Terry Grogan是醫(yī)療機(jī)構(gòu)Pixel Health公司的首席信息安全官,她發(fā)現(xiàn)該公司處在許多同行廠商面臨的情況。該公司正在實(shí)施一項(xiàng)重大技術(shù)計(jì)劃,而在這一過(guò)程中可能對(duì)于人手不足的部門(mén)有重大的安全隱患。因此,Grogan和其帶領(lǐng)的團(tuán)隊(duì)需要實(shí)施更高級(jí)的網(wǎng)絡(luò)監(jiān)視功能。
她找到一家安全服務(wù)供應(yīng)商制定了一個(gè)安全計(jì)劃,并免費(fèi)試用其解決方案三個(gè)月,以確定Pixel Health公司在安全方面的差距以及其解決方案是否可以解決這些問(wèn)題。
Grogan說(shuō):“我們能夠看到,這個(gè)解決方案不僅解決了我們存在的問(wèn)題,而且?guī)椭覀儙?lái)了更高的效率。”
Grogan對(duì)此印象深刻,并與該安全服務(wù)供應(yīng)商簽訂了一份長(zhǎng)期協(xié)議。Grogan決定與這家供應(yīng)商簽訂合同的決定并不僅僅基于其解決方案提供的功能。
當(dāng)然,她希望采購(gòu)的解決方案能夠正常工作,與Pixel Health公司的技術(shù)堆棧相適應(yīng),并向她提出最佳安全策略,才能真正使它脫穎而出。
Grogan說(shuō),“我們需要一個(gè)可以成為合作伙伴的供應(yīng)商。在以往,通常購(gòu)買(mǎi)某些產(chǎn)品(例如防病毒軟件),讓他們安裝之后然后離開(kāi)。然而現(xiàn)在的安全性如此復(fù)雜,涉及面如此之廣,并覆蓋了所有基礎(chǔ)設(shè)施和變更,以至于需要一家安全服務(wù)供應(yīng)商作為安全顧問(wèn)。”
企業(yè)的首席信息安全官一直依賴(lài)供應(yīng)商為他們提供保護(hù)企業(yè)安全所需的工具。在典型的企業(yè)安全操作中,并沒(méi)有很多本地解決方案。但是首席信息安全官可以選擇安全服務(wù)供應(yīng)商,而由于時(shí)間和預(yù)算有限,他們所做的工作越來(lái)越重要,因此他們變得越來(lái)越有選擇性,并且越來(lái)越了解他們與哪些供應(yīng)商合作。
這不僅是要減少他們合作的供應(yīng)商的數(shù)量,盡管技術(shù)研究和咨詢(xún)機(jī)構(gòu)Gartner公司將供應(yīng)商整合列為2021年企業(yè)安全的主要趨勢(shì)之一,并指出大多數(shù)企業(yè)都將供應(yīng)商整合視為一種降低成本和提高安全性的途徑。最終,首席信息安全官希望確保他們選擇的供應(yīng)商既提供高質(zhì)量的解決方案,又提供他們尋求的增值服務(wù),以便他們的安全團(tuán)隊(duì)可以發(fā)揮更高的水平。
了解他們的需求
羅切斯特理工學(xué)院Golisano計(jì)算與信息科學(xué)學(xué)院技術(shù)運(yùn)營(yíng)主管Thomas Cary表示,首席信息安全官向供應(yīng)商提供的要求各不相同,并且他們?cè)诓煌瑫r(shí)間向不同供應(yīng)商尋求不同的屬性。
Cary表示,很多首席信息安全官仍然希望某些供應(yīng)商只是提供所需的解決方案就能解決問(wèn)題,但是這些情況現(xiàn)在很少。
他列出了對(duì)供應(yīng)商的期望,希望供應(yīng)商能夠了解客戶(hù)及其現(xiàn)有的安全工具,以便他們可以幫助客戶(hù)確定優(yōu)點(diǎn)和缺點(diǎn),并提出縮小差距、加強(qiáng)安全狀況,以及幫助其團(tuán)隊(duì)實(shí)現(xiàn)目標(biāo)的方法。
他說(shuō):“供應(yīng)商必須花時(shí)間去了解客戶(hù)的狀況并做好功課,以便他們能夠創(chuàng)建滿(mǎn)足客戶(hù)需求的定制解決方案。這才是真正能夠區(qū)分供應(yīng)商的地方。”
Cary表示,希望供應(yīng)商在產(chǎn)品功能和限制方面保持領(lǐng)先。
他指的是一家為其組織提供具有一系列功能的電子郵件過(guò)濾平臺(tái)的供應(yīng)商。供應(yīng)商向他提出一個(gè)計(jì)劃,以引入所需的電子郵件過(guò)濾功能,但也指出了在哪些地方可以自動(dòng)執(zhí)行這些工作流中的某些功能。與此同時(shí),供應(yīng)商承認(rèn),Cary的團(tuán)隊(duì)已經(jīng)從其他供應(yīng)商那里獲得了一些可以提供的功能,并且沒(méi)有理由進(jìn)行切換。
Cary說(shuō):“這家供應(yīng)商真正為我們的利益而著想,因此我們知道可以信賴(lài)他們所說(shuō)的話,他們確實(shí)幫助我們改善了整體事件響應(yīng)能力。”
其他首席信息安全官也表達(dá)了類(lèi)似的期望。
全球營(yíng)銷(xiāo)商美林集團(tuán)于2020年發(fā)布了一份名為“營(yíng)銷(xiāo)與銷(xiāo)售”的調(diào)查報(bào)告,該報(bào)告呼應(yīng)了Cary和其他首席信息安全官希望從供應(yīng)商那里獲得的東西。該報(bào)告指出,“最重要的是,需要向首席信息安全官進(jìn)行營(yíng)銷(xiāo),他們需要一種個(gè)性化和以問(wèn)題為中心的方法。在網(wǎng)絡(luò)安全中并沒(méi)有萬(wàn)能的解決方案,首席信息安全官需要對(duì)此類(lèi)承諾保持警惕。然而他們確實(shí)希望解決其獨(dú)特痛點(diǎn)的解決方案,而且,幾乎一半的首席信息安全官希望供應(yīng)商在進(jìn)行銷(xiāo)售或營(yíng)銷(xiāo)電話之前先做好功課。”
該報(bào)告進(jìn)一步指出,有34%的首席信息安全官表示,如果供應(yīng)商了解首席信息安全官面臨的問(wèn)題并且能夠證明可以解決,他們就有更多的成功機(jī)會(huì)。
報(bào)告指出,“一旦供應(yīng)商了解企業(yè)的首席信息安全官需要什么,下一步就是展示(而不是告訴)其解決方案如何提供幫助。與其他任何形式的業(yè)務(wù)跟進(jìn)相比,首席信息安全官都更喜歡產(chǎn)品演示。”該報(bào)告指出, 34%的受訪者表示有這樣的偏好。
美國(guó)瑪麗維爾大學(xué)網(wǎng)絡(luò)安全助理教授Brian M. Gant表示,供應(yīng)商必須證明他們?nèi)绾螏椭紫畔踩俑佑行Ш透咝У乇Wo(hù)企業(yè)。Gant在分析、威脅情報(bào)和行政保護(hù)方面有20年的企業(yè)和聯(lián)邦政府的服務(wù)經(jīng)驗(yàn)。
此外,供應(yīng)商必須通過(guò)共享在多個(gè)組織之間的合作中獲得的知識(shí),來(lái)展示如何滿(mǎn)足當(dāng)前和新興需求。
Gant說(shuō):“他們必須滿(mǎn)足那些眼前的需求,而且還必須幫助首席信息安全官擴(kuò)展知識(shí)。”
供應(yīng)商的措施也必須敏捷,愿意并且能夠適應(yīng)、擴(kuò)展和交付,就像企業(yè)環(huán)境變化一樣快。
他表示,企業(yè)在冠狀病毒疫情期間的表現(xiàn)說(shuō)明了這種需求,但更多的商業(yè)活動(dòng)也確實(shí)如此。他以正在開(kāi)展合作的企業(yè)為例,該公司的裁員導(dǎo)致其托管安全服務(wù)提供商必須迅速實(shí)施行為監(jiān)控功能,以確保工作人員不會(huì)訪問(wèn)、復(fù)制或刪除敏感信息。
Gant補(bǔ)充說(shuō),“安全供應(yīng)商需要能夠?yàn)槭紫畔踩偬峁└鞣N各樣的選擇。”
管理供應(yīng)商的最大價(jià)值
Altria集團(tuán)首席信息安全官Chas Heng也有類(lèi)似的看法。
他說(shuō):“我們期待安全合作伙伴為我們的安全戰(zhàn)略和路線圖提供戰(zhàn)略指導(dǎo)/意見(jiàn)。希望利用關(guān)鍵戰(zhàn)略合作伙伴以同行為基準(zhǔn)對(duì)我們的安全計(jì)劃進(jìn)行基準(zhǔn)測(cè)試,以確保我們?cè)诰W(wǎng)絡(luò)安全方面獲得了適當(dāng)?shù)耐顿Y功能,并與安全行業(yè)的最佳做法保持一致。”
因此,該公司正在尋找提供咨詢(xún)和咨詢(xún)服務(wù)以及產(chǎn)品和解決方案的供應(yīng)商。
Heng 說(shuō),“我希望和供應(yīng)商成為戰(zhàn)略思想合作伙伴。無(wú)論是軟件供應(yīng)商還是提供支持服務(wù),這都是我需要獲得幫助的第一件事。我希望他們引入外部觀點(diǎn),以便他們可以幫助發(fā)展我們的計(jì)劃。”
為此,Heng和他的團(tuán)隊(duì)定期與供應(yīng)商會(huì)面,安排每月審查和季度會(huì)議以制定路線圖。Heng每月都會(huì)與最具戰(zhàn)略意義的供應(yīng)商會(huì)面,以探討他們可以帶來(lái)的好處。
他說(shuō):“我們花費(fèi)很多時(shí)間談?wù)撔阅?,可能還有其他要求,我和他們談?wù)撐磥?lái)的需求和優(yōu)先事項(xiàng),以便得知可以獲得什么資源或支持。而且他們知道會(huì)提出有關(guān)如何改進(jìn)的建議。”
管理和IT咨詢(xún)機(jī)構(gòu)Swingtide公司高級(jí)顧問(wèn)Bill Serowka表示,首席信息安全官可以明智地依靠他們的供應(yīng)商來(lái)提供見(jiàn)識(shí)和指導(dǎo),因?yàn)樗麄冊(cè)诙鄠€(gè)組織中的工作可以使他們識(shí)別首席信息安全官及其團(tuán)隊(duì)存在的盲點(diǎn)。
然而Serowka指出,供應(yīng)商仍然必須滿(mǎn)足首席信息安全官的基本需求:性能良好的解決方案,在組織現(xiàn)有結(jié)構(gòu)內(nèi)運(yùn)行的解決方案,兌現(xiàn)承諾的內(nèi)容,當(dāng)然必須改善企業(yè)的整體安全狀況。
Vonage公司首席信息安全官Sanjay Macwan開(kāi)發(fā)了一個(gè)七點(diǎn)框架來(lái)確保他從供應(yīng)商那里得到所有收益。
根據(jù)這一框架,Macwan對(duì)可以從供應(yīng)商那里獲得的幫助進(jìn)行了解釋。
(1)用簡(jiǎn)單明了的術(shù)語(yǔ)來(lái)說(shuō)明他們的解決方案可以解決的問(wèn)題以及不能解決的問(wèn)題;
(2)如何采用他們的產(chǎn)品完善其他解決方案;
(3)如何在企業(yè)內(nèi)實(shí)施他們的解決方案,例如什么是集成點(diǎn),以及企業(yè)的工程師和架構(gòu)師需要執(zhí)行哪些工作才能使解決方案啟動(dòng)并運(yùn)行;
(4)誰(shuí)將在他們的團(tuán)隊(duì)中作為技術(shù)倡導(dǎo)者與他的團(tuán)隊(duì)一起工作;
(5)支持解決方案中任何智能的算法。Macwan說(shuō),“在安全解決方案中,有很多關(guān)于人工智能和機(jī)器學(xué)習(xí)的宣傳和炒作,所以我想深入研究。”
(6)他們將與企業(yè)進(jìn)行持續(xù)的運(yùn)營(yíng)和技術(shù)合作,以及他們的技術(shù)將如何發(fā)展;
(7)他們?nèi)绾闻c客戶(hù)的團(tuán)隊(duì)建立戰(zhàn)略關(guān)系。
Macwan補(bǔ)充說(shuō):“我一直在使用這一框架。我可以向直接供應(yīng)商解釋這一點(diǎn):這是我們的期望和合作規(guī)則。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)