如何使風(fēng)險(xiǎn)更低?獲得更好的安全性?還是物有所值?一再進(jìn)行檢查。在企業(yè)的首席信息安全官希望安全服務(wù)商提供的產(chǎn)品和服務(wù)中，建立值得信賴(lài)的合作伙伴關(guān)系是最重要的。明智的首席信息安全官需要找到這樣的合作伙伴并建立這種關(guān)系。

[[400894]]

Terry Grogan是醫(yī)療機(jī)構(gòu)Pixel Health公司的首席信息安全官，她發(fā)現(xiàn)該公司處在許多同行廠商面臨的情況。該公司正在實(shí)施一項(xiàng)重大技術(shù)計(jì)劃，而在這一過(guò)程中可能對(duì)于人手不足的部門(mén)有重大的安全隱患。因此，Grogan和其帶領(lǐng)的團(tuán)隊(duì)需要實(shí)施更高級(jí)的網(wǎng)絡(luò)監(jiān)視功能。

她找到一家安全服務(wù)供應(yīng)商制定了一個(gè)安全計(jì)劃，并免費(fèi)試用其解決方案三個(gè)月，以確定Pixel Health公司在安全方面的差距以及其解決方案是否可以解決這些問(wèn)題。

Grogan說(shuō)：“我們能夠看到，這個(gè)解決方案不僅解決了我們存在的問(wèn)題，而且?guī)椭覀儙?lái)了更高的效率。”

Grogan對(duì)此印象深刻，并與該安全服務(wù)供應(yīng)商簽訂了一份長(zhǎng)期協(xié)議。Grogan決定與這家供應(yīng)商簽訂合同的決定并不僅僅基于其解決方案提供的功能。

當(dāng)然，她希望采購(gòu)的解決方案能夠正常工作，與Pixel Health公司的技術(shù)堆棧相適應(yīng)，并向她提出最佳安全策略，才能真正使它脫穎而出。

Grogan說(shuō)，“我們需要一個(gè)可以成為合作伙伴的供應(yīng)商。在以往，通常購(gòu)買(mǎi)某些產(chǎn)品(例如防病毒軟件)，讓他們安裝之后然后離開(kāi)。然而現(xiàn)在的安全性如此復(fù)雜，涉及面如此之廣，并覆蓋了所有基礎(chǔ)設(shè)施和變更，以至于需要一家安全服務(wù)供應(yīng)商作為安全顧問(wèn)。”

企業(yè)的首席信息安全官一直依賴(lài)供應(yīng)商為他們提供保護(hù)企業(yè)安全所需的工具。在典型的企業(yè)安全操作中，并沒(méi)有很多本地解決方案。但是首席信息安全官可以選擇安全服務(wù)供應(yīng)商，而由于時(shí)間和預(yù)算有限，他們所做的工作越來(lái)越重要，因此他們變得越來(lái)越有選擇性，并且越來(lái)越了解他們與哪些供應(yīng)商合作。

這不僅是要減少他們合作的供應(yīng)商的數(shù)量，盡管技術(shù)研究和咨詢機(jī)構(gòu)Gartner公司將供應(yīng)商整合列為2021年企業(yè)安全的主要趨勢(shì)之一，并指出大多數(shù)企業(yè)都將供應(yīng)商整合視為一種降低成本和提高安全性的途徑。最終，首席信息安全官希望確保他們選擇的供應(yīng)商既提供高質(zhì)量的解決方案，又提供他們尋求的增值服務(wù)，以便他們的安全團(tuán)隊(duì)可以發(fā)揮更高的水平。

了解他們的需求

羅切斯特理工學(xué)院Golisano計(jì)算與信息科學(xué)學(xué)院技術(shù)運(yùn)營(yíng)主管Thomas Cary表示，首席信息安全官向供應(yīng)商提供的要求各不相同，并且他們?cè)诓煌瑫r(shí)間向不同供應(yīng)商尋求不同的屬性。

Cary表示，很多首席信息安全官仍然希望某些供應(yīng)商只是提供所需的解決方案就能解決問(wèn)題，但是這些情況現(xiàn)在很少。

他列出了對(duì)供應(yīng)商的期望，希望供應(yīng)商能夠了解客戶及其現(xiàn)有的安全工具，以便他們可以幫助客戶確定優(yōu)點(diǎn)和缺點(diǎn)，并提出縮小差距、加強(qiáng)安全狀況，以及幫助其團(tuán)隊(duì)實(shí)現(xiàn)目標(biāo)的方法。

他說(shuō)：“供應(yīng)商必須花時(shí)間去了解客戶的狀況并做好功課，以便他們能夠創(chuàng)建滿足客戶需求的定制解決方案。這才是真正能夠區(qū)分供應(yīng)商的地方。”

Cary表示，希望供應(yīng)商在產(chǎn)品功能和限制方面保持領(lǐng)先。

他指的是一家為其組織提供具有一系列功能的電子郵件過(guò)濾平臺(tái)的供應(yīng)商。供應(yīng)商向他提出一個(gè)計(jì)劃，以引入所需的電子郵件過(guò)濾功能，但也指出了在哪些地方可以自動(dòng)執(zhí)行這些工作流中的某些功能。與此同時(shí)，供應(yīng)商承認(rèn)，Cary的團(tuán)隊(duì)已經(jīng)從其他供應(yīng)商那里獲得了一些可以提供的功能，并且沒(méi)有理由進(jìn)行切換。

Cary說(shuō)：“這家供應(yīng)商真正為我們的利益而著想，因此我們知道可以信賴(lài)他們所說(shuō)的話，他們確實(shí)幫助我們改善了整體事件響應(yīng)能力。”

其他首席信息安全官也表達(dá)了類(lèi)似的期望。

全球營(yíng)銷(xiāo)商美林集團(tuán)于2020年發(fā)布了一份名為“營(yíng)銷(xiāo)與銷(xiāo)售”的調(diào)查報(bào)告，該報(bào)告呼應(yīng)了Cary和其他首席信息安全官希望從供應(yīng)商那里獲得的東西。該報(bào)告指出，“最重要的是，需要向首席信息安全官進(jìn)行營(yíng)銷(xiāo)，他們需要一種個(gè)性化和以問(wèn)題為中心的方法。在網(wǎng)絡(luò)安全中并沒(méi)有萬(wàn)能的解決方案，首席信息安全官需要對(duì)此類(lèi)承諾保持警惕。然而他們確實(shí)希望解決其獨(dú)特痛點(diǎn)的解決方案，而且，幾乎一半的首席信息安全官希望供應(yīng)商在進(jìn)行銷(xiāo)售或營(yíng)銷(xiāo)電話之前先做好功課。”

該報(bào)告進(jìn)一步指出，有34%的首席信息安全官表示，如果供應(yīng)商了解首席信息安全官面臨的問(wèn)題并且能夠證明可以解決，他們就有更多的成功機(jī)會(huì)。

報(bào)告指出，“一旦供應(yīng)商了解企業(yè)的首席信息安全官需要什么，下一步就是展示(而不是告訴)其解決方案如何提供幫助。與其他任何形式的業(yè)務(wù)跟進(jìn)相比，首席信息安全官都更喜歡產(chǎn)品演示。”該報(bào)告指出， 34%的受訪者表示有這樣的偏好。

美國(guó)瑪麗維爾大學(xué)網(wǎng)絡(luò)安全助理教授Brian M. Gant表示，供應(yīng)商必須證明他們?nèi)绾螏椭紫畔踩俑佑行Ш透咝У乇Ｗo(hù)企業(yè)。Gant在分析、威脅情報(bào)和行政保護(hù)方面有20年的企業(yè)和聯(lián)邦政府的服務(wù)經(jīng)驗(yàn)。

此外，供應(yīng)商必須通過(guò)共享在多個(gè)組織之間的合作中獲得的知識(shí)，來(lái)展示如何滿足當(dāng)前和新興需求。

Gant說(shuō)：“他們必須滿足那些眼前的需求，而且還必須幫助首席信息安全官擴(kuò)展知識(shí)。”

供應(yīng)商的措施也必須敏捷，愿意并且能夠適應(yīng)、擴(kuò)展和交付，就像企業(yè)環(huán)境變化一樣快。

他表示，企業(yè)在冠狀病毒疫情期間的表現(xiàn)說(shuō)明了這種需求，但更多的商業(yè)活動(dòng)也確實(shí)如此。他以正在開(kāi)展合作的企業(yè)為例，該公司的裁員導(dǎo)致其托管安全服務(wù)提供商必須迅速實(shí)施行為監(jiān)控功能，以確保工作人員不會(huì)訪問(wèn)、復(fù)制或刪除敏感信息。

Gant補(bǔ)充說(shuō)，“安全供應(yīng)商需要能夠?yàn)槭紫畔踩偬峁└鞣N各樣的選擇。”

管理供應(yīng)商的最大價(jià)值

Altria集團(tuán)首席信息安全官Chas Heng也有類(lèi)似的看法。

他說(shuō)：“我們期待安全合作伙伴為我們的安全戰(zhàn)略和路線圖提供戰(zhàn)略指導(dǎo)/意見(jiàn)。希望利用關(guān)鍵戰(zhàn)略合作伙伴以同行為基準(zhǔn)對(duì)我們的安全計(jì)劃進(jìn)行基準(zhǔn)測(cè)試，以確保我們?cè)诰W(wǎng)絡(luò)安全方面獲得了適當(dāng)?shù)耐顿Y功能，并與安全行業(yè)的最佳做法保持一致。”

因此，該公司正在尋找提供咨詢和咨詢服務(wù)以及產(chǎn)品和解決方案的供應(yīng)商。

Heng 說(shuō)，“我希望和供應(yīng)商成為戰(zhàn)略思想合作伙伴。無(wú)論是軟件供應(yīng)商還是提供支持服務(wù)，這都是我需要獲得幫助的第一件事。我希望他們引入外部觀點(diǎn)，以便他們可以幫助發(fā)展我們的計(jì)劃。”

為此，Heng和他的團(tuán)隊(duì)定期與供應(yīng)商會(huì)面，安排每月審查和季度會(huì)議以制定路線圖。Heng每月都會(huì)與最具戰(zhàn)略意義的供應(yīng)商會(huì)面，以探討他們可以帶來(lái)的好處。

他說(shuō)：“我們花費(fèi)很多時(shí)間談?wù)撔阅埽赡苓€有其他要求，我和他們談?wù)撐磥?lái)的需求和優(yōu)先事項(xiàng)，以便得知可以獲得什么資源或支持。而且他們知道會(huì)提出有關(guān)如何改進(jìn)的建議。”

管理和IT咨詢機(jī)構(gòu)Swingtide公司高級(jí)顧問(wèn)Bill Serowka表示，首席信息安全官可以明智地依靠他們的供應(yīng)商來(lái)提供見(jiàn)識(shí)和指導(dǎo)，因?yàn)樗麄冊(cè)诙鄠€(gè)組織中的工作可以使他們識(shí)別首席信息安全官及其團(tuán)隊(duì)存在的盲點(diǎn)。

然而Serowka指出，供應(yīng)商仍然必須滿足首席信息安全官的基本需求：性能良好的解決方案，在組織現(xiàn)有結(jié)構(gòu)內(nèi)運(yùn)行的解決方案，兌現(xiàn)承諾的內(nèi)容，當(dāng)然必須改善企業(yè)的整體安全狀況。

Vonage公司首席信息安全官Sanjay Macwan開(kāi)發(fā)了一個(gè)七點(diǎn)框架來(lái)確保他從供應(yīng)商那里得到所有收益。

根據(jù)這一框架，Macwan對(duì)可以從供應(yīng)商那里獲得的幫助進(jìn)行了解釋。

(1)用簡(jiǎn)單明了的術(shù)語(yǔ)來(lái)說(shuō)明他們的解決方案可以解決的問(wèn)題以及不能解決的問(wèn)題;

(2)如何采用他們的產(chǎn)品完善其他解決方案;

(3)如何在企業(yè)內(nèi)實(shí)施他們的解決方案，例如什么是集成點(diǎn)，以及企業(yè)的工程師和架構(gòu)師需要執(zhí)行哪些工作才能使解決方案啟動(dòng)并運(yùn)行;

(4)誰(shuí)將在他們的團(tuán)隊(duì)中作為技術(shù)倡導(dǎo)者與他的團(tuán)隊(duì)一起工作;

(5)支持解決方案中任何智能的算法。Macwan說(shuō)，“在安全解決方案中，有很多關(guān)于人工智能和機(jī)器學(xué)習(xí)的宣傳和炒作，所以我想深入研究。”

(6)他們將與企業(yè)進(jìn)行持續(xù)的運(yùn)營(yíng)和技術(shù)合作，以及他們的技術(shù)將如何發(fā)展;

(7)他們?nèi)绾闻c客戶的團(tuán)隊(duì)建立戰(zhàn)略關(guān)系。

Macwan補(bǔ)充說(shuō)：“我一直在使用這一框架。我可以向直接供應(yīng)商解釋這一點(diǎn)：這是我們的期望和合作規(guī)則。”