首席信息安全官与其网络安全供应商之间的良好合作伙伴关系是企业安全成功不可或缺的一部分。建立在信任、沟通和相互理解基础上的良好关系可以为企业的网络安全态势带来显著的收益。与其相反,一个缺乏说服力并且有问题的行为可能会产生相反的效果,将对企业的安全实践产生负面影响,使其容易受到网络攻击风险和投资浪费的影响。
网络安全咨询机构Coalfire公司执行顾问John Hellickson说,“对于首席信息安全官来说,与安全供应商保持良好的关系是了解行业相关趋势、提供替代解决方案的竞争分析以及建立信任以采取大型合作伙伴计划的重要因素。”他指出,首席信息安全官通常拥有几家经过挑选的关键安全供应商,这些供应商已经成为企业值得信赖的合作伙伴。他说,“当首席信息安全官无法与安全供应商保持积极的工作关系时,他们通常会看到供应商对他们的需求提供的优先级较低,整体响应可能会延迟,在最糟糕的情况下,他们可能会被标记为不良客户,而没有销售代表希望分配到这样的客户。”
重要的是,首席信息安全官与供应商建立并保持尽可能良好的合作伙伴关系,特别是考虑到与现代企业合作的供应商数量正在不断增加。但是,这样做需要更多的时间和精力,需要考虑各种因素。
什么是首席信息安全官与供应商出色的合作关系?
在探索建立和维护有效的首席信息安全官与供应商伙伴关系所涉及的更深层次的机制之前,首先评估双方如何定义这种关系。Union Digital 银行首席信息安全官Dominic Grunden表示,诚信和真实性是建立稳固合作关系成败的秘诀。他说,“网络安全很复杂,与网络安全供应商合作不应该这样复杂。提供一种以价值为中心的方法来帮助企业更快地做出数据驱动的补救决策是首要目标,而这是通过将首席信息安全官的挑战和目标放在首位和中心来实现的。”
MongoDB公司首席信息安全官Lena Smart表示,信任和必要性是关键。她说,“我可以相信这些人,但如果我不需要他们销售的产品或服务,那就没有意义了。在我拥有的一些最佳合作伙伴关系中,个人因素也非常重要。”
网络安全机构Trellix公司EMEA地区副总裁Fabien Rech表示,从供应商的角度来看,信任也是至关重要的。他说,“客户不仅需要信任我们具有兑现承诺的能力,还需要信任我们作为他们团队的延伸——尤其是在发生网络攻击时。这将建立一种伙伴关系,当网络攻击发生时,他们首先要做的就是及时联系我们进行处理。”
Rech说,如今每分钟都会有出现新的网络威胁,因此重点需要帮助首席信息安全官通过从中学习和适应,从而将网络攻击转化为自己应对网络攻击的优势,以便他们的企业能够恢复到比以前更强大的地位。
首席信息安全官想要从安全供应商那里得到什么
在了解基础知识之后,接下来将关注首席信息安全官与供应商关系成功的更复杂的因素。从安全供应商那里清楚地了解希望(或需要)什么是为首席信息安全官建立良好工作关系的最重要的第一步。虽然这在具体标准方面可能会有所不同,但首席信息安全官引用了几个普遍适用的先决条件。
对于Cyjax公司首席信息安全官Ian Thornton-Trump来说,明确的参与范围与有形关键绩效指标(KPI)和可衡量的可交付成果或报告,这些对于合规目的以及确保投资物有所值至关重要。他说,“安全服务或安全产品/解决方案的适用范围对于企业的首席信息安全官了解供应商对企业的责任和义务至关重要。如果缺乏明确性,则可能会产生孤岛或差距。”
Union Digital银行的Grunden寻找关于供应商的解决方案解决什么问题以及如何补充拥有的其他解决方案的清晰而简单的细节。他说,“换句话说集成点是什么,我的工程师和架构师需要执行哪些工作来启动和运行解决方案,谁将成为他们身边的技术倡导者并与我的团队合作?他们将带来什么持续的运营和技术参与?以及他们的技术将如何发展?”
Grunden还热衷于了解为解决方案中的人工智能提供驱动力的算法。他说,“现在有很多关于安全解决方案中的人工智能和机器学习的炒作,所以我希望能够真正深入了解。”
MongoDB公司的Lena Smart希望看到网络安全供应商已经做好了准备,并研究了她的公司所做的事情。她说,“那些谈论他们如何在字段级加密或保护边界方面与MongoDB公司建立联系的供应商对我来说更有趣,因为这表明他们花费很多时间了解我们的工作,这对建立信任关系非常重要。”
安全供应商希望首席信息安全官提供什么
Rech表示。任何合作都是双向的,因此除了知道他们自己在寻找什么之外,首席信息安全官了解安全供应商需要从他们那里得到什么回报也很重要。他说,“为了建立牢固的关系并尽可能提供最佳体验,我们需要客户对我们坦诚相待,这种态度应该延伸到明确哪些供应商也在其中,因为他们越来越依赖灵活的、云原生的、开放的解决方案。”
Rech补充说,现实情况是,没有一家网络安全供应商能够保证针对每一种威胁提供保护,但当他们完全清楚这些需求是什么时,就会具有独特的优势,可以适应企业的需求。例如,对于某些首席信息安全官来说,不断共享有关威胁、攻击技术或特定行业威胁趋势的信息可能会让人不知所措。他说,“当我们更多地了解他们的业务和他们的优先事项时,我们可以向他们提供最相关、最需要了解的信息。”
Hellickson认为,在销售过程中,供应商也可以从合理和尊重的反馈中受益,这可能会让首席信息安全官感到有些沮丧。他说,“我看到很多首席信息安全官抱怨他们如何被糟糕的销售策略所淹没,试图引起他们的注意。我在这里的建议是要认识到,对那些才入行的销售人员给予一些可指导的建议或尊重的回应,这比只是忽略他们的电子邮件或在回复中不尊重他们更能减少麻烦。我还建议首席信息安全官对获得他们提议的业务的可能性保持真实和诚实。正如不希望浪费时间一样,要认识到在幕后做出了很多努力来响应需求建议书(RFP)、制定独特的提案,并将适当的营销技巧带到销售讨论中。当决定推进大型计划时,供应商销售人员的信誉与企业的信誉一样重要。”
沟通对加强首席信息安全官和供应商的关系至关重要
Hellickson指出,在了解需求之后,沟通成为首席信息安全官与供应商合作关系中最重要的元素。他说,“这是公开分享期望的地方,即成为值得信赖的合作伙伴需要什么,以及在双方之间合作可能存在的界限。从需求到确切的可交付成果要尽可能清晰,这对于建立和维护长期的首席信息安全官和安全供应商的关系至关重要。”
Thornton-Trump对此表示认同,并补充说定期沟通的基础至关重要。他说,“显然,开放和透明也是最重要的因素。”
尽管沟通很重要,但Hellickson认为沟通问题是首席信息安全官和供应商在建立关系时通常面临的最大挑战之一,沟通不畅以及无法明确约定或解决方案实施的结果是一个常见问题。
Netskope公司副首席信息安全官James Robinson表示,当涉及到关键供应商时,这一点就显得尤为重要,他建议首席信息安全官应该仔细考虑与供应商沟通的频率。他说,“只在销售时或续约时见面可能是不可接受的,如果双方关系发生变化,这也需要充分的沟通。然而,会议的时间和频率往往与相互竞争的优先事项相冲突。”
Robinson建议,在首席信息安全官与所有关键供应商和客户会面时,为其他利益相关者同步、业务项目或团队会议留出足够的时间。他说,“应该找到适当的平衡,腾出时间与供应商联系,并确保不断满足所有其他优先事项是最终的挑战。”
风险管理、变革准备、团队参与也是关键
除了开放和有效的沟通之外,其他因素也是维持成功的首席信息安全官与供应商伙伴关系的关键。Robinson表示,对业务相关风险的相互理解就是这样一个问题,随着风险的发展,事情会变得更加复杂。他说,“简而言之,更多的风险需要首席信息安全官与其供应商之间建立更多的合作伙伴关系。双方都必须了解风险可能对合资企业、供应商和其他合作伙伴产生的影响。”
Smart表示认同并补充说,首席信息安全官还应考虑是否有任何供应商引入了需要解决的潜在新威胁或攻击媒介。
Thornton-Trump表示,供应商经历重大变革(例如并购、所有权突然转移,甚至注入风险资本)也会对合作伙伴关系产生重大影响,因此首席信息安全官必须为此做好准备。他说,“这些高级别事件通常表现为客户代表或客户服务经理的变动。我认为供应商不了解这样的变化有多大影响,如果不小心谨慎地处理,供应商会将账户置于极其严重的风险之中。”
Smart还建议首席信息安全官就所有供应商合作伙伴与他们的安全团队进行接触和咨询。他说,“即使选择了供应商认为他们提供的最好的东西,也要倾听自己团队成员的意见。我见过一些例子,首席信息安全官强行采用他们认为最好的解决方案,这可能会引起所有利益相关方的敌意。”
影响首席信息安全官和供应商合作的事项
除了首席信息安全官寻找和准备的事情之外,还有一些危险信号和不良因素会很快阻止他们与供应商开展业务。对于Grunden来说,强制进行产品演示或采用恐吓策略的网络安全供应商是一个特殊的问题。他说,“如果不花时间进行彻底的前期发现以了解企业的安全成熟度,就立即安排产品演示是行不通的。此外,让首席信息安全官感到威胁和压力,而不是轻松解决他们的问题或帮助IT和安全团队协调一致,会让他们不愿意了解产品。”
Thornton-Trump指出,不切实际的供应商路线图,不得不降低或禁用现有的安全控制以使新的解决方案发挥作用,以及在没有任何形式的提醒或通知的情况下对供应商进行意外更改都是值得关注的影响合作关系的事项。他说,“最具破坏性的供应商对首席信息安全官的回应是‘我们以前从未见过!’,而是‘我们会尝试解决这个问题,或者与你的团队合作来解决这个问题。”他补充说,缺乏跟踪或票务系统的服务也会导致问题没有得到及时跟进,这也是一个危险信号。
Smart表示,她讨厌那些试图把首席信息安全官当作客户的供应商,因为他们通常是一个相互交谈的紧密社区的一部分。她说,“如果供应商声称能够解决所有的安全问题,那么这是不可能做到的。如果有任何问题,需要尽快回答,但不要无休止地向对方打电话或向他的邮箱发送电子邮件。”