StephanieBenoitKurtz表示,作为CISO,她与一家漏洞管理服务商签订了一份为期三年的合同,她觉得很划算。BenoitKurtz签署协议时期望她的安全运营计划能够利用供应商必须提供的所有功能,但实际上她发现在三年任期初期,团队只利用了其中的一小部分功能提供。60%的。结果,她说,她陷入了进退两难的境地:为不合适的产品付款,但又没有办法取消合同。BenoitKurtz是前安全主管,现在是凤凰城大学信息系统与技术学院的首席教员。她说,她不能去找供应商说:“我不喜欢这个模块,请退钱。”对方肯定不想听到这样的要求。BenoitKurtz认为,从这段过去中,他可以学到很多教训。例如,您应该预先商定一种调整成本的方法,并尝试将供应商提供的产品与组织的未来状态相匹配。她说,经验还表明,为合同本身找到合适的时间框架可能是一项具有挑战性的任务。正如她指出的那样,我们需要在更好的价格(通常意味着更长的期限)和更短的期限的灵活性之间找到一个最佳平衡点。选择合适的供应商、协商最佳合同条款并确定最有利的合同期限的微妙决定对几乎所有人(包括CISO)来说都是一个挑战。但经验丰富的安全主管表示,在处理此类任务时,他们通常比其他职能部门的领导者面临更多挑战,尤其是在确定合适的合同期限方面。原因如下:CISO需要面对快速出现和快速变化的威胁,以及不断出现和更新的新技能、新工具和新政策。因此,CISO需要求助于能够帮助他们适应快速变化的供应商——其中一些创新速度更快,另一些已经合并以实现利润最大化,还有一些未能跟上快速变化的步伐。渐渐消失在人们的视野中。此外,CISO还必须考虑实施、配置和管理所购产品的复杂性。他们需要明白,可能需要数月的工作才能看到产品的真正价值,更不用说最大化它了。这些动态基于影响企业合同谈判的因素,例如获得最低价格和就所需服务水平达成协议。所有这些因素,再加上平衡多个有时相互冲突的需求的需要,使得确定合同的最佳期限成为一件复杂的事情。CISO、执行顾问和顾问表示,最好的方法是在谈判每份合同时将这些因素考虑在内。他们进一步建议CISO在签署任何协议之前与采购专业人员和财务团队协商一个合理的时间框架。KrollConsulting风险管理实践高级总监兼KrollInstitute研究员AlanBrill表示:没有放之四海而皆准的方法,公司与公司之间总会存在一些差异,情况再也回不去了。这并不是说每个公司都应该采用冗长复杂的采购流程,但需要考虑基本的采购清单。关键考虑因素ParkviewHealth信息安全副总裁DarrellKeeling说,在确定与任何供应商的合同期限或使用技术的合同时,他列出了一些考虑因素。此外,他说,“在我的组织中,这个领域的大多数事情都与时机和战略的走向有关。”例如,在评估一项技术时,Keeling会考虑其期望值。以确保技术能够跟上市场创新的步伐。他还审查潜在的供应商工作流程,以确保供应商能够在合同的整个生命周期内提供他需要的支持、服务和更新。基林表示,在整个考虑过程中,他将对合同期限形成决定。此外,当他购买供应商提供的服务时,他也会尝试预测其他供应商是否会在短期内推出相同的服务。如果是这样,那么他更倾向于选择三年以下的短期合同。而他也会尝试预测与他合作的供应商是否会在短期内与其他厂商合并。如果合并的可能性很高,那将进一步激励他选择那些短期合同,以防合并后的实体不再优先考虑自己的采购,从而导致他的组织陷入困境。基林还表示,价格也在他的考虑范围之内,并指出一项为期三年、保证不涨价或仅涨价的协议引起了他的注意。他认为,总的来说,考虑到灵活性、稳定性和价格之间的平衡,有时短期合同是有利的,有时长期合同更合理。Guidehouse高级解决方案网络安全实践合伙人MichaelEbert同意这种灵活性选项。埃伯特补充道:“根据您的具体需求、现有技能和舒适度评估所有合同,并考虑它们将如何影响您的环境以确定合适的价格”找到难以捉摸的绝佳位置专家表示,虽然CISO必须弄清楚哪些合同他们签对他们来说是对的,共识是五年或五年以上的合同太长了,现在五年的协议很少见,可以说几乎不存在了。ForresterResearch副总裁兼首席分析师JeffPollard认为,当今技术、安全和业务的快速变化使得这份为期五年的合同意义非凡。即使一项技术不再能很好地为组织服务,安全团队也会保留它。那是因为组织已经习惯了这项技术并且它是负担得起的。虽然对于合同的长度太长无法回答达成共识,但对理想合同长度的看法各不相同。安全负责人说,对于典型合同期限——一年、两年、三年或四年——的其他选择各有利弊。考虑到产品成熟度、组织成熟度和价格,这些截止日期中的每一个都有不同的优点和缺点。例如,波拉德说,当安全组织正在部署新引入的或新技术时,一年期合同通常更合适。在应对新挑战时,短期协议可能最有利。“当你接受一项新任务时,你可能不知道所有问题,或者可能需要解决问题,”他说。“但即使你无法弄清楚这是一个长期问题还是短期问题,这些合同也能提供帮助。”在某种程度上至少暂时帮助您解决问题”这让安全团队有时间评估问题和新部署的技术,同时员工收集下一步该做什么的信息。然而,这对短期合约来说也是一个不利因素。波拉德说,组织可能会面临不得不重复以前的努力的情况。短期合同很快到期后,组织需要重新购买产品或服务,这将涉及旧产品的移除和新产品的更换。当问题和解决方案得到更充分的定义并且可以更好地量化时,两年期合同往往更有利。“你可以放心地相信,这些问题和解决方案将持续一段时间,因此不必急于重新评估市场,”波拉德说。但是,两年的合同还存在一定的问题,比如,由于某种原因,供应商提供的技术不能满足企业的需求,企业不得不长期忍受。对于最典型的三年合同,波拉德表示,其最大的优势在于成本低。供应商通常会为此类合同设定优惠价格。另一方面,Pollard和其他人认为,这些为期三年的合同承诺安全社区将在很长一段时间内继续提供支持,无论它是否随着组织和整个安全市场的需求而发展。成熟。专家还建议在制定合同条款时要考虑的其他因素。例如,安全咨询公司TCEStrategy的虚拟CISO和CEOBryceAustin将产品粘性考虑在内。奥斯汀说:“说到粘性产品,它是一种难以替代的东西,或者需要相当多的配置。而且,我仍然热衷于为具有这种特性的产品签订长期合同。”Austin还认为,在这种情况下,CISO在确定合同期限时需要考虑配置和部署这些技术所需的重大投资。这些投资的规模意味着组织可能需要更长的时间才能实现收益。然而,奥斯汀表示,出于各种原因,他倾向于缩短合同期限。因为,如果供应商后来被其他公司收购,或者供应商将资源转移到其经营的其他产品上,就会导致所提供的产品或服务的质量下降。而短期合同正好可以帮助CISO将这种情况造成的损失降到最低。因此,如果经济效益令人信服(例如,保证不涨价),奥斯汀通常只会考虑一份为期三年的合同。不过,他说,供应商必须证明他们能够始终如一地满足CISO提出的性能和服务要求。并且合同还需要约定,任何一方签订协议,在解除合同前,应当提前通知对方。EncoreCapitalGroup副董事兼首席信息安全官ScottKing表示,他更喜欢为期一年或两年并支持续约的合同。他发现这些往往更适合他的公司。但与此同时,他也表示不会将年限作为选择合同的直接标准。相反,他们会提前分析和判断自己的决定。在签订合同之前,研究一些问题,例如技术平台是否会在更短的时间内被更先进的技术所取代,它的破坏性有多大,部署它需要多长时间,以及供应商是否正在失去其优势竞争优势。更重要。但更重要的是,组织必须弄清楚他们需要什么类型的技术。所以,并不是说合同期越短越好。如果您想从这些合同中获得最大价值,那么您必须做出相应的努力来充分调查它们。毕竟,没有人愿意在付出大量沉没成本、遭受资产搁浅后被迫终止一份无用的长期合同。点评如果将产品或服务的敏捷性、稳定性、价格等因素一起作为合同选择标准的一个维度,那么合同的有效期则是区别于这些因素的另一个维度。产品和服务的性能和价格等因素往往会随时间而变化。因此,CISO对合同期限的考量,从根本上说是对产品服务性能本身的动态评价。那么重点是如何在时间维度上准确预测绩效等因素的未来发展状况,这需要大量的相关信息作为支持,进而为最终的决策提供支持。
