Stephanie Benoit Kurtz 表示，以前自己作為一名CISO，曾與一家漏洞管理服務(wù)提供商簽訂了一份為期三年的合同，并且她感到很劃算。

Benoit Kurtz簽署了這份協(xié)議，并預(yù)想著自己的安全操作計(jì)劃可以充分利用該供應(yīng)商所提供的全部功能，但實(shí)際上她發(fā)現(xiàn)，在三年期限的初期，該團(tuán)隊(duì)僅利用了所提供功能中的60%。

她表示自己因此陷入了困境：為不合適的產(chǎn)品買了單，卻沒有辦法解約。

Benoit Kurtz曾是一名安全主管，如今在鳳凰城大學(xué)信息系統(tǒng)與技術(shù)學(xué)院就任首席教員一職。她表示，總不能跑去跟供應(yīng)商說：“我不喜歡這個(gè)模塊，麻煩退一下錢?！睂?duì)方一定不希望聽到這樣的訴求。

Benoit Kurtz認(rèn)為，從這件往事中，自己可以吸取很多教訓(xùn)。比如，自己應(yīng)該預(yù)先協(xié)商一種調(diào)整成本的方法，并努力將供應(yīng)商所提供的產(chǎn)品與組織的未來狀態(tài)匹配起來。

她表示，此次經(jīng)歷也說明了：為合同本身確定一個(gè)合適的時(shí)間期限是一項(xiàng)具有挑戰(zhàn)性的任務(wù)。正如她所指出的，我們需要在更優(yōu)惠的價(jià)格（通常意味著期限較長(zhǎng)）與更具靈活性的較短期限中找到一個(gè)最佳平衡點(diǎn)。

一項(xiàng)微妙的決策

選擇合適的供應(yīng)商，協(xié)商出最佳的合同條款，并確定最有利的合同期限，這對(duì)于包括CISO在內(nèi)的幾乎所有人來說，都是一項(xiàng)挑戰(zhàn)。

但經(jīng)驗(yàn)豐富的安全高管表示，在處理此種類型的任務(wù)上，他們往往會(huì)比其他職能的領(lǐng)導(dǎo)面對(duì)更多的挑戰(zhàn)，尤其是在確定合適的合同期限方面。

原因如下：CISO需要面對(duì)的是迅速出現(xiàn)并快速變化的威脅，以及隨之不斷出現(xiàn)和更新的新技能、新工具和新政策。因此，CISO需要求助于那些可以幫助自己適應(yīng)快速變化的供應(yīng)商——其中一些的創(chuàng)新速度較快，另外一些為了追求利益最大化而選擇了合并，還有一些則因?yàn)闊o法跟上迅速的變化而逐漸消失在了人們的視野。此外，CISO還必須考慮到對(duì)所購買的產(chǎn)品進(jìn)行實(shí)現(xiàn)、配置以及管理的復(fù)雜性。他們要明白可能需要經(jīng)過數(shù)個(gè)月的工作才能看到產(chǎn)品的真正價(jià)值，更不用說價(jià)值最大化了。

這些動(dòng)態(tài)性都是建立在影響企業(yè)合同談判的因素之上的，例如獲取最低價(jià)格以及有關(guān)所需服務(wù)水平的協(xié)議。

所有這些因素，再加上需要平衡多重的，甚至有時(shí)會(huì)相互矛盾的需求，都使得對(duì)合同最佳期限的確定成為了一個(gè)復(fù)雜的事情。

CISO、執(zhí)行顧問以及顧問表示最好的辦法就是在協(xié)商每一份合同時(shí)，都將這些因素考慮在內(nèi)。并且他們進(jìn)一步建議CISO在簽署任何協(xié)議之前，都要與采購專業(yè)人員以及財(cái)務(wù)團(tuán)隊(duì)協(xié)商一下合理的時(shí)間期限。

Kroll咨詢公司風(fēng)險(xiǎn)管理實(shí)踐的高級(jí)董事兼Kroll研究所的研究員Alan Brill表示：并不存在那種萬金油的方法，公司與公司之間總會(huì)存在一定的差異，情況也不會(huì)完全相同。這并不是說，提倡每個(gè)公司都采用漫長(zhǎng)且復(fù)雜的采購流程，但最基本的采購清單還是需要考慮在內(nèi)的。

關(guān)鍵的注意事項(xiàng)

Parkview Health的信息安全副總裁Darrell Keeling表示，在確定與任何供應(yīng)商的合同期限或者使用某項(xiàng)技術(shù)的合同期限時(shí)，他都會(huì)列舉出一系列的考慮事項(xiàng)。此外，他還說：“在我的組織中，該領(lǐng)域的大多數(shù)事項(xiàng)都是與時(shí)間安排以及戰(zhàn)略的發(fā)展方向相關(guān)的?！?/p>

例如，在對(duì)一項(xiàng)技術(shù)進(jìn)行評(píng)估時(shí)，Keeling會(huì)考慮它的預(yù)期發(fā)展，以確保該技術(shù)能夠跟上市場(chǎng)創(chuàng)新的步伐。并且他還會(huì)審查潛在的供應(yīng)商工作流程，以確保該廠商能夠在整個(gè)合同期限內(nèi)，都能夠提供自己所需要的支持、服務(wù)和更新。Keeling 表示自己在整個(gè)考慮的過程當(dāng)中，就會(huì)形成對(duì)合同期限的決策。

此外，他在購買供應(yīng)商提供的服務(wù)時(shí)，還會(huì)試圖預(yù)測(cè)一下其他的供應(yīng)商會(huì)不會(huì)在短期內(nèi)也推出同樣的服務(wù)。如果會(huì)的話，那么他就更傾向于去選擇三年以下的短期合同。

并且他還會(huì)試圖預(yù)測(cè)所合作的供應(yīng)商在短期內(nèi)會(huì)不會(huì)與其他廠商進(jìn)行合并。如果進(jìn)行合并的概率很大，那么這將進(jìn)一步促使他去選擇那些短期合約，以防止合并后的實(shí)體不再對(duì)自己購買的產(chǎn)品進(jìn)行優(yōu)先考慮，從而導(dǎo)致自己的組織陷入困境。

Keeling還表示，價(jià)格因素也會(huì)被納入到自己的考慮范圍，并指出，一份保證不會(huì)漲價(jià)或僅在一定范圍內(nèi)漲價(jià)的三年期合同引起了他的注意。

他認(rèn)為，總的來說，考慮到敏捷性、穩(wěn)定性以及價(jià)格之間的平衡，有時(shí)短期合同有利，而有時(shí)長(zhǎng)期合同更合理。

Guidehouse公司高級(jí)解決方案網(wǎng)絡(luò)安全實(shí)踐的合伙人Michael Ebert對(duì)這種具有靈活性的選擇表示贊同。

Ebert補(bǔ)充道：“要根據(jù)具體的需求、現(xiàn)有的技能以及舒適水平來對(duì)所有的合同進(jìn)行評(píng)估，考慮這些合同對(duì)自己環(huán)境的作用，據(jù)此來確定出合適的價(jià)格”

找到難以捉摸的優(yōu)秀位置

專家表明，盡管CISO必須搞清楚自己簽署的合同中哪些是適合自己的，但人們一致認(rèn)為，五年及以上的合同期限過長(zhǎng)，并且如今五年期限的協(xié)議已經(jīng)很少見了，可以說幾乎不存在了。

Forrester Research的副總裁兼首席分析師Jeff Pollard認(rèn)為，如今，技術(shù)、安全和業(yè)務(wù)的變化迅速，這使得五年期限的合同有了存在的意義。即使一項(xiàng)技術(shù)不再能夠很好地服務(wù)于該組織，但安全團(tuán)隊(duì)仍會(huì)保留它。這是因?yàn)榻M織已經(jīng)習(xí)慣了該技術(shù)的存在，而且其價(jià)格也很實(shí)惠。

盡管對(duì)于“合同的期限多久算過長(zhǎng)”這個(gè)問題有了一致的答案，但人們對(duì)于“理想的合同期限”的看法卻不盡相同。

安全負(fù)責(zé)人表示，對(duì)于另外幾種典型合同期限的選擇（一年、兩年、三年或四年），也各有其利弊。考慮到產(chǎn)品的成熟度、組織的成熟度以及價(jià)格等多方面的因素，這些期限都各自具有不同的的優(yōu)點(diǎn)和缺點(diǎn)。

例如，Pollard表示，當(dāng)安全組織在部署新引進(jìn)的技術(shù)或新型技術(shù)時(shí)，一年期的合同往往會(huì)更合適。在應(yīng)對(duì)新的挑戰(zhàn)時(shí)，較短期的協(xié)議大概是最有益的。他說：“當(dāng)你剛接手一個(gè)新任務(wù)時(shí)，你可能會(huì)無法了解所有的相關(guān)問題，又或許該問題亟待解決。但即使你無法確定這是一個(gè)長(zhǎng)期的問題還是短期的問題，這些合同都可以給你帶來一定程度上的幫助，至少可以暫時(shí)性地解決問題”

這樣，安全團(tuán)隊(duì)就有時(shí)間去對(duì)問題以及新部署的技術(shù)進(jìn)行評(píng)估，而員工則可以去收集下一步行動(dòng)相關(guān)的信息。

然而，這也是短期合同的下行空間。Pollard表示，組織可能會(huì)面臨不得不重復(fù)之前努力的情況。短期合同迅速到期后，組織需要進(jìn)行產(chǎn)品或服務(wù)的重新購買，這將會(huì)涉及到舊產(chǎn)品的清除，以及新產(chǎn)品的替換。

在問題和解決方案能夠更加充分地定義并且可以更好地量化時(shí)，兩年期限的合同往往更加有利。Pollard表示：“你可以放心地相信：這些問題和解決方案將會(huì)持續(xù)地存在一段時(shí)間，所以不必急著去對(duì)市場(chǎng)進(jìn)行重新評(píng)估”

然而，兩年期限的合同仍然存在著一定的問題，例如，由于一些原因，供應(yīng)商提供的的技術(shù)無法滿足企業(yè)的需求，那么該企業(yè)就不得不對(duì)此忍受較長(zhǎng)一段時(shí)間。

而對(duì)于最為典型的三年期合同，Pollard表示，其最大的優(yōu)點(diǎn)就是成本低。供應(yīng)商往往會(huì)為此類合同制定一個(gè)優(yōu)惠的價(jià)格。

另一方面，Pollard和其他一些人認(rèn)為，這些三年期的合同向安全部門承諾，會(huì)持續(xù)提供很長(zhǎng)一段時(shí)間的技術(shù)支持，無論其是否會(huì)隨著組織的需求以及整個(gè)安全市場(chǎng)的發(fā)展而發(fā)展成熟。

專家們還提出了，在制定合同條款時(shí)，其他需要考慮的因素。例如，虛擬CISO以及安全咨詢公司TCE Strategy的CEO ， Bryce Austin，就考慮到了產(chǎn)品的粘性。

Austin說：“說到具有粘性的產(chǎn)品，那是一種很難去更換的東西，或者說它需要相當(dāng)多的配置。并且，日進(jìn)我仍然熱衷于去簽署具有此種特性產(chǎn)品的長(zhǎng)期合同”

Austin還認(rèn)為，在這種情況下，CISO需要在確定合同期限長(zhǎng)短時(shí)，對(duì)配置和部署這些技術(shù)所需要的重大投資進(jìn)行考慮。這些投資的規(guī)模之大，意味著組織可能需要花費(fèi)更長(zhǎng)的時(shí)間才能產(chǎn)生效益。

然而， Austin表示，出于各種原因，他更加支持去縮短合同的時(shí)間期限。因?yàn)?，如果供?yīng)商后來被其他公司收購，或者供應(yīng)商將其資源轉(zhuǎn)移到其經(jīng)營(yíng)的其他產(chǎn)品上，那么就會(huì)造成所提供產(chǎn)品的質(zhì)量下滑或服務(wù)下滑。而短期合同正好可以幫助CISO來盡可能地降低此類情況所造成的損失。

所以，Austin通常只會(huì)在經(jīng)濟(jì)優(yōu)惠條件十分誘人的情況下（例如，保證不會(huì)漲價(jià)），才會(huì)考慮三年期的合同。

他說，盡管如此，供應(yīng)商還必須證明自己可以始終滿足CISO所提出的性能和服務(wù)上的要求。并且合同中還需規(guī)定，簽訂協(xié)議的任何一方在解約前，都應(yīng)提前向?qū)Ψ桨l(fā)出通知。

Encore Capital Group的副董事兼CISO ，Scott King表示，自己更加喜歡那些為期一年或兩年，并且支持續(xù)簽的合同。他發(fā)現(xiàn)這些對(duì)于自己的公司來說，往往更加合適。但同時(shí)，他也表示，自己并不會(huì)將年限作為合同選擇的直接標(biāo)準(zhǔn)。而是會(huì)提前對(duì)自己的決策做出分析判斷。

簽署合同前，研究一個(gè)技術(shù)平臺(tái)是否會(huì)在較短時(shí)間內(nèi)被更先進(jìn)的技術(shù)所取代，它的顛覆性程度如何、部署它所耗費(fèi)的時(shí)間，以及供應(yīng)商是否正在失去其競(jìng)爭(zhēng)優(yōu)勢(shì)等問題，都是比較重要的。但更重要的是組織必須搞清楚，自己需要哪些技術(shù)類型。所以，并不是說合同的時(shí)間期限越短越好。如果你想從這些合同中獲取最大的價(jià)值，那么就必須做出相應(yīng)的努力來對(duì)其進(jìn)行充分的調(diào)查。畢竟誰都不想在付出了大量的沉沒成本，并遭受了資產(chǎn)擱淺之后，才被迫去解除一份無益的長(zhǎng)期合約。

點(diǎn)評(píng)

如果將產(chǎn)品或服務(wù)的敏捷性、穩(wěn)定性以及價(jià)格等因素共同看作是合同選擇標(biāo)準(zhǔn)的一個(gè)維度，那么合同的有效期限則是區(qū)別于這些因素的另一個(gè)維度。隨著時(shí)間的推移，產(chǎn)品與服務(wù)的性能以及價(jià)格等因素往往都會(huì)隨之發(fā)生改變。

因而，CISO們對(duì)合同期限的考量，從根本上來講，還是對(duì)于產(chǎn)品服務(wù)性能本身的動(dòng)態(tài)性評(píng)估。那么關(guān)鍵點(diǎn)就在于，如何準(zhǔn)確得預(yù)判出性能等因素在時(shí)間維度上的未來發(fā)展?fàn)顟B(tài)，這需要大量的相關(guān)信息來作為支撐，進(jìn)而對(duì)最終的決策提供支持。