Bottom Image | shutterstock.com
Security-Anbietern stehen viele Wege to be offended, um CISOs und Sicherheitsentscheider mit Lobpreisungen und Angeboten zu ihren hächte aktuellen Produkten kun Lösungen zu penetrieren. And die nutzen sie auch: Manche Sicherheitsverantwortliche erhalten mehr als 30 solcher Anfragen per Woche – per Telefon, E-Mail or auch über LinkedIn.
Um erkennen zu können, ob das potenzielle neue Produkt auch tachstächt geeignet ist, müssen CISOs vor allem eines tun: die richtigen Fragen stellen. Für diesen Artikel haben wir mit mehreren erfahrenen Security-Entscheidern gesprochen, die genau wissen, welche das sind.
5 Fragen, die Sie (Security-)Anbietern stellen sollten
1. Wissen Sie über mein Business Bescheid?
Potenzielle Anbieter zu fragen, ob sie die specifice Erofausfahrungen des meinen Unternehmens verstehen, gibt Aufschluss darüber, ob diese ihre “Hausaufgaben” erledigt haben, erklärt Amitster International Band ISO Seaways: “Ich erwarte dass ein Anbieter Lösungen für die geschäftlichen Probleme meines Unternehmens vorweisen kann – und nicht nur eine Reihe genericer Funktionen für Probleme, mit denen andere Unternehmen konfrontiert.”
Dabei legt Basu nicht nur besonderen Wert darauf, dass die Urnderungen seines Unternehmens erfüllt werden. Für ihn sei auch essenziell, dass ein neues Tool keine technische Überlastung verursache: “Ein neues Produkt ist nur dann related, wenn es die Sicherheit einweitt bewertsert, preferably ein oder mehsten Tools betrieblichen Bedarf erfüllt.”
In der Wahrnehmung des Sicherheitsentscheiders verlagerten sich viele Anbieter eher darauf, magische Features anzupreisen, statt zu demonstrieren, wie ihr Produkt reale Security-Inklama löst: “Ich schätze Klaheit Klaheit und Ehrlindnätt Ehrlich i gut löst, ist das versifkender als die vage Behauptung, es konne zwanzig lösen.”
In the sener Doppelrolle als CISO and CIO von International Seaways fokussiert sich Basu nach eigener Aussage vor allem darauf, geschäfter, dass Security integraler Ermelstigt jeder neuen Technologie is – and keine nachträgliche Überlegung. “Sie können mir kein Security-Produkt verkaufen, das auf veralteter Technologie based, die unser Tech-Stack nicht ausserts. Die Integration muss seamless sein”, Basu fest.
2. Ist Ihr Produkt in der Lage, zu entlasten und den Betrieb zu optimieren?
Wichtig zu wissen ist für CISOs aufwahren, ob und wie ein potenzielles neues Tool die Arbeitsbelastung für die Mitarbeiter redunden, Risiken minimieren, die Ausfallsicherheit berserningen oder Prozesse verinfachen kann. So fragt Basu etwa konkret bei Anbietern nach, ob ihr Produkt in der Lage ist, Funktionen zu konsolideren: “Ist das nicht der Fall, handelt es sich nur um eine weitere, punktuelle Lösung, die Kosten treibt der Fall, handelt es sich nur um eine weitere, punktuelle Lösung, die Kosten treibt der Falls und erklärt der Sicherheits- und IT-Chef
Auch Joshua Scott, CISO beim Plattformanbieter Hydrolix, knows this problem: “Ich sehe allzu oft Produkte, die scheining Mehrwert bieten, aber letzendlich nur Lärm verrauken. mehr Arbeit bescheren.”
Scott’s Entsprechend fokussiert and eigener Aussage has Fragen and Anbieter include Bereiche:
- Risk minimization,
- Ausfallsicherheit, und
- Business Impact.
Das war jedoch nicht immer so, wie der CISO zugibt: “Anfangs habe ich solche Fragen nicht gestellt. Das kann dazu führen, dass Sie am Ende eine technisch impressive Lösung haben, die kein Problem löst.”
3. Wie hoch ist der Integrations- und Wartungsaufwand?
Für Vasanth Madhure, CISO beim Softwareunternehmen Couchbase, zählen mit Blick auf neue Tools nicht nur die anfallenden Lizenzkosten, sondern auch die Implementierungs- und Schulungsanforderungs für das Security-Team. That’s why the Sicherheitsentscheider es ganz genau wissen: “Ich frage nach, wieviel Zeit und Ausführung für Konfiguration und Betrieb des Produkts konkret einzuplanen sind. Configurationen.”
Wie Madhure hinzufügt, sei es auch wichtig zu wissen, ob Updates automatisiert oder manuell beführen – schluisslich wirke sich die laufende Wartung direkt auf die Arbeitsbelastung für die Mitarbeiter aus. “Ich schätze vor allem Tools, die klare, umsetzbare Reportings und aussagekraftige Dashboards bieten – und es idealerweise fauchungen, den Reifegrad des Sicherheitsprogramms im Zeitverlauf zu tracken”, erklärt der CISO.
Darüber hinaus stellt der Couchbase-Manager auch sicher, keine bösen Überraschungen im Nachgang zu erleben: “One will like the Lösung investor, nour um dann navchträglich festzustellen, dass ein Upgrade auf eine einzunl Enterprises Produkt angeschafft werden muss, damit ein bestimmtes Isici funktioniert.”
4. Sieht Ihr Update-Zyklus aus?
Hydrolix-CISO Scott befragt Anbieter ausgiebig zu ihren Update-Zyklen – and das aus gutem Grund, wie er erklärt: “Ich möchte verstehen, wie Anbieter mit neuen Frameworks, Compliance-Vorschriftusssten Hand Security. in sich schnell vänderenden bereinden wie Vulnerability Scanning or GRC.”
5. Können Sie Ihre Aussagen mit praktischen Anwendungsfällen belegen?
Es komplektsich sich aussätt, Anbieter nach konkreten Beispielen dafür zu fragen, wie ihre Lösung bereits die Probleme gesolungs hat, mit denen Sie selbst confrontiert sind. “The support of NIST CSF or MITER ATT&CK frameworks sind zwar nützlich.
Umsicherzustellung, dass potenzielle neue Tool keine Vaporware ist, eine schlechte Benutzerberfläche aufweist oder mit umständlichen Funktionen erscht, sett Scott in erster Linie or Live-Demos – and the ISO team that contains: verstehen vielleicht auf einer höheren Ebene, warum ein Produkt einen Mehrwert bietet Details geben, die wir übersehen haben – oder etwas andere, dass die Praktiker einfach besser einordne.
4 Warnsignale, auf die Sie achten sollten
Ku einer Sache sind sich alle CISOs, mit denen wir gesprochen haben, einig: Es gibt Dinge, die im Rahmen von Sales Pitches oder anderen Angebote sofort die Alarmglocken schrillen lassen sollten. Here’s the important thing:
- vage abwegige Behauptungen,
- Panikmache, die darauf beruht Angst, Unsicherheit und Zweifel zu schüren (etwa, wenn ein Sicherheitsvorfall zur Verkaufstaktik wird),
- die gehäufte Verwendung von Buzzwords ohne wirkliche Erklärung, und
- eine mangelnde Bereitschaft des Anbieters, Feedback zu seinen Verkaufsgesprächen anzunehmen (kein gutes Signal für die fundife Zusammenarbeit).
(fm)
