我的企業(yè)正在考慮新的安全采購計劃，但我們的預算有限，而且我們擔心成為供應商炒作的“犧牲品”。對于安全產(chǎn)品采購和供應商選擇，我們是否應該制定基本準則?在與預選的供應商交談以及評估供應商之前，信息安全官應該提出什么問題，我們應該避免哪些常見的陷阱?

AD：

我的企業(yè)正在考慮新的安全采購計劃，但我們的預算有限，而且我們擔心成為供應商炒作的“犧牲品”。對于安全產(chǎn)品采購和供應商選擇，我們是否應該制定基本準則?在與預選的供應商交談以及評估供應商之前，信息安全官應該提出什么問題，我們應該避免哪些常見的陷阱?

Mike O. Villegas：首席信息安全官(CISO)每天都被供應商輪番轟炸，這些供應商都聲稱他們的產(chǎn)品可以解決所有問題。另外有些供應商則很冷淡，即使他們的產(chǎn)品很優(yōu)秀，CISO可能都不會再想見他們。這里的挑戰(zhàn)在于買什么以及從誰那里購買。

在你知道你需要的產(chǎn)品(SIEM、FIM、NGFW、WAF、防病毒、反惡意軟件、DLP等等)后，你可以通過選擇供應商來開始供應商管理流程。

確定供應商：企業(yè)在尋找潛在的供應商時，可考慮Gartner魔力象限或Forrester Wave作為可靠的信息來源。在你感興趣的領域有哪些供應商?看看右上象限內的供應商，并了解其詳細信息。不要只挑最便宜的產(chǎn)品，盡管有時候開源可能是正確的選擇。

短名單：挑選少數(shù)具有不錯成績的供應商。如果你與其他CISO有聯(lián)系，可以詢問他們的意見。

概念驗證：在供應商管理流程中，在確定潛在供應商清單后，下一步是打電話給供應商，并建立概念證明(POC)。企業(yè)可以查看供應商的宣傳冊，并進行粗略的背景調查。另外，安排時間讓供應商展示其產(chǎn)品，并邀請主題專家(SME)。POC可能需要花一些錢，因為它需要內部資源對產(chǎn)品進行測試。請確保你起草了非公開的協(xié)議，并根據(jù)功能、平臺(設備或軟件)、資源和需要的技能以及成本制定了選擇標準。同時，使用相同的選擇標準來評估所有產(chǎn)品，讓它們處于同一起跑線。

POC不應該使用實時數(shù)據(jù)或生產(chǎn)數(shù)據(jù)來測試，但你還是要考慮對你環(huán)境的影響：

· 在POC測試環(huán)境中每秒預期事件，并估計在生產(chǎn)環(huán)境的情況;

· 日志記錄活動以及它需要多少存儲空間;

· 日志記錄活動是否協(xié)調或者不一致，以及這對生產(chǎn)延遲性的影響;

· 如果數(shù)據(jù)包在目標設備需要代理，確定代理的足跡、對生產(chǎn)的延遲性、性能或可訪問性問題;

· 如果需要特殊培訓、技能或SME資源，你是否需要從外部聘請，或者從供應商或其他專業(yè)服務機構獲得。

聯(lián)系參考客戶：所有供應商必須提供參考客戶。選擇與你環(huán)境和行業(yè)類似的參考客戶。向供應商要求只有你和參考客戶參與電話會議，供應商不參與。確保參考客戶與供應商沒有利益沖突。詢問參考客戶尋找供應商產(chǎn)品的驅動力是什么，他們使用其產(chǎn)品的時間?他們還評估了哪些其他產(chǎn)品?POC?為什么他們選擇該供應商?他們是否滿意POC工程師?他是否知識淵博且有問必答?他們是否花了很長時間讓該產(chǎn)品在其環(huán)境中運行?在他們使用產(chǎn)品時，產(chǎn)品在哪方面沒有達到他們的預期?他們是否認為價格合理并且值得購買?

成本：成本不應該是選擇產(chǎn)品的首要因素。成本是相對的，但所有價格都可以與供應商商量。永遠不要支付標簽價格?？纯磾?shù)據(jù)包是否可捆綁同一供應商的其他產(chǎn)品，如果可能的話，等到月末、季度末或年末再決定。我們都知道供應商有其銷售目標，你可以用它來協(xié)商成本，但如果你不打算買的話，不要浪費供應商的時間。如果各供應商之間的成本差別不小，確定功能是否超過了成本。如果成本遠遠超出了你的預算，確定預期投資回報率是否超過成本。同時，與信息安全、網(wǎng)絡、IT、開發(fā)團隊、審計、風險管理和合規(guī)團隊共享這些數(shù)據(jù)，看看他們是否可以使用該產(chǎn)品。如果該產(chǎn)品為軟件，考慮下載軟件以節(jié)省稅費。

高管認可：沒有人喜歡驚喜，包括管理層。在你與供應商的談判結束后，再告訴高管產(chǎn)品的成本。追蹤你的預算，不要讓供應商知道你的預算。讓高管知道供應商管理流程談判，并讓法律團隊認可該產(chǎn)品，這可以有助于高管對這次購買感到滿意。同時，讓IT認同該產(chǎn)品。你還應向高管展示你在選擇時進行了盡職調查，并在談判結束后，展示列表價格和產(chǎn)品實際價格，讓高管看到你的管理工作做得不錯，同時你自己也會被看好。最后，你可以換位思考，假設這是你自己的公司，你在做出購買決定。你會怎么做?

合同談判：讓法律部門的同事幫助你完成合同談判。確保合同包含針對POC和購買的條款，審查許可協(xié)議、維護成本和續(xù)訂成本。有時候，在花時間進行POC后，你與供應商的法律部門可能不會達成一致意見，這可能導致最終交易無法完成。在大多數(shù)情況下，合同談判應該是雙方都同意的。確保有終止條款—有原因或沒原因，合同中應具有雙方責任限制條款以及審核權利條款。如果涉及代碼或軟件，考慮代管條款或不披露條款。

總之，如果雪佛蘭皮卡車就行，那就不要買凱迪拉克。你應該選擇正確的產(chǎn)品，而不是最好的產(chǎn)品。因為最好的產(chǎn)品有時候最昂貴，但并不是基于你的商業(yè)模式、預算和需求，正確的產(chǎn)品才是你的目標。你需要確保所選擇的產(chǎn)品可以根據(jù)公司發(fā)展進行擴展。另外，基于你的行業(yè)、企業(yè)文化以及人員技能，你可能還有其他考慮因素，但你應該購買你所需要的產(chǎn)品，不一定是你想要的產(chǎn)品。