擺脫鎖定：與安全供應商簽訂的合同多長更適合?

曾擔任一家公司的首席信息安全官的Stephanie Benoit Kurtz表示，她所在的公司與一家安全服務供應商簽訂了一份為期三年的漏洞管理即服務合同，她當時認為是一筆不錯的交易。

Benoit Kurtz簽署了這份合同，認為其安全運營計劃可以充分利用供應商提供的所有功能。但她發現，在履行合同的早期，她的安全團隊只使用了其中60%的資源。

她表示，當時陷入了這樣的困境：采購這樣一種不合適的服務，卻無法解除合同。

Kurtz說，“我們很難對供應商說，‘我不需要那個模塊，我能收回款項嗎?’他們似乎不想參與那種對話。”她現在是鳳凰城大學信息系統與技術學院的首席教員。

她承認，從這個軼事中可以吸取很多教訓，例如預先協商調整成本的方法，以及更加努力地將供應商的產品與企業的未來狀態相匹配。

她說，這一經歷也說明了為合同本身選擇正確時間表面臨的挑戰。正如她所指出的，長期合同通常會提供更優惠的價格，而短期合同則會帶來敏捷性、靈活性和更容易糾正錯誤的能力，因此需要權衡取舍。

一個微妙的提議

選擇合適的供應商，談判最佳合同條款，并確定合同期限，對很多人來說都是具有挑戰性的任務，其中包括首席信息安全官。

但經驗豐富的安全主管表示，在處理這些任務時，他們通常比其他職能部門的領導者更具挑戰性，尤其是在確定適合的合同期限方面。

其原因如下：首席信息安全官應對迅速出現和轉變的威脅，應對這些威脅的技能、工具和政策也是如此。因此，首席信息安全官看到了可以幫助他們快速改變的供應商。這些供應商的創新速度比其他供應商更快，他們進行合并以實現利益最大化，或者因為難以滿足客戶要求而逐漸被遺忘。此外，首席信息安全官必須考慮實施、配置和管理他們購買的產品或服務的復雜性，因為他們知道可能需要數月的工作才能真正看到價值，更不用說價值最大化了。

這些動態是在影響企業合同談判的傳統因素之上的，例如獲得最優惠的價格和所需的服務水平協議。

這些因素相結合，以及平衡多種需求(有時是相互矛盾)的需要，使得為合同選擇合適的期限長度成為一個微妙的提議。

首席信息安全官和執行顧問表示，最好的策略是在談判每份合同時考慮所有這些因素。他們進一步建議首席信息安全官與采購專業人員和財務團隊合作，在簽署任何交易之前需要了解企業的正確合同時間表。

咨詢機構Kroll公司風險管理實踐高級董事總經理兼Kroll Institute研究員Alan Brill表示：“并不是每個方案適合所有人，因為每家公司的情況不同。我并不是說每家公司都必須經歷一個漫長而復雜的采購流程，而是要考慮一系列事情。”

主要考慮因素

Parkview Health公司信息安全副總裁Darrell Keeling表示，在確定向任何一家供應商或技術承諾多長時間時，他確實會考慮一系列因素。

他說，“在這個領域，我們的很多事情都是關于時機和對戰略方向的感覺。”

他表示，例如會考慮采用的技術以及它如何發展以確保跟上市場的創新步伐。他審查了潛在供應商的路線圖，以確保供應商能夠在合同期內提供想要的產品、服務和更新。他指出，在這個過程中的發現讓他確定了合同期限。

他還預測購買的解決方案是否會很快成為另一家供應商提供的商品服務;如果是，他會選擇更短的合同期限，肯定是三年以下。

他試圖預測一家安全供應商是否會在短時間內與另一家供應商合并，這再次讓他傾向于縮短合同期限，以防止企業陷入困境。

然而他表示，也在這個決定中考慮了價格因素，并指出一份保證不漲價或漲價有限的三年期合同引起了他的注意。

他表示，總的來說，努力平衡靈活性、穩定性和價格，這種平衡有時有利于短期合同，有時有利于長期合同。

咨詢機構Guidehouse公司的高級解決方案網絡安全實踐合伙人Michael Ebert說，這種變化是明智的。

Ebert補充說，“企業可以根據的需求、要求、現有技能和舒適度評估所有合同。并且需要詢問：它適用于我的環境嗎?是否根據適用于我們的方法獲得合適的價格。”

尋找難以捉摸的甜蜜點

盡管專家表示，首席信息安全官必須確定他們簽署的每份合同是正確的，但他們一致認為，五年的時間太長了，應該避免。簽署五年的協議已經很少見了，更長的協議幾乎不存在。

Forrester Research公司副總裁兼首席分析師Jeff Pollard表示，這是有充分理由的。技術、安全和業務變化太快，以至于任何五年期合同都不值得簽訂，因為可以鼓勵安全團隊保留該技術，即使它不再為企業提供良好的服務，因為它已經到位或提供了優惠的價格。

盡管對于合同期限是否太長達成了一致，但對于理想的合同期限到底多長才適合，人們的意見不一。

安全負責人表示，其他每個典型的合同選項(一年、兩年、三年或四年選項)各有利弊。他們指出，從產品的成熟度到組織的成熟度再到提供的價格，每種方法都有其優缺點。

例如，在部署新引入的技術或安全組織的新技術時，一年期合同往往更好。在應對新挑戰時，較短的期限也可能是有益的。Pollard說，“如果你正在解決一個問題，也許這是一個亟待解決的問題，而簽署的合同可以讓企業得到一些東西，即使不知道這將是一個長期問題還是長期解決方案。但至少可以暫時解決它。”

這讓安全團隊有時間評估問題和新部署的技術，讓員工能夠收集可以影響下一步行動的信息。

然而這也是空頭合同的缺點。Pollard說，“企業可能不得不迅速重做所有這些努力，如果在幾個月后再進行采購的話，可能不得不拆掉和更換。”

隨著時間的推移，兩年期的合同適用于問題和解決方案得到更充分定義和更好量化的情況，Pollard說，“在這種情況下，有理由相信問題和解決方案會存在一段時間，需要很好地理解它們，并且不必快速重新評估市場。”

他說，而兩年期限的合同仍然存在一些缺點，如果由于技術原因不能滿足企業需求，則必須忍受更長時間。

談到典型的三年期限合同，最大的好處集中在成本上，因為供應商通常會為這些合同提供最優惠的價格。

他指出，另一方面，這些三年期限的合同使安全部門在技術上投入了大量時間和精力——無論它是否隨著企業的需求和整個安全市場繼續成熟。這些合同還在這段時間內承諾為部門提供資金。專家表示，隨著人們對經濟衰退的擔憂繼續增長，這一點如今尤其令人擔憂。

專家們在制定合同條款時提供了額外的考慮因素。例如，虛擬首席信息安全官和網絡安全咨詢機構TCE Strategy公司的首席執行官Bryce Austin考慮了產品的粘性。

Austin說，“如果談論的是粘性產品、難以更換的產品或需要大量配置的產品，我仍然喜歡簽署這樣的多年合同。”

在這種情況下，首席信息安全官在設定合同期限時需要考慮配置和部署這些技術所需的大量投資。他指出，這些投資的規模意味著可能需要更長的時間才能產生收益和全部回報。

然而Austin表示，出于各種原因，他仍然大多傾向于縮短合同期限。他指出，如果一家供應商被另一家公司收購，或者供應商將其資源轉移到推進其產品組合中的其他產品，較短的合同期限有助于首席信息安全官防止質量或服務下降。

Austin說，他通常只在財務狀況誘人時才考慮簽訂一份為期三年的合同，例如保證不會漲價。

盡管如此，他說安全供應商必須證明他們始終能夠滿足首席信息安全官設定的性能和服務要求。為了提供進一步的保護，尋求更安全的合同條款，允許任何一方在通知之后退出交易。

安可資本集團副總裁兼首席信息官Scott King表示，他喜歡簽署一年期和兩年期限遞增的合同，并且這些遞增的合同還可以提供續簽選擇。

他發現這樣的合同往往會為企業提供適當的平衡，但他不能自動遵循這些時間表，仍在審查自己的選擇。

King說，“真的需要了解哪些技術是長期需要的，哪些是短期內需要的。或者技術平臺是否會很快被更先進的技術所取代，其顛覆性有多大，部署是多么耗時。供應商是否正在失去競爭優勢，如果希望從這些合同中獲得最大價值，需要進行盡職調查。此外，不要簽署一份不起作用的多年期限的合同，因為這會導致資產擱淺和沉沒成本。”