擺脫鎖定:與安全供應(yīng)商簽訂的合同多長更適合?

責(zé)任編輯:cres

作者:Mary K. Pratt

2022-07-15 14:22:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

保障網(wǎng)絡(luò)安全需要迅速采取行動。行業(yè)專家指出,企業(yè)應(yīng)該在敏捷性、穩(wěn)定性和價格之間找到適當(dāng)?shù)钠胶恻c。

曾擔(dān)任一家公司的首席信息安全官的Stephanie Benoit Kurtz表示,她所在的公司與一家安全服務(wù)供應(yīng)商簽訂了一份為期三年的漏洞管理即服務(wù)合同,她當(dāng)時認(rèn)為是一筆不錯的交易。
 
Benoit Kurtz簽署了這份合同,認(rèn)為其安全運營計劃可以充分利用供應(yīng)商提供的所有功能。但她發(fā)現(xiàn),在履行合同的早期,她的安全團(tuán)隊只使用了其中60%的資源。
 
她表示,當(dāng)時陷入了這樣的困境:采購這樣一種不合適的服務(wù),卻無法解除合同。
 
Kurtz說,“我們很難對供應(yīng)商說,‘我不需要那個模塊,我能收回款項嗎?’他們似乎不想?yún)⑴c那種對話。”她現(xiàn)在是鳳凰城大學(xué)信息系統(tǒng)與技術(shù)學(xué)院的首席教員。
 
她承認(rèn),從這個軼事中可以吸取很多教訓(xùn),例如預(yù)先協(xié)商調(diào)整成本的方法,以及更加努力地將供應(yīng)商的產(chǎn)品與企業(yè)的未來狀態(tài)相匹配。
 
她說,這一經(jīng)歷也說明了為合同本身選擇正確時間表面臨的挑戰(zhàn)。正如她所指出的,長期合同通常會提供更優(yōu)惠的價格,而短期合同則會帶來敏捷性、靈活性和更容易糾正錯誤的能力,因此需要權(quán)衡取舍。
 
一個微妙的提議
 
選擇合適的供應(yīng)商,談判最佳合同條款,并確定合同期限,對很多人來說都是具有挑戰(zhàn)性的任務(wù),其中包括首席信息安全官。
 
但經(jīng)驗豐富的安全主管表示,在處理這些任務(wù)時,他們通常比其他職能部門的領(lǐng)導(dǎo)者更具挑戰(zhàn)性,尤其是在確定適合的合同期限方面。
 
其原因如下:首席信息安全官應(yīng)對迅速出現(xiàn)和轉(zhuǎn)變的威脅,應(yīng)對這些威脅的技能、工具和政策也是如此。因此,首席信息安全官看到了可以幫助他們快速改變的供應(yīng)商。這些供應(yīng)商的創(chuàng)新速度比其他供應(yīng)商更快,他們進(jìn)行合并以實現(xiàn)利益最大化,或者因為難以滿足客戶要求而逐漸被遺忘。此外,首席信息安全官必須考慮實施、配置和管理他們購買的產(chǎn)品或服務(wù)的復(fù)雜性,因為他們知道可能需要數(shù)月的工作才能真正看到價值,更不用說價值最大化了。
 
這些動態(tài)是在影響企業(yè)合同談判的傳統(tǒng)因素之上的,例如獲得最優(yōu)惠的價格和所需的服務(wù)水平協(xié)議。
 
這些因素相結(jié)合,以及平衡多種需求(有時是相互矛盾)的需要,使得為合同選擇合適的期限長度成為一個微妙的提議。
 
首席信息安全官和執(zhí)行顧問表示,最好的策略是在談判每份合同時考慮所有這些因素。他們進(jìn)一步建議首席信息安全官與采購專業(yè)人員和財務(wù)團(tuán)隊合作,在簽署任何交易之前需要了解企業(yè)的正確合同時間表。
 
咨詢機(jī)構(gòu)Kroll公司風(fēng)險管理實踐高級董事總經(jīng)理兼Kroll Institute研究員Alan Brill表示:“并不是每個方案適合所有人,因為每家公司的情況不同。我并不是說每家公司都必須經(jīng)歷一個漫長而復(fù)雜的采購流程,而是要考慮一系列事情。”
 
主要考慮因素
 
Parkview Health公司信息安全副總裁Darrell Keeling表示,在確定向任何一家供應(yīng)商或技術(shù)承諾多長時間時,他確實會考慮一系列因素。
 
他說,“在這個領(lǐng)域,我們的很多事情都是關(guān)于時機(jī)和對戰(zhàn)略方向的感覺。”
 
他表示,例如會考慮采用的技術(shù)以及它如何發(fā)展以確保跟上市場的創(chuàng)新步伐。他審查了潛在供應(yīng)商的路線圖,以確保供應(yīng)商能夠在合同期內(nèi)提供想要的產(chǎn)品、服務(wù)和更新。他指出,在這個過程中的發(fā)現(xiàn)讓他確定了合同期限。
 
他還預(yù)測購買的解決方案是否會很快成為另一家供應(yīng)商提供的商品服務(wù);如果是,他會選擇更短的合同期限,肯定是三年以下。
 
他試圖預(yù)測一家安全供應(yīng)商是否會在短時間內(nèi)與另一家供應(yīng)商合并,這再次讓他傾向于縮短合同期限,以防止企業(yè)陷入困境。
 
然而他表示,也在這個決定中考慮了價格因素,并指出一份保證不漲價或漲價有限的三年期合同引起了他的注意。
 
他表示,總的來說,努力平衡靈活性、穩(wěn)定性和價格,這種平衡有時有利于短期合同,有時有利于長期合同。
 
咨詢機(jī)構(gòu)Guidehouse公司的高級解決方案網(wǎng)絡(luò)安全實踐合伙人Michael Ebert說,這種變化是明智的。
 
Ebert補(bǔ)充說,“企業(yè)可以根據(jù)的需求、要求、現(xiàn)有技能和舒適度評估所有合同。并且需要詢問:它適用于我的環(huán)境嗎?是否根據(jù)適用于我們的方法獲得合適的價格。”
 
尋找難以捉摸的甜蜜點
 
盡管專家表示,首席信息安全官必須確定他們簽署的每份合同是正確的,但他們一致認(rèn)為,五年的時間太長了,應(yīng)該避免。簽署五年的協(xié)議已經(jīng)很少見了,更長的協(xié)議幾乎不存在。
 
Forrester Research公司副總裁兼首席分析師Jeff Pollard表示,這是有充分理由的。技術(shù)、安全和業(yè)務(wù)變化太快,以至于任何五年期合同都不值得簽訂,因為可以鼓勵安全團(tuán)隊保留該技術(shù),即使它不再為企業(yè)提供良好的服務(wù),因為它已經(jīng)到位或提供了優(yōu)惠的價格。
 
盡管對于合同期限是否太長達(dá)成了一致,但對于理想的合同期限到底多長才適合,人們的意見不一。
 
安全負(fù)責(zé)人表示,其他每個典型的合同選項(一年、兩年、三年或四年選項)各有利弊。他們指出,從產(chǎn)品的成熟度到組織的成熟度再到提供的價格,每種方法都有其優(yōu)缺點。
 
例如,在部署新引入的技術(shù)或安全組織的新技術(shù)時,一年期合同往往更好。在應(yīng)對新挑戰(zhàn)時,較短的期限也可能是有益的。Pollard說,“如果你正在解決一個問題,也許這是一個亟待解決的問題,而簽署的合同可以讓企業(yè)得到一些東西,即使不知道這將是一個長期問題還是長期解決方案。但至少可以暫時解決它。”
 
這讓安全團(tuán)隊有時間評估問題和新部署的技術(shù),讓員工能夠收集可以影響下一步行動的信息。
 
然而這也是空頭合同的缺點。Pollard說,“企業(yè)可能不得不迅速重做所有這些努力,如果在幾個月后再進(jìn)行采購的話,可能不得不拆掉和更換。”
 
隨著時間的推移,兩年期的合同適用于問題和解決方案得到更充分定義和更好量化的情況,Pollard說,“在這種情況下,有理由相信問題和解決方案會存在一段時間,需要很好地理解它們,并且不必快速重新評估市場。”
 
他說,而兩年期限的合同仍然存在一些缺點,如果由于技術(shù)原因不能滿足企業(yè)需求,則必須忍受更長時間。
 
談到典型的三年期限合同,最大的好處集中在成本上,因為供應(yīng)商通常會為這些合同提供最優(yōu)惠的價格。
 
他指出,另一方面,這些三年期限的合同使安全部門在技術(shù)上投入了大量時間和精力——無論它是否隨著企業(yè)的需求和整個安全市場繼續(xù)成熟。這些合同還在這段時間內(nèi)承諾為部門提供資金。專家表示,隨著人們對經(jīng)濟(jì)衰退的擔(dān)憂繼續(xù)增長,這一點如今尤其令人擔(dān)憂。
 
專家們在制定合同條款時提供了額外的考慮因素。例如,虛擬首席信息安全官和網(wǎng)絡(luò)安全咨詢機(jī)構(gòu)TCE Strategy公司的首席執(zhí)行官Bryce Austin考慮了產(chǎn)品的粘性。
 
Austin說,“如果談?wù)摰氖钦承援a(chǎn)品、難以更換的產(chǎn)品或需要大量配置的產(chǎn)品,我仍然喜歡簽署這樣的多年合同。”
 
在這種情況下,首席信息安全官在設(shè)定合同期限時需要考慮配置和部署這些技術(shù)所需的大量投資。他指出,這些投資的規(guī)模意味著可能需要更長的時間才能產(chǎn)生收益和全部回報。
 
然而Austin表示,出于各種原因,他仍然大多傾向于縮短合同期限。他指出,如果一家供應(yīng)商被另一家公司收購,或者供應(yīng)商將其資源轉(zhuǎn)移到推進(jìn)其產(chǎn)品組合中的其他產(chǎn)品,較短的合同期限有助于首席信息安全官防止質(zhì)量或服務(wù)下降。
 
Austin說,他通常只在財務(wù)狀況誘人時才考慮簽訂一份為期三年的合同,例如保證不會漲價。
 
盡管如此,他說安全供應(yīng)商必須證明他們始終能夠滿足首席信息安全官設(shè)定的性能和服務(wù)要求。為了提供進(jìn)一步的保護(hù),尋求更安全的合同條款,允許任何一方在通知之后退出交易。
 
安可資本集團(tuán)副總裁兼首席信息官Scott King表示,他喜歡簽署一年期和兩年期限遞增的合同,并且這些遞增的合同還可以提供續(xù)簽選擇。
 
他發(fā)現(xiàn)這樣的合同往往會為企業(yè)提供適當(dāng)?shù)钠胶?,但他不能自動遵循這些時間表,仍在審查自己的選擇。
 
King說,“真的需要了解哪些技術(shù)是長期需要的,哪些是短期內(nèi)需要的?;蛘呒夹g(shù)平臺是否會很快被更先進(jìn)的技術(shù)所取代,其顛覆性有多大,部署是多么耗時。供應(yīng)商是否正在失去競爭優(yōu)勢,如果希望從這些合同中獲得最大價值,需要進(jìn)行盡職調(diào)查。此外,不要簽署一份不起作用的多年期限的合同,因為這會導(dǎo)致資產(chǎn)擱淺和沉沒成本。”
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號