворительного результата — положительной обратной связи от будущих потребителей. В идеальном варианте коммуникацию с целевой аудиторией необходимо проводить на всех этапах создания продукта. По мере движения вперед ЦА должна расти, вовлекая новые мнения и снижая фактор субъективности — влюбленности команды в свой будущий продукт.
Какие особенности следует учитывать при разработке MVP продукта по ИБ, учитывая специфику угроз и требований клиентов?
При разработке MVP в дело уже вступает подразделение разработки, которое с учетом используемого технического стека будет формировать требования к будущему продукту для его реализации. Здесь ошибки уже станут обходиться дороже, поэтому качественная проработка требований — залог будущего успеха.
На этапе создания MVP важно определить достаточный для демонстрации образ результата. При этом рынок enterprise-решений и сфера ИБ весьма требовательны даже на этом этапе. Практически нереально ограничиться базовой технологией для ее демонстрации заказчикам. Они тоже понимают цикл разработки решений и поэтому не хотят тратить много времени на анализ MVP, который, возможно, только через год-два станет соответствовать требованиям организации. Все дело в том, что для тестирования необходимо пилотирование продукта, а это, в свою очередь, весьма ресурсоемкая процедура для крупных организаций — надо согласовать цели пилота и объем реализуемых работ, выделить соответствующие мощности, привлечь специалистов (зачастую не только из своего подразделения).
Если изначально понятно, что это всего лишь тестирование для предоставления обратной связи разработчику по продукту, большинство компаний не пойдет на подобные эксперименты или сделает это с минимальным отвлечением ресурсов, и тогда результат может не оправдать ожидания вендора.
Как происходит тестирование ИБ-продукта на этапах его разработки? Какие методы и инструменты используются для проверки надежности и эффективности решений?
Q&A — неотъемлемая часть разработки. Для B2B-рынка, на котором мы работаем, функциональные требования могут иметь меньший приоритет по сравнению с нефункциональными, особенно для крупных заказчиков. Например, для PAM-систем отказоустойчивость является одним из ключевых требований. Если система будет работать ненадежно, организация может лишиться доступа к критичным для своего функционирования элементам ИТ-инфраструктуры, что, в свою очередь, означает риск остановки ряда бизнес-процессов.
Тестированием продуктов занимается специализированное подразделение, в арсенале которого есть различные инструменты. Особое место в производстве и тестировании в ИБ занимают вопросы тестирования безопасности продукта. Сейчас эта область активно развивается: требования регуляторов растут, опубликован новый ГОСТ «Разработка безопасного программного обеспечения», повышается планка при сертификации продуктов. Для ИБ-вендоров вопрос безопасности их программного обеспечения еще и репутационный, поэтому многие компании активно инвестируют в это направление.
Как вендор проводит пилотирование ИБ-продуктов перед их выводом на рынок? Какие критерии оцениваются в процессе пилотных проектов?
При кажущемся многообразии продуктов — рынок информационной безопасности достаточно детерминирован. Многие заказчики мыслят классами решений, предпочитая проверенные временем технологии, а также учитывая конкретные задачи и требования стандартов безопасности. Однако в тоже время еще свежи воспоминания о функциональности зарубежных решений, которые выступают ориентиром для оценки возможностей продуктов.
Даже первые пилоты имеет смысл проводить не в лабораторных условиях, а в инфраструктуре заказчиков, для которых решаемая продуктом проблема является актуальной. В процессе пилотных проектов заказчик оценивает продукт по нескольким ключевым направлениям. Во-первых, это функциональность: полнота реализации заявленных возможностей, корректность работы всех функций и соответствие требованиям. Особое место занимают вопросы интеграции – насколько легко продукт взаимодействует с уже существующей инфраструктурой организации и другими системами. Производительность – ещё один важный аспект: скорость выполнения ключевых функций с учетом потребляемых ресурсов, возможности горизонтального и вертикального масштабирования, то есть способность системы адаптироваться к растущим нагрузкам. Нельзя забывать и об удобстве использования: интерфейс должен быть интуитивно понятным сотрудникам даже при минимальном обучении.
Очень важно предусмотреть сбор формализованной объективной обратной связи при проведении пилотов, чтобы обеспечивать поступательное развитие продукта. Мы стремимся получить полную картину, оценивая продукт с разных сторон, чтобы гарантировать его качество и эффективность перед выходом на рынок.
С какими основными вызовами сталкиваются производители ИБ-продуктов при первом внедрении в реальных условиях?
Особенность создания продуктов для крупных заказчиков заключается в многогранности инфраструктур, в которых должен работать продукт. Чем сложнее продукт, тем более трудоемким является процесс его адаптации для использования.
Могут возникать проблемы совместимости, конфликты с уже используемым ПО и неожиданные взаимодействия различных компонентов. Более того, результаты лабораторных тестов не всегда точно предсказывают поведение продукта в реальных условиях, где профиль нагрузки, объем данных и поведение инфраструктуры могут сильно отличаться.
Сейчас ситуация осложняется тем, что ИТ-ландшафт очень подвижен. Российские производители еще не наладили технологическое взаимодействие между собой, а интеграторы не успевают изучать новые особенности отечественных продуктов, которые сильно прибавляют в функциональности от релиза к релизу. Все это приводит к тому, что внедрение продуктов сейчас только формирует необходимый опыт для последующего тиражирования. И здесь проявляются такие свойства продуктов, как интероперабельность, возможность продукта адаптироваться и масштабироваться, закладываемые на этапе проектирования. Эти качества зачастую являются отличительными особенностями «взрослых» решений.
Как организовать инвестиции в развитие ИБ-продуктов? Какие стратегии наиболее успешны для привлечения инвесторов в области ИБ?
Мы привлекали внешние инвестиции для развития компании или отдельных продуктов только на ранней стадии, и уже несколько лет нашей осознанной стратегией является реинвестирование прибыли в собственный рост.
При этом могу сказать, что инвестировать в продукты ИБ готовы многие — вендоры, венчурные инвесторы, фонды. Есть различные институты и меры поддержки российских разработчиков. С одной стороны, спрос на ИБ-решения еще не удовлетворен, с другой — экономическая ситуация (а именно — высокая стоимость денег) не предполагает бума венчурных инвестиций. Более того, крупные игроки ИБ-рынка демонстрируют склонность к развитию продуктовой линейки собственными силами, а не через M&A. Скорее всего, причина кроется в высоких мультипликаторах, запрашиваемых разработчиками при поиске инвестиций.
Если говорить в целом, то, конечно, инвестиции будет легче привлечь при наличии команды с опытом в области кибербезопасности, реалистичным бизнес-планом и конкурентными преимуществами продуктов. Также, важным фактором будет демонстрация высокого потенциала роста и масштабируемости проекта.
Какие каналы используются для поиска первых клиентов и как строится взаимодействие с потенциальными покупателями ИБ-решений?
Конечно, это традиционные каналы сбыта для производителей программного обеспечения: дистрибьюторы, партнеры. Однако они эффективны в первую очередь для зарекомендовавших себя решений. Успех нового продукта обусловлен не только его характеристиками, но и такими факторами, как популярность компании, степень доверия бренду и топ-менеджерам (особенно для молодых компаний), конкурентного окружения, наличие неудовлетворенного спроса в данной нише, выбранного ценового сегмента и ряда других. Определенное значение имеет и рекламная кампания, сопровождающая выход продукта на рынок, хотя на корпоративном рынке редко делаются эмоциональные покупки, поэтому ее роль не стоит преувеличивать.
Наиболее эффективной стратегией будет поиск ранних последователей — лояльных бренду клиентов (его амбассадоров), которые смогут выступить первыми реферальными заказчиками и предоставить более объективную информацию для рынка о новом решении. Скорее всего, это как раз те клиенты, которые были заинтересованы в появлении продукта и работали с вендором на предыдущих стадиях. Их заслугу в создании решения нельзя недооценивать, поэтому они обычно получают финансовые преференции и возможность влияния на развитие продукта.
Как оценивается успех ИБ-продукта после его выхода на рынок? Какие метрики и показатели наиболее значимы для определения его конкурентоспособности?
Есть большое количество дополнительных метрик, которые позволяют управлять продуктом и принимать решения по его модернизации. На разных этапах это могут быть различные показатели, нацеленные на измерение достижимости тактических и стратегических целей продукта. Наиболее значимыми показателями успешности продукта на рынке являются объем продаж и количество его инсталляций. Без коммерческого успеха у продукта не будет ресурсов для его развития, без инсталляционной базы — нет узнаваемости и необходимой для активного развития продукта обратной связи от заказчиков.
Здесь есть одно большое «но» — цикл сделки на рынке от полугода до полутора лет (в зависимости от наложения стадии сделки на бюджетный цикл). Соответственно, минимальный период для оценки той самой успешности займет не менее года. Поэтому на рынке ИБ не так много новых имен: создание нового продукта и вывод его на рынок занимает годы, порог входа для новых игроков достаточно высокий, объем инвестиций, если считать совокупные затраты, измеряется сотнями миллионов рублей. Если к этому добавить сильно подросшую конкуренцию в большинстве продуктовых ниш и наложить на проблемы рынка труда, то шансы увидеть чисто инвестиционный проект на нашем рынке стремятся к нулю. Именно поэтому мы видим активное развитие продуктового портфеля существующих игроков, а не появление большого количества новых вендоров.
Источник: CISOCLUB