我的企業(yè)正在考慮新的安全采購(gòu)計(jì)劃，但我們的預(yù)算有限，而且我們擔(dān)心成為供應(yīng)商炒作的“犧牲品”。對(duì)于安全產(chǎn)品采購(gòu)和供應(yīng)商選擇，我們是否應(yīng)該制定基本準(zhǔn)則?在與預(yù)選的供應(yīng)商交談以及評(píng)估供應(yīng)商之前，信息安全官應(yīng)該提出什么問(wèn)題，我們應(yīng)該避免哪些常見(jiàn)的陷阱?

[[157659]]

Mike O. Villegas：***信息安全官(CISO)每天都被供應(yīng)商輪番轟炸，這些供應(yīng)商都聲稱(chēng)他們的產(chǎn)品可以解決所有問(wèn)題。另外有些供應(yīng)商則很冷淡，即使他們的產(chǎn)品很優(yōu)秀，CISO可能都不會(huì)再想見(jiàn)他們。這里的挑戰(zhàn)在于買(mǎi)什么以及從誰(shuí)那里購(gòu)買(mǎi)。

在你知道你需要的產(chǎn)品(SIEM、FIM、NGFW、WAF、防病毒、反惡意軟件、DLP等等)后，你可以通過(guò)選擇供應(yīng)商來(lái)開(kāi)始供應(yīng)商管理流程。

確定供應(yīng)商：企業(yè)在尋找潛在的供應(yīng)商時(shí)，可考慮Gartner魔力象限或Forrester Wave作為可靠的信息來(lái)源。在你感興趣的領(lǐng)域有哪些供應(yīng)商?看看右上象限內(nèi)的供應(yīng)商，并了解其詳細(xì)信息。不要只挑***的產(chǎn)品，盡管有時(shí)候開(kāi)源可能是正確的選擇。

短名單：挑選少數(shù)具有不錯(cuò)成績(jī)的供應(yīng)商。如果你與其他CISO有聯(lián)系，可以詢(xún)問(wèn)他們的意見(jiàn)。

概念驗(yàn)證：在供應(yīng)商管理流程中，在確定潛在供應(yīng)商清單后，下一步是打電話(huà)給供應(yīng)商，并建立概念證明(POC)。企業(yè)可以查看供應(yīng)商的宣傳冊(cè)，并進(jìn)行粗略的背景調(diào)查。另外，安排時(shí)間讓供應(yīng)商展示其產(chǎn)品，并邀請(qǐng)主題專(zhuān)家(SME)。POC可能需要花一些錢(qián)，因?yàn)樗枰獌?nèi)部資源對(duì)產(chǎn)品進(jìn)行測(cè)試。請(qǐng)確保你起草了非公開(kāi)的協(xié)議，并根據(jù)功能、平臺(tái)(設(shè)備或軟件)、資源和需要的技能以及成本制定了選擇標(biāo)準(zhǔn)。同時(shí)，使用相同的選擇標(biāo)準(zhǔn)來(lái)評(píng)估所有產(chǎn)品，讓它們處于同一起跑線(xiàn)。

POC不應(yīng)該使用實(shí)時(shí)數(shù)據(jù)或生產(chǎn)數(shù)據(jù)來(lái)測(cè)試，但你還是要考慮對(duì)你環(huán)境的影響：

• 在POC測(cè)試環(huán)境中每秒預(yù)期事件，并估計(jì)在生產(chǎn)環(huán)境的情況;

• 日志記錄活動(dòng)以及它需要多少存儲(chǔ)空間;

• 日志記錄活動(dòng)是否協(xié)調(diào)或者不一致，以及這對(duì)生產(chǎn)延遲性的影響;

• 如果數(shù)據(jù)包在目標(biāo)設(shè)備需要代理，確定代理的足跡、對(duì)生產(chǎn)的延遲性、性能或可訪(fǎng)問(wèn)性問(wèn)題;

• 如果需要特殊培訓(xùn)、技能或SME資源，你是否需要從外部聘請(qǐng)，或者從供應(yīng)商或其他專(zhuān)業(yè)服務(wù)機(jī)構(gòu)獲得。

聯(lián)系參考客戶(hù)：所有供應(yīng)商必須提供參考客戶(hù)。選擇與你環(huán)境和行業(yè)類(lèi)似的參考客戶(hù)。向供應(yīng)商要求只有你和參考客戶(hù)參與電話(huà)會(huì)議，供應(yīng)商不參與。確保參考客戶(hù)與供應(yīng)商沒(méi)有利益沖突。詢(xún)問(wèn)參考客戶(hù)尋找供應(yīng)商產(chǎn)品的驅(qū)動(dòng)力是什么，他們使用其產(chǎn)品的時(shí)間?他們還評(píng)估了哪些其他產(chǎn)品?POC?為什么他們選擇該供應(yīng)商?他們是否滿(mǎn)意POC工程師?他是否知識(shí)淵博且有問(wèn)必答?他們是否花了很長(zhǎng)時(shí)間讓該產(chǎn)品在其環(huán)境中運(yùn)行?在他們使用產(chǎn)品時(shí)，產(chǎn)品在哪方面沒(méi)有達(dá)到他們的預(yù)期?他們是否認(rèn)為價(jià)格合理并且值得購(gòu)買(mǎi)?

成本：成本不應(yīng)該是選擇產(chǎn)品的首要因素。成本是相對(duì)的，但所有價(jià)格都可以與供應(yīng)商商量。永遠(yuǎn)不要支付標(biāo)簽價(jià)格?？纯磾?shù)據(jù)包是否可捆綁同一供應(yīng)商的其他產(chǎn)品，如果可能的話(huà)，等到月末、季度末或年末再?zèng)Q定。我們都知道供應(yīng)商有其銷(xiāo)售目標(biāo)，你可以用它來(lái)協(xié)商成本，但如果你不打算買(mǎi)的話(huà)，不要浪費(fèi)供應(yīng)商的時(shí)間。如果各供應(yīng)商之間的成本差別不小，確定功能是否超過(guò)了成本。如果成本遠(yuǎn)遠(yuǎn)超出了你的預(yù)算，確定預(yù)期投資回報(bào)率是否超過(guò)成本。同時(shí)，與信息安全、網(wǎng)絡(luò)、IT、開(kāi)發(fā)團(tuán)隊(duì)、審計(jì)、風(fēng)險(xiǎn)管理和合規(guī)團(tuán)隊(duì)共享這些數(shù)據(jù)，看看他們是否可以使用該產(chǎn)品。如果該產(chǎn)品為軟件，考慮下載軟件以節(jié)省稅費(fèi)。

高管認(rèn)可：沒(méi)有人喜歡驚喜，包括管理層。在你與供應(yīng)商的談判結(jié)束后，再告訴高管產(chǎn)品的成本。追蹤你的預(yù)算，不要讓供應(yīng)商知道你的預(yù)算。讓高管知道供應(yīng)商管理流程談判，并讓法律團(tuán)隊(duì)認(rèn)可該產(chǎn)品，這可以有助于高管對(duì)這次購(gòu)買(mǎi)感到滿(mǎn)意。同時(shí)，讓IT認(rèn)同該產(chǎn)品。你還應(yīng)向高管展示你在選擇時(shí)進(jìn)行了盡職調(diào)查，并在談判結(jié)束后，展示列表價(jià)格和產(chǎn)品實(shí)際價(jià)格，讓高管看到你的管理工作做得不錯(cuò)，同時(shí)你自己也會(huì)被看好。***，你可以換位思考，假設(shè)這是你自己的公司，你在做出購(gòu)買(mǎi)決定。你會(huì)怎么做?

合同談判：讓法律部門(mén)的同事幫助你完成合同談判。確保合同包含針對(duì)POC和購(gòu)買(mǎi)的條款，審查許可協(xié)議、維護(hù)成本和續(xù)訂成本。有時(shí)候，在花時(shí)間進(jìn)行POC后，你與供應(yīng)商的法律部門(mén)可能不會(huì)達(dá)成一致意見(jiàn)，這可能導(dǎo)致最終交易無(wú)法完成。在大多數(shù)情況下，合同談判應(yīng)該是雙方都同意的。確保有終止條款—有原因或沒(méi)原因，合同中應(yīng)具有雙方責(zé)任限制條款以及審核權(quán)利條款。如果涉及代碼或軟件，考慮代管條款或不披露條款。

總之，如果雪佛蘭皮卡車(chē)就行，那就不要買(mǎi)凱迪拉克。你應(yīng)該選擇正確的產(chǎn)品，而不是***的產(chǎn)品。因?yàn)?**的產(chǎn)品有時(shí)候最昂貴，但并不是基于你的商業(yè)模式、預(yù)算和需求，正確的產(chǎn)品才是你的目標(biāo)。你需要確保所選擇的產(chǎn)品可以根據(jù)公司發(fā)展進(jìn)行擴(kuò)展。另外，基于你的行業(yè)、企業(yè)文化以及人員技能，你可能還有其他考慮因素，但你應(yīng)該購(gòu)買(mǎi)你所需要的產(chǎn)品，不一定是你想要的產(chǎn)品。