風險更低?安全更佳?物超所值?核實、核實,再核實。但是在CISO資安長希望安全供應商能提供的所有事項與服務中,尤以值得信賴的合作夥伴關係最重要。以下就讓我們一起探討資安長如何找到並建立這些關係。
文/Mary K.Pratt‧譯/酷魯
目前擔任資安長的 Terry Grogan 發現自己陷入許多安全領導者都熟悉的處境。她所在的組織正在進行一項重大的技術項目計畫,結果帶給人手不足的部門很大的安全隱患。
因此,Grogan需要實施全新、更進階的網路監控功能。
她找到了一家堪稱典範的合作夥伴:這是一家供應商,制定了一項能免費先導試用其解決方案三個月,以確定一家醫院最大的安全技術缺口,以及該解決方案是否可以消除這些缺口。
Grogan表示:「我們看到了該產品不僅解決了我們自認存在的問題,而且幫助我們得以提升我們甚至意想不到的效率。」
Grogan對此印象深刻,並與這家供應商締結了一份長期合約。
Grogan決定與該供應商敲定合約,並不僅僅是基於其解決方案的功能而已。
[ 下載 2020-21 CIO大調查報告,掌握企業資安部署新趨勢 ]
當然,她希望她所購買的產品能夠正常運作,但真正讓這家供應商脫穎而出的是,這家供應商能與醫院協同合作,能將其解決方案納入醫院的技術堆疊中,並能就最佳安全策略來建議Grogan。
「我絕對需要一個可以發揮合作夥伴角色的供應商;企業對這樣的需求幾乎沒有例外,」現任 Pixel Health 資安長的Grogan表示。「過去你購買像是防毒軟體等安全產品,可以叫他們安裝完之後就可離開了事。然而現在,安全變得如此複雜,涉及面向如此之廣,所有基礎設施盡皆涵蓋,而且變動得那麼快速,以至於你需要一家能扮演顧問角色的供應商。
資安長一直仰賴供應商為他們提供保護企業安全所需的工具;在典型的企業安全維運中,企業鮮少自主開發解決方案。即使如此,資安長還是可以選擇供應商,有鑑於他們的時間和預算有限,再加上他們所做的工作愈來愈重要,因此他們對於要與哪些供應商合作也變得更有選擇性,同時也更加清楚了解。
這不僅是要減少他們所使用供應商的數量,更重要的是供應商整合,科技研究和諮詢公司Gartner便將「供應商整合」列為2021年企業安全的主要趨勢之一,並指出:「大多數組織都將供應商整合視為降低成本與提高安全性的一大途徑。」最終,資安長希望確保他們所選擇的供應商能同時提供高品質的解決方案,以及他們所欲求的加值服務,以便他們的安全團隊可以發揮更高水準。
了解他們的需求
羅徹斯特理工學院(RIT)格里薩諾運算與資訊科學學院技術營運總監暨兼職電腦安全教職人員 Thomas Cary 表示,資安長對供應商的要求各不相同,他們在不同時間會從不同供應商身上尋求不同的特質。
一些資安長仍然希望某些供應商只要提供所需的解決方案,或許在實施後就可以離開,Cary和其他人表示。但是這樣的情況現在已很少見了。
Cary列出了他對供應商的期望清單。他要的是能夠知道並了解他組織及其現有安全工具的供應商,這樣他們才能協助確認出組織的優劣勢為何,並提出縮小差距、強化安全狀態並幫助其團隊達成目標的方法。
「供應商必須花時間去了解組織並做好自己該做的功課,如此才能建立能滿足組織需求的量身訂做解決方案,」他說。「這才是真正能夠區分供應商是否適合的地方。」
Cary還希望他的供應商不要過度誇大。他說,他希望他們能開誠佈公地說出自家產品的功能和侷限。
[ 推薦閱讀: 後疫情世界資安長會面臨什麼挑戰? ]
他指出,有一家供應商為他的組織提供一個具有一系列功能的電子郵件過濾平台。這家供應商向他推銷一個計畫,亦即將所請求的過濾功能導入,其可在現有工作流之中運作,但也指出另有可在這些工作流中自動化某些功能的附加功能。同時,該供應商承認,Cary團隊已經從其他供應商那裡獲得了一些它可以提供的功能,因此沒有換廠商的理由。
Cary表示:「這家供應商真的考慮到我們的最大利益,他們並沒有過度吹噓,所以我們知道我們可以相信他們所說的話,結果,他們真的幫助我們改善了整體事件回應的速度與能力。」
其他資安長也表達了類似的期望。
行銷公關公司Merritt集團於2020年向資安長發布了一份以「行銷與銷售」為題的報告,該報告很大程度呼應了Cary和其他資安長現在想從供應商身上得到的東西。
根據該報告指出:「最重要的是,向資安長行銷需要藉助個性化且以問題為導向的方法才行。在網路安全領域裡,沒有一體適用的解決方案,資安長往往對這類承諾持警慎的態度。資安長確實想要獲得能解決他們獨特痛點的解決方案,而幾乎一半的資安長希望供應商在撥打銷售或行銷電話之前先做好功課。」
不光說,要以實際的行動展現
該報告進一步指出,有34%受訪的資安長表示,如果供應商了解資安長的問題,並且能夠展示相關知識的話,那麼他們成功的機會就會更大。
該報告指出:「一旦供應商了解了資安長的需求,下一步就是實際展示,而不是說明某特定解決方案能如何提供幫助。與其他任何形式的後續跟進與追蹤相比,資安長更喜歡產品展示。」該報告並指出,34%的受訪者表現出有這樣的偏愛。
換句話說,供應商必須實際展示他們如何幫助資安長能更有效地保護企業,馬利維爾大學(位於美國密蘇里州聖路易市)網路安全助理教授 Brian M. Gant 表示,他在企業和聯邦政府領域擁有20年的分析、威脅情報和要員保護經驗。
[ 推薦閱讀: 找出精通資安的代管服務供應商 ]
此外,Gant表示,供應商必須展示如何透過共享他們在多個組織之間的協同合作中獲得的知識,來滿足當前需求和新興需求。
Gant指出:「他們必須滿足這些迫切需求,同時也要幫助資安長擴展知識。」
供應商也必須有隨機應變的敏捷力,願意並能夠隨著組織環境的變化,迅速地加以適應、擴充和交付。
他強調,大流行突顯了這種需求,但更單調例行的商業活動也一樣。他舉例說,他曾與一家組織的資安長合作,因為該組織裁員,結果導致其代管安全服務供應商必須迅速實施行為監控功能,以確保工作人員不會存取、複製或刪除敏感資訊。
「供應商必須能為資安長提供各式各樣的選項,」Gant補充道。
供應商價值最大化管理
全球最大煙草公司奧馳亞集團(Altria Group,前身為 Philip Morris Companies 菲利普莫里斯公司)資安長 Chas Heng 也有類似的看法。
「我們期待我們的安全夥伴為我們的安全戰略和路線圖提供戰略指導/意見,」他指出,他想利用關鍵戰略合作夥伴,「來讓我們與產業同行之間進行安全計畫的基準測試比較,以確保我們在網路安全功能方面進行了適當的投資,並與安全產業的最佳實踐保持一致。」
因此,他正在尋找提供諮詢和顧問服務以及產品和解決方案的供應商。
「我希望他們成為戰略思想合作夥伴。無論他們是軟體供應商還是提供技術支援服務,這都是我需要幫助的首要之務。我希望他們能引進外部觀點,以便能幫助我們發展我們的計畫。」
為此,Heng和他的團隊定期與供應商會面,安排每月檢討和季度會議,以制定路線發展圖。Heng本人每月都會與最具戰略意義的供應商會面,討論他們可以幫忙的地方。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
「我們花時間談論績效,從中我可能會提出額外要求,而且我會談論即將到來的需求和優先事項,如此一來,他們便可討論他們可以提供哪些資源或支持,」他表示。「他們會提出建議,告訴我們要如何改進。」
管理暨IT諮詢公司Swingtide資深顧問 Bill Serowka 指出,資安長明智之處在於依靠他們的供應商來提供洞見與指導,因為他們擁有服務多間組織的經驗,使他們能夠識別出資安長及其團隊所存在的盲點。
然而,Serowka同時指出,供應商仍必須滿足資安長的基本需求:在組織現有架構中表現良好、協同運作,能交付所承諾事項,並能改善組織整體安全狀況的解決方案。
網路電信服務供應商Vonage資安長 Sanjay Macwan 歸納出7點供應商必備框架,以確保他從供應商身上能獲得所有能滿足其基本需求的東西。
根據此框架,Macwan選擇能解釋以下7點的供應商:
- 簡單明瞭地闡述,他們的解決方案可以解決什麼,不可以解決什麼。
- 他們的產品如何與Macwan其他解決方案相輔相成。
- 如何在Macwan的組織內施行他們的解決方案,換句話說,整合點為何,以及Macwan自己的工程師和架構師需要執行什麼工作,才能使該解決方案啟動並運行。
- 確認他們那邊會與Macwan團隊協作的技術倡導者會是誰。
- 在解決方案中提供任何智慧的演算法(在安全解決方案中有很多關於人工智慧和機器學習的炒作,所以我實際上想了解背後運作的原理,Macwan表示)。
- 他們所提供的持續營運和技術合作,以及他們的技術會如何發展。
- 他們將如如何與Macwan及其團隊建立戰略夥伴關係。
Macwan補充道:「這個框架就像是我觀看事物的鏡頭,我一直使用它。我會直接跟供應商解釋這一點:這裡有我們的期望,也是我們相互交流的守則。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)