Terry Grogan曾经发现自己处于和很多安全管理人员一样的境地:她的组织正在经历关键的技术创新,依靠一个人员不足的部门来解决很多安全隐患。
因此,Grogan需要部署新的、更先进的网络监控能力。
此时,她发现了一个非常突出的合作伙伴:供应商提出了三个月的免费试用解决方案;在这三个月里,医院最大的安全差距,以及解决方案是否可以解决。
Grogan后来,他们说,经过三个月的试用,他们不仅可以看到产品如何解决他们已知的问题,还可以发现产品可以带来一些他们以前从未想过的效率。Grogan因此,它该产品印象深刻,与供应商签订了长期合作合同。
事实上,Grogan最终决定与供应商签订合同不仅仅是基于解决方案本身的能力。Grogan需要有效的产品,但最终供应商愿意与医院合作,将自己的解决方案融入医院现有的技术栈,同时给予Grogan提出最佳的安全策略——这些都是制造商脱颖而出的地方。
“我不仅需要供应商,还需要合作伙伴——毫无例外!”如今已经成为Pixel Health的CISO的Grogan表示,“过去,我买了一些产品,比如反病毒软件,制造商安装后就离开了。然而,现在的安全非常复杂。同时,我们接触了太多的方面,在各种结构上重叠,变化如此之快。因此,我们不仅需要供应商,还需要顾问。”
CISO他们总是需要安全制造商为他们提供他们需要的工具来保护企业的安全——一般来说,没有多少企业能够开发自己的企业安全运营计划。CISO也会有大量的供应商进行选择;考虑到CISO他们的时间和预算有限,工作越来越重要,他们变得越来越谨慎,需要区分他们应该与哪家制造商合作。
这不仅仅是需要CISO减少安全制造商的数量。Gartner将“整合安全制造商”列入了2021年的企业安全趋势中,并且表示“大多数组织将制造商整合作为降低成本和提高安全性的方法”。CISO他们最终希望的是确保他们选择的制造商能够提供高质量的解决方案,以及一些额外的附加值,可以进一步提高他们的安全团队。
了解CISO们的需求
罗彻斯特理工大学Golisano计算与信息科学技术运营主任Thomas Cary认为,CISO他们对制造商有不同的需求,他们会在不同的时间从不同的制造商那里寻求不同的价值。CISO有时我们仍然希望制造商能简单地提供需要的解决方案,并在部署完成后直接离开——但现在这种情况很少见。
Cary有一个关于他对制造商期望的列表。他要求制造商了解和理解他的组织及其现有的安全工具,以便制造商能够区分组织的优缺点;然后制造商提出减少安全差距的计划,加强组织的安全状况,并帮助Cary团队实现了他们的目标。
“安全制造商需要花时间认识他们的客户,然后做他们自己的家庭作业,决方案来满足组织的需要。”Cary说道,“这样才能从真正从其他厂商中脱颖而出。”
Cary他还说,他不想让制造商做得太多。制造商不仅要展示自己的能力,还要诚实地表达自己的局限性。
他提到了一个电子邮件过滤平台制造商,它为他的组织提供了各种能力。制造商计划嵌入一个基于他现有工作流的请求过滤能力,但额外的功能也会在这些工作流中自动化。但与此同时,制造商也承认Cary团队已经有了一些来自其他制造商的能力,所以没有必要做同样的功能。
“制造商真的把我们的利益放在心里,没有进行过度的营销。所以,我们知道我们可以信任他们,最终他们真的帮助我们提高了我们的整体事件响应能力。”Cary肯定制造商。
其他CISO也表达了类似的期望。市场公司Merritt Group2020年发布了《市场与市场》CISO销售报告,内容及Cary和其他CISO他们说他们想从制造商那里得到的基本相同。
报告:“最重要的是,方向CISO营销需要定制和基于问题的策略。网络安全中没有‘以一配全’万能解决方案,而CISO人们会怀疑任何这样的保证。CISO他们真的需要能够解决自己独特痛点的解决方案,近一半CISO在销售或市场沟通之前,制造商需要做好家庭作业。”
展示,而不是空口说
报告进一步指出,34%的受访者CISO如果能理解CISO面临的困境并CISO有更大的成功机会。
报告中提到34%的受访者表达“一旦厂家明白了CISO下一步是展示他们的理解——而不仅仅是空谈,具体说明一个解决方案是如何工作的。CISO与任何其他后续联系相比,产品更倾向于产品demo。”
换句话说,圣路易斯马维尔大学的助理教授有20年的企业和联邦政府分析、威胁情报和安全执行经验Brian M. Gant制造商似乎需要证明他们如何帮助他们CISO确保企业安全更有效、更高效。
另一方面,Gant还说,厂商还需要通过分享他们从多个组织中获取的经验,展示他们如何能够满足当前的需求以及未来的需求。
“制造商不仅需要满足即将到来的需求,还需要帮助CISO扩展他们的知识。”Gant如是说到。
制造商也需要更灵活,愿意和有能力适应、尝试和快速实现企业的环境变化。
新冠肺炎疫情体现了这样的需求,但也有很多日常业务项目。Gant有一次,他他和另一个人CISO一起工作,那名CISO该组织正在裁员,因此他们的安全管理服务提供商需要快速部署行为监控能力,以确保员工不会访问、复制和删除敏感信息。
Gant还提到厂家需要有能力在谈判桌上给予CISO多样化的选择。
最大化制造商的价值
Altria Group的CISO,Chas Heng有类似的观点:“我们希望我们的安全合作伙伴能够为我们的安全战略和总体方向提供指导和意见,将我们的安全项目与我们的行业同行进行比较,以确保我们在网络安全能力方面做出适当的投资,并与安全行业的最佳实践相匹配。”
因此,他所需要的制造商不仅要有能力提供产品和解决方案,还要提供咨询服务。
“我需要他们成为战略思想伙伴,这是我需要帮助的第一件事——无论他们是软件供应商,还是提供支持服务。我需要他们带来外部的见解,从而可以帮助我们改进我们的项目。”
为此,Heng和他的团队会经常和厂商见面,制定月度反思和季度会议,开拓项目方向。Heng我每个月都会遇到几乎所有的战略供应商,讨论他们能带来什么新的能力。
“我们将花时间讨论解决方案的性能,我会有一些额外的要求;我还将讨论未来的需求和优先事项,以便他们能够反馈他们可以提供的资源和支持。”Heng提到,“他们会给我们带来可以改进的建议。”
IT管理和咨询公司Swingtide的顾问Bill Serowka表示,CISO依靠供应商提供建议和指导是明智的选择;因为制造商在不同组织中的积累可以让他们发现CISO以及团队看不到的盲点。
但与此同时,Serowka也说厂家还需要满足需求CISO最基本的需求:能够CISO在现有结果中实现的有效解决方案,交付保证产品,——提高组织整体安全态势。
Vonage的CISO,Sanjay Macwan,建立了一个7点框架,以确保他能够从供应商那里获得所有7个需求。根据他的框架,Macwan需要厂家能:
- 用简单的名词解释他们的解决方案能做什么,不能做什么;
- 他们的产品如何补充现有的解决方案;
- 如何在他的组织中流程他们的解决方案?——换句话说,集成点是什么,他自己的工程师和架构师需要做什么来让解决方案在线运行;
- 制造商将为他的团队提供技术支持;
- 解决方案中的任何和“智能”相关的算法(Macwan表示:“人工智能和机器学习有太多的夸张,所以我需要亲自检查算法。”);
- 包括他们的技术将如何技术能力,包括他们的技术将如何发展;
- 制造商将如何与他的团队建立战略关系。