网络安全初创公司没有遗留平台的负担,比老牌同行更敏捷、更具创新性,往往能以更吸引人的价格提供更个性化的服务。
曾当过AMD总裁,现为硅谷网络安全初创公司 Virsec Systems 首席执行官的 Atiq Raza 对老牌公司和初创公司都有自己的经验和见解。
我管理过拥有数百供应商的大企业。某些功能上你需要一直以来在某件事情上保持良好声誉的保守但成熟的供应商。但包括安全在内的很多职能,却需要最新、最有效、最具创新性的解决方案,这些方案往往出自更年轻的公司。 |
这里面包括了灵活性、速度、创造力和创新能力。年轻公司不受固定思维或方法论的局限,也没被现有技术束缚,可以自由撕裂、挑战各种既定设想,创造初代改变游戏规则的技术。这就是初创公司为什么经常驱动新兴市场,打败成熟公司的原因。
但是,采用初创公司的风险也很高。初创公司有可能倒闭,或者因被收购而停止服务。更糟的情况是,因为缺乏经验和缺少足够的控制,初创公司可能犯下不仅没能改善客户安全,反而危害客户安全的错。
通过对IT及安全人员,以及网络安全行业资深人士的广泛调查,可以得出7条与安全初创公司合作的最佳实践建议。
1. 执行尽职审查
与初创公司合作的任何公司企业都应关注的一个重要问题是:“他们能存活多久?”所以,必须从技术和业务两方面对合作的初创公司进行尽职审查。该公司能不能证明自己的技术如所宣称的那样有效?该公司是否具备发展壮大所需的恰当管理与资金支持?
与初创公司合作可能意味着占据领先优势而不仅仅是能对抗网络攻击者。当你决定与网络安全初创公司携手,那一定是因为他们以全新的方法处理问题,或者提供超越老牌供应商的功能。构建雄心勃勃的安全项目的时候,你肯定想要超过自己的同行,想找到所能找到的最先进的产品。
当然,初创公司的生存力也是主要的考量。仅仅拥有良好的技术还不够。如果销售或运营不佳,初创公司也走不了多远。所以,除了查看产品或服务,还必须放眼更广,考察他们的运营和商业模式。
行业分析师或同行在这方面可以提供所需的洞见。或者你也可以从小功能开始,逐步扩大合作。但最终,除非你公司采取完全分布式的安全组合,否则你还是得把注压在那家你真的非常中意的安全初创公司上。
2. 准备好初创公司供应商被大公司收购
对初创公司及其客户而言,大公司的收购有好也有不好。成立不久,尚未被收购的初创公司,一旦运作不良或资金断裂就有倒闭的风险。如果被收购,客户可能会失去曾经拥有的与小公司的私人关系,曾经享受的产品或服务也可能终止或改变。公司企业应准备好面对自己最中意的初创公司供应商因被大公司收购而产品难以为继的局面。
但在那之前,应该会能享受几年的高投资回报价值。这有点像是在老牌连锁酒店订房和在Airbnb订房的区别。必须做更多的尽职审查,如果没做好审查,可能会惊喜变惊吓。但如果做好尽职审查,或许会挖到宝。
3. 查找现实用例
仅仅产品不错还不够。与初创公司合作最大的隐患在于,他们可能无法扩展自己的产品以适应客户需求。在一台PC上完美阻止恶意软件且零误报的机器学习创新产品,可能对1万台250种型号的PC网络束手无策。
决定合作前让意向初创公司拿出现实世界中与你公司类似的用例。你肯定不想在部署之后才发现该初创公司的产品没办法适应你的需求或无法与现有其他系统集成。
4. 查阅主创人员的技术和业务背景
主要开发人员和业务管理人员是否具备网络安全市场从业经历?他们之前工作过的网络安全公司声誉如何?
初具前景的初创公司可能无法应付与其他产品协同所需的集成及功能增强需求。有必要核查一下其工程副总裁是否具有网络安全背景,找找他们之前供职的公司提供的是什么产品。
5. 购买前先试试产品和技术支持
看演示的时候可以直接略过准备好的说辞,询问还没实现的功能。如果他们尽用技术潮词忽悠,那基本可以开始找下一家了。
公司企业可以索取试用版软件,尝试各项功能,且在试用时不吝寻求技术支持。这么做不仅可以确定产品是否符合自身需求,也可以考察该公司的响应性。
一般情况下,初创公司和小型公司对客户问题的响应会更快一些。你可以接触到主要人员、开发主管或其他直接参与产品的人士,能更直接地解决问题。
但不利的一面是,初创公司可能没有足够的资源进行大规模更改或响应大量请求,请求太多时可能得等上许久。
评估初创公司交付能力的时候,可以寻求同行的意见,询问其他也在跟这家供应商合作或正在考虑合作的公司,从他们的经验和观点中得出对自己有用的东西。最大的陷阱是供应商宣称的技术压根儿不存在。
摸清该技术产品的真实本质非常重要。IT和IT安全发展很快,公司企业总在考虑如何创造性地改善自己的风险态势,如何用新兴解决方案优化自己的资源。
但同时,这种优化动作又得与最小化公司风险的需求相平衡。优化失败的可能性是存在的,如果将要失败,不如在前期试用的时候就暴露出来。
6. 评估初创公司自身的安全操作
初创公司常能提供闻所未闻的全新解决方案。很多时候,这种创新超越了与老牌大公司合作的需求。
但尽职审查还包括评估意向供应商自身的网络安全操作,将客户对公司的要求放到供应商身上。
如果该初创公司无法满足这些要求,那就只有请他收拾东西走人了。有些技术上可以入选的产品最终却因为其公司无法呈现可接受的安全控制与策略而无奈放弃。创新与否先放一边,一家连自己的网络安全都不愿投资的初创公司,实在不值得押宝。
7. 如果做不好审查,还是换成老牌供应商吧
觉得审查初创公司和维持与初创公司的关系很麻烦?没错,很多人都有这种感受。很多大企业只愿意与大公司维持业务关系。这种情况下,经销商、系统集成商、托管安全服务提供商之类的中间人或许会有所帮助。
不是每家公司都能做好必要的初创公司尽职审查。如果你做不到,或者你的公司不愿意做,那还是继续跟着老牌供应商吧。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】