網(wǎng)絡(luò)安全咨詢機(jī)構(gòu)Coalfire公司執(zhí)行顧問John Hellickson說,“對(duì)于首席信息安全官來說,與安全供應(yīng)商保持良好的關(guān)系是了解行業(yè)相關(guān)趨勢(shì)、提供替代解決方案的競(jìng)爭(zhēng)分析以及建立信任以采取大型合作伙伴計(jì)劃的重要因素。”他指出,首席信息安全官通常擁有幾家經(jīng)過挑選的關(guān)鍵安全供應(yīng)商,這些供應(yīng)商已經(jīng)成為企業(yè)值得信賴的合作伙伴。他說,“當(dāng)首席信息安全官無法與安全供應(yīng)商保持積極的工作關(guān)系時(shí),他們通常會(huì)看到供應(yīng)商對(duì)他們的需求提供的優(yōu)先級(jí)較低,整體響應(yīng)可能會(huì)延遲,在最糟糕的情況下,他們可能會(huì)被標(biāo)記為不良客戶,而沒有銷售代表希望分配到這樣的客戶。”
重要的是,首席信息安全官與供應(yīng)商建立并保持盡可能良好的合作伙伴關(guān)系,特別是考慮到與現(xiàn)代企業(yè)合作的供應(yīng)商數(shù)量正在不斷增加。但是,這樣做需要更多的時(shí)間和精力,需要考慮各種因素。
什么是首席信息安全官與供應(yīng)商出色的合作關(guān)系?
在探索建立和維護(hù)有效的首席信息安全官與供應(yīng)商伙伴關(guān)系所涉及的更深層次的機(jī)制之前,首先評(píng)估雙方如何定義這種關(guān)系。Union Digital 銀行首席信息安全官Dominic Grunden表示,誠(chéng)信和真實(shí)性是建立穩(wěn)固合作關(guān)系成敗的秘訣。他說,“網(wǎng)絡(luò)安全很復(fù)雜,與網(wǎng)絡(luò)安全供應(yīng)商合作不應(yīng)該這樣復(fù)雜。提供一種以價(jià)值為中心的方法來幫助企業(yè)更快地做出數(shù)據(jù)驅(qū)動(dòng)的補(bǔ)救決策是首要目標(biāo),而這是通過將首席信息安全官的挑戰(zhàn)和目標(biāo)放在首位和中心來實(shí)現(xiàn)的。”
MongoDB公司首席信息安全官Lena Smart表示,信任和必要性是關(guān)鍵。她說,“我可以相信這些人,但如果我不需要他們銷售的產(chǎn)品或服務(wù),那就沒有意義了。在我擁有的一些最佳合作伙伴關(guān)系中,個(gè)人因素也非常重要。”
網(wǎng)絡(luò)安全機(jī)構(gòu)Trellix公司EMEA地區(qū)副總裁Fabien Rech表示,從供應(yīng)商的角度來看,信任也是至關(guān)重要的。他說,“客戶不僅需要信任我們具有兌現(xiàn)承諾的能力,還需要信任我們作為他們團(tuán)隊(duì)的延伸——尤其是在發(fā)生網(wǎng)絡(luò)攻擊時(shí)。這將建立一種伙伴關(guān)系,當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí),他們首先要做的就是及時(shí)聯(lián)系我們進(jìn)行處理。”
Rech說,如今每分鐘都會(huì)有出現(xiàn)新的網(wǎng)絡(luò)威脅,因此重點(diǎn)需要幫助首席信息安全官通過從中學(xué)習(xí)和適應(yīng),從而將網(wǎng)絡(luò)攻擊轉(zhuǎn)化為自己應(yīng)對(duì)網(wǎng)絡(luò)攻擊的優(yōu)勢(shì),以便他們的企業(yè)能夠恢復(fù)到比以前更強(qiáng)大的地位。
首席信息安全官想要從安全供應(yīng)商那里得到什么
在了解基礎(chǔ)知識(shí)之后,接下來將關(guān)注首席信息安全官與供應(yīng)商關(guān)系成功的更復(fù)雜的因素。從安全供應(yīng)商那里清楚地了解希望(或需要)什么是為首席信息安全官建立良好工作關(guān)系的最重要的第一步。雖然這在具體標(biāo)準(zhǔn)方面可能會(huì)有所不同,但首席信息安全官引用了幾個(gè)普遍適用的先決條件。
對(duì)于Cyjax公司首席信息安全官Ian Thornton-Trump來說,明確的參與范圍與有形關(guān)鍵績(jī)效指標(biāo)(KPI)和可衡量的可交付成果或報(bào)告,這些對(duì)于合規(guī)目的以及確保投資物有所值至關(guān)重要。他說,“安全服務(wù)或安全產(chǎn)品/解決方案的適用范圍對(duì)于企業(yè)的首席信息安全官了解供應(yīng)商對(duì)企業(yè)的責(zé)任和義務(wù)至關(guān)重要。如果缺乏明確性,則可能會(huì)產(chǎn)生孤島或差距。”
Union Digital銀行的Grunden尋找關(guān)于供應(yīng)商的解決方案解決什么問題以及如何補(bǔ)充擁有的其他解決方案的清晰而簡(jiǎn)單的細(xì)節(jié)。他說,“換句話說集成點(diǎn)是什么,我的工程師和架構(gòu)師需要執(zhí)行哪些工作來啟動(dòng)和運(yùn)行解決方案,誰將成為他們身邊的技術(shù)倡導(dǎo)者并與我的團(tuán)隊(duì)合作?他們將帶來什么持續(xù)的運(yùn)營(yíng)和技術(shù)參與?以及他們的技術(shù)將如何發(fā)展?”
Grunden還熱衷于了解為解決方案中的人工智能提供驅(qū)動(dòng)力的算法。他說,“現(xiàn)在有很多關(guān)于安全解決方案中的人工智能和機(jī)器學(xué)習(xí)的炒作,所以我希望能夠真正深入了解。”
MongoDB公司的Lena Smart希望看到網(wǎng)絡(luò)安全供應(yīng)商已經(jīng)做好了準(zhǔn)備,并研究了她的公司所做的事情。她說,“那些談?wù)撍麄內(nèi)绾卧谧侄渭?jí)加密或保護(hù)邊界方面與MongoDB公司建立聯(lián)系的供應(yīng)商對(duì)我來說更有趣,因?yàn)檫@表明他們花費(fèi)很多時(shí)間了解我們的工作,這對(duì)建立信任關(guān)系非常重要。”
安全供應(yīng)商希望首席信息安全官提供什么
Rech表示。任何合作都是雙向的,因此除了知道他們自己在尋找什么之外,首席信息安全官了解安全供應(yīng)商需要從他們那里得到什么回報(bào)也很重要。他說,“為了建立牢固的關(guān)系并盡可能提供最佳體驗(yàn),我們需要客戶對(duì)我們坦誠(chéng)相待,這種態(tài)度應(yīng)該延伸到明確哪些供應(yīng)商也在其中,因?yàn)樗麄冊(cè)絹碓揭蕾囲`活的、云原生的、開放的解決方案。”
Rech補(bǔ)充說,現(xiàn)實(shí)情況是,沒有一家網(wǎng)絡(luò)安全供應(yīng)商能夠保證針對(duì)每一種威脅提供保護(hù),但當(dāng)他們完全清楚這些需求是什么時(shí),就會(huì)具有獨(dú)特的優(yōu)勢(shì),可以適應(yīng)企業(yè)的需求。例如,對(duì)于某些首席信息安全官來說,不斷共享有關(guān)威脅、攻擊技術(shù)或特定行業(yè)威脅趨勢(shì)的信息可能會(huì)讓人不知所措。他說,“當(dāng)我們更多地了解他們的業(yè)務(wù)和他們的優(yōu)先事項(xiàng)時(shí),我們可以向他們提供最相關(guān)、最需要了解的信息。”
Hellickson認(rèn)為,在銷售過程中,供應(yīng)商也可以從合理和尊重的反饋中受益,這可能會(huì)讓首席信息安全官感到有些沮喪。他說,“我看到很多首席信息安全官抱怨他們?nèi)绾伪辉愀獾匿N售策略所淹沒,試圖引起他們的注意。我在這里的建議是要認(rèn)識(shí)到,對(duì)那些才入行的銷售人員給予一些可指導(dǎo)的建議或尊重的回應(yīng),這比只是忽略他們的電子郵件或在回復(fù)中不尊重他們更能減少麻煩。我還建議首席信息安全官對(duì)獲得他們提議的業(yè)務(wù)的可能性保持真實(shí)和誠(chéng)實(shí)。正如不希望浪費(fèi)時(shí)間一樣,要認(rèn)識(shí)到在幕后做出了很多努力來響應(yīng)需求建議書(RFP)、制定獨(dú)特的提案,并將適當(dāng)?shù)臓I(yíng)銷技巧帶到銷售討論中。當(dāng)決定推進(jìn)大型計(jì)劃時(shí),供應(yīng)商銷售人員的信譽(yù)與企業(yè)的信譽(yù)一樣重要。”
溝通對(duì)加強(qiáng)首席信息安全官和供應(yīng)商的關(guān)系至關(guān)重要
Hellickson指出,在了解需求之后,溝通成為首席信息安全官與供應(yīng)商合作關(guān)系中最重要的元素。他說,“這是公開分享期望的地方,即成為值得信賴的合作伙伴需要什么,以及在雙方之間合作可能存在的界限。從需求到確切的可交付成果要盡可能清晰,這對(duì)于建立和維護(hù)長(zhǎng)期的首席信息安全官和安全供應(yīng)商的關(guān)系至關(guān)重要。”
Thornton-Trump對(duì)此表示認(rèn)同,并補(bǔ)充說定期溝通的基礎(chǔ)至關(guān)重要。他說,“顯然,開放和透明也是最重要的因素。”
盡管溝通很重要,但Hellickson認(rèn)為溝通問題是首席信息安全官和供應(yīng)商在建立關(guān)系時(shí)通常面臨的最大挑戰(zhàn)之一,溝通不暢以及無法明確約定或解決方案實(shí)施的結(jié)果是一個(gè)常見問題。
Netskope公司副首席信息安全官James Robinson表示,當(dāng)涉及到關(guān)鍵供應(yīng)商時(shí),這一點(diǎn)就顯得尤為重要,他建議首席信息安全官應(yīng)該仔細(xì)考慮與供應(yīng)商溝通的頻率。他說,“只在銷售時(shí)或續(xù)約時(shí)見面可能是不可接受的,如果雙方關(guān)系發(fā)生變化,這也需要充分的溝通。然而,會(huì)議的時(shí)間和頻率往往與相互競(jìng)爭(zhēng)的優(yōu)先事項(xiàng)相沖突。”
Robinson建議,在首席信息安全官與所有關(guān)鍵供應(yīng)商和客戶會(huì)面時(shí),為其他利益相關(guān)者同步、業(yè)務(wù)項(xiàng)目或團(tuán)隊(duì)會(huì)議留出足夠的時(shí)間。他說,“應(yīng)該找到適當(dāng)?shù)钠胶?,騰出時(shí)間與供應(yīng)商聯(lián)系,并確保不斷滿足所有其他優(yōu)先事項(xiàng)是最終的挑戰(zhàn)。”
風(fēng)險(xiǎn)管理、變革準(zhǔn)備、團(tuán)隊(duì)參與也是關(guān)鍵
除了開放和有效的溝通之外,其他因素也是維持成功的首席信息安全官與供應(yīng)商伙伴關(guān)系的關(guān)鍵。Robinson表示,對(duì)業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)的相互理解就是這樣一個(gè)問題,隨著風(fēng)險(xiǎn)的發(fā)展,事情會(huì)變得更加復(fù)雜。他說,“簡(jiǎn)而言之,更多的風(fēng)險(xiǎn)需要首席信息安全官與其供應(yīng)商之間建立更多的合作伙伴關(guān)系。雙方都必須了解風(fēng)險(xiǎn)可能對(duì)合資企業(yè)、供應(yīng)商和其他合作伙伴產(chǎn)生的影響。”
Smart表示認(rèn)同并補(bǔ)充說,首席信息安全官還應(yīng)考慮是否有任何供應(yīng)商引入了需要解決的潛在新威脅或攻擊媒介。
Thornton-Trump表示,供應(yīng)商經(jīng)歷重大變革(例如并購(gòu)、所有權(quán)突然轉(zhuǎn)移,甚至注入風(fēng)險(xiǎn)資本)也會(huì)對(duì)合作伙伴關(guān)系產(chǎn)生重大影響,因此首席信息安全官必須為此做好準(zhǔn)備。他說,“這些高級(jí)別事件通常表現(xiàn)為客戶代表或客戶服務(wù)經(jīng)理的變動(dòng)。我認(rèn)為供應(yīng)商不了解這樣的變化有多大影響,如果不小心謹(jǐn)慎地處理,供應(yīng)商會(huì)將賬戶置于極其嚴(yán)重的風(fēng)險(xiǎn)之中。”
Smart還建議首席信息安全官就所有供應(yīng)商合作伙伴與他們的安全團(tuán)隊(duì)進(jìn)行接觸和咨詢。他說,“即使選擇了供應(yīng)商認(rèn)為他們提供的最好的東西,也要傾聽自己團(tuán)隊(duì)成員的意見。我見過一些例子,首席信息安全官?gòu)?qiáng)行采用他們認(rèn)為最好的解決方案,這可能會(huì)引起所有利益相關(guān)方的敵意。”
影響首席信息安全官和供應(yīng)商合作的事項(xiàng)
除了首席信息安全官尋找和準(zhǔn)備的事情之外,還有一些危險(xiǎn)信號(hào)和不良因素會(huì)很快阻止他們與供應(yīng)商開展業(yè)務(wù)。對(duì)于Grunden來說,強(qiáng)制進(jìn)行產(chǎn)品演示或采用恐嚇策略的網(wǎng)絡(luò)安全供應(yīng)商是一個(gè)特殊的問題。他說,“如果不花時(shí)間進(jìn)行徹底的前期發(fā)現(xiàn)以了解企業(yè)的安全成熟度,就立即安排產(chǎn)品演示是行不通的。此外,讓首席信息安全官感到威脅和壓力,而不是輕松解決他們的問題或幫助IT和安全團(tuán)隊(duì)協(xié)調(diào)一致,會(huì)讓他們不愿意了解產(chǎn)品。”
Thornton-Trump指出,不切實(shí)際的供應(yīng)商路線圖,不得不降低或禁用現(xiàn)有的安全控制以使新的解決方案發(fā)揮作用,以及在沒有任何形式的提醒或通知的情況下對(duì)供應(yīng)商進(jìn)行意外更改都是值得關(guān)注的影響合作關(guān)系的事項(xiàng)。他說,“最具破壞性的供應(yīng)商對(duì)首席信息安全官的回應(yīng)是‘我們以前從未見過!’,而是‘我們會(huì)嘗試解決這個(gè)問題,或者與你的團(tuán)隊(duì)合作來解決這個(gè)問題。”他補(bǔ)充說,缺乏跟蹤或票務(wù)系統(tǒng)的服務(wù)也會(huì)導(dǎo)致問題沒有得到及時(shí)跟進(jìn),這也是一個(gè)危險(xiǎn)信號(hào)。
Smart表示,她討厭那些試圖把首席信息安全官當(dāng)作客戶的供應(yīng)商,因?yàn)樗麄兺ǔJ且粋€(gè)相互交談的緊密社區(qū)的一部分。她說,“如果供應(yīng)商聲稱能夠解決所有的安全問題,那么這是不可能做到的。如果有任何問題,需要盡快回答,但不要無休止地向?qū)Ψ酱螂娫捇蛳蛩泥]箱發(fā)送電子郵件。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)