所有供应商合同都应该有终止条款,无论有理由或者无理由。但如果企业决定终止合约或不再续签,在过渡到新的供应商之前一定需要考虑一些因素。如果涉及安全供应商或托管安全服务提供商(MSSP),特别是如果产品嵌入到企业的关键基础设施时,这些因素尤其重要。
何时终止?
终止供应商关系或改变供应商产品或服务主要有三个原因:产品或服务限制、服务质量和成本结构。
产品或服务限制:当你第一次购买产品或服务时,你希望它能满足你的期望。但如果随着时间的推移你发现它没有提供你所期望的保护或监控水平,而你已经投入了大量的资金来让其运行呢?没有人原因承认自己犯了错,但继续使用不满足企业需求的产品或服务毫无意义。企业应该停止使用该产品或服务,并做出对企业正确的事情。
服务质量:供应商合同应该包括服务水平协议(SLA)。SLA通常包括服务定义、绩效评估、问题管理、客户责任、担保、灾难恢复和协议终止。如果供应商不能满足SLA要求,你可以要求终止协议。SLA中可能不包含而应该包含的因素是供应商关系。
成本结构:当你购买产品或服务时,你需要进行总拥有成本(TCO)研究。有时候企业会执行概念证明(POC)以及协商购买或租赁协议,但TCO是确保是否存在其他未计算成本的关键因素。TCO的公式包括技术总成本(TCT)、风险总成本(TCR)和维护总成本(TCM)。
通常情况下,在购买或租赁决策过程中会考虑TCT,但技术的成本不应该是唯一的因素。企业还应该考虑TCR,这是没有围绕合规风险、安全风险、法律风险和声誉风险部署资源、流程或技术的估计成本。TCM也很重要,即维护信息安全工具和服务的成本,它包括人员、技能、培训、和所部署系统的灵活性、可扩展性及全面性。如果没有考虑TCM,随着时间的推移,产品或服务的经验将证明维护它的实际成本,但到那个时候企业可能已经花费了巨大的成本。
过渡到新的安全供应商合同
当你决定终止安全供应商关系,并寻求新的供应商关系时,首先应确保新供应商产品或服务是正确的选择。按照之前相同的步骤:执行POC、进行TCO研究、协商成本,并确定条款与条件。此外,还应该确保新的协议包括过渡期新供应商提供的协助。企业知道产品可在其环境运行以及将满足企业的需求是不足够的;你还需要确保采购的总成本不会超过其带来的优势。
过渡到新的安全供应商关系主要有四种方法:
直接过渡:移除旧系统,快速切换到新系统。从此,旧系统不再可用。然而,如果在生产环境,新系统没有正常工作的话,风险可能会大于预期。这可能会影响所需要的保护或监控水平。
并行过渡:在预定的时间内同时运行两个系统。这里会有冗余和财务负担的问题,但企业可以确保大家都满意新系统的运行时才切换到新系统以及停用旧系统。
分阶段过渡:这涉及逐步引入新系统,同时取代当前系统的元素,直到当前系统完全被新系统取代。
试点过渡:这涉及为一小群用户或设备建立新系统,同时其余大部分仍使用当前系统。在某个计算的时间段,试点系统得到完全安装,当前系统将被停用。
无论采用何种过渡方法,关键是确保对生产环境没有影响、没有日志数据丢失、满足报告要求,并且最重要的是,确保所需要的保护水平。
重新评估你的供应商关系
从以前的供应商系统过渡到新的供应商需要提前规划,这里的目标应该是对生产环境以及对关键资产的持续保护带来最小或零影响。
供应商可能也在你和你的企业做出了投资,他们可能在现有的系统提供了很大的折扣来获得你的合同,但不要让这干扰你为企业做正确的事情。