摆脱锁定:与安全供应商签订的合同多长更适合?
曾担任一家公司的首席信息安全官的Stephanie Benoit Kurtz表示,她所在的公司与一家安全服务供应商签订了一份为期三年的漏洞管理即服务合同,她当时认为是一笔不错的交易。
Benoit Kurtz签署了这份合同,认为其安全运营计划可以充分利用供应商提供的所有功能。但她发现,在履行合同的早期,她的安全团队只使用了其中60%的资源。
她表示,当时陷入了这样的困境:采购这样一种不合适的服务,却无法解除合同。
Kurtz说,“我们很难对供应商说,‘我不需要那个模块,我能收回款项吗?’他们似乎不想参与那种对话。”她现在是凤凰城大学信息系统与技术学院的首席教员。
她承认,从这个轶事中可以吸取很多教训,例如预先协商调整成本的方法,以及更加努力地将供应商的产品与企业的未来状态相匹配。
她说,这一经历也说明了为合同本身选择正确时间表面临的挑战。正如她所指出的,长期合同通常会提供更优惠的价格,而短期合同则会带来敏捷性、灵活性和更容易纠正错误的能力,因此需要权衡取舍。
一个微妙的提议
选择合适的供应商,谈判最佳合同条款,并确定合同期限,对很多人来说都是具有挑战性的任务,其中包括首席信息安全官。
但经验丰富的安全主管表示,在处理这些任务时,他们通常比其他职能部门的领导者更具挑战性,尤其是在确定适合的合同期限方面。
其原因如下:首席信息安全官应对迅速出现和转变的威胁,应对这些威胁的技能、工具和政策也是如此。因此,首席信息安全官看到了可以帮助他们快速改变的供应商。这些供应商的创新速度比其他供应商更快,他们进行合并以实现利益最大化,或者因为难以满足客户要求而逐渐被遗忘。此外,首席信息安全官必须考虑实施、配置和管理他们购买的产品或服务的复杂性,因为他们知道可能需要数月的工作才能真正看到价值,更不用说价值最大化了。
这些动态是在影响企业合同谈判的传统因素之上的,例如获得最优惠的价格和所需的服务水平协议。
这些因素相结合,以及平衡多种需求(有时是相互矛盾)的需要,使得为合同选择合适的期限长度成为一个微妙的提议。
首席信息安全官和执行顾问表示,最好的策略是在谈判每份合同时考虑所有这些因素。他们进一步建议首席信息安全官与采购专业人员和财务团队合作,在签署任何交易之前需要了解企业的正确合同时间表。
咨询机构Kroll公司风险管理实践高级董事总经理兼Kroll Institute研究员Alan Brill表示:“并不是每个方案适合所有人,因为每家公司的情况不同。我并不是说每家公司都必须经历一个漫长而复杂的采购流程,而是要考虑一系列事情。”
主要考虑因素
Parkview Health公司信息安全副总裁Darrell Keeling表示,在确定向任何一家供应商或技术承诺多长时间时,他确实会考虑一系列因素。
他说,“在这个领域,我们的很多事情都是关于时机和对战略方向的感觉。”
他表示,例如会考虑采用的技术以及它如何发展以确保跟上市场的创新步伐。他审查了潜在供应商的路线图,以确保供应商能够在合同期内提供想要的产品、服务和更新。他指出,在这个过程中的发现让他确定了合同期限。
他还预测购买的解决方案是否会很快成为另一家供应商提供的商品服务;如果是,他会选择更短的合同期限,肯定是三年以下。
他试图预测一家安全供应商是否会在短时间内与另一家供应商合并,这再次让他倾向于缩短合同期限,以防止企业陷入困境。
然而他表示,也在这个决定中考虑了价格因素,并指出一份保证不涨价或涨价有限的三年期合同引起了他的注意。
他表示,总的来说,努力平衡灵活性、稳定性和价格,这种平衡有时有利于短期合同,有时有利于长期合同。
咨询机构Guidehouse公司的高级解决方案网络安全实践合伙人Michael Ebert说,这种变化是明智的。
Ebert补充说,“企业可以根据的需求、要求、现有技能和舒适度评估所有合同。并且需要询问:它适用于我的环境吗?是否根据适用于我们的方法获得合适的价格。”
寻找难以捉摸的甜蜜点
尽管专家表示,首席信息安全官必须确定他们签署的每份合同是正确的,但他们一致认为,五年的时间太长了,应该避免。签署五年的协议已经很少见了,更长的协议几乎不存在。
Forrester Research公司副总裁兼首席分析师Jeff Pollard表示,这是有充分理由的。技术、安全和业务变化太快,以至于任何五年期合同都不值得签订,因为可以鼓励安全团队保留该技术,即使它不再为企业提供良好的服务,因为它已经到位或提供了优惠的价格。
尽管对于合同期限是否太长达成了一致,但对于理想的合同期限到底多长才适合,人们的意见不一。
安全负责人表示,其他每个典型的合同选项(一年、两年、三年或四年选项)各有利弊。他们指出,从产品的成熟度到组织的成熟度再到提供的价格,每种方法都有其优缺点。
例如,在部署新引入的技术或安全组织的新技术时,一年期合同往往更好。在应对新挑战时,较短的期限也可能是有益的。Pollard说,“如果你正在解决一个问题,也许这是一个亟待解决的问题,而签署的合同可以让企业得到一些东西,即使不知道这将是一个长期问题还是长期解决方案。但至少可以暂时解决它。”
这让安全团队有时间评估问题和新部署的技术,让员工能够收集可以影响下一步行动的信息。
然而这也是空头合同的缺点。Pollard说,“企业可能不得不迅速重做所有这些努力,如果在几个月后再进行采购的话,可能不得不拆掉和更换。”
随着时间的推移,两年期的合同适用于问题和解决方案得到更充分定义和更好量化的情况,Pollard说,“在这种情况下,有理由相信问题和解决方案会存在一段时间,需要很好地理解它们,并且不必快速重新评估市场。”
他说,而两年期限的合同仍然存在一些缺点,如果由于技术原因不能满足企业需求,则必须忍受更长时间。
谈到典型的三年期限合同,最大的好处集中在成本上,因为供应商通常会为这些合同提供最优惠的价格。
他指出,另一方面,这些三年期限的合同使安全部门在技术上投入了大量时间和精力——无论它是否随着企业的需求和整个安全市场继续成熟。这些合同还在这段时间内承诺为部门提供资金。专家表示,随着人们对经济衰退的担忧继续增长,这一点如今尤其令人担忧。
专家们在制定合同条款时提供了额外的考虑因素。例如,虚拟首席信息安全官和网络安全咨询机构TCE Strategy公司的首席执行官Bryce Austin考虑了产品的粘性。
Austin说,“如果谈论的是粘性产品、难以更换的产品或需要大量配置的产品,我仍然喜欢签署这样的多年合同。”
在这种情况下,首席信息安全官在设定合同期限时需要考虑配置和部署这些技术所需的大量投资。他指出,这些投资的规模意味着可能需要更长的时间才能产生收益和全部回报。
然而Austin表示,出于各种原因,他仍然大多倾向于缩短合同期限。他指出,如果一家供应商被另一家公司收购,或者供应商将其资源转移到推进其产品组合中的其他产品,较短的合同期限有助于首席信息安全官防止质量或服务下降。
Austin说,他通常只在财务状况诱人时才考虑签订一份为期三年的合同,例如保证不会涨价。
尽管如此,他说安全供应商必须证明他们始终能够满足首席信息安全官设定的性能和服务要求。为了提供进一步的保护,寻求更安全的合同条款,允许任何一方在通知之后退出交易。
安可资本集团副总裁兼首席信息官Scott King表示,他喜欢签署一年期和两年期限递增的合同,并且这些递增的合同还可以提供续签选择。
他发现这样的合同往往会为企业提供适当的平衡,但他不能自动遵循这些时间表,仍在审查自己的选择。
King说,“真的需要了解哪些技术是长期需要的,哪些是短期内需要的。或者技术平台是否会很快被更先进的技术所取代,其颠覆性有多大,部署是多么耗时。供应商是否正在失去竞争优势,如果希望从这些合同中获得最大价值,需要进行尽职调查。此外,不要签署一份不起作用的多年期限的合同,因为这会导致资产搁浅和沉没成本。”
