與網絡安全初創公司合作的七個最佳實踐
網絡安全初創公司沒有遺留平臺的負擔,比老牌同行更敏捷、更具創新性,往往能以更吸引人的價格提供更個性化的服務。
曾當過AMD總裁,現為硅谷網絡安全初創公司 Virsec Systems 首席執行官的 Atiq Raza 對老牌公司和初創公司都有自己的經驗和見解。
| 我管理過擁有數百供應商的大企業。某些功能上你需要一直以來在某件事情上保持良好聲譽的保守但成熟的供應商。但包括安全在內的很多職能,卻需要最新、最有效、最具創新性的解決方案,這些方案往往出自更年輕的公司。 |
這里面包括了靈活性、速度、創造力和創新能力。年輕公司不受固定思維或方法論的局限,也沒被現有技術束縛,可以自由撕裂、挑戰各種既定設想,創造初代改變游戲規則的技術。這就是初創公司為什么經常驅動新興市場,打敗成熟公司的原因。
但是,采用初創公司的風險也很高。初創公司有可能倒閉,或者因被收購而停止服務。更糟的情況是,因為缺乏經驗和缺少足夠的控制,初創公司可能犯下不僅沒能改善客戶安全,反而危害客戶安全的錯。
通過對IT及安全人員,以及網絡安全行業資深人士的廣泛調查,可以得出7條與安全初創公司合作的最佳實踐建議。
1. 執行盡職審查
與初創公司合作的任何公司企業都應關注的一個重要問題是:“他們能存活多久?”所以,必須從技術和業務兩方面對合作的初創公司進行盡職審查。該公司能不能證明自己的技術如所宣稱的那樣有效?該公司是否具備發展壯大所需的恰當管理與資金支持?
與初創公司合作可能意味著占據領先優勢而不僅僅是能對抗網絡攻擊者。當你決定與網絡安全初創公司攜手,那一定是因為他們以全新的方法處理問題,或者提供超越老牌供應商的功能。構建雄心勃勃的安全項目的時候,你肯定想要超過自己的同行,想找到所能找到的最先進的產品。
當然,初創公司的生存力也是主要的考量。僅僅擁有良好的技術還不夠。如果銷售或運營不佳,初創公司也走不了多遠。所以,除了查看產品或服務,還必須放眼更廣,考察他們的運營和商業模式。
行業分析師或同行在這方面可以提供所需的洞見。或者你也可以從小功能開始,逐步擴大合作。但最終,除非你公司采取完全分布式的安全組合,否則你還是得把注壓在那家你真的非常中意的安全初創公司上。
2. 準備好初創公司供應商被大公司收購
對初創公司及其客戶而言,大公司的收購有好也有不好。成立不久,尚未被收購的初創公司,一旦運作不良或資金斷裂就有倒閉的風險。如果被收購,客戶可能會失去曾經擁有的與小公司的私人關系,曾經享受的產品或服務也可能終止或改變。公司企業應準備好面對自己最中意的初創公司供應商因被大公司收購而產品難以為繼的局面。
但在那之前,應該會能享受幾年的高投資回報價值。這有點像是在老牌連鎖酒店訂房和在Airbnb訂房的區別。必須做更多的盡職審查,如果沒做好審查,可能會驚喜變驚嚇。但如果做好盡職審查,或許會挖到寶。
3. 查找現實用例
僅僅產品不錯還不夠。與初創公司合作最大的隱患在于,他們可能無法擴展自己的產品以適應客戶需求。在一臺PC上完美阻止惡意軟件且零誤報的機器學習創新產品,可能對1萬臺250種型號的PC網絡束手無策。
決定合作前讓意向初創公司拿出現實世界中與你公司類似的用例。你肯定不想在部署之后才發現該初創公司的產品沒辦法適應你的需求或無法與現有其他系統集成。
4. 查閱主創人員的技術和業務背景
主要開發人員和業務管理人員是否具備網絡安全市場從業經歷?他們之前工作過的網絡安全公司聲譽如何?
初具前景的初創公司可能無法應付與其他產品協同所需的集成及功能增強需求。有必要核查一下其工程副總裁是否具有網絡安全背景,找找他們之前供職的公司提供的是什么產品。
5. 購買前先試試產品和技術支持
看演示的時候可以直接略過準備好的說辭,詢問還沒實現的功能。如果他們盡用技術潮詞忽悠,那基本可以開始找下一家了。
公司企業可以索取試用版軟件,嘗試各項功能,且在試用時不吝尋求技術支持。這么做不僅可以確定產品是否符合自身需求,也可以考察該公司的響應性。
一般情況下,初創公司和小型公司對客戶問題的響應會更快一些。你可以接觸到主要人員、開發主管或其他直接參與產品的人士,能更直接地解決問題。
但不利的一面是,初創公司可能沒有足夠的資源進行大規模更改或響應大量請求,請求太多時可能得等上許久。
評估初創公司交付能力的時候,可以尋求同行的意見,詢問其他也在跟這家供應商合作或正在考慮合作的公司,從他們的經驗和觀點中得出對自己有用的東西。最大的陷阱是供應商宣稱的技術壓根兒不存在。
摸清該技術產品的真實本質非常重要。IT和IT安全發展很快,公司企業總在考慮如何創造性地改善自己的風險態勢,如何用新興解決方案優化自己的資源。
但同時,這種優化動作又得與最小化公司風險的需求相平衡。優化失敗的可能性是存在的,如果將要失敗,不如在前期試用的時候就暴露出來。
6. 評估初創公司自身的安全操作
初創公司常能提供聞所未聞的全新解決方案。很多時候,這種創新超越了與老牌大公司合作的需求。
但盡職審查還包括評估意向供應商自身的網絡安全操作,將客戶對公司的要求放到供應商身上。
如果該初創公司無法滿足這些要求,那就只有請他收拾東西走人了。有些技術上可以入選的產品最終卻因為其公司無法呈現可接受的安全控制與策略而無奈放棄。創新與否先放一邊,一家連自己的網絡安全都不愿投資的初創公司,實在不值得押寶。
7. 如果做不好審查,還是換成老牌供應商吧
覺得審查初創公司和維持與初創公司的關系很麻煩?沒錯,很多人都有這種感受。很多大企業只愿意與大公司維持業務關系。這種情況下,經銷商、系統集成商、托管安全服務提供商之類的中間人或許會有所幫助。
不是每家公司都能做好必要的初創公司盡職審查。如果你做不到,或者你的公司不愿意做,那還是繼續跟著老牌供應商吧。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
