與安全供應商應該簽多長期限的合同?
Stephanie Benoit Kurtz 表示,以前自己作為一名CISO,曾與一家漏洞管理服務提供商簽訂了一份為期三年的合同,并且她感到很劃算。
Benoit Kurtz簽署了這份協議,并預想著自己的安全操作計劃可以充分利用該供應商所提供的全部功能,但實際上她發現,在三年期限的初期,該團隊僅利用了所提供功能中的60%。
她表示自己因此陷入了困境:為不合適的產品買了單,卻沒有辦法解約。
Benoit Kurtz曾是一名安全主管,如今在鳳凰城大學信息系統與技術學院就任首席教員一職。她表示,總不能跑去跟供應商說:“我不喜歡這個模塊,麻煩退一下錢。”對方一定不希望聽到這樣的訴求。
Benoit Kurtz認為,從這件往事中,自己可以吸取很多教訓。比如,自己應該預先協商一種調整成本的方法,并努力將供應商所提供的產品與組織的未來狀態匹配起來。
她表示,此次經歷也說明了:為合同本身確定一個合適的時間期限是一項具有挑戰性的任務。正如她所指出的,我們需要在更優惠的價格(通常意味著期限較長)與更具靈活性的較短期限中找到一個最佳平衡點。
一項微妙的決策
選擇合適的供應商,協商出最佳的合同條款,并確定最有利的合同期限,這對于包括CISO在內的幾乎所有人來說,都是一項挑戰。
但經驗豐富的安全高管表示,在處理此種類型的任務上,他們往往會比其他職能的領導面對更多的挑戰,尤其是在確定合適的合同期限方面。
原因如下:CISO需要面對的是迅速出現并快速變化的威脅,以及隨之不斷出現和更新的新技能、新工具和新政策。因此,CISO需要求助于那些可以幫助自己適應快速變化的供應商——其中一些的創新速度較快,另外一些為了追求利益最大化而選擇了合并,還有一些則因為無法跟上迅速的變化而逐漸消失在了人們的視野。此外,CISO還必須考慮到對所購買的產品進行實現、配置以及管理的復雜性。他們要明白可能需要經過數個月的工作才能看到產品的真正價值,更不用說價值最大化了。
這些動態性都是建立在影響企業合同談判的因素之上的,例如獲取最低價格以及有關所需服務水平的協議。
所有這些因素,再加上需要平衡多重的,甚至有時會相互矛盾的需求,都使得對合同最佳期限的確定成為了一個復雜的事情。
CISO、執行顧問以及顧問表示最好的辦法就是在協商每一份合同時,都將這些因素考慮在內。并且他們進一步建議CISO在簽署任何協議之前,都要與采購專業人員以及財務團隊協商一下合理的時間期限。
Kroll咨詢公司風險管理實踐的高級董事兼Kroll研究所的研究員Alan Brill表示:并不存在那種萬金油的方法,公司與公司之間總會存在一定的差異,情況也不會完全相同。這并不是說,提倡每個公司都采用漫長且復雜的采購流程,但最基本的采購清單還是需要考慮在內的。
關鍵的注意事項
Parkview Health的信息安全副總裁Darrell Keeling表示,在確定與任何供應商的合同期限或者使用某項技術的合同期限時,他都會列舉出一系列的考慮事項。此外,他還說:“在我的組織中,該領域的大多數事項都是與時間安排以及戰略的發展方向相關的。”
例如,在對一項技術進行評估時,Keeling會考慮它的預期發展,以確保該技術能夠跟上市場創新的步伐。并且他還會審查潛在的供應商工作流程,以確保該廠商能夠在整個合同期限內,都能夠提供自己所需要的支持、服務和更新。Keeling 表示自己在整個考慮的過程當中,就會形成對合同期限的決策。
此外,他在購買供應商提供的服務時,還會試圖預測一下其他的供應商會不會在短期內也推出同樣的服務。如果會的話,那么他就更傾向于去選擇三年以下的短期合同。
并且他還會試圖預測所合作的供應商在短期內會不會與其他廠商進行合并。如果進行合并的概率很大,那么這將進一步促使他去選擇那些短期合約,以防止合并后的實體不再對自己購買的產品進行優先考慮,從而導致自己的組織陷入困境。
Keeling還表示,價格因素也會被納入到自己的考慮范圍,并指出,一份保證不會漲價或僅在一定范圍內漲價的三年期合同引起了他的注意。
他認為,總的來說,考慮到敏捷性、穩定性以及價格之間的平衡,有時短期合同有利,而有時長期合同更合理。
Guidehouse公司高級解決方案網絡安全實踐的合伙人Michael Ebert對這種具有靈活性的選擇表示贊同。
Ebert補充道:“要根據具體的需求、現有的技能以及舒適水平來對所有的合同進行評估,考慮這些合同對自己環境的作用,據此來確定出合適的價格”
找到難以捉摸的最佳位置
專家表明,盡管CISO必須搞清楚自己簽署的合同中哪些是適合自己的,但人們一致認為,五年及以上的合同期限過長,并且如今五年期限的協議已經很少見了,可以說幾乎不存在了。
Forrester Research的副總裁兼首席分析師Jeff Pollard認為,如今,技術、安全和業務的變化迅速,這使得五年期限的合同有了存在的意義。即使一項技術不再能夠很好地服務于該組織,但安全團隊仍會保留它。這是因為組織已經習慣了該技術的存在,而且其價格也很實惠。
盡管對于“合同的期限多久算過長”這個問題有了一致的答案,但人們對于“理想的合同期限”的看法卻不盡相同。
安全負責人表示,對于另外幾種典型合同期限的選擇(一年、兩年、三年或四年),也各有其利弊。考慮到產品的成熟度、組織的成熟度以及價格等多方面的因素,這些期限都各自具有不同的的優點和缺點。
例如,Pollard表示,當安全組織在部署新引進的技術或新型技術時,一年期的合同往往會更合適。在應對新的挑戰時,較短期的協議大概是最有益的。他說:“當你剛接手一個新任務時,你可能會無法了解所有的相關問題,又或許該問題亟待解決。但即使你無法確定這是一個長期的問題還是短期的問題,這些合同都可以給你帶來一定程度上的幫助,至少可以暫時性地解決問題”
這樣,安全團隊就有時間去對問題以及新部署的技術進行評估,而員工則可以去收集下一步行動相關的信息。
然而,這也是短期合同的下行空間。Pollard表示,組織可能會面臨不得不重復之前努力的情況。短期合同迅速到期后,組織需要進行產品或服務的重新購買,這將會涉及到舊產品的清除,以及新產品的替換。
在問題和解決方案能夠更加充分地定義并且可以更好地量化時,兩年期限的合同往往更加有利。Pollard表示:“你可以放心地相信:這些問題和解決方案將會持續地存在一段時間,所以不必急著去對市場進行重新評估”
然而,兩年期限的合同仍然存在著一定的問題,例如,由于一些原因,供應商提供的的技術無法滿足企業的需求,那么該企業就不得不對此忍受較長一段時間。
而對于最為典型的三年期合同,Pollard表示,其最大的優點就是成本低。供應商往往會為此類合同制定一個優惠的價格。
另一方面,Pollard和其他一些人認為,這些三年期的合同向安全部門承諾,會持續提供很長一段時間的技術支持,無論其是否會隨著組織的需求以及整個安全市場的發展而發展成熟。
專家們還提出了,在制定合同條款時,其他需要考慮的因素。例如,虛擬CISO以及安全咨詢公司TCE Strategy的CEO , Bryce Austin,就考慮到了產品的粘性。
Austin說:“說到具有粘性的產品,那是一種很難去更換的東西,或者說它需要相當多的配置。并且,日進我仍然熱衷于去簽署具有此種特性產品的長期合同”
Austin還認為,在這種情況下,CISO需要在確定合同期限長短時,對配置和部署這些技術所需要的重大投資進行考慮。這些投資的規模之大,意味著組織可能需要花費更長的時間才能產生效益。
然而, Austin表示,出于各種原因,他更加支持去縮短合同的時間期限。因為,如果供應商后來被其他公司收購,或者供應商將其資源轉移到其經營的其他產品上,那么就會造成所提供產品的質量下滑或服務下滑。而短期合同正好可以幫助CISO來盡可能地降低此類情況所造成的損失。
所以,Austin通常只會在經濟優惠條件十分誘人的情況下(例如,保證不會漲價),才會考慮三年期的合同。
他說,盡管如此,供應商還必須證明自己可以始終滿足CISO所提出的性能和服務上的要求。并且合同中還需規定,簽訂協議的任何一方在解約前,都應提前向對方發出通知。
Encore Capital Group的副董事兼CISO ,Scott King表示,自己更加喜歡那些為期一年或兩年,并且支持續簽的合同。他發現這些對于自己的公司來說,往往更加合適。但同時,他也表示,自己并不會將年限作為合同選擇的直接標準。而是會提前對自己的決策做出分析判斷。
簽署合同前,研究一個技術平臺是否會在較短時間內被更先進的技術所取代,它的顛覆性程度如何、部署它所耗費的時間,以及供應商是否正在失去其競爭優勢等問題,都是比較重要的。但更重要的是組織必須搞清楚,自己需要哪些技術類型。所以,并不是說合同的時間期限越短越好。如果你想從這些合同中獲取最大的價值,那么就必須做出相應的努力來對其進行充分的調查。畢竟誰都不想在付出了大量的沉沒成本,并遭受了資產擱淺之后,才被迫去解除一份無益的長期合約。
數世點評
如果將產品或服務的敏捷性、穩定性以及價格等因素共同看作是合同選擇標準的一個維度,那么合同的有效期限則是區別于這些因素的另一個維度。隨著時間的推移,產品與服務的性能以及價格等因素往往都會隨之發生改變。因而,CISO們對合同期限的考量,從根本上來講,還是對于產品服務性能本身的動態性評估。那么關鍵點就在于,如何準確得預判出性能等因素在時間維度上的未來發展狀態,這需要大量的相關信息來作為支撐,進而對最終的決策提供支持。
