如何使風(fēng)險(xiǎn)更低?獲得更好的安全性?還是物有所值?一再進(jìn)行檢查。在企業(yè)的首席信息安全官希望安全服務(wù)商提供的產(chǎn)品和服務(wù)中，建立值得信賴的合作伙伴關(guān)系是最重要的。明智的首席信息安全官需要找到這樣的合作伙伴并建立這種關(guān)系。

[[400894]]

Terry Grogan是醫(yī)療機(jī)構(gòu)Pixel Health公司的首席信息安全官，她發(fā)現(xiàn)該公司處在許多同行廠商面臨的情況。該公司正在實(shí)施一項(xiàng)重大技術(shù)計(jì)劃，而在這一過程中可能對于人手不足的部門有重大的安全隱患。因此，Grogan和其帶領(lǐng)的團(tuán)隊(duì)需要實(shí)施更高級的網(wǎng)絡(luò)監(jiān)視功能。

她找到一家安全服務(wù)供應(yīng)商制定了一個安全計(jì)劃，并免費(fèi)試用其解決方案三個月，以確定Pixel Health公司在安全方面的差距以及其解決方案是否可以解決這些問題。

Grogan說：“我們能夠看到，這個解決方案不僅解決了我們存在的問題，而且?guī)椭覀儙砹烁叩男省?rdquo;

Grogan對此印象深刻，并與該安全服務(wù)供應(yīng)商簽訂了一份長期協(xié)議。Grogan決定與這家供應(yīng)商簽訂合同的決定并不僅僅基于其解決方案提供的功能。

當(dāng)然，她希望采購的解決方案能夠正常工作，與Pixel Health公司的技術(shù)堆棧相適應(yīng)，并向她提出最佳安全策略，才能真正使它脫穎而出。

Grogan說，“我們需要一個可以成為合作伙伴的供應(yīng)商。在以往，通常購買某些產(chǎn)品(例如防病毒軟件)，讓他們安裝之后然后離開。然而現(xiàn)在的安全性如此復(fù)雜，涉及面如此之廣，并覆蓋了所有基礎(chǔ)設(shè)施和變更，以至于需要一家安全服務(wù)供應(yīng)商作為安全顧問。”

企業(yè)的首席信息安全官一直依賴供應(yīng)商為他們提供保護(hù)企業(yè)安全所需的工具。在典型的企業(yè)安全操作中，并沒有很多本地解決方案。但是首席信息安全官可以選擇安全服務(wù)供應(yīng)商，而由于時間和預(yù)算有限，他們所做的工作越來越重要，因此他們變得越來越有選擇性，并且越來越了解他們與哪些供應(yīng)商合作。

這不僅是要減少他們合作的供應(yīng)商的數(shù)量，盡管技術(shù)研究和咨詢機(jī)構(gòu)Gartner公司將供應(yīng)商整合列為2021年企業(yè)安全的主要趨勢之一，并指出大多數(shù)企業(yè)都將供應(yīng)商整合視為一種降低成本和提高安全性的途徑。最終，首席信息安全官希望確保他們選擇的供應(yīng)商既提供高質(zhì)量的解決方案，又提供他們尋求的增值服務(wù)，以便他們的安全團(tuán)隊(duì)可以發(fā)揮更高的水平。

了解他們的需求

羅切斯特理工學(xué)院Golisano計(jì)算與信息科學(xué)學(xué)院技術(shù)運(yùn)營主管Thomas Cary表示，首席信息安全官向供應(yīng)商提供的要求各不相同，并且他們在不同時間向不同供應(yīng)商尋求不同的屬性。

Cary表示，很多首席信息安全官仍然希望某些供應(yīng)商只是提供所需的解決方案就能解決問題，但是這些情況現(xiàn)在很少。

他列出了對供應(yīng)商的期望，希望供應(yīng)商能夠了解客戶及其現(xiàn)有的安全工具，以便他們可以幫助客戶確定優(yōu)點(diǎn)和缺點(diǎn)，并提出縮小差距、加強(qiáng)安全狀況，以及幫助其團(tuán)隊(duì)實(shí)現(xiàn)目標(biāo)的方法。

他說：“供應(yīng)商必須花時間去了解客戶的狀況并做好功課，以便他們能夠創(chuàng)建滿足客戶需求的定制解決方案。這才是真正能夠區(qū)分供應(yīng)商的地方。”

Cary表示，希望供應(yīng)商在產(chǎn)品功能和限制方面保持領(lǐng)先。

他指的是一家為其組織提供具有一系列功能的電子郵件過濾平臺的供應(yīng)商。供應(yīng)商向他提出一個計(jì)劃，以引入所需的電子郵件過濾功能，但也指出了在哪些地方可以自動執(zhí)行這些工作流中的某些功能。與此同時，供應(yīng)商承認(rèn)，Cary的團(tuán)隊(duì)已經(jīng)從其他供應(yīng)商那里獲得了一些可以提供的功能，并且沒有理由進(jìn)行切換。

Cary說：“這家供應(yīng)商真正為我們的利益而著想，因此我們知道可以信賴他們所說的話，他們確實(shí)幫助我們改善了整體事件響應(yīng)能力。”

其他首席信息安全官也表達(dá)了類似的期望。

全球營銷商美林集團(tuán)于2020年發(fā)布了一份名為“營銷與銷售”的調(diào)查報(bào)告，該報(bào)告呼應(yīng)了Cary和其他首席信息安全官希望從供應(yīng)商那里獲得的東西。該報(bào)告指出，“最重要的是，需要向首席信息安全官進(jìn)行營銷，他們需要一種個性化和以問題為中心的方法。在網(wǎng)絡(luò)安全中并沒有萬能的解決方案，首席信息安全官需要對此類承諾保持警惕。然而他們確實(shí)希望解決其獨(dú)特痛點(diǎn)的解決方案，而且，幾乎一半的首席信息安全官希望供應(yīng)商在進(jìn)行銷售或營銷電話之前先做好功課。”

該報(bào)告進(jìn)一步指出，有34%的首席信息安全官表示，如果供應(yīng)商了解首席信息安全官面臨的問題并且能夠證明可以解決，他們就有更多的成功機(jī)會。

報(bào)告指出，“一旦供應(yīng)商了解企業(yè)的首席信息安全官需要什么，下一步就是展示(而不是告訴)其解決方案如何提供幫助。與其他任何形式的業(yè)務(wù)跟進(jìn)相比，首席信息安全官都更喜歡產(chǎn)品演示。”該報(bào)告指出， 34%的受訪者表示有這樣的偏好。

美國瑪麗維爾大學(xué)網(wǎng)絡(luò)安全助理教授Brian M. Gant表示，供應(yīng)商必須證明他們?nèi)绾螏椭紫畔踩俑佑行Ш透咝У乇Ｗo(hù)企業(yè)。Gant在分析、威脅情報(bào)和行政保護(hù)方面有20年的企業(yè)和聯(lián)邦政府的服務(wù)經(jīng)驗(yàn)。

此外，供應(yīng)商必須通過共享在多個組織之間的合作中獲得的知識，來展示如何滿足當(dāng)前和新興需求。

Gant說：“他們必須滿足那些眼前的需求，而且還必須幫助首席信息安全官擴(kuò)展知識。”

供應(yīng)商的措施也必須敏捷，愿意并且能夠適應(yīng)、擴(kuò)展和交付，就像企業(yè)環(huán)境變化一樣快。

他表示，企業(yè)在冠狀病毒疫情期間的表現(xiàn)說明了這種需求，但更多的商業(yè)活動也確實(shí)如此。他以正在開展合作的企業(yè)為例，該公司的裁員導(dǎo)致其托管安全服務(wù)提供商必須迅速實(shí)施行為監(jiān)控功能，以確保工作人員不會訪問、復(fù)制或刪除敏感信息。

Gant補(bǔ)充說，“安全供應(yīng)商需要能夠?yàn)槭紫畔踩偬峁└鞣N各樣的選擇。”

管理供應(yīng)商的最大價(jià)值

Altria集團(tuán)首席信息安全官Chas Heng也有類似的看法。

他說：“我們期待安全合作伙伴為我們的安全戰(zhàn)略和路線圖提供戰(zhàn)略指導(dǎo)/意見。希望利用關(guān)鍵戰(zhàn)略合作伙伴以同行為基準(zhǔn)對我們的安全計(jì)劃進(jìn)行基準(zhǔn)測試，以確保我們在網(wǎng)絡(luò)安全方面獲得了適當(dāng)?shù)耐顿Y功能，并與安全行業(yè)的最佳做法保持一致。”

因此，該公司正在尋找提供咨詢和咨詢服務(wù)以及產(chǎn)品和解決方案的供應(yīng)商。

Heng 說，“我希望和供應(yīng)商成為戰(zhàn)略思想合作伙伴。無論是軟件供應(yīng)商還是提供支持服務(wù)，這都是我需要獲得幫助的第一件事。我希望他們引入外部觀點(diǎn)，以便他們可以幫助發(fā)展我們的計(jì)劃。”

為此，Heng和他的團(tuán)隊(duì)定期與供應(yīng)商會面，安排每月審查和季度會議以制定路線圖。Heng每月都會與最具戰(zhàn)略意義的供應(yīng)商會面，以探討他們可以帶來的好處。

他說：“我們花費(fèi)很多時間談?wù)撔阅?，可能還有其他要求，我和他們談?wù)撐磥淼男枨蠛蛢?yōu)先事項(xiàng)，以便得知可以獲得什么資源或支持。而且他們知道會提出有關(guān)如何改進(jìn)的建議。”

管理和IT咨詢機(jī)構(gòu)Swingtide公司高級顧問Bill Serowka表示，首席信息安全官可以明智地依靠他們的供應(yīng)商來提供見識和指導(dǎo)，因?yàn)樗麄冊诙鄠€組織中的工作可以使他們識別首席信息安全官及其團(tuán)隊(duì)存在的盲點(diǎn)。

然而Serowka指出，供應(yīng)商仍然必須滿足首席信息安全官的基本需求：性能良好的解決方案，在組織現(xiàn)有結(jié)構(gòu)內(nèi)運(yùn)行的解決方案，兌現(xiàn)承諾的內(nèi)容，當(dāng)然必須改善企業(yè)的整體安全狀況。

Vonage公司首席信息安全官Sanjay Macwan開發(fā)了一個七點(diǎn)框架來確保他從供應(yīng)商那里得到所有收益。

根據(jù)這一框架，Macwan對可以從供應(yīng)商那里獲得的幫助進(jìn)行了解釋。

(1)用簡單明了的術(shù)語來說明他們的解決方案可以解決的問題以及不能解決的問題;

(2)如何采用他們的產(chǎn)品完善其他解決方案;

(3)如何在企業(yè)內(nèi)實(shí)施他們的解決方案，例如什么是集成點(diǎn)，以及企業(yè)的工程師和架構(gòu)師需要執(zhí)行哪些工作才能使解決方案啟動并運(yùn)行;

(4)誰將在他們的團(tuán)隊(duì)中作為技術(shù)倡導(dǎo)者與他的團(tuán)隊(duì)一起工作;

(5)支持解決方案中任何智能的算法。Macwan說，“在安全解決方案中，有很多關(guān)于人工智能和機(jī)器學(xué)習(xí)的宣傳和炒作，所以我想深入研究。”

(6)他們將與企業(yè)進(jìn)行持續(xù)的運(yùn)營和技術(shù)合作，以及他們的技術(shù)將如何發(fā)展;

(7)他們?nèi)绾闻c客戶的團(tuán)隊(duì)建立戰(zhàn)略關(guān)系。

Macwan補(bǔ)充說：“我一直在使用這一框架。我可以向直接供應(yīng)商解釋這一點(diǎn)：這是我們的期望和合作規(guī)則。”