問：我們公司的管理層終于允許安全部門購置DLP產(chǎn)品了。我們已經(jīng)得到了來自幾個(gè)供應(yīng)商的投標(biāo)，但其中最適合我們系統(tǒng)的產(chǎn)品卻比我這個(gè)***信息安全官（CISO）之前給管理層的估價(jià)要高一些。在試圖說服他們?nèi)ベ徺I更高價(jià)位的產(chǎn)品方面，您有什么建議嗎？

答：在這種關(guān)于數(shù)據(jù)丟失防護(hù)（data loss prevention，DLP）工具的談判上，我會(huì)采用以下幾種方法。

首先，為了履行我對(duì)經(jīng)理做出的“不出現(xiàn)意外”的承諾，我會(huì)向他們說明當(dāng)前的情況，如收到的投標(biāo)是多少、與先前估價(jià)的比較，以及投標(biāo)比以前設(shè)想的要高的原因。認(rèn)真研究所選DLP系統(tǒng)的所有權(quán)總成本（total cost of ownership，TCO），并將其與其他產(chǎn)品進(jìn)行比較。盡管最初提出來的價(jià)格可能掩蓋了一些事實(shí)，但在DLP實(shí)際的長期運(yùn)行中，其成本可能會(huì)比其他產(chǎn)品要低。在您和管理層開會(huì)商討更高的IT安全預(yù)算估價(jià)前，要確保您已經(jīng)做過這項(xiàng)準(zhǔn)備工作了。

其次，我會(huì)向***的DLP工具供應(yīng)商解釋為什么想買他們的產(chǎn)品，向他們表明他們的產(chǎn)品可以為我的公司帶來***的利益；但是，您仍面臨著高價(jià)格的挑戰(zhàn)，您希望通過談判獲得一個(gè)較低的價(jià)格，或者其他附加服務(wù)，如免費(fèi)培訓(xùn)、額外的支持時(shí)間、更長的許可期限等。在某些情況下，這并不會(huì)解決原始價(jià)格和估價(jià)之間存在的矛盾，但您可以用它來向管理層證明***DLP供應(yīng)商的額外價(jià)值。如果貴公司關(guān)注的是現(xiàn)金流，您還可以和DLP供應(yīng)商洽談，了解他們是否可以延期付款。

然后，為了避免在以后也出現(xiàn)這樣的問題，您在招標(biāo)過程的早期就一定要收集資料，比如像Gartner的Magic Quadran所作的評(píng)估，以及其他機(jī)構(gòu)對(duì)DLP產(chǎn)品的評(píng)估。因?yàn)樵谔幚碜约核媾R的問題時(shí)，這些來自第三方的評(píng)論可能非常有用。

***，在幫助管理層了解高價(jià)產(chǎn)品的成本收益時(shí)，不要忘了包括一些信息，如DLP系統(tǒng)可以幫助公司減少哪些成本（如罰款，或數(shù)據(jù)破壞通知過程所需的一般費(fèi)用）。隱私及信息管理調(diào)查機(jī)構(gòu)Ponemon Institute對(duì)數(shù)據(jù)破壞費(fèi)用的研究顯示，平均一次破壞的成本約為204美元。這些統(tǒng)計(jì)資料都表明，***的DLP確實(shí)可以增加公司的收益。

請(qǐng)記住，管理層也需要向更高級(jí)別的管理人員匯報(bào)。因此，您需要為他們提供足夠有效的證據(jù)，幫助他們解釋為什么公司需要選擇高價(jià)位的DLP系統(tǒng)。

【編輯推薦】

1. 數(shù)據(jù)丟失防護(hù)DLP何以成為安全焦點(diǎn)
2. 企業(yè)數(shù)據(jù)丟失防護(hù)不僅僅是技術(shù)問題