電話、電子郵件和LinkedIn消息——CISO們被供應商推銷其安全產品的信息所淹沒，每周的推銷嘗試可能多達30次。無論是視頻通話還是在辦公室現場演示，當CISO與新供應商接觸時，他們會準備一系列關鍵問題，以評估潛在新產品的適用性。

多位CISO分享了他們多年來在該領域積累的、在眾多推銷會議中總結出的最重要的問題。

1. 你了解我的業務嗎?

當CISO詢問潛在供應商是否了解其企業面臨的特定挑戰時，他們真正想要的是證明供應商已經做了充分的準備工作。國際海運公司的CISO兼CIO Amit Basu表示：“我希望他們從解決我企業業務問題的方法入手，而不是介紹一套功能或別處面臨的通用問題。”

隨著解決方案組合的不斷擴大，Basu希望立即了解新工具如何滿足其需求，同時避免技術冗余。他解釋道：“只有當新產品能明顯提升安全性，最好能取代一個或多個現有工具，并滿足實際運營需求時，它才具有相關性。”

然而，他發現許多供應商的推銷過分強調“神奇”功能，而沒有展示該工具如何解決安全問題。他說：“我重視清晰和誠實，如果一個工具能很好地解決兩個用例，這比聲稱能解決二十個用例卻含糊其辭更有力。”

Basu同時擔任CISO和CIO，他專注于確保安全性成為任何新技術的核心組成部分，而非事后補救。

他說：“你不能向我推銷一款基于我技術棧無法支持的舊技術的安全產品，它們必須實現無縫集成。”

2. 它會減輕我的工作量、增加價值還是改善運營?

一個常見的出發點是詢問新工具將如何減輕工作量、降低風險、提高韌性或簡化運營。

Basu想知道該產品是否能整合多種功能，而不是再增加一個單一解決方案。他表示：“否則，每個工具都只能保障一小部分安全，同時卻推高成本并增加維護負擔。”

然而，Hydrolix公司的CISO Joshua Scott對那些聲稱能創造巨大價值，實則增加警報數量和工作量的新工具持謹慎態度。他說：“我常常看到一些產品，看似能提供價值，但最終卻成了噪音發生器，比如漏洞發現工具或其他掃描工具，它們只會給團隊帶來更多工作。”

在某些情況下，推銷內容技術細節過多，而解決問題的方法卻不足。對CISO來說，定制化的推銷比一刀切的風格更有用。

Scott說：“最好的推銷應高度聚焦于企業試圖解決的問題，而不是泛泛而談或充斥不必要細節，而且內容越精簡越好。直接說明你將如何展現價值，以及如何為我減輕工作量。”

Scott的問題集中在降低風險、提高韌性、評估業務影響以及平衡安全與業務考量上。情況并非一直如此，但他的方法已變得更加以業務為中心。Scott說：“早期，我并沒有問這類問題，結果可能會得到一個技術先進但光鮮亮麗的新產品，卻解決不了任何問題——而這正是我們必須關注的重點。”

3. 集成和持續維護的負擔是什么?

Couchbase公司的CISO Vasanth Madhure在評估新工具時，不僅會詢問許可成本，還會詢問實施要求、培訓需求以及信息安全團隊的學習曲線。

在考慮采用之前，Madhure希望了解配置和運行該產品所需的時間和精力。他表示：“有些產品相當簡單，但有些則需要大量配置。”

了解更新是自動還是手動進行至關重要，因為持續維護直接影響工作量。Madhure重視那些提供清晰、可操作報告和儀表板的工具，特別是那些有助于跟蹤安全計劃成熟度和進展的工具。

他還想知道某些功能是否需要額外成本，因為這會改變產品的價值和投資回報率。他說：“我們不希望采用產品后，又被告知需要購買額外的企業版或其他產品才能使某項功能正常工作。”

在選擇新供應商時，Madhure和他的團隊會嘗試列出所有問題，然后比較各供應商的表現，然而，這一過程仍無法捕捉到所有信息。他說：“我們盡量預測大多數問題，但總有一些是我們無法提前識別的。”

4. 你的更新周期是怎樣的?我能參與產品設計的塑造嗎?

Scott會詢問供應商的更新周期，包括他們發布更新的頻率以及對新威脅或行業變化的響應速度。他說：“我想了解供應商如何跟上新框架、法規和安全挑戰的步伐，特別是在漏洞掃描或治理、風險管理和合規等快速變化的領域。”

Scott還想知道集成情況，以及該工具是完全基于云的還是具有本地或混合組件，這對于一家原生云公司來說尤為重要。他還增加了關于供應商如何使用AI以及如何處理數據的問題。

他說：“我們希望確保我們的知識產權和投入其中的任何內容都不會被用于培訓第三方或第四方供應商。”

5. 你能提供實際用例并驗證你的說法嗎?

經驗豐富的CISO會要求供應商提供具體例子，說明他們的工具如何解決與他們面臨的問題相似的問題。

Basu說：“與NIST網絡安全框架或MITRE ATT&CK等既定框架進行映射是有用的，但更重要的是成果證據——增強保護、縮短檢測時間、加快響應速度或降低成本。”

在一次令人難忘的推銷中，供應商展示了Madhure所需的所有功能，并且在回答問題時對產品非常了解。他說：“他能回答我們的問題，或者提供關于該工具如何解決我們痛點的指導。他們做了市場調研，了解我們面臨的問題類型。”

Scott更喜歡現場演示，以確保該工具不是虛構的，也不會因界面不佳或功能笨拙而令人失望。他還會詢問潛在供應商其他企業如何使用他們的工具，并分享將親自操作該工具的團隊成員的問題。

他說：“CISO可能從高層面上理解為什么該工具能提供價值，但可能有一些技術細節被我們忽略了，或者現場操作人員會有更深入的理解。”

警惕這些危險信號

CISO們都承認，在推銷會議中，有一些危險信號會立即讓人失去興趣，其中一個主要信號就是含糊其辭或夸大其詞的宣傳。Basu說：“不要使用令人困惑的術語，也不要夸大其詞地說你的解決方案能解決我所有的問題，讓我高枕無憂。”

Madhure表示，渲染恐慌情緒會讓他非常反感。他說：“當他們使用恐懼、不確定性和懷疑策略時，那就是一個危險信號。”

將公司事件作為銷售策略會讓人感覺像是“趁火打劫”，并不受歡迎。Scott說：“他們從未命中要害，而且這種做法也不合適，因為安全界更愿意相互支持，而不是利用困境。”

使用流行語也是一個大問題。Madhure說：“當供應商在推銷或演示中使用流行語，但實際上并不支持這些功能時，這可能會產生誤導。由于我們有技術背景，所以能識破這些。”

供應商不愿接受對他們推銷方式的反饋可能預示著合作中的挑戰。

Scott說：“有時我會建議他們改進推銷方式——內容更精煉一些或更聚焦于實際問題。有些人欣然接受，而有些人則不然。”