关于作者
Joe Hubback是ISTARI的北欧负责人。他拥有广泛的背景,包括担任麦肯锡的合伙人,在那里他共同领导了其网络安全服务线的创建,作为独立的网络安全分析师,以及作为凯勒西北欧董事总经理的企业领导层,承担全额盈利和损失。他的职业生涯始于工业部门,担任工程师,设计和安装电子控制和机器人系统。
前情提要
在快节奏的经济和网络威胁环境中,企业经常在无法充分评估其功效的情况下购买新技术的解决方案,因而在出现新的问题上,才能使他们意识到已经拥有的工具应该充分发挥作用。
具体内容
网络技术和服务公司Sygnia已经与客户完成了数百次网络安全改进,计算得出他们的许多改进措施都与当前技术堆栈的优化有关,因为它没有得到有效使用。
企业需要一种新的模式来获取基于真实功效的网络安全工具——而不是供应商的承诺。功效被定义为产品能力(它是否交付安全任务?)、实用性(是否适合使用?)、质量(安全构建和架构的)和来源(供应商和供应链的)的组合)。首先,购买者了解可用技术,并根据对这些技术如何完成他们应该做的事情的详细评估来做出购买决定。
正如Debate Security的一份研究报告中所详述的那样,当前的市场模式已将网络安全变成了“柠檬市场”,在这个市场中,买家出售的产品无效,因为他们无法正确区分优劣。报告参与者确定了一种新模式,可以通过更好地通知买家并提供由此产生的好处来改变这种状况。
问题不在于技术——每年在技术上投资数十亿美元。它是市场经济学之一。经济问题源于买卖双方之间的信息不对称。安全供应商面临着尽快将新技术推向市场以尝试获得或保持吸引力的压力——即使这些产品并不完全有效。买家同样面临来自董事会或监管机构的压力,要求他们满足风险合规标准,因此有时,最简单的做法就是购买其他人拥有的东西。在此过程中,大多数购买者在购买技术之前无法对其进行全面评估。
注重功效的好处
一个新的网络安全市场模型,在效率上实现更大的透明度将带来五个基本好处:
1
更有效的网络安全。要求产品实际功能的透明度使供应商真正有动力在功效上进行更多投资。用户期望与声明相匹配的能力、集成和操作等领域的实用功能,以及更少的质量缺陷导致的漏洞。
2
更有意义的技术评估。建立关于功效的共同观点将使评估运行中的技术变得更加容易,使企业能够识别漏洞并提高弹性。
3
更好地设定风险偏好的能力。更清晰地了解技术防御的强度将使企业能够更好地定义他们愿意在运营、网络和企业方面接受的风险。
4
更好地将安全区分为优先领域。除了设定风险偏好,更好地了解产品的功效使企业能够在组织的“皇冠上的宝石”上使用最有效的产品,这些产品可能更昂贵且难以管理,从而保护其最重要的资产。
5
支出和功效之间更好的相关性。更好的可见性和对产品能力的清晰理解使企业能够在决定他们能负担得起的产品时做出更明智的权衡。它可能不会提供绝对的ROI计算,但它会帮助组织做出基于风险的决策。
实施新的市场模式
最小可行产品的概念——产品提前发布,以便市场可以确定其在网络安全中发挥的作用。但在这种情况下它失败了,因为客户没有机会正确评估这些产品的功效,这将有助于推动他们的改进。存在更高安全性的技术——客户可以购买更安全的解决方案。但是当前的模式和当今市场的运作方式常常使买家无法找到它们。
一个新的、更好的模型将基于对技术功效的更好理解,使用详细的评估。评估需要供应商的透明度和合规性,但在新模型中,供应商也会受益,因为更强大的技术将更加明显。安全供应商需要将他们的解决方案提交给需要保护的买家;同样重要的是确保供应商免受知识产权的潜在损失或损害。
研究参与者确定的拟议新模型是讨论的起点,需要时间,也很复杂。它不打算作为成品。但很明显,市场上寻求更有效安全产品的组织——无论是私营部门还是公共部门——都可以通过关注技术功效、在购买之前了解产品或服务的性能来开始解决这个问题。基于功效的新模型将带来更好的产品、更好的安全性及更明智地花费网络安全资金。
