首席信息安全官與其網(wǎng)絡(luò)安全供應(yīng)商之間的良好合作伙伴關(guān)系是企業(yè)安全成功不可或缺的一部分。建立在信任、溝通和相互理解基礎(chǔ)上的良好關(guān)系可以為企業(yè)的網(wǎng)絡(luò)安全態(tài)勢(shì)帶來(lái)顯著的收益。與其相反，一個(gè)缺乏說(shuō)服力并且有問(wèn)題的行為可能會(huì)產(chǎn)生相反的效果，將對(duì)企業(yè)的安全實(shí)踐產(chǎn)生負(fù)面影響，使其容易受到網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)和投資浪費(fèi)的影響。

網(wǎng)絡(luò)安全咨詢(xún)機(jī)構(gòu)Coalfire公司執(zhí)行顧問(wèn)John Hellickson說(shuō)，“對(duì)于首席信息安全官來(lái)說(shuō)，與安全供應(yīng)商保持良好的關(guān)系是了解行業(yè)相關(guān)趨勢(shì)、提供替代解決方案的競(jìng)爭(zhēng)分析以及建立信任以采取大型合作伙伴計(jì)劃的重要因素?！彼赋?，首席信息安全官通常擁有幾家經(jīng)過(guò)挑選的關(guān)鍵安全供應(yīng)商，這些供應(yīng)商已經(jīng)成為企業(yè)值得信賴(lài)的合作伙伴。他說(shuō)，“當(dāng)首席信息安全官無(wú)法與安全供應(yīng)商保持積極的工作關(guān)系時(shí)，他們通常會(huì)看到供應(yīng)商對(duì)他們的需求提供的優(yōu)先級(jí)較低，整體響應(yīng)可能會(huì)延遲，在最糟糕的情況下，他們可能會(huì)被標(biāo)記為不良客戶(hù)，而沒(méi)有銷(xiāo)售代表希望分配到這樣的客戶(hù)?！?/p>

重要的是，首席信息安全官與供應(yīng)商建立并保持盡可能良好的合作伙伴關(guān)系，特別是考慮到與現(xiàn)代企業(yè)合作的供應(yīng)商數(shù)量正在不斷增加。但是，這樣做需要更多的時(shí)間和精力，需要考慮各種因素。

什么是首席信息安全官與供應(yīng)商出色的合作關(guān)系?

在探索建立和維護(hù)有效的首席信息安全官與供應(yīng)商伙伴關(guān)系所涉及的更深層次的機(jī)制之前，首先評(píng)估雙方如何定義這種關(guān)系。Union Digital 銀行首席信息安全官Dominic Grunden表示，誠(chéng)信和真實(shí)性是建立穩(wěn)固合作關(guān)系成敗的秘訣。他說(shuō)，“網(wǎng)絡(luò)安全很復(fù)雜，與網(wǎng)絡(luò)安全供應(yīng)商合作不應(yīng)該這樣復(fù)雜。提供一種以?xún)r(jià)值為中心的方法來(lái)幫助企業(yè)更快地做出數(shù)據(jù)驅(qū)動(dòng)的補(bǔ)救決策是首要目標(biāo)，而這是通過(guò)將首席信息安全官的挑戰(zhàn)和目標(biāo)放在首位和中心來(lái)實(shí)現(xiàn)的?！?/p>

MongoDB公司首席信息安全官Lena Smart表示，信任和必要性是關(guān)鍵。她說(shuō)，“我可以相信這些人，但如果我不需要他們銷(xiāo)售的產(chǎn)品或服務(wù)，那就沒(méi)有意義了。在我擁有的一些最佳合作伙伴關(guān)系中，個(gè)人因素也非常重要?！?/p>

網(wǎng)絡(luò)安全機(jī)構(gòu)Trellix公司EMEA地區(qū)副總裁Fabien Rech表示，從供應(yīng)商的角度來(lái)看，信任也是至關(guān)重要的。他說(shuō)，“客戶(hù)不僅需要信任我們具有兌現(xiàn)承諾的能力，還需要信任我們作為他們團(tuán)隊(duì)的延伸——尤其是在發(fā)生網(wǎng)絡(luò)攻擊時(shí)。這將建立一種伙伴關(guān)系，當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)，他們首先要做的就是及時(shí)聯(lián)系我們進(jìn)行處理。”

Rech說(shuō)，如今每分鐘都會(huì)有出現(xiàn)新的網(wǎng)絡(luò)威脅，因此重點(diǎn)需要幫助首席信息安全官通過(guò)從中學(xué)習(xí)和適應(yīng)，從而將網(wǎng)絡(luò)攻擊轉(zhuǎn)化為自己應(yīng)對(duì)網(wǎng)絡(luò)攻擊的優(yōu)勢(shì)，以便他們的企業(yè)能夠恢復(fù)到比以前更強(qiáng)大的地位。

首席信息安全官想要從安全供應(yīng)商那里得到什么

在了解基礎(chǔ)知識(shí)之后，接下來(lái)將關(guān)注首席信息安全官與供應(yīng)商關(guān)系成功的更復(fù)雜的因素。從安全供應(yīng)商那里清楚地了解希望(或需要)什么是為首席信息安全官建立良好工作關(guān)系的最重要的第一步。雖然這在具體標(biāo)準(zhǔn)方面可能會(huì)有所不同，但首席信息安全官引用了幾個(gè)普遍適用的先決條件。

對(duì)于Cyjax公司首席信息安全官I(mǎi)an Thornton-Trump來(lái)說(shuō)，明確的參與范圍與有形關(guān)鍵績(jī)效指標(biāo)(KPI)和可衡量的可交付成果或報(bào)告，這些對(duì)于合規(guī)目的以及確保投資物有所值至關(guān)重要。他說(shuō)，“安全服務(wù)或安全產(chǎn)品/解決方案的適用范圍對(duì)于企業(yè)的首席信息安全官了解供應(yīng)商對(duì)企業(yè)的責(zé)任和義務(wù)至關(guān)重要。如果缺乏明確性，則可能會(huì)產(chǎn)生孤島或差距?！?/p>

Union Digital銀行的Grunden尋找關(guān)于供應(yīng)商的解決方案解決什么問(wèn)題以及如何補(bǔ)充擁有的其他解決方案的清晰而簡(jiǎn)單的細(xì)節(jié)。他說(shuō)，“換句話說(shuō)集成點(diǎn)是什么，我的工程師和架構(gòu)師需要執(zhí)行哪些工作來(lái)啟動(dòng)和運(yùn)行解決方案，誰(shuí)將成為他們身邊的技術(shù)倡導(dǎo)者并與我的團(tuán)隊(duì)合作?他們將帶來(lái)什么持續(xù)的運(yùn)營(yíng)和技術(shù)參與?以及他們的技術(shù)將如何發(fā)展?”

Grunden還熱衷于了解為解決方案中的人工智能提供驅(qū)動(dòng)力的算法。他說(shuō)，“現(xiàn)在有很多關(guān)于安全解決方案中的人工智能和機(jī)器學(xué)習(xí)的炒作，所以我希望能夠真正深入了解?！?/p>

MongoDB公司的Lena Smart希望看到網(wǎng)絡(luò)安全供應(yīng)商已經(jīng)做好了準(zhǔn)備，并研究了她的公司所做的事情。她說(shuō)，“那些談?wù)撍麄內(nèi)绾卧谧侄渭?jí)加密或保護(hù)邊界方面與MongoDB公司建立聯(lián)系的供應(yīng)商對(duì)我來(lái)說(shuō)更有趣，因?yàn)檫@表明他們花費(fèi)很多時(shí)間了解我們的工作，這對(duì)建立信任關(guān)系非常重要?！?/p>

安全供應(yīng)商希望首席信息安全官提供什么

Rech表示。任何合作都是雙向的，因此除了知道他們自己在尋找什么之外，首席信息安全官了解安全供應(yīng)商需要從他們那里得到什么回報(bào)也很重要。他說(shuō)，“為了建立牢固的關(guān)系并盡可能提供最佳體驗(yàn)，我們需要客戶(hù)對(duì)我們坦誠(chéng)相待，這種態(tài)度應(yīng)該延伸到明確哪些供應(yīng)商也在其中，因?yàn)樗麄冊(cè)絹?lái)越依賴(lài)靈活的、云原生的、開(kāi)放的解決方案。”

Rech補(bǔ)充說(shuō)，現(xiàn)實(shí)情況是，沒(méi)有一家網(wǎng)絡(luò)安全供應(yīng)商能夠保證針對(duì)每一種威脅提供保護(hù)，但當(dāng)他們完全清楚這些需求是什么時(shí)，就會(huì)具有獨(dú)特的優(yōu)勢(shì)，可以適應(yīng)企業(yè)的需求。例如，對(duì)于某些首席信息安全官來(lái)說(shuō)，不斷共享有關(guān)威脅、攻擊技術(shù)或特定行業(yè)威脅趨勢(shì)的信息可能會(huì)讓人不知所措。他說(shuō)，“當(dāng)我們更多地了解他們的業(yè)務(wù)和他們的優(yōu)先事項(xiàng)時(shí)，我們可以向他們提供最相關(guān)、最需要了解的信息?！?/p>

Hellickson認(rèn)為，在銷(xiāo)售過(guò)程中，供應(yīng)商也可以從合理和尊重的反饋中受益，這可能會(huì)讓首席信息安全官感到有些沮喪。他說(shuō)，“我看到很多首席信息安全官抱怨他們?nèi)绾伪辉愀獾匿N(xiāo)售策略所淹沒(méi)，試圖引起他們的注意。我在這里的建議是要認(rèn)識(shí)到，對(duì)那些才入行的銷(xiāo)售人員給予一些可指導(dǎo)的建議或尊重的回應(yīng)，這比只是忽略他們的電子郵件或在回復(fù)中不尊重他們更能減少麻煩。我還建議首席信息安全官對(duì)獲得他們提議的業(yè)務(wù)的可能性保持真實(shí)和誠(chéng)實(shí)。正如不希望浪費(fèi)時(shí)間一樣，要認(rèn)識(shí)到在幕后做出了很多努力來(lái)響應(yīng)需求建議書(shū)(RFP)、制定獨(dú)特的提案，并將適當(dāng)?shù)臓I(yíng)銷(xiāo)技巧帶到銷(xiāo)售討論中。當(dāng)決定推進(jìn)大型計(jì)劃時(shí)，供應(yīng)商銷(xiāo)售人員的信譽(yù)與企業(yè)的信譽(yù)一樣重要。”

溝通對(duì)加強(qiáng)首席信息安全官和供應(yīng)商的關(guān)系至關(guān)重要

Hellickson指出，在了解需求之后，溝通成為首席信息安全官與供應(yīng)商合作關(guān)系中最重要的元素。他說(shuō)，“這是公開(kāi)分享期望的地方，即成為值得信賴(lài)的合作伙伴需要什么，以及在雙方之間合作可能存在的界限。從需求到確切的可交付成果要盡可能清晰，這對(duì)于建立和維護(hù)長(zhǎng)期的首席信息安全官和安全供應(yīng)商的關(guān)系至關(guān)重要。”

Thornton-Trump對(duì)此表示認(rèn)同，并補(bǔ)充說(shuō)定期溝通的基礎(chǔ)至關(guān)重要。他說(shuō)，“顯然，開(kāi)放和透明也是最重要的因素?！?/p>

盡管溝通很重要，但Hellickson認(rèn)為溝通問(wèn)題是首席信息安全官和供應(yīng)商在建立關(guān)系時(shí)通常面臨的最大挑戰(zhàn)之一，溝通不暢以及無(wú)法明確約定或解決方案實(shí)施的結(jié)果是一個(gè)常見(jiàn)問(wèn)題。

Netskope公司副首席信息安全官James Robinson表示，當(dāng)涉及到關(guān)鍵供應(yīng)商時(shí)，這一點(diǎn)就顯得尤為重要，他建議首席信息安全官應(yīng)該仔細(xì)考慮與供應(yīng)商溝通的頻率。他說(shuō)，“只在銷(xiāo)售時(shí)或續(xù)約時(shí)見(jiàn)面可能是不可接受的，如果雙方關(guān)系發(fā)生變化，這也需要充分的溝通。然而，會(huì)議的時(shí)間和頻率往往與相互競(jìng)爭(zhēng)的優(yōu)先事項(xiàng)相沖突?！?/p>

Robinson建議，在首席信息安全官與所有關(guān)鍵供應(yīng)商和客戶(hù)會(huì)面時(shí)，為其他利益相關(guān)者同步、業(yè)務(wù)項(xiàng)目或團(tuán)隊(duì)會(huì)議留出足夠的時(shí)間。他說(shuō)，“應(yīng)該找到適當(dāng)?shù)钠胶猓v出時(shí)間與供應(yīng)商聯(lián)系，并確保不斷滿(mǎn)足所有其他優(yōu)先事項(xiàng)是最終的挑戰(zhàn)?！?/p>

風(fēng)險(xiǎn)管理、變革準(zhǔn)備、團(tuán)隊(duì)參與也是關(guān)鍵

除了開(kāi)放和有效的溝通之外，其他因素也是維持成功的首席信息安全官與供應(yīng)商伙伴關(guān)系的關(guān)鍵。Robinson表示，對(duì)業(yè)務(wù)相關(guān)風(fēng)險(xiǎn)的相互理解就是這樣一個(gè)問(wèn)題，隨著風(fēng)險(xiǎn)的發(fā)展，事情會(huì)變得更加復(fù)雜。他說(shuō)，“簡(jiǎn)而言之，更多的風(fēng)險(xiǎn)需要首席信息安全官與其供應(yīng)商之間建立更多的合作伙伴關(guān)系。雙方都必須了解風(fēng)險(xiǎn)可能對(duì)合資企業(yè)、供應(yīng)商和其他合作伙伴產(chǎn)生的影響。”

Smart表示認(rèn)同并補(bǔ)充說(shuō)，首席信息安全官還應(yīng)考慮是否有任何供應(yīng)商引入了需要解決的潛在新威脅或攻擊媒介。

Thornton-Trump表示，供應(yīng)商經(jīng)歷重大變革(例如并購(gòu)、所有權(quán)突然轉(zhuǎn)移，甚至注入風(fēng)險(xiǎn)資本)也會(huì)對(duì)合作伙伴關(guān)系產(chǎn)生重大影響，因此首席信息安全官必須為此做好準(zhǔn)備。他說(shuō)，“這些高級(jí)別事件通常表現(xiàn)為客戶(hù)代表或客戶(hù)服務(wù)經(jīng)理的變動(dòng)。我認(rèn)為供應(yīng)商不了解這樣的變化有多大影響，如果不小心謹(jǐn)慎地處理，供應(yīng)商會(huì)將賬戶(hù)置于極其嚴(yán)重的風(fēng)險(xiǎn)之中?！?/p>

Smart還建議首席信息安全官就所有供應(yīng)商合作伙伴與他們的安全團(tuán)隊(duì)進(jìn)行接觸和咨詢(xún)。他說(shuō)，“即使選擇了供應(yīng)商認(rèn)為他們提供的最好的東西，也要傾聽(tīng)自己團(tuán)隊(duì)成員的意見(jiàn)。我見(jiàn)過(guò)一些例子，首席信息安全官?gòu)?qiáng)行采用他們認(rèn)為最好的解決方案，這可能會(huì)引起所有利益相關(guān)方的敵意?！?/p>

影響首席信息安全官和供應(yīng)商合作的事項(xiàng)

除了首席信息安全官尋找和準(zhǔn)備的事情之外，還有一些危險(xiǎn)信號(hào)和不良因素會(huì)很快阻止他們與供應(yīng)商開(kāi)展業(yè)務(wù)。對(duì)于Grunden來(lái)說(shuō)，強(qiáng)制進(jìn)行產(chǎn)品演示或采用恐嚇策略的網(wǎng)絡(luò)安全供應(yīng)商是一個(gè)特殊的問(wèn)題。他說(shuō)，“如果不花時(shí)間進(jìn)行徹底的前期發(fā)現(xiàn)以了解企業(yè)的安全成熟度，就立即安排產(chǎn)品演示是行不通的。此外，讓首席信息安全官感到威脅和壓力，而不是輕松解決他們的問(wèn)題或幫助IT和安全團(tuán)隊(duì)協(xié)調(diào)一致，會(huì)讓他們不愿意了解產(chǎn)品?！?/p>

Thornton-Trump指出，不切實(shí)際的供應(yīng)商路線圖，不得不降低或禁用現(xiàn)有的安全控制以使新的解決方案發(fā)揮作用，以及在沒(méi)有任何形式的提醒或通知的情況下對(duì)供應(yīng)商進(jìn)行意外更改都是值得關(guān)注的影響合作關(guān)系的事項(xiàng)。他說(shuō)，“最具破壞性的供應(yīng)商對(duì)首席信息安全官的回應(yīng)是‘我們以前從未見(jiàn)過(guò)!’，而是‘我們會(huì)嘗試解決這個(gè)問(wèn)題，或者與你的團(tuán)隊(duì)合作來(lái)解決這個(gè)問(wèn)題。”他補(bǔ)充說(shuō)，缺乏跟蹤或票務(wù)系統(tǒng)的服務(wù)也會(huì)導(dǎo)致問(wèn)題沒(méi)有得到及時(shí)跟進(jìn)，這也是一個(gè)危險(xiǎn)信號(hào)。

Smart表示，她討厭那些試圖把首席信息安全官當(dāng)作客戶(hù)的供應(yīng)商，因?yàn)樗麄兺ǔＪ且粋€(gè)相互交談的緊密社區(qū)的一部分。她說(shuō)，“如果供應(yīng)商聲稱(chēng)能夠解決所有的安全問(wèn)題，那么這是不可能做到的。如果有任何問(wèn)題，需要盡快回答，但不要無(wú)休止地向?qū)Ψ酱螂娫捇蛳蛩泥]箱發(fā)送電子郵件?！?/p>