StephanieBenoitKurtz,一家公司的前首席信息安全官,该公司签署了一份漏洞管理即服务合同,她当时认为这是一笔划算的交易。BenoitKurtz签署了合同,认为他的安全运营计划可以利用供应商必须提供的所有功能。但她发现,在合同履行的初期,她的安全团队只使用了这些资源的60%。她说,她陷入了采购如此不合适的服务又无法解除合同的两难境地。“我们很难对供应商说,‘我不需要那个模块,我能收回我的钱吗?’他们似乎不想参与那种对话,”库尔茨说,他现在是凤凰城大学信息系统与技术学院的首席教员。她承认,可以从这个轶事中吸取很多教训,例如预先协商调整成本的方法,以及更加努力地使供应商的产品与未来的业务状况相匹配。她说,这种经历也说明了为合同本身选择正确时间表的挑战。正如她指出的那样,长期合同通常提供更好的价格,而短期合同带来敏捷性、灵活性和更容易纠正错误的能力,因此需要权衡取舍。一个微妙的提议选择合适的供应商、谈判最佳合同条款并确定合同期限对包括CISO在内的许多人来说都是一项具有挑战性的任务。但经验丰富的安全主管表示,在处理这些任务时,他们通常比其他职能部门的领导者更具挑战性,尤其是在确定合适的合同期限方面。原因如下:CISO应对迅速出现和变化的威胁,应对这些威胁的技能、工具和政策也是如此。因此,CISO看到了可以帮助他们快速改变的供应商。这些供应商的创新速度比其他供应商快,通过合并来实现利润最大化,或者在努力满足客户需求时被遗忘。此外,CISO必须考虑实施、配置和管理他们购买的产品或服务的复杂性,因为他们知道可能需要数月的工作才能真正看到价值,更不用说最大化价值了。这些动态在影响企业合同谈判的传统因素之上,例如获得最佳价格和所需的服务水平协议。这些因素结合在一起,以及平衡多个(有时是相互冲突的)需求的需要,使得为合同选择正确的期限长度成为一个微妙的命题。CISO和执行顾问表示,最好的策略是在谈判每份合同时考虑所有这些因素。他们进一步建议CISO与采购专业人员和财务团队合作,在签署任何交易之前需要了解正确的业务合同时间表。咨询公司Kroll风险管理实践高级董事总经理兼KrollInstitute研究员AlanBrill表示:“并非每个解决方案都适合每个人,因为每个公司都不一样。我并不是说每个公司都必须经历漫长而艰难的过程。一个复杂的采购过程,但需要考虑一系列事情。”关键考虑因素ParkviewHealth信息安全副总裁DarrellKeeling表示,在确定对任何供应商或技术承诺多长时间时,他确实会考虑一系列因素。“对我们来说,在这个领域的很多事情都是关于时间和一种战略方向感,”他说,例如查看正在采用的技术以及它如何发展以确保它跟上市场创新的步伐。他审查了潜在供应商的路线图以确保供应商能够提供所需的产品,合同期限内的服务和更新。他指出,过程中的发现使他确定了合同的期限。他还预测购买的解决方案是否很快会成为另一家供应商的商品服务;如果是,他会选择较短的合同期限,肯定在三年以下。他试图预测一个安全供应商是否会在短时间内与另一家安全供应商合并,这再次使他倾向于缩短合同期限以保持企业免于陷入困境。不过,他说价格也是决定的一个因素,并指出保证不涨价或涨价有限的三年期合同引起了他的注意。他说,总的来说,要努力平衡灵活性、稳定性和价格,这种平衡有时有利于短期合同,有时有利于长期合同。咨询公司Guidehouse高级解决方案网络安全实践合伙人MichaelEbert说,这种变化是明智的。Ebert补充道,“企业可以根据他们的需求、要求、现有技能和舒适度来评估任何合同。并且需要问:它在我的环境中有效吗?它是否根据对我们有效的方式获得合适的价格。”努力寻找难以捉摸的甜蜜点虽然专家说CISO必须确保他们签署的每一份合同都是正确的,但他们也认为五年太长了,应该避免。签订五年期合同已经很少见,更长时间的合同几乎不存在。ForresterResearch副总裁兼首席分析师JeffPollard说,这是有充分理由的。技术、安全和业务变化太快,任何五年合同都不值得,因为可以鼓励安全团队保留该技术,即使它不再很好地为业务服务,因为它已经到位或提供折扣价。虽然对于合同期限是否过长有共识,但对于理想的合同期限有多长存在分歧。这位安全主管说,其他每一种典型的合同选择(一年、两年、三年或四年的选择)都各有利弊。他们指出,从产品的成熟度到组织的成熟度再到所提供的价格,每种方法都各有利弊。例如,在部署新引入的技术或来自安全组织的新技术时,一年的合同通常会更好。在应对新挑战时,较短的期限也可能是有益的。“如果你正在解决一个问题,也许它是一个紧迫的问题,并且签署的合同会给企业带来一些好处,即使不知道它是一个长期问题还是一个长期解决方案,”波拉德说。但至少这是一个临时修复。它。”这使安全团队有时间评估问题和新部署的技术,使员工能够收集可能影响后续步骤的信息。然而,这也是空头合约的缺点。波拉德说:“企业可能不得不迅速重做所有这些努力,如果几个月后才进行采购,则可能不得不推倒重来。”随着时间的推移,两年期合同适用于问题和解决方案更全面定义和更好量化的情况,波拉德说,“是一种有理由相信问题和解决方案会存在一段时间的情况,他们需要被很好地理解,并且不必迅速重新评估市场。”他表示,两年的合同还是有一些缺点,如果因为技术原因不能满足企业的需求,还得再坚持更长的时间。对于典型的三年期合同,最大的好处集中在成本上,因为供应商通常会为这些合同提供最优惠的价格。另一方面,这些为期三年的合同导致安全部门在技术上投入大量时间和精力——无论它是否随着企业和整个安全市场的需求而不断成熟,他指出。这些合同还承诺在此期间为该部门提供资金。专家表示,随着人们对经济衰退的担忧继续加剧,这在现在尤其令人担忧。专家在制定合同条款时提出了额外的考虑因素。例如,虚构的CISO和网络安全咨询公司TCEStrategy的首席执行官布莱斯·奥斯汀(BryceAustin)考虑了产品粘性。“如果你谈论的是粘性产品,难以替代的产品,或者需要大量配置的产品,我仍然喜欢签署这样的多年合同,”奥斯汀说。在这种情况下,CISO需要考虑配置和部署这些技术所需的大量投资。他指出,这些投资的规模意味着可能需要更长的时间才能产生收益和全部回报。然而,奥斯汀表示,出于各种原因,他仍然主要倾向于缩短合同。他指出,如果一家供应商被另一家公司收购,或者如果供应商转移其资源以推进其产品组合中的其他产品,较短的合同条款有助于CISO防止质量或服务下降。奥斯汀表示,他通常只会在财务状况有吸引力的情况下考虑一份为期三年的合同,比如保证不涨价。尽管如此,他表示安全供应商必须证明他们始终如一地满足CISO设定的性能和服务要求。为了进一步保护,寻求更安全的合同条款,允许任何一方在收到通知后退出交易。EncoreCapitalGroup副总裁兼首席信息官ScottKing表示,他喜欢以一年和两年为增量签订合同,并可选择在这些增量中续约。他发现此类合同往往会为业务提供适当的平衡,但他不会自动遵循这些时间表,并且仍在审查他的选择。“确实有必要了解哪些技术是长期需要的,哪些是短期需要的,”金说。或者该技术平台是否会很快被更先进的技术所取代,它的破坏性有多大,部署需要多长时间。供应如果您想从这些合同中获得最大价值,供应商是否正在失去竞争优势需要尽职调查。另外,不要签订无效的多年期合同,因为这会导致资产搁浅和沉没成本。”
