首席信息安全官與其網(wǎng)絡安全供應商之間的良好合作伙伴關系是企業(yè)安全成功不可或缺的一部分。建立在信任、溝通和相互理解基礎上的良好關系可以為企業(yè)的網(wǎng)絡安全態(tài)勢帶來顯著的收益。與其相反，一個缺乏說服力并且有問題的行為可能會產(chǎn)生相反的效果，將對企業(yè)的安全實踐產(chǎn)生負面影響，使其容易受到網(wǎng)絡攻擊風險和投資浪費的影響。

網(wǎng)絡安全咨詢機構Coalfire公司執(zhí)行顧問John Hellickson說，“對于首席信息安全官來說，與安全供應商保持良好的關系是了解行業(yè)相關趨勢、提供替代解決方案的競爭分析以及建立信任以采取大型合作伙伴計劃的重要因素?！彼赋?，首席信息安全官通常擁有幾家經(jīng)過挑選的關鍵安全供應商，這些供應商已經(jīng)成為企業(yè)值得信賴的合作伙伴。他說，“當首席信息安全官無法與安全供應商保持積極的工作關系時，他們通常會看到供應商對他們的需求提供的優(yōu)先級較低，整體響應可能會延遲，在最糟糕的情況下，他們可能會被標記為不良客戶，而沒有銷售代表希望分配到這樣的客戶?！?/p>

重要的是，首席信息安全官與供應商建立并保持盡可能良好的合作伙伴關系，特別是考慮到與現(xiàn)代企業(yè)合作的供應商數(shù)量正在不斷增加。但是，這樣做需要更多的時間和精力，需要考慮各種因素。

什么是首席信息安全官與供應商出色的合作關系?

在探索建立和維護有效的首席信息安全官與供應商伙伴關系所涉及的更深層次的機制之前，首先評估雙方如何定義這種關系。Union Digital 銀行首席信息安全官Dominic Grunden表示，誠信和真實性是建立穩(wěn)固合作關系成敗的秘訣。他說，“網(wǎng)絡安全很復雜，與網(wǎng)絡安全供應商合作不應該這樣復雜。提供一種以價值為中心的方法來幫助企業(yè)更快地做出數(shù)據(jù)驅動的補救決策是首要目標，而這是通過將首席信息安全官的挑戰(zhàn)和目標放在首位和中心來實現(xiàn)的?！?/p>

MongoDB公司首席信息安全官Lena Smart表示，信任和必要性是關鍵。她說，“我可以相信這些人，但如果我不需要他們銷售的產(chǎn)品或服務，那就沒有意義了。在我擁有的一些最佳合作伙伴關系中，個人因素也非常重要。”

網(wǎng)絡安全機構Trellix公司EMEA地區(qū)副總裁Fabien Rech表示，從供應商的角度來看，信任也是至關重要的。他說，“客戶不僅需要信任我們具有兌現(xiàn)承諾的能力，還需要信任我們作為他們團隊的延伸——尤其是在發(fā)生網(wǎng)絡攻擊時。這將建立一種伙伴關系，當網(wǎng)絡攻擊發(fā)生時，他們首先要做的就是及時聯(lián)系我們進行處理。”

Rech說，如今每分鐘都會有出現(xiàn)新的網(wǎng)絡威脅，因此重點需要幫助首席信息安全官通過從中學習和適應，從而將網(wǎng)絡攻擊轉化為自己應對網(wǎng)絡攻擊的優(yōu)勢，以便他們的企業(yè)能夠恢復到比以前更強大的地位。

首席信息安全官想要從安全供應商那里得到什么

在了解基礎知識之后，接下來將關注首席信息安全官與供應商關系成功的更復雜的因素。從安全供應商那里清楚地了解希望(或需要)什么是為首席信息安全官建立良好工作關系的最重要的第一步。雖然這在具體標準方面可能會有所不同，但首席信息安全官引用了幾個普遍適用的先決條件。

對于Cyjax公司首席信息安全官Ian Thornton-Trump來說，明確的參與范圍與有形關鍵績效指標(KPI)和可衡量的可交付成果或報告，這些對于合規(guī)目的以及確保投資物有所值至關重要。他說，“安全服務或安全產(chǎn)品/解決方案的適用范圍對于企業(yè)的首席信息安全官了解供應商對企業(yè)的責任和義務至關重要。如果缺乏明確性，則可能會產(chǎn)生孤島或差距?！?/p>

Union Digital銀行的Grunden尋找關于供應商的解決方案解決什么問題以及如何補充擁有的其他解決方案的清晰而簡單的細節(jié)。他說，“換句話說集成點是什么，我的工程師和架構師需要執(zhí)行哪些工作來啟動和運行解決方案，誰將成為他們身邊的技術倡導者并與我的團隊合作?他們將帶來什么持續(xù)的運營和技術參與?以及他們的技術將如何發(fā)展?”

Grunden還熱衷于了解為解決方案中的人工智能提供驅動力的算法。他說，“現(xiàn)在有很多關于安全解決方案中的人工智能和機器學習的炒作，所以我希望能夠真正深入了解。”

MongoDB公司的Lena Smart希望看到網(wǎng)絡安全供應商已經(jīng)做好了準備，并研究了她的公司所做的事情。她說，“那些談論他們如何在字段級加密或保護邊界方面與MongoDB公司建立聯(lián)系的供應商對我來說更有趣，因為這表明他們花費很多時間了解我們的工作，這對建立信任關系非常重要?！?/p>

安全供應商希望首席信息安全官提供什么

Rech表示。任何合作都是雙向的，因此除了知道他們自己在尋找什么之外，首席信息安全官了解安全供應商需要從他們那里得到什么回報也很重要。他說，“為了建立牢固的關系并盡可能提供最佳體驗，我們需要客戶對我們坦誠相待，這種態(tài)度應該延伸到明確哪些供應商也在其中，因為他們越來越依賴靈活的、云原生的、開放的解決方案。”

Rech補充說，現(xiàn)實情況是，沒有一家網(wǎng)絡安全供應商能夠保證針對每一種威脅提供保護，但當他們完全清楚這些需求是什么時，就會具有獨特的優(yōu)勢，可以適應企業(yè)的需求。例如，對于某些首席信息安全官來說，不斷共享有關威脅、攻擊技術或特定行業(yè)威脅趨勢的信息可能會讓人不知所措。他說，“當我們更多地了解他們的業(yè)務和他們的優(yōu)先事項時，我們可以向他們提供最相關、最需要了解的信息?！?/p>

Hellickson認為，在銷售過程中，供應商也可以從合理和尊重的反饋中受益，這可能會讓首席信息安全官感到有些沮喪。他說，“我看到很多首席信息安全官抱怨他們如何被糟糕的銷售策略所淹沒，試圖引起他們的注意。我在這里的建議是要認識到，對那些才入行的銷售人員給予一些可指導的建議或尊重的回應，這比只是忽略他們的電子郵件或在回復中不尊重他們更能減少麻煩。我還建議首席信息安全官對獲得他們提議的業(yè)務的可能性保持真實和誠實。正如不希望浪費時間一樣，要認識到在幕后做出了很多努力來響應需求建議書(RFP)、制定獨特的提案，并將適當?shù)臓I銷技巧帶到銷售討論中。當決定推進大型計劃時，供應商銷售人員的信譽與企業(yè)的信譽一樣重要?！?/p>

溝通對加強首席信息安全官和供應商的關系至關重要

Hellickson指出，在了解需求之后，溝通成為首席信息安全官與供應商合作關系中最重要的元素。他說，“這是公開分享期望的地方，即成為值得信賴的合作伙伴需要什么，以及在雙方之間合作可能存在的界限。從需求到確切的可交付成果要盡可能清晰，這對于建立和維護長期的首席信息安全官和安全供應商的關系至關重要?！?/p>

Thornton-Trump對此表示認同，并補充說定期溝通的基礎至關重要。他說，“顯然，開放和透明也是最重要的因素?！?/p>

盡管溝通很重要，但Hellickson認為溝通問題是首席信息安全官和供應商在建立關系時通常面臨的最大挑戰(zhàn)之一，溝通不暢以及無法明確約定或解決方案實施的結果是一個常見問題。

Netskope公司副首席信息安全官James Robinson表示，當涉及到關鍵供應商時，這一點就顯得尤為重要，他建議首席信息安全官應該仔細考慮與供應商溝通的頻率。他說，“只在銷售時或續(xù)約時見面可能是不可接受的，如果雙方關系發(fā)生變化，這也需要充分的溝通。然而，會議的時間和頻率往往與相互競爭的優(yōu)先事項相沖突。”

Robinson建議，在首席信息安全官與所有關鍵供應商和客戶會面時，為其他利益相關者同步、業(yè)務項目或團隊會議留出足夠的時間。他說，“應該找到適當?shù)钠胶猓v出時間與供應商聯(lián)系，并確保不斷滿足所有其他優(yōu)先事項是最終的挑戰(zhàn)?！?/p>

風險管理、變革準備、團隊參與也是關鍵

除了開放和有效的溝通之外，其他因素也是維持成功的首席信息安全官與供應商伙伴關系的關鍵。Robinson表示，對業(yè)務相關風險的相互理解就是這樣一個問題，隨著風險的發(fā)展，事情會變得更加復雜。他說，“簡而言之，更多的風險需要首席信息安全官與其供應商之間建立更多的合作伙伴關系。雙方都必須了解風險可能對合資企業(yè)、供應商和其他合作伙伴產(chǎn)生的影響?！?/p>

Smart表示認同并補充說，首席信息安全官還應考慮是否有任何供應商引入了需要解決的潛在新威脅或攻擊媒介。

Thornton-Trump表示，供應商經(jīng)歷重大變革(例如并購、所有權突然轉移，甚至注入風險資本)也會對合作伙伴關系產(chǎn)生重大影響，因此首席信息安全官必須為此做好準備。他說，“這些高級別事件通常表現(xiàn)為客戶代表或客戶服務經(jīng)理的變動。我認為供應商不了解這樣的變化有多大影響，如果不小心謹慎地處理，供應商會將賬戶置于極其嚴重的風險之中?！?/p>

Smart還建議首席信息安全官就所有供應商合作伙伴與他們的安全團隊進行接觸和咨詢。他說，“即使選擇了供應商認為他們提供的最好的東西，也要傾聽自己團隊成員的意見。我見過一些例子，首席信息安全官強行采用他們認為最好的解決方案，這可能會引起所有利益相關方的敵意?！?/p>

影響首席信息安全官和供應商合作的事項

除了首席信息安全官尋找和準備的事情之外，還有一些危險信號和不良因素會很快阻止他們與供應商開展業(yè)務。對于Grunden來說，強制進行產(chǎn)品演示或采用恐嚇策略的網(wǎng)絡安全供應商是一個特殊的問題。他說，“如果不花時間進行徹底的前期發(fā)現(xiàn)以了解企業(yè)的安全成熟度，就立即安排產(chǎn)品演示是行不通的。此外，讓首席信息安全官感到威脅和壓力，而不是輕松解決他們的問題或幫助IT和安全團隊協(xié)調一致，會讓他們不愿意了解產(chǎn)品?！?/p>

Thornton-Trump指出，不切實際的供應商路線圖，不得不降低或禁用現(xiàn)有的安全控制以使新的解決方案發(fā)揮作用，以及在沒有任何形式的提醒或通知的情況下對供應商進行意外更改都是值得關注的影響合作關系的事項。他說，“最具破壞性的供應商對首席信息安全官的回應是‘我們以前從未見過!’，而是‘我們會嘗試解決這個問題，或者與你的團隊合作來解決這個問題。”他補充說，缺乏跟蹤或票務系統(tǒng)的服務也會導致問題沒有得到及時跟進，這也是一個危險信號。

Smart表示，她討厭那些試圖把首席信息安全官當作客戶的供應商，因為他們通常是一個相互交談的緊密社區(qū)的一部分。她說，“如果供應商聲稱能夠解決所有的安全問題，那么這是不可能做到的。如果有任何問題，需要盡快回答，但不要無休止地向對方打電話或向他的郵箱發(fā)送電子郵件?！?/p>