Terry Grogan是医疗机构Pixel Health公司的首席信息安全官,她发现该公司处在许多同行厂商面临的情况。该公司正在实施一项重大技术计划,而在这一过程中可能对于人手不足的部门有重大的安全隐患。因此,Grogan和其带领的团队需要实施更高级的网络监视功能。
她找到一家安全服务供应商制定了一个安全计划,并免费试用其解决方案三个月,以确定Pixel Health公司在安全方面的差距以及其解决方案是否可以解决这些问题。
Grogan说:“我们能够看到,这个解决方案不仅解决了我们存在的问题,而且帮助我们带来了更高的效率。”
Grogan对此印象深刻,并与该安全服务供应商签订了一份长期协议。Grogan决定与这家供应商签订合同的决定并不仅仅基于其解决方案提供的功能。
当然,她希望采购的解决方案能够正常工作,与Pixel Health公司的技术堆栈相适应,并向她提出最佳安全策略,才能真正使它脱颖而出。
Grogan说,“我们需要一个可以成为合作伙伴的供应商。在以往,通常购买某些产品(例如防病毒软件),让他们安装之后然后离开。然而现在的安全性如此复杂,涉及面如此之广,并覆盖了所有基础设施和变更,以至于需要一家安全服务供应商作为安全顾问。”
企业的首席信息安全官一直依赖供应商为他们提供保护企业安全所需的工具。在典型的企业安全操作中,并没有很多本地解决方案。但是首席信息安全官可以选择安全服务供应商,而由于时间和预算有限,他们所做的工作越来越重要,因此他们变得越来越有选择性,并且越来越了解他们与哪些供应商合作。
这不仅是要减少他们合作的供应商的数量,尽管技术研究和咨询机构Gartner公司将供应商整合列为2021年企业安全的主要趋势之一,并指出大多数企业都将供应商整合视为一种降低成本和提高安全性的途径。最终,首席信息安全官希望确保他们选择的供应商既提供高质量的解决方案,又提供他们寻求的增值服务,以便他们的安全团队可以发挥更高的水平。
了解他们的需求
罗切斯特理工学院Golisano计算与信息科学学院技术运营主管Thomas Cary表示,首席信息安全官向供应商提供的要求各不相同,并且他们在不同时间向不同供应商寻求不同的属性。
Cary表示,很多首席信息安全官仍然希望某些供应商只是提供所需的解决方案就能解决问题,但是这些情况现在很少。
他列出了对供应商的期望,希望供应商能够了解客户及其现有的安全工具,以便他们可以帮助客户确定优点和缺点,并提出缩小差距、加强安全状况,以及帮助其团队实现目标的方法。
他说:“供应商必须花时间去了解客户的状况并做好功课,以便他们能够创建满足客户需求的定制解决方案。这才是真正能够区分供应商的地方。”
Cary表示,希望供应商在产品功能和限制方面保持领先。
他指的是一家为其组织提供具有一系列功能的电子邮件过滤平台的供应商。供应商向他提出一个计划,以引入所需的电子邮件过滤功能,但也指出了在哪些地方可以自动执行这些工作流中的某些功能。与此同时,供应商承认,Cary的团队已经从其他供应商那里获得了一些可以提供的功能,并且没有理由进行切换。
Cary说:“这家供应商真正为我们的利益而着想,因此我们知道可以信赖他们所说的话,他们确实帮助我们改善了整体事件响应能力。”
其他首席信息安全官也表达了类似的期望。
全球营销商美林集团于2020年发布了一份名为“营销与销售”的调查报告,该报告呼应了Cary和其他首席信息安全官希望从供应商那里获得的东西。该报告指出,“最重要的是,需要向首席信息安全官进行营销,他们需要一种个性化和以问题为中心的方法。在网络安全中并没有万能的解决方案,首席信息安全官需要对此类承诺保持警惕。然而他们确实希望解决其独特痛点的解决方案,而且,几乎一半的首席信息安全官希望供应商在进行销售或营销电话之前先做好功课。”
该报告进一步指出,有34%的首席信息安全官表示,如果供应商了解首席信息安全官面临的问题并且能够证明可以解决,他们就有更多的成功机会。
报告指出,“一旦供应商了解企业的首席信息安全官需要什么,下一步就是展示(而不是告诉)其解决方案如何提供帮助。与其他任何形式的业务跟进相比,首席信息安全官都更喜欢产品演示。”该报告指出, 34%的受访者表示有这样的偏好。
美国玛丽维尔大学网络安全助理教授Brian M. Gant表示,供应商必须证明他们如何帮助首席信息安全官更加有效和高效地保护企业。Gant在分析、威胁情报和行政保护方面有20年的企业和联邦政府的服务经验。
此外,供应商必须通过共享在多个组织之间的合作中获得的知识,来展示如何满足当前和新兴需求。
Gant说:“他们必须满足那些眼前的需求,而且还必须帮助首席信息安全官扩展知识。”
供应商的措施也必须敏捷,愿意并且能够适应、扩展和交付,就像企业环境变化一样快。
他表示,企业在冠状病毒疫情期间的表现说明了这种需求,但更多的商业活动也确实如此。他以正在开展合作的企业为例,该公司的裁员导致其托管安全服务提供商必须迅速实施行为监控功能,以确保工作人员不会访问、复制或删除敏感信息。
Gant补充说,“安全供应商需要能够为首席信息安全官提供各种各样的选择。”
管理供应商的最大价值
Altria集团首席信息安全官Chas Heng也有类似的看法。
他说:“我们期待安全合作伙伴为我们的安全战略和路线图提供战略指导/意见。希望利用关键战略合作伙伴以同行为基准对我们的安全计划进行基准测试,以确保我们在网络安全方面获得了适当的投资功能,并与安全行业的最佳做法保持一致。”
因此,该公司正在寻找提供咨询和咨询服务以及产品和解决方案的供应商。
Heng 说,“我希望和供应商成为战略思想合作伙伴。无论是软件供应商还是提供支持服务,这都是我需要获得帮助的第一件事。我希望他们引入外部观点,以便他们可以帮助发展我们的计划。”
为此,Heng和他的团队定期与供应商会面,安排每月审查和季度会议以制定路线图。Heng每月都会与最具战略意义的供应商会面,以探讨他们可以带来的好处。
他说:“我们花费很多时间谈论性能,可能还有其他要求,我和他们谈论未来的需求和优先事项,以便得知可以获得什么资源或支持。而且他们知道会提出有关如何改进的建议。”
管理和IT咨询机构Swingtide公司高级顾问Bill Serowka表示,首席信息安全官可以明智地依靠他们的供应商来提供见识和指导,因为他们在多个组织中的工作可以使他们识别首席信息安全官及其团队存在的盲点。
然而Serowka指出,供应商仍然必须满足首席信息安全官的基本需求:性能良好的解决方案,在组织现有结构内运行的解决方案,兑现承诺的内容,当然必须改善企业的整体安全状况。
Vonage公司首席信息安全官Sanjay Macwan开发了一个七点框架来确保他从供应商那里得到所有收益。
根据这一框架,Macwan对可以从供应商那里获得的帮助进行了解释。
(1)用简单明了的术语来说明他们的解决方案可以解决的问题以及不能解决的问题;
(2)如何采用他们的产品完善其他解决方案;
(3)如何在企业内实施他们的解决方案,例如什么是集成点,以及企业的工程师和架构师需要执行哪些工作才能使解决方案启动并运行;
(4)谁将在他们的团队中作为技术倡导者与他的团队一起工作;
(5)支持解决方案中任何智能的算法。Macwan说,“在安全解决方案中,有很多关于人工智能和机器学习的宣传和炒作,所以我想深入研究。”
(6)他们将与企业进行持续的运营和技术合作,以及他们的技术将如何发展;
(7)他们如何与客户的团队建立战略关系。
Macwan补充说:“我一直在使用这一框架。我可以向直接供应商解释这一点:这是我们的期望和合作规则。”