与网络安全初创公司合作的七大最佳实践

网络安全初创公司没有遗留平台的负担，比老牌同行更加敏捷和创新，并且通常以更具吸引力的价格提供更加个性化的服务。AtiqRaza是AMD的前总裁，现任硅谷网络安全初创公司VirsecSystems的首席执行官，他拥有来自成熟公司和初创公司的经验和见解。我管理过拥有数百家供应商的大型企业。对于某些功能，您需要保守但成熟的供应商，他们始终在某方面保持良好声誉。但包括安全在内的许多功能需要最新、最高效和创新的解决方案，而这些解决方案通常来自较年轻的公司。这包括灵活性、速度、创造力和创新。年轻的公司不受固定思维或方法论的限制，也不受现有技术的约束。他们可以自由拆解，挑战各种既定假设，并创造出第一代改变游戏规则的技术。这就是为什么创业公司经常推动新兴市场，打败老牌公司。然而，采用初创公司的风险也很高。初创公司面临倒闭、被收购和停止服务的风险。更糟糕的是，由于缺乏经验和缺乏足够的控制，初创公司可能会犯错误，不仅无法提高客户安全，反而会危及客户安全。对IT和安全专业人士以及网络安全行业资深人士的广泛调查得出了与安全初创公司合作的七项最佳实践建议。1.尽职调查对于任何与初创企业合作的企业来说，一个重要的问题是：“他们能活多久？”因此，有必要对与之合作的初创企业进行技术和运营方面的尽职调查。公司能否证明其技术如所声称的那样有效？公司是否有适当的管理和财务支持来发展它？与初创公司合作可能意味着抢先一步，而不仅仅是与网络攻击者作战。当您决定与一家网络安全初创公司合作时，那是因为他们正在以一种新的方式解决问题，或者提供超越现有供应商的能力。在构建雄心勃勃的安全项目时，您希望超越同行并找到您能找到的最先进的产品。当然，初创公司的生存能力也是一个主要考虑因素。仅仅拥有好的技术是不够的。如果销售或运营不佳，初创公司将不会走得太远。因此，除了要看产品或服务，还要看得更广，审视他们的运营和商业模式。行业分析师或同行可以在这里提供所需的见解。或者可以从小的功能做起，逐步扩大合作。但最后，除非你的公司采用完全分布式的安全产品组合，否则你仍然必须押注于你真正喜欢的安全初创公司。2.为初创供应商被大公司收购做好准备被大公司收购对初创公司及其客户来说既有利也有弊。一个还没有成立，还没有被收购的创业公司，如果经营不善或者资金断流，就有倒闭的风险。如果被收购，客户可能会失去他们曾经与小公司的个人关系，他们曾经享受的产品或服务也可能被终止或改变。企业应该准备好面对自己喜欢的初创供应商被大公司收购，产品无法生存的情况。但在那之前，应该会享受几年的高ROI价值。这有点像在知名连锁酒店预订房间与在Airbnb上预订房间之间的区别。必须做更多的尽职调查，如果做得不好，惊喜就会变成震惊。但如果你尽职调查，你可能会发现宝藏。3.寻找真实世界的用例仅仅产品好是不够的。与初创公司合作的最大陷阱是他们可能无法扩展其产品以满足客户需求。在一台PC上以零误报完美阻止恶意软件的机器学习创新可能无法应对10,000台250种型号的PC网络。在决定合作之前，请潜在的初创公司提出与您相似的真实用例。您不想部署它只是为了发现初创公司的产品不符合您的需求或与其他现有系统集成。4.查看主要创作者的技术和业务背景。主要开发人员和业务经理是否有网络安全市场经验？他们之前工作的网络安全公司的声誉如何？有前途的初创公司可能无法应对与其他产品协同的困难。所需的集成和功能增强要求。值得检查一下他们的工程副总裁是否具有网络安全背景以及他们以前的公司提供了哪些产品。5.购买前试用产品和技术支持。看demo的时候，可以跳过准备好的备注，询问没有实现的功能。如果他们用所有的技术流行语来骗你，他们基本上可以开始寻找下一个。公司、企业可以索取试用软件，试用各种功能，试用期间不惜寻求技术支持。这样做，您不仅可以确定产品是否满足您的需求，还可以检查公司的响应能力。一般来说，初创公司和小型公司对客户问题的响应速度更快。您可以接触到关键人员、开发主管或其他直接参与产品的人，并且可以更直接地解决问题。但缺点是初创公司可能没有资源进行大规模更改或响应大量请求，这可能导致长时间等待。在评估一家初创公司的交付能力时，可以征求同行的意见，询问其他也在与该供应商合作或正在考虑合作的公司，从他们的经验和观点中吸取有用的东西。最大的陷阱是供应商声称该技术不存在。了解该技术产品的真实性质很重要。IT和IT安全正在迅速发展，公司一直在思考如何创造性地改善他们的风险状况以及如何使用新兴解决方案优化他们的资源。但与此同时，这种优化行动必须与将公司风险降至最低的需要相平衡。存在优化失败的可能性。如果快要失败了，还不如早点暴露出来。6.评估初创公司自身的安全运营初创公司通常会提供前所未闻的新解决方案。很多时候，这种创新超过了与老牌大公司合作的需要。但尽职调查还包括评估潜在供应商自己的网络安全实践，将客户对公司的期望放在供应商身上。如果创业公司达不到这些要求，那么唯一的选择就是让他收拾东西走人。一些在技术上符合选择条件的产品最终被拒绝，因为他们的公司无法证明可接受的安全控制和政策。抛开创新与否，一家连自身网络安全都不愿意投入的初创公司，实在是不值得押注。7.做不好review，就换老牌供应商。发现难以审查初创公司并与初创公司保持关系？是的，很多人都有这种感觉。许多大公司只愿意与大公司保持业务关系。在这种情况下，经销商、系统集成商和托管安全服务提供商等中介机构可能会有所帮助。并非每家公司都能进行必要的启动尽职调查。如果您做不到，或者您的公司不想这样做，请坚持使用已建立的供应商。【本文为专栏作家“李少鹏”原创文章，转载请通过暗牛（微信♂id：gooann-sectv）获得授权】点此查看作者更多好文