CISO应向供应商提出的五个关键问题

电话 、供应个关电子邮件和LinkedIn消息——CISO们被供应商推销其安全产品的商提信息所淹没，每周的键问推销尝试可能多达30次
 。无论是供应个关视频通话还是在办公室现场演示 ，当CISO与新供应商接触时 
，商提他们会准备一系列关键问题 ，键问以评估潜在新产品的供应个关适用性。

多位CISO分享了他们多年来在该领域积累的商提 、在众多推销会议中总结出的键问最重要的问题 。亿华云

1. 你了解我的供应个关业务吗?

当CISO询问潜在供应商是否了解其企业面临的特定挑战时，他们真正想要的商提是证明供应商已经做了充分的准备工作。国际海运公司的键问CISO兼CIO Amit Basu表示：“我希望他们从解决我企业业务问题的方法入手 
，而不是供应个关介绍一套功能或别处面临的通用问题 。”

随着解决方案组合的商提不断扩大，源码库Basu希望立即了解新工具如何满足其需求，键问同时避免技术冗余。他解释道 ：“只有当新产品能明显提升安全性，最好能取代一个或多个现有工具 ，并满足实际运营需求时 ，它才具有相关性 。”

然而，他发现许多供应商的推销过分强调“神奇”功能，而没有展示该工具如何解决安全问题
。他说 ：“我重视清晰和诚实 ，如果一个工具能很好地解决两个用例 ，这比声称能解决二十个用例却含糊其辞更有力。”

Basu同时担任CISO和CIO，他专注于确保安全性成为任何新技术的核心组成部分
，模板下载而非事后补救 。

他说：“你不能向我推销一款基于我技术栈无法支持的旧技术的安全产品，它们必须实现无缝集成。”

2. 它会减轻我的工作量、增加价值还是改善运营?

一个常见的出发点是询问新工具将如何减轻工作量 、降低风险
、提高韧性或简化运营 。

Basu想知道该产品是否能整合多种功能，而不是云计算再增加一个单一解决方案 
。他表示 ：“否则，每个工具都只能保障一小部分安全，同时却推高成本并增加维护负担。”

然而，Hydrolix公司的CISO Joshua Scott对那些声称能创造巨大价值 ，实则增加警报数量和工作量的新工具持谨慎态度。他说
：“我常常看到一些产品，看似能提供价值，但最终却成了噪音发生器 ，比如漏洞发现工具或其他扫描工具，它们只会给团队带来更多工作。”

在某些情况下 ，推销内容技术细节过多，建站模板而解决问题的方法却不足 。对CISO来说，定制化的推销比一刀切的风格更有用。

Scott说 ：“最好的推销应高度聚焦于企业试图解决的问题，而不是泛泛而谈或充斥不必要细节，而且内容越精简越好。直接说明你将如何展现价值 ，以及如何为我减轻工作量 。”

Scott的问题集中在降低风险
、高防服务器提高韧性、评估业务影响以及平衡安全与业务考量上。情况并非一直如此，但他的方法已变得更加以业务为中心。Scott说：“早期，我并没有问这类问题
，结果可能会得到一个技术先进但光鲜亮丽的新产品，却解决不了任何问题——而这正是我们必须关注的重点 。”

3. 集成和持续维护的负担是什么?

Couchbase公司的CISO Vasanth Madhure在评估新工具时 ，不仅会询问许可成本，还会询问实施要求 、培训需求以及信息安全团队的学习曲线 。

在考虑采用之前，Madhure希望了解配置和运行该产品所需的时间和精力。他表示
：“有些产品相当简单，但有些则需要大量配置
。”

了解更新是自动还是手动进行至关重要，因为持续维护直接影响工作量。Madhure重视那些提供清晰 、可操作报告和仪表板的工具 
，特别是那些有助于跟踪安全计划成熟度和进展的工具。

他还想知道某些功能是否需要额外成本，因为这会改变产品的价值和投资回报率
。他说：“我们不希望采用产品后
，又被告知需要购买额外的企业版或其他产品才能使某项功能正常工作 。”

在选择新供应商时 ，Madhure和他的团队会尝试列出所有问题
，然后比较各供应商的表现  ，然而，这一过程仍无法捕捉到所有信息。他说 ：“我们尽量预测大多数问题 ，但总有一些是我们无法提前识别的。”

4. 你的更新周期是怎样的?我能参与产品设计的塑造吗?

Scott会询问供应商的更新周期 ，包括他们发布更新的频率以及对新威胁或行业变化的响应速度。他说：“我想了解供应商如何跟上新框架 、法规和安全挑战的步伐，特别是在漏洞扫描或治理 、风险管理和合规等快速变化的领域。”

Scott还想知道集成情况，以及该工具是完全基于云的还是具有本地或混合组件，这对于一家原生云公司来说尤为重要。他还增加了关于供应商如何使用AI以及如何处理数据的问题。

他说
：“我们希望确保我们的知识产权和投入其中的任何内容都不会被用于培训第三方或第四方供应商。”

5. 你能提供实际用例并验证你的说法吗?

经验丰富的CISO会要求供应商提供具体例子，说明他们的工具如何解决与他们面临的问题相似的问题。

Basu说：“与NIST网络安全框架或MITRE ATT&CK等既定框架进行映射是有用的，但更重要的是成果证据——增强保护
、缩短检测时间 、加快响应速度或降低成本。”

在一次令人难忘的推销中，供应商展示了Madhure所需的所有功能 ，并且在回答问题时对产品非常了解
 。他说 ：“他能回答我们的问题 ，或者提供关于该工具如何解决我们痛点的指导 。他们做了市场调研 ，了解我们面临的问题类型。”

Scott更喜欢现场演示 ，以确保该工具不是虚构的，也不会因界面不佳或功能笨拙而令人失望。他还会询问潜在供应商其他企业如何使用他们的工具，并分享将亲自操作该工具的团队成员的问题。

他说 ：“CISO可能从高层面上理解为什么该工具能提供价值，但可能有一些技术细节被我们忽略了，或者现场操作人员会有更深入的理解。”

警惕这些危险信号

CISO们都承认 ，在推销会议中，有一些危险信号会立即让人失去兴趣，其中一个主要信号就是含糊其辞或夸大其词的宣传。Basu说：“不要使用令人困惑的术语，也不要夸大其词地说你的解决方案能解决我所有的问题，让我高枕无忧
。”

Madhure表示 ，渲染恐慌情绪会让他非常反感。他说 ：“当他们使用恐惧、不确定性和怀疑策略时
，那就是一个危险信号。”

将公司事件作为销售策略会让人感觉像是“趁火打劫”，并不受欢迎 。Scott说
：“他们从未命中要害 ，而且这种做法也不合适，因为安全界更愿意相互支持 ，而不是利用困境 。”

使用流行语也是一个大问题。Madhure说：“当供应商在推销或演示中使用流行语，但实际上并不支持这些功能时 ，这可能会产生误导 。由于我们有技术背景 ，所以能识破这些。”

供应商不愿接受对他们推销方式的反馈可能预示着合作中的挑战。

Scott说：“有时我会建议他们改进推销方式——内容更精炼一些或更聚焦于实际问题 。有些人欣然接受 ，而有些人则不然 。”