像老手一样在RSA大会采购

以企业安全专业人士和供应商侧人员的经验来看,做安全采购决策的时候很容易掉坑。

这个月召开的RSA大会云集700+供应商,各种营销陷阱更是避无可避。很多人都会说,参会就是去学习和社交的,关供应商什么事?诚然,学习和结识专业人士是各种会议最有价值的部分,但听听新技术和新兴趋势讨论也很有趣,而且逛逛展厅往往能也能有所收获。

不过,展会套路深,如果你是带着一颗采购的心在逛各个展位,一些简单的守则能帮你做出更明智的决策,比如近藤麻理惠的采购指南。运用麻理惠的方法,你能像个精明的老手一样在RSA大会上从容采购。

1. 设想你到底想要什么

有些聪明的客户拒绝踏入大会展区,更偏爱与供应商一对一交流。这是保持专注的好办法。至少,在进入展区前你得对自己想要的东西有个概念。如若不然,即便你原本没想要AI用户配置,也不确定机器学习怎么应用到暗网爬取上;只要踏入供应商展位,被他们留下了你的信息,就准备好接收满是时髦行话的电子邮件,等着明年踩坑吧。

2. 确定是因公还是因私而买

麻理惠问:“这东西是为公司买的还是为我个人买的?” 在RSA大会上,你得问自己:“是为我的安全运营买的,还是为我的身份管理项目买的?或者,单纯因为我自己想来点儿机器学习?”

3. 实际感受下你打算买的东西

买衣服要摸其质感,试穿其大小,购买安全产品也要看看适不适合自己的使用场景。每家供应商都觉得自己的产品是世界上最棒的,但如果他们告诉你自家产品适用于全部用例,那绝对是在骗你。尖端技术不适用于客户环境的例子并不鲜见,要么规模不合适,要么单纯不支持客户的用例。

4. 无视不合身的衣服

大多数信息安全供应商都很清楚自家产品的市场定位,更成熟的供应商则善于把产品塞进给定市场。面向中小企业和面向大企业的产品天差地别。很多中小企业曾经觉得专为小公司推出的产品太低端而选择了面向大企业的产品,结果很快就因为小团队无法有效管理复杂系统而不堪重负。也有大企业贪图低价而购买了简化版产品,然后适应得万分艰难,总是束手束脚。

5. 货比三家

在做出采购决策前调查供应商情况太重要了。不少公司都后悔过自己的产品采购选择。让他们后悔的采购选择几乎都是在缺乏全面调查就爱上某家供应商产品功能的情况下做出的。不是每家公司企业都有资源做全面而深入的市场调查,也没有必要每次都这么做,但至少,做决策前缓一缓,货比三家,大体了解下市场行情。

6. 别跟朋友或家人一块儿逛

《纽约客》指出:把购物当社交很容易滑入不谨慎的购买习惯。

即便是在信息安全领域,社交压力对采购决策的影响也比我们意识到的大。因为供应商邀请你参加名人聚会就答应去看演示或签下试用是不合适的。但这种事经常发生。别让名人光环影响了你的决策。

7. 接受当前的规模

麻理惠强调只会买适合自己当前所需的东西。信息安全世界中,我们总是买了超出自己当前所需的——无论是在数量上还是在功能上。千万别因为 “我们总会达到这个级别” 或者 “供应商的优惠太诱人了” 而买下太多的用户数或每日流量。好供应商在你后续购买的时候还会给你初次订阅时类似的优惠额度。如果供应商鼓动你买超出部署几个月内所需的套餐,那就值得再斟酌斟酌了。

8. 别等特价品

都想等打折,但便宜没好货。长远来看,贪便宜买下的东西往往并不能赋予你最优的性价比,只有最符合你需求的东西才是最优选择。很多公司都遵从严格的购买原则:挑单价最低的 (在审了好几页需求之后) 。确实,公正的采购流程是公司必备,采购团队也能为公司省下很多钱。但从长远看,绝对低价的东西几乎不能提供最低的总体拥有成本。

9. 别买不必要的东西

冷板凳软件对客户没好处,对供应商自己也没好处。我们都买过没发挥全部功用的产品,很多情况下这是因为我们购买了超出公司当前成熟度的东西。比如说,如果你的安全运营中心(SOC)无法跟上你入侵检测系统(IDS)的分拣规则,那么购买基于机器学习的异常检测只会让情况更糟。如果现在就没有方便集中日志的过程,那引入下一代SIEM就与引入大麻烦无异。

或许最佳产品采购方式就是应用近藤麻理惠的方法——清除不需要的东西,或者说,“清理”生活,凡是不能愉悦身心的东西统统扔掉或不买。

同样的方法适用于我们的安全项目。安全部门常深陷50-100种不能无缝配合的工具,需要极大的人力资源投入运营。专注整合产品集,去掉那些不能提升效率的产品,才能充分发挥现有安全产品栈的最佳效能,减轻安全部门压力,提升公司整体效率。

上一篇:从业务和威胁的角度理解工控安全趋势

下一篇:CMDB动能不足 = “失败”的IT运维?