曾擔(dān)任一家公司的首席信息安全官的Stephanie Benoit Kurtz表示，她所在的公司與一家安全服務(wù)供應(yīng)商簽訂了一份為期三年的漏洞管理即服務(wù)合同，她當(dāng)時(shí)認(rèn)為是一筆不錯(cuò)的交易。

Benoit Kurtz簽署了這份合同，認(rèn)為其安全運(yùn)營(yíng)計(jì)劃可以充分利用供應(yīng)商提供的所有功能。但她發(fā)現(xiàn)，在履行合同的早期，她的安全團(tuán)隊(duì)只使用了其中60%的資源。

她表示，當(dāng)時(shí)陷入了這樣的困境：采購這樣一種不合適的服務(wù)，卻無法解除合同。

Kurtz說，“我們很難對(duì)供應(yīng)商說，‘我不需要那個(gè)模塊，我能收回款項(xiàng)嗎?’他們似乎不想?yún)⑴c那種對(duì)話。”她現(xiàn)在是鳳凰城大學(xué)信息系統(tǒng)與技術(shù)學(xué)院的首席教員。

她承認(rèn)，從這個(gè)軼事中可以吸取很多教訓(xùn)，例如預(yù)先協(xié)商調(diào)整成本的方法，以及更加努力地將供應(yīng)商的產(chǎn)品與企業(yè)的未來狀態(tài)相匹配。

她說，這一經(jīng)歷也說明了為合同本身選擇正確時(shí)間表面臨的挑戰(zhàn)。正如她所指出的，長(zhǎng)期合同通常會(huì)提供更優(yōu)惠的價(jià)格，而短期合同則會(huì)帶來敏捷性、靈活性和更容易糾正錯(cuò)誤的能力，因此需要權(quán)衡取舍。

一個(gè)微妙的提議

選擇合適的供應(yīng)商，談判最佳合同條款，并確定合同期限，對(duì)很多人來說都是具有挑戰(zhàn)性的任務(wù)，其中包括首席信息安全官。

但經(jīng)驗(yàn)豐富的安全主管表示，在處理這些任務(wù)時(shí)，他們通常比其他職能部門的領(lǐng)導(dǎo)者更具挑戰(zhàn)性，尤其是在確定適合的合同期限方面。

其原因如下：首席信息安全官應(yīng)對(duì)迅速出現(xiàn)和轉(zhuǎn)變的威脅，應(yīng)對(duì)這些威脅的技能、工具和政策也是如此。因此，首席信息安全官看到了可以幫助他們快速改變的供應(yīng)商。這些供應(yīng)商的創(chuàng)新速度比其他供應(yīng)商更快，他們進(jìn)行合并以實(shí)現(xiàn)利益最大化，或者因?yàn)殡y以滿足客戶要求而逐漸被遺忘。此外，首席信息安全官必須考慮實(shí)施、配置和管理他們購買的產(chǎn)品或服務(wù)的復(fù)雜性，因?yàn)樗麄冎揽赡苄枰獢?shù)月的工作才能真正看到價(jià)值，更不用說價(jià)值最大化了。

這些動(dòng)態(tài)是在影響企業(yè)合同談判的傳統(tǒng)因素之上的，例如獲得最優(yōu)惠的價(jià)格和所需的服務(wù)水平協(xié)議。

這些因素相結(jié)合，以及平衡多種需求(有時(shí)是相互矛盾)的需要，使得為合同選擇合適的期限長(zhǎng)度成為一個(gè)微妙的提議。

首席信息安全官和執(zhí)行顧問表示，最好的策略是在談判每份合同時(shí)考慮所有這些因素。他們進(jìn)一步建議首席信息安全官與采購專業(yè)人員和財(cái)務(wù)團(tuán)隊(duì)合作，在簽署任何交易之前需要了解企業(yè)的正確合同時(shí)間表。

咨詢機(jī)構(gòu)Kroll公司風(fēng)險(xiǎn)管理實(shí)踐高級(jí)董事總經(jīng)理兼Kroll Institute研究員Alan Brill表示：“并不是每個(gè)方案適合所有人，因?yàn)槊考夜镜那闆r不同。我并不是說每家公司都必須經(jīng)歷一個(gè)漫長(zhǎng)而復(fù)雜的采購流程，而是要考慮一系列事情?！?/p>

主要考慮因素

Parkview Health公司信息安全副總裁Darrell Keeling表示，在確定向任何一家供應(yīng)商或技術(shù)承諾多長(zhǎng)時(shí)間時(shí)，他確實(shí)會(huì)考慮一系列因素。

他說，“在這個(gè)領(lǐng)域，我們的很多事情都是關(guān)于時(shí)機(jī)和對(duì)戰(zhàn)略方向的感覺。”

他表示，例如會(huì)考慮采用的技術(shù)以及它如何發(fā)展以確保跟上市場(chǎng)的創(chuàng)新步伐。他審查了潛在供應(yīng)商的路線圖，以確保供應(yīng)商能夠在合同期內(nèi)提供想要的產(chǎn)品、服務(wù)和更新。他指出，在這個(gè)過程中的發(fā)現(xiàn)讓他確定了合同期限。

他還預(yù)測(cè)購買的解決方案是否會(huì)很快成為另一家供應(yīng)商提供的商品服務(wù);如果是，他會(huì)選擇更短的合同期限，肯定是三年以下。

他試圖預(yù)測(cè)一家安全供應(yīng)商是否會(huì)在短時(shí)間內(nèi)與另一家供應(yīng)商合并，這再次讓他傾向于縮短合同期限，以防止企業(yè)陷入困境。

然而他表示，也在這個(gè)決定中考慮了價(jià)格因素，并指出一份保證不漲價(jià)或漲價(jià)有限的三年期合同引起了他的注意。

他表示，總的來說，努力平衡靈活性、穩(wěn)定性和價(jià)格，這種平衡有時(shí)有利于短期合同，有時(shí)有利于長(zhǎng)期合同。

咨詢機(jī)構(gòu)Guidehouse公司的高級(jí)解決方案網(wǎng)絡(luò)安全實(shí)踐合伙人Michael Ebert說，這種變化是明智的。

Ebert補(bǔ)充說，“企業(yè)可以根據(jù)的需求、要求、現(xiàn)有技能和舒適度評(píng)估所有合同。并且需要詢問：它適用于我的環(huán)境嗎?是否根據(jù)適用于我們的方法獲得合適的價(jià)格。”

尋找難以捉摸的甜蜜點(diǎn)

盡管專家表示，首席信息安全官必須確定他們簽署的每份合同是正確的，但他們一致認(rèn)為，五年的時(shí)間太長(zhǎng)了，應(yīng)該避免。簽署五年的協(xié)議已經(jīng)很少見了，更長(zhǎng)的協(xié)議幾乎不存在。

Forrester Research公司副總裁兼首席分析師Jeff Pollard表示，這是有充分理由的。技術(shù)、安全和業(yè)務(wù)變化太快，以至于任何五年期合同都不值得簽訂，因?yàn)榭梢怨膭?lì)安全團(tuán)隊(duì)保留該技術(shù)，即使它不再為企業(yè)提供良好的服務(wù)，因?yàn)樗呀?jīng)到位或提供了優(yōu)惠的價(jià)格。

盡管對(duì)于合同期限是否太長(zhǎng)達(dá)成了一致，但對(duì)于理想的合同期限到底多長(zhǎng)才適合，人們的意見不一。

安全負(fù)責(zé)人表示，其他每個(gè)典型的合同選項(xiàng)(一年、兩年、三年或四年選項(xiàng))各有利弊。他們指出，從產(chǎn)品的成熟度到組織的成熟度再到提供的價(jià)格，每種方法都有其優(yōu)缺點(diǎn)。

例如，在部署新引入的技術(shù)或安全組織的新技術(shù)時(shí)，一年期合同往往更好。在應(yīng)對(duì)新挑戰(zhàn)時(shí)，較短的期限也可能是有益的。Pollard說，“如果你正在解決一個(gè)問題，也許這是一個(gè)亟待解決的問題，而簽署的合同可以讓企業(yè)得到一些東西，即使不知道這將是一個(gè)長(zhǎng)期問題還是長(zhǎng)期解決方案。但至少可以暫時(shí)解決它?！?/p>

這讓安全團(tuán)隊(duì)有時(shí)間評(píng)估問題和新部署的技術(shù)，讓員工能夠收集可以影響下一步行動(dòng)的信息。

然而這也是空頭合同的缺點(diǎn)。Pollard說，“企業(yè)可能不得不迅速重做所有這些努力，如果在幾個(gè)月后再進(jìn)行采購的話，可能不得不拆掉和更換?！?/p>

隨著時(shí)間的推移，兩年期的合同適用于問題和解決方案得到更充分定義和更好量化的情況，Pollard說，“在這種情況下，有理由相信問題和解決方案會(huì)存在一段時(shí)間，需要很好地理解它們，并且不必快速重新評(píng)估市場(chǎng)。”

他說，而兩年期限的合同仍然存在一些缺點(diǎn)，如果由于技術(shù)原因不能滿足企業(yè)需求，則必須忍受更長(zhǎng)時(shí)間。

談到典型的三年期限合同，最大的好處集中在成本上，因?yàn)楣?yīng)商通常會(huì)為這些合同提供最優(yōu)惠的價(jià)格。

他指出，另一方面，這些三年期限的合同使安全部門在技術(shù)上投入了大量時(shí)間和精力——無論它是否隨著企業(yè)的需求和整個(gè)安全市場(chǎng)繼續(xù)成熟。這些合同還在這段時(shí)間內(nèi)承諾為部門提供資金。專家表示，隨著人們對(duì)經(jīng)濟(jì)衰退的擔(dān)憂繼續(xù)增長(zhǎng)，這一點(diǎn)如今尤其令人擔(dān)憂。

專家們?cè)谥贫ê贤瑮l款時(shí)提供了額外的考慮因素。例如，虛擬首席信息安全官和網(wǎng)絡(luò)安全咨詢機(jī)構(gòu)TCE Strategy公司的首席執(zhí)行官Bryce Austin考慮了產(chǎn)品的粘性。

Austin說，“如果談?wù)摰氖钦承援a(chǎn)品、難以更換的產(chǎn)品或需要大量配置的產(chǎn)品，我仍然喜歡簽署這樣的多年合同?！?/p>

在這種情況下，首席信息安全官在設(shè)定合同期限時(shí)需要考慮配置和部署這些技術(shù)所需的大量投資。他指出，這些投資的規(guī)模意味著可能需要更長(zhǎng)的時(shí)間才能產(chǎn)生收益和全部回報(bào)。

然而Austin表示，出于各種原因，他仍然大多傾向于縮短合同期限。他指出，如果一家供應(yīng)商被另一家公司收購，或者供應(yīng)商將其資源轉(zhuǎn)移到推進(jìn)其產(chǎn)品組合中的其他產(chǎn)品，較短的合同期限有助于首席信息安全官防止質(zhì)量或服務(wù)下降。

Austin說，他通常只在財(cái)務(wù)狀況誘人時(shí)才考慮簽訂一份為期三年的合同，例如保證不會(huì)漲價(jià)。

盡管如此，他說安全供應(yīng)商必須證明他們始終能夠滿足首席信息安全官設(shè)定的性能和服務(wù)要求。為了提供進(jìn)一步的保護(hù)，尋求更安全的合同條款，允許任何一方在通知之后退出交易。

安可資本集團(tuán)副總裁兼首席信息官Scott King表示，他喜歡簽署一年期和兩年期限遞增的合同，并且這些遞增的合同還可以提供續(xù)簽選擇。

他發(fā)現(xiàn)這樣的合同往往會(huì)為企業(yè)提供適當(dāng)?shù)钠胶?，但他不能自?dòng)遵循這些時(shí)間表，仍在審查自己的選擇。

King說，“真的需要了解哪些技術(shù)是長(zhǎng)期需要的，哪些是短期內(nèi)需要的。或者技術(shù)平臺(tái)是否會(huì)很快被更先進(jìn)的技術(shù)所取代，其顛覆性有多大，部署是多么耗時(shí)。供應(yīng)商是否正在失去競(jìng)爭(zhēng)優(yōu)勢(shì)，如果希望從這些合同中獲得最大價(jià)值，需要進(jìn)行盡職調(diào)查。此外，不要簽署一份不起作用的多年期限的合同，因?yàn)檫@會(huì)導(dǎo)致資產(chǎn)擱淺和沉沒成本?！?/p>