首席信息安全官真正想從安全供應商那里得到什么
如何使風險更低?獲得更好的安全性?還是物有所值?一再進行檢查。在企業的首席信息安全官希望安全服務商提供的產品和服務中,建立值得信賴的合作伙伴關系是最重要的。明智的首席信息安全官需要找到這樣的合作伙伴并建立這種關系。
Terry Grogan是醫療機構Pixel Health公司的首席信息安全官,她發現該公司處在許多同行廠商面臨的情況。該公司正在實施一項重大技術計劃,而在這一過程中可能對于人手不足的部門有重大的安全隱患。因此,Grogan和其帶領的團隊需要實施更高級的網絡監視功能。
她找到一家安全服務供應商制定了一個安全計劃,并免費試用其解決方案三個月,以確定Pixel Health公司在安全方面的差距以及其解決方案是否可以解決這些問題。
Grogan說:“我們能夠看到,這個解決方案不僅解決了我們存在的問題,而且幫助我們帶來了更高的效率。”
Grogan對此印象深刻,并與該安全服務供應商簽訂了一份長期協議。Grogan決定與這家供應商簽訂合同的決定并不僅僅基于其解決方案提供的功能。
當然,她希望采購的解決方案能夠正常工作,與Pixel Health公司的技術堆棧相適應,并向她提出最佳安全策略,才能真正使它脫穎而出。
Grogan說,“我們需要一個可以成為合作伙伴的供應商。在以往,通常購買某些產品(例如防病毒軟件),讓他們安裝之后然后離開。然而現在的安全性如此復雜,涉及面如此之廣,并覆蓋了所有基礎設施和變更,以至于需要一家安全服務供應商作為安全顧問。”
企業的首席信息安全官一直依賴供應商為他們提供保護企業安全所需的工具。在典型的企業安全操作中,并沒有很多本地解決方案。但是首席信息安全官可以選擇安全服務供應商,而由于時間和預算有限,他們所做的工作越來越重要,因此他們變得越來越有選擇性,并且越來越了解他們與哪些供應商合作。
這不僅是要減少他們合作的供應商的數量,盡管技術研究和咨詢機構Gartner公司將供應商整合列為2021年企業安全的主要趨勢之一,并指出大多數企業都將供應商整合視為一種降低成本和提高安全性的途徑。最終,首席信息安全官希望確保他們選擇的供應商既提供高質量的解決方案,又提供他們尋求的增值服務,以便他們的安全團隊可以發揮更高的水平。
了解他們的需求
羅切斯特理工學院Golisano計算與信息科學學院技術運營主管Thomas Cary表示,首席信息安全官向供應商提供的要求各不相同,并且他們在不同時間向不同供應商尋求不同的屬性。
Cary表示,很多首席信息安全官仍然希望某些供應商只是提供所需的解決方案就能解決問題,但是這些情況現在很少。
他列出了對供應商的期望,希望供應商能夠了解客戶及其現有的安全工具,以便他們可以幫助客戶確定優點和缺點,并提出縮小差距、加強安全狀況,以及幫助其團隊實現目標的方法。
他說:“供應商必須花時間去了解客戶的狀況并做好功課,以便他們能夠創建滿足客戶需求的定制解決方案。這才是真正能夠區分供應商的地方。”
Cary表示,希望供應商在產品功能和限制方面保持領先。
他指的是一家為其組織提供具有一系列功能的電子郵件過濾平臺的供應商。供應商向他提出一個計劃,以引入所需的電子郵件過濾功能,但也指出了在哪些地方可以自動執行這些工作流中的某些功能。與此同時,供應商承認,Cary的團隊已經從其他供應商那里獲得了一些可以提供的功能,并且沒有理由進行切換。
Cary說:“這家供應商真正為我們的利益而著想,因此我們知道可以信賴他們所說的話,他們確實幫助我們改善了整體事件響應能力。”
其他首席信息安全官也表達了類似的期望。
全球營銷商美林集團于2020年發布了一份名為“營銷與銷售”的調查報告,該報告呼應了Cary和其他首席信息安全官希望從供應商那里獲得的東西。該報告指出,“最重要的是,需要向首席信息安全官進行營銷,他們需要一種個性化和以問題為中心的方法。在網絡安全中并沒有萬能的解決方案,首席信息安全官需要對此類承諾保持警惕。然而他們確實希望解決其獨特痛點的解決方案,而且,幾乎一半的首席信息安全官希望供應商在進行銷售或營銷電話之前先做好功課。”
該報告進一步指出,有34%的首席信息安全官表示,如果供應商了解首席信息安全官面臨的問題并且能夠證明可以解決,他們就有更多的成功機會。
報告指出,“一旦供應商了解企業的首席信息安全官需要什么,下一步就是展示(而不是告訴)其解決方案如何提供幫助。與其他任何形式的業務跟進相比,首席信息安全官都更喜歡產品演示。”該報告指出, 34%的受訪者表示有這樣的偏好。
美國瑪麗維爾大學網絡安全助理教授Brian M. Gant表示,供應商必須證明他們如何幫助首席信息安全官更加有效和高效地保護企業。Gant在分析、威脅情報和行政保護方面有20年的企業和聯邦政府的服務經驗。
此外,供應商必須通過共享在多個組織之間的合作中獲得的知識,來展示如何滿足當前和新興需求。
Gant說:“他們必須滿足那些眼前的需求,而且還必須幫助首席信息安全官擴展知識。”
供應商的措施也必須敏捷,愿意并且能夠適應、擴展和交付,就像企業環境變化一樣快。
他表示,企業在冠狀病毒疫情期間的表現說明了這種需求,但更多的商業活動也確實如此。他以正在開展合作的企業為例,該公司的裁員導致其托管安全服務提供商必須迅速實施行為監控功能,以確保工作人員不會訪問、復制或刪除敏感信息。
Gant補充說,“安全供應商需要能夠為首席信息安全官提供各種各樣的選擇。”
管理供應商的最大價值
Altria集團首席信息安全官Chas Heng也有類似的看法。
他說:“我們期待安全合作伙伴為我們的安全戰略和路線圖提供戰略指導/意見。希望利用關鍵戰略合作伙伴以同行為基準對我們的安全計劃進行基準測試,以確保我們在網絡安全方面獲得了適當的投資功能,并與安全行業的最佳做法保持一致。”
因此,該公司正在尋找提供咨詢和咨詢服務以及產品和解決方案的供應商。
Heng 說,“我希望和供應商成為戰略思想合作伙伴。無論是軟件供應商還是提供支持服務,這都是我需要獲得幫助的第一件事。我希望他們引入外部觀點,以便他們可以幫助發展我們的計劃。”
為此,Heng和他的團隊定期與供應商會面,安排每月審查和季度會議以制定路線圖。Heng每月都會與最具戰略意義的供應商會面,以探討他們可以帶來的好處。
他說:“我們花費很多時間談論性能,可能還有其他要求,我和他們談論未來的需求和優先事項,以便得知可以獲得什么資源或支持。而且他們知道會提出有關如何改進的建議。”
管理和IT咨詢機構Swingtide公司高級顧問Bill Serowka表示,首席信息安全官可以明智地依靠他們的供應商來提供見識和指導,因為他們在多個組織中的工作可以使他們識別首席信息安全官及其團隊存在的盲點。
然而Serowka指出,供應商仍然必須滿足首席信息安全官的基本需求:性能良好的解決方案,在組織現有結構內運行的解決方案,兌現承諾的內容,當然必須改善企業的整體安全狀況。
Vonage公司首席信息安全官Sanjay Macwan開發了一個七點框架來確保他從供應商那里得到所有收益。
根據這一框架,Macwan對可以從供應商那里獲得的幫助進行了解釋。
(1)用簡單明了的術語來說明他們的解決方案可以解決的問題以及不能解決的問題;
(2)如何采用他們的產品完善其他解決方案;
(3)如何在企業內實施他們的解決方案,例如什么是集成點,以及企業的工程師和架構師需要執行哪些工作才能使解決方案啟動并運行;
(4)誰將在他們的團隊中作為技術倡導者與他的團隊一起工作;
(5)支持解決方案中任何智能的算法。Macwan說,“在安全解決方案中,有很多關于人工智能和機器學習的宣傳和炒作,所以我想深入研究。”
(6)他們將與企業進行持續的運營和技術合作,以及他們的技術將如何發展;
(7)他們如何與客戶的團隊建立戰略關系。
Macwan補充說:“我一直在使用這一框架。我可以向直接供應商解釋這一點:這是我們的期望和合作規則。”
