如何购买安全产品?秘传关键八大步
2008-09-04 13:21:48 来源:WEB开发网在安全专家工作职责中,负责购买产品或服务不是最好的,就是最坏的任务。任何一个有竞争的市场,比如信息安全市场,其竞争是残酷的,厂商为了达到销售的目的不惜歪曲事实(我敢说甚至会伪造事实)。
当听到一些公司投资数十万美元购买他们从未检测过的产品,或花数百万美元购买陈旧落伍的产品上时,我觉得有些不可思议。更令人反感的是,尽管现在很多公司资金雄厚,但由于技术专家和业务经理不懂得如何购买企业安全产品,却造成大量的金钱浪费。
我特意整理了购买安全产品的八个步骤,旨在将购买过程的控制权交还给安全专家。销售人员所受的培训是,把握过程中的主动权,说服潜在客户,让他们深信所销售的产品正符合他们的需求。为了实现销售目标,销售人员会想方设法让自己在整个销售周期中引导潜在客户。
有的时候,这种销售周期符合客户所需,但大多数情况下是不一致的。所以,我的购买步骤是针对安全管理者的需求而制定的,以确保公司在合适的时间,以合适的价钱,购买到合适的产品。
步骤1:打好基础。买方的责任是必须要清楚自己的需求以及原因。厂商一开始和潜在客户接触时,就会想急于加速购买的进程。若想在购买过程中不出差错,安全小组必须事先拟定好预算,项目需获得批准。项目如何与商业的需求密切相关,才是保证获得预算资金的关键。
步骤2:集合“团队”力量。如果资源充足,组合一个团队来实施这个项目,那就再好不过。这需要一个领导者(将对计划最终的成败负责),很有可能还需要一个技术负责人或一支技术小组来负责产品的评估。
步骤3:教育。不管厂商是否认可,有备而来的买方才是最佳买方,。所以在这个步骤中,要教育买方,大致了解他们想解决的问题,以及一些如何解决问题的参考方案。这并不是要买方去理解问题所涉及的方方面面,那样会花费太多的时间,而是要了解足够的信息,能够向厂商提出恰当的问题。互联网上有许多不错的资源可以利用,包括SearchSecurity.com就可以找到很多必备的背景信知识。
步骤4:参与。在这个步骤中,安全管理者可以接触厂商以及(或者)分销商,开始真正的采购过程。有的公司想有一份长长的供应商清单,列出哪些厂商“也许”能够满足步骤1中提出的要求。让这份清单缩短为最后的候选厂商名单,方法之一就是列出你的问题清单,然后要求厂商提供相应的解决方案,这样也可以让厂商自己判断他们是否能满足你的需求。
步骤5:“检测”。根据实验室的资源情况以及这个项目的紧急程度,测试清单上的部分产品(可能不需要测试所有的产品,但至少要两种以上)。尽管对产品进行生产部署是不切实际的,但是你可以制定一个测试方案,既能测试你所评估的产品,又能保证满足项目的需求。在关系到项目成功的关键问题上,一定不要轻易相信厂商自称绝对没有扭曲事实的声明。
步骤6:候选厂商名单。很多人认为最好是在检测产品前,就确定好候选厂商的名单。但仔细想想,如果产品通过测试评估,证明能满足你的需求并能解决你面临的商业问题,那么该厂商就应该列入你的候选名单。而且,名单上至少要有两家以上。至少在这个阶段,不要限制名单厂商的数量,因为你谈判的对象越多,你越有可能以你心仪的价钱买到你所需的产品。
步骤7:谈判。这是整个过程中我最喜欢的环节。如果按照之前的步骤进行采购,那么至少会有两家厂商参加最后的竞争,这时可以让他们鹬蚌相争而你隔岸观火。若在这点上做得很出色的话,你就能在最初的报价上再节约50%,因为这时厂商在交易中已投入不少,不想轻易放弃。基本上来说,你应该让厂商之间去彼此竞争。因为每家厂商都能满足你的需求,所以你完全拥有谈判的主动权。条件谈不拢,大可放心走出门,去找下一家谈。
步骤8:选择。虽然很有意思看到厂商间的激烈竞争,但你最终还得做出决定。如果前面的过程进行得顺利,如何选择就不是一件很难的事情。万一你选择的厂商由于种种原因最终无法兑现,你也不用担心,因为候选清单上其他的厂商将会乐意接手这笔交易。
这个流程不一定会在所有情况下都生效。如果一家公司想尽快做出决定,而且只有一家厂商符合要求,那么这八大步无用武之地。同样,有时候产品优越的功能和合适的价格,却也敌不过公司的行政参与。
但是在大多数情况下,如果安全部门希望用最适宜最有效的方法解决商业问题,这关键八大步将可以事半功倍,有效地避免高代价的错误。
作者简介:Mike Rothman是Security Incite公司的主席和首席分析师。该公司总部位于美国亚特兰大,主要从事行业分析。Rothman同时著有《实用首席安全信息官:轻松十二招,让你成为安全权威专家/The Pragmatic CSO: 12 Steps to Being a Security Master》一书,而且是SearchSecurity.com网站特邀“信息安全管理”专家。更多信息请进入Rothman的书
更多精彩
赞助商链接