Stephanie Benoit Kurtz 表示,以前自己作为一名CISO,曾与一家漏洞管理服务提供商签订了一份为期三年的合同,并且她感到很划算。
Benoit Kurtz签署了这份协议,并预想着自己的安全操作计划可以充分利用该供应商所提供的全部功能,但实际上她发现,在三年期限的初期,该团队仅利用了所提供功能中的60%。
她表示自己因此陷入了困境:为不合适的产品买了单,却没有办法解约。
Benoit Kurtz曾是一名安全主管,如今在凤凰城大学信息系统与技术学院就任首席教员一职。她表示,总不能跑去跟供应商说:“我不喜欢这个模块,麻烦退一下钱。”对方一定不希望听到这样的诉求。
Benoit Kurtz认为,从这件往事中,自己可以吸取很多教训。比如,自己应该预先协商一种调整成本的方法,并努力将供应商所提供的产品与组织的未来状态匹配起来。
她表示,此次经历也说明了:为合同本身确定一个合适的时间期限是一项具有挑战性的任务。正如她所指出的,我们需要在更优惠的价格(通常意味着期限较长)与更具灵活性的较短期限中找到一个最佳平衡点。
一项微妙的决策
选择合适的供应商,协商出最佳的合同条款,并确定最有利的合同期限,这对于包括CISO在内的几乎所有人来说,都是一项挑战。
但经验丰富的安全高管表示,在处理此种类型的任务上,他们往往会比其他职能的领导面对更多的挑战,尤其是在确定合适的合同期限方面。
原因如下:CISO需要面对的是迅速出现并快速变化的威胁,以及随之不断出现和更新的新技能、新工具和新政策。因此,CISO需要求助于那些可以帮助自己适应快速变化的供应商——其中一些的创新速度较快,另外一些为了追求利益最大化而选择了合并,还有一些则因为无法跟上迅速的变化而逐渐消失在了人们的视野。此外,CISO还必须考虑到对所购买的产品进行实现、配置以及管理的复杂性。他们要明白可能需要经过数个月的工作才能看到产品的真正价值,更不用说价值最大化了。
这些动态性都是建立在影响企业合同谈判的因素之上的,例如获取最低价格以及有关所需服务水平的协议。
所有这些因素,再加上需要平衡多重的,甚至有时会相互矛盾的需求,都使得对合同最佳期限的确定成为了一个复杂的事情。
CISO、执行顾问以及顾问表示最好的办法就是在协商每一份合同时,都将这些因素考虑在内。并且他们进一步建议CISO在签署任何协议之前,都要与采购专业人员以及财务团队协商一下合理的时间期限。
Kroll咨询公司风险管理实践的高级董事兼Kroll研究所的研究员Alan Brill表示:并不存在那种万金油的方法,公司与公司之间总会存在一定的差异,情况也不会完全相同。这并不是说,提倡每个公司都采用漫长且复杂的采购流程,但最基本的采购清单还是需要考虑在内的。
关键的注意事项
Parkview Health的信息安全副总裁Darrell Keeling表示,在确定与任何供应商的合同期限或者使用某项技术的合同期限时,他都会列举出一系列的考虑事项。此外,他还说:“在我的组织中,该领域的大多数事项都是与时间安排以及战略的发展方向相关的。”
例如,在对一项技术进行评估时,Keeling会考虑它的预期发展,以确保该技术能够跟上市场创新的步伐。并且他还会审查潜在的供应商工作流程,以确保该厂商能够在整个合同期限内,都能够提供自己所需要的支持、服务和更新。Keeling 表示自己在整个考虑的过程当中,就会形成对合同期限的决策。
此外,他在购买供应商提供的服务时,还会试图预测一下其他的供应商会不会在短期内也推出同样的服务。如果会的话,那么他就更倾向于去选择三年以下的短期合同。
并且他还会试图预测所合作的供应商在短期内会不会与其他厂商进行合并。如果进行合并的概率很大,那么这将进一步促使他去选择那些短期合约,以防止合并后的实体不再对自己购买的产品进行优先考虑,从而导致自己的组织陷入困境。
Keeling还表示,价格因素也会被纳入到自己的考虑范围,并指出,一份保证不会涨价或仅在一定范围内涨价的三年期合同引起了他的注意。
他认为,总的来说,考虑到敏捷性、稳定性以及价格之间的平衡,有时短期合同有利,而有时长期合同更合理。
Guidehouse公司高级解决方案网络安全实践的合伙人Michael Ebert对这种具有灵活性的选择表示赞同。
Ebert补充道:“要根据具体的需求、现有的技能以及舒适水平来对所有的合同进行评估,考虑这些合同对自己环境的作用,据此来确定出合适的价格”
找到难以捉摸的优秀位置
专家表明,尽管CISO必须搞清楚自己签署的合同中哪些是适合自己的,但人们一致认为,五年及以上的合同期限过长,并且如今五年期限的协议已经很少见了,可以说几乎不存在了。
Forrester Research的副总裁兼首席分析师Jeff Pollard认为,如今,技术、安全和业务的变化迅速,这使得五年期限的合同有了存在的意义。即使一项技术不再能够很好地服务于该组织,但安全团队仍会保留它。这是因为组织已经习惯了该技术的存在,而且其价格也很实惠。
尽管对于“合同的期限多久算过长”这个问题有了一致的答案,但人们对于“理想的合同期限”的看法却不尽相同。
安全负责人表示,对于另外几种典型合同期限的选择(一年、两年、三年或四年),也各有其利弊。考虑到产品的成熟度、组织的成熟度以及价格等多方面的因素,这些期限都各自具有不同的的优点和缺点。
例如,Pollard表示,当安全组织在部署新引进的技术或新型技术时,一年期的合同往往会更合适。在应对新的挑战时,较短期的协议大概是最有益的。他说:“当你刚接手一个新任务时,你可能会无法了解所有的相关问题,又或许该问题亟待解决。但即使你无法确定这是一个长期的问题还是短期的问题,这些合同都可以给你带来一定程度上的帮助,至少可以暂时性地解决问题”
这样,安全团队就有时间去对问题以及新部署的技术进行评估,而员工则可以去收集下一步行动相关的信息。
然而,这也是短期合同的下行空间。Pollard表示,组织可能会面临不得不重复之前努力的情况。短期合同迅速到期后,组织需要进行产品或服务的重新购买,这将会涉及到旧产品的清除,以及新产品的替换。
在问题和解决方案能够更加充分地定义并且可以更好地量化时,两年期限的合同往往更加有利。Pollard表示:“你可以放心地相信:这些问题和解决方案将会持续地存在一段时间,所以不必急着去对市场进行重新评估”
然而,两年期限的合同仍然存在着一定的问题,例如,由于一些原因,供应商提供的的技术无法满足企业的需求,那么该企业就不得不对此忍受较长一段时间。
而对于最为典型的三年期合同,Pollard表示,其最大的优点就是成本低。供应商往往会为此类合同制定一个优惠的价格。
另一方面,Pollard和其他一些人认为,这些三年期的合同向安全部门承诺,会持续提供很长一段时间的技术支持,无论其是否会随着组织的需求以及整个安全市场的发展而发展成熟。
专家们还提出了,在制定合同条款时,其他需要考虑的因素。例如,虚拟CISO以及安全咨询公司TCE Strategy的CEO , Bryce Austin,就考虑到了产品的粘性。
Austin说:“说到具有粘性的产品,那是一种很难去更换的东西,或者说它需要相当多的配置。并且,日进我仍然热衷于去签署具有此种特性产品的长期合同”
Austin还认为,在这种情况下,CISO需要在确定合同期限长短时,对配置和部署这些技术所需要的重大投资进行考虑。这些投资的规模之大,意味着组织可能需要花费更长的时间才能产生效益。
然而, Austin表示,出于各种原因,他更加支持去缩短合同的时间期限。因为,如果供应商后来被其他公司收购,或者供应商将其资源转移到其经营的其他产品上,那么就会造成所提供产品的质量下滑或服务下滑。而短期合同正好可以帮助CISO来尽可能地降低此类情况所造成的损失。
所以,Austin通常只会在经济优惠条件十分诱人的情况下(例如,保证不会涨价),才会考虑三年期的合同。
他说,尽管如此,供应商还必须证明自己可以始终满足CISO所提出的性能和服务上的要求。并且合同中还需规定,签订协议的任何一方在解约前,都应提前向对方发出通知。
Encore Capital Group的副董事兼CISO ,Scott King表示,自己更加喜欢那些为期一年或两年,并且支持续签的合同。他发现这些对于自己的公司来说,往往更加合适。但同时,他也表示,自己并不会将年限作为合同选择的直接标准。而是会提前对自己的决策做出分析判断。
签署合同前,研究一个技术平台是否会在较短时间内被更先进的技术所取代,它的颠覆性程度如何、部署它所耗费的时间,以及供应商是否正在失去其竞争优势等问题,都是比较重要的。但更重要的是组织必须搞清楚,自己需要哪些技术类型。所以,并不是说合同的时间期限越短越好。如果你想从这些合同中获取最大的价值,那么就必须做出相应的努力来对其进行充分的调查。毕竟谁都不想在付出了大量的沉没成本,并遭受了资产搁浅之后,才被迫去解除一份无益的长期合约。
点评
如果将产品或服务的敏捷性、稳定性以及价格等因素共同看作是合同选择标准的一个维度,那么合同的有效期限则是区别于这些因素的另一个维度。随着时间的推移,产品与服务的性能以及价格等因素往往都会随之发生改变。
因而,CISO们对合同期限的考量,从根本上来讲,还是对于产品服务性能本身的动态性评估。那么关键点就在于,如何准确得预判出性能等因素在时间维度上的未来发展状态,这需要大量的相关信息来作为支撑,进而对最终的决策提供支持。
