我的企业正在考虑一项新的安全采购计划,但我们的预算有限,我们担心成为供应商炒作的牺牲品。我们是否应该制定安全产品采购和供应商选择的基本规则?在与预选的供应商交谈和评估之前,信息安全官员应该问什么问题,我们应该避免哪些常见的陷阱?MikeO.Villegas:***信息安全官(CISO)每天都受到声称他们的产品将解决所有问题的供应商的轰炸。其他厂商都凉了,即使他们的产品再好,CISO们也未必想再见到他们。这里的挑战是购买什么以及从谁那里购买。在了解所需的产品(SIEM、FIM、NGFW、WAF、防病毒、反恶意软件、DLP等)后,您可以通过选择供应商来开始供应商管理流程。识别供应商:当公司在寻找潜在供应商时,他们可以将Gartner魔力象限或ForresterWave视为可靠的信息来源。您感兴趣的领域有哪些供应商?查看右上象限中的供应商并了解更多信息。不要只选择最好的产品,尽管有时开源可能是正确的做法。入围名单:选择少数具有良好记录的供应商。如果您与其他CISO有联系,请征求他们的意见。概念验证:在供应商管理过程中,在确定潜在供应商名单后,下一步是致电供应商并建立概念验证(POC)。企业可以查看供应商手册并进行粗略的背景调查。此外,安排时间让供应商展示他们的产品并邀请主题专家(SME)。POC可能会花费一些钱,因为它需要内部资源来测试产品。确保起草保密协议并根据功能、平台(设备或软件)、所需资源和技能以及成本制定选择标准。同时,用相同的选择标准对所有产品进行评价,使它们处于同一起跑线上。POC不应使用实时数据或生产数据进行测试,但您仍然必须考虑对您的环境的影响:?期望POC测试环境中的每秒事件数,并估计生产环境中的情况;?记录活动及其需要多少存储空间;?记录活动是协调的还是不一致的,以及这如何影响生产延迟;?如果数据包在目标设备上需要代理,确定代理足迹、生产延迟、性能或可访问性问题;?如果需要特殊培训、技能或SME资源,您是否需要从外部雇用他们,或从供应商处获得他们或其他专业服务机构。联系参考客户:所有供应商都必须提供参考客户。选择与您处于相似环境和行业的参考客户。要求供应商只有你和参考客户参加电话会议,而不是供应商。确保参考客户与供应商没有利益冲突。询问参考客户是什么驱动了供应商的产品,他们使用了多长时间?他们还评估了哪些其他产品?概念验证?他们为什么选择这个供应商?他们对POC工程师满意吗?他知识渊博且值得怀疑吗?必需的?他们是否花了很长时间让产品在他们的环境中工作?在使用过程中,产品哪里没有达到他们的预期?他们认为它的价格合理且值得购买吗?成本:成本不应该是选择产品的首要因素。成本是相对的,但所有价格都可以与供应商协商。永远不要支付标价。查看数据包是否可以与同一供应商的其他产品捆绑,如果可能,请等到月末、季度末或年末再决定。我们都知道供应商有销售目标,你可以用它来谈判成本,但如果你不打算购买,就不要浪费供应商的时间。如果各个供应商之间的成本差异不小,判断功能是否超过成本。如果成本远远超出您的预算,请确定预期的投资回报是否超过成本。此外,与信息安全、网络、IT、开发团队、审计、风险管理和合规团队共享该数据,以查看他们是否可以使用该产品。如果产品是软件,请考虑下载软件以节省税款。高管背书:没有人喜欢惊喜,包括管理层。在与供应商谈判后,告诉高管产品的成本是多少。跟踪您的预算,不要让供应商知道您的预算。让高管了解供应商管理流程谈判并让法律团队认可产品可以帮助高管对购买感到放心。同时,让IT认同产品。还应该在选择的时候向高管表明你做了尽职调查,在谈判结束后,把产品的标价和实际价格展示出来,让高管看到你在管理上做得很好,并在同时,你也会受到青睐。***,你可以把自己放在另一个地方,假设这是你自己的公司,你正在做购买决定。你会怎么办?合同谈判:请法律部门的同事帮助您谈判合同。确保合同包含POC和采购的条款,审查许可协议、维护成本和续订成本。有时,在花时间进行POC后,您和供应商的法律部门可能无法达成协议,这可能会阻止最终交易的完成。在大多数情况下,合同谈判应该是双方都同意的。确保有终止条款——不管有没有理由,合同中都应该有责任限制条款以及审计权条款。如果涉及代码或软件,请考虑托管条款或保密条款。总之,如果雪佛兰皮卡可以,就不要买凯迪拉克。您应该选择正确的产品,而不是最好的产品。因为最好的产品有时是最贵的,但不是基于您的商业模式、预算和需求,合适的产品才是您的目标。您需要确保您选择的产品可以随着公司的发展而扩展。此外,根据您的行业、公司文化和人际交往能力,您可能还有其他考虑因素,但您应该购买您需要的东西,而不一定是您想要的东西。
