真正的安全采購流程應該是怎樣的?
我的企業正在考慮新的安全采購計劃,但我們的預算有限,而且我們擔心成為供應商炒作的“犧牲品”。對于安全產品采購和供應商選擇,我們是否應該制定基本準則?在與預選的供應商交談以及評估供應商之前,信息安全官應該提出什么問題,我們應該避免哪些常見的陷阱?
Mike O. Villegas:***信息安全官(CISO)每天都被供應商輪番轟炸,這些供應商都聲稱他們的產品可以解決所有問題。另外有些供應商則很冷淡,即使他們的產品很優秀,CISO可能都不會再想見他們。這里的挑戰在于買什么以及從誰那里購買。
在你知道你需要的產品(SIEM、FIM、NGFW、WAF、防病毒、反惡意軟件、DLP等等)后,你可以通過選擇供應商來開始供應商管理流程。
確定供應商:企業在尋找潛在的供應商時,可考慮Gartner魔力象限或Forrester Wave作為可靠的信息來源。在你感興趣的領域有哪些供應商?看看右上象限內的供應商,并了解其詳細信息。不要只挑***的產品,盡管有時候開源可能是正確的選擇。
短名單:挑選少數具有不錯成績的供應商。如果你與其他CISO有聯系,可以詢問他們的意見。
概念驗證:在供應商管理流程中,在確定潛在供應商清單后,下一步是打電話給供應商,并建立概念證明(POC)。企業可以查看供應商的宣傳冊,并進行粗略的背景調查。另外,安排時間讓供應商展示其產品,并邀請主題專家(SME)。POC可能需要花一些錢,因為它需要內部資源對產品進行測試。請確保你起草了非公開的協議,并根據功能、平臺(設備或軟件)、資源和需要的技能以及成本制定了選擇標準。同時,使用相同的選擇標準來評估所有產品,讓它們處于同一起跑線。
POC不應該使用實時數據或生產數據來測試,但你還是要考慮對你環境的影響:
• 在POC測試環境中每秒預期事件,并估計在生產環境的情況;
• 日志記錄活動以及它需要多少存儲空間;
• 日志記錄活動是否協調或者不一致,以及這對生產延遲性的影響;
• 如果數據包在目標設備需要代理,確定代理的足跡、對生產的延遲性、性能或可訪問性問題;
• 如果需要特殊培訓、技能或SME資源,你是否需要從外部聘請,或者從供應商或其他專業服務機構獲得。
聯系參考客戶:所有供應商必須提供參考客戶。選擇與你環境和行業類似的參考客戶。向供應商要求只有你和參考客戶參與電話會議,供應商不參與。確保參考客戶與供應商沒有利益沖突。詢問參考客戶尋找供應商產品的驅動力是什么,他們使用其產品的時間?他們還評估了哪些其他產品?POC?為什么他們選擇該供應商?他們是否滿意POC工程師?他是否知識淵博且有問必答?他們是否花了很長時間讓該產品在其環境中運行?在他們使用產品時,產品在哪方面沒有達到他們的預期?他們是否認為價格合理并且值得購買?
成本:成本不應該是選擇產品的首要因素。成本是相對的,但所有價格都可以與供應商商量。永遠不要支付標簽價格。看看數據包是否可捆綁同一供應商的其他產品,如果可能的話,等到月末、季度末或年末再決定。我們都知道供應商有其銷售目標,你可以用它來協商成本,但如果你不打算買的話,不要浪費供應商的時間。如果各供應商之間的成本差別不小,確定功能是否超過了成本。如果成本遠遠超出了你的預算,確定預期投資回報率是否超過成本。同時,與信息安全、網絡、IT、開發團隊、審計、風險管理和合規團隊共享這些數據,看看他們是否可以使用該產品。如果該產品為軟件,考慮下載軟件以節省稅費。
高管認可:沒有人喜歡驚喜,包括管理層。在你與供應商的談判結束后,再告訴高管產品的成本。追蹤你的預算,不要讓供應商知道你的預算。讓高管知道供應商管理流程談判,并讓法律團隊認可該產品,這可以有助于高管對這次購買感到滿意。同時,讓IT認同該產品。你還應向高管展示你在選擇時進行了盡職調查,并在談判結束后,展示列表價格和產品實際價格,讓高管看到你的管理工作做得不錯,同時你自己也會被看好。***,你可以換位思考,假設這是你自己的公司,你在做出購買決定。你會怎么做?
合同談判:讓法律部門的同事幫助你完成合同談判。確保合同包含針對POC和購買的條款,審查許可協議、維護成本和續訂成本。有時候,在花時間進行POC后,你與供應商的法律部門可能不會達成一致意見,這可能導致最終交易無法完成。在大多數情況下,合同談判應該是雙方都同意的。確保有終止條款—有原因或沒原因,合同中應具有雙方責任限制條款以及審核權利條款。如果涉及代碼或軟件,考慮代管條款或不披露條款。
總之,如果雪佛蘭皮卡車就行,那就不要買凱迪拉克。你應該選擇正確的產品,而不是***的產品。因為***的產品有時候最昂貴,但并不是基于你的商業模式、預算和需求,正確的產品才是你的目標。你需要確保所選擇的產品可以根據公司發展進行擴展。另外,基于你的行業、企業文化以及人員技能,你可能還有其他考慮因素,但你應該購買你所需要的產品,不一定是你想要的產品。
