撰稿 | 海叔
吳海民
花名“海叔”,上個世紀加入啟明星辰,除了財務和行政沒幹過,網絡安全的各個業務線都走了個遍,被冠以中國網絡安全第一代產品經理。現擔任啟明星辰創新業務事業群總經理,繼續幹點探索未來的事。
有一個著名的金融企業安全群,群主是聶君,既是金融安全專家,又是十足暖男一枚。他開了一個公眾號“君哥的體歷”,承載他的原創作品,從生活百態到安全技術,從安全團隊到安全規劃建設,粉絲眾多!
君哥最近寫了一篇文章《金融企業安全從業者的未來》,即論述了甲方安全人員的工作分類和發展路徑,又寫了乙方安全公司從業人員的發展之路,非常全面,堪稱安全從業者打怪升級的寶典!
海叔沒有在甲方工作的經歷,所以談到甲方人員成長路徑,我是沒有任何資格。但在安全行業也有十八年的經歷,在和甲方持續溝通中,也形成了一些甲方對乙方視角和訴求的感覺。姑且班門弄斧,成一文和一下君哥。君哥也是海叔圈圈的特邀嘉賓啊!
傳統的安全行業甲方乙方是一對冤家,互相吐槽。甲方的吐槽用一首歌來概括是《其實你不懂我的心》;乙方的吐槽用一首歌來概括是《讀你》,但怎麼讀也讀不懂,其實某些時候也是厭倦了。其實,甲方乙方本是共生關係,特別期望能象金庸小說的劉正風和曲洋一樣,共譜一曲《笑傲江湖曲》。
做為乙方代表,不敢對甲方非議。先從我做起,先好好研究下甲方的視角和訴求,謂之《懂你》!
安全的視角和訴求
和甲方談安全,如果沒有搞清對方的身份和關注點,那就是跑斷腿也拿不到單,純屬活該!
對乙方來說,往往有所持有的是產品和技術,所以見到甲方就開始介紹,也不管對方受不受的了。碰到客氣的讓你講完,自以為給甲方成功洗腦,回去就讓銷售備貨。殊不知,甲方已經忘記了有這麼一回事。
我們的甲方,也是一個有組織的團隊,裡面有很多角色和分工。來頭大乙方廠商通常先從上到下的接觸,名頭小的創業公司往往自下而上的爬樓,只要把視角搞清楚了,其實誰都可以能成功!
借用的君哥的分類,甲方負責安全的有ABCD四大類角色(如果你不清楚,先關注君哥的公眾號或看安在的新頭條,看完文章後再看本文)。
先從A類開始說,安全管理員或安全設備管理員。A類人員在甲方通常是年輕人,也是幹苦活,重複性比較高。因此,乙方的視角要從能否讓A類人員苦活少一些,時間省一些角度出發。談標準化合規性產品是可以的,但千萬不能拿著“乙方產品經理通用教材”就衝上去。
你得是產品的深度用戶,得提煉出你在產品使用過程中的亮點、經驗,比喻說原來幹一個策略配置的活要2小時,現在你能5分鐘搞定,而且還是批處理!友商的產品出個報告要加工半天才敢上報,你可以讓用戶自定義專屬報告機器生成直接上交。
如果你能做到這些,你給A類人員能多出更多的時間去學習或者談戀愛,絕對成為你的產品強力推薦者。因此,在乙方PM眼裡,一方面要不斷降自己產品內部成本應對友商,同時也要降低甲方A類人員的時間成本,否則想上量純屬笑話。典型的產品是防火牆、負載均衡等盒子網關設備。
C類人員是甲方里面的安全分析人員,這些人員從A類人員成長起來,不再是單純的考慮省事和省時間。因此,往往關注的威脅事件的準確性、漏洞的適用性。所以乙方人員不能只談產品功能和性能了,你得說技術了!
當然光談技術除了提升你的形象外並沒有什麼用,關鍵是展示出技術最後解決了什麼場景下的什麼問題。舉一個IDS(IPS)例子, 你能報出一個SQL注入事件來只能說明你的產品有判斷,但怎麼判斷出來的,你的說出原理。如果有變種,怎麼應對。以及這個事件是否能夠成功攻擊到甲方的服務,也得有判斷。其實這個時候就是一種技術型服務了。當乙方人員能服務好安全分析人員,除了能把ID(P)S、WAF、日誌審計等產品賣出去,還能提供增值服務,和甲方的粘性更強了,從一個單一合同變成持續合同。
到了B類人員,情況就完全不同了。B類人員的視角已經抽離了產品和技術,偏重在管理和內控。乙方的單純產品技術人員就不要出馬了,得是做過安全服務、安全規劃和人員管理,最好有CISSP等相關證書加持或等保、分保專家。不然,好不容易約到的交流機會,就廢了。B類人員考慮的是業務和人的協同,法規和現狀的差異,自己往往會分階段的實施。乙方人員的作用是當好他的參謀,幫助B類人員在其內部順利推行其計劃,規避風險和矛盾。
當然,如果乙方的人員同時在甲方呆過有類似項目成功經驗,那完全可以從參謀變成導師,指導他怎麼立項、做預算、彙報。能做到這樣,待遇和上兩種狀況完全不同,典型的表現是B類人員會請你吃飯、洗桑拿:)
D類人員君哥在文章中都沒怎麼談,我這裡也不獻醜了。乙方的一般人員也別想了,得是你的大BOSS或者副總裁級別的人去解讀D類人員的視角,說不定是資本角度、供應鏈角度或者生態圈角度。
換個角度看安全
因為君哥文章中說的甲方指的是甲方負責安全的團隊,所以上面海叔也是按照這個對象來展開論述。然而,在甲方,並不是只有安全團隊的人才能做安全的事,如果乙方被這個束縛住了,那麼你在這個甲方的項目也就到了天花板,持續深挖也是限度的。
即使是甲方的首席安全官(CISO),某種程度也是首席“背鍋俠”。在甲方,比這個職位高還有一系列O。相對於安全團隊,財務、HR、核心業務部門也比安全部門一把手實權更多。所以,這個時候,你得換個視角看安全、說安全。這些非安全部門理解的安全也不是我們現在通常說的網絡安全。
舉幾個例子:
l HR心目中的安全是人員的穩定性,絕非某臺電腦被病毒破壞。因此,如果你的安全產品(上網行為管理或郵件網關)解決的是員工會不會大面積離職,核心骨幹會不會被對手挖走,這產品會被HR總監直接批條子給IT,馬上買。
l 財務人員心目中的安全是在發財報前會不會提前洩漏出去。那麼你的DLP如果能夠幫助財務給自動識別財報信息,並且給文件加上鎖,傳閱給受限人員可看,看後還有記錄或閱後即焚。恭喜你,甲方的CFO就是你的財神爺。
l 核心業務部門更是如此,如果你解決的是在黃金促銷期間能把羊毛黨全部識別並進行限制,讓核心業務部門的業績直接飛躍,那業務部門老大拔根毛就比乙方的大腿還粗。
其實安全服務對象對應的就是甲方人員的價值排序。安全不好量化,但價值可以量化。和不同的甲方角色,談的價值不同,你所獲得回報亦不同。所以乙方不要抱怨,甲方給出了十幾萬的安全單子,乙方還要屁顛屁顛、拼死拼活的搶半天。因為,在相對公平的市場環境下,是乙方對安全的本質理解出了問題,是你的思維出了問題,是你的能力出了問題!上天已經賞了你用安全技術吃飯,能搶到十幾萬已經比保安待遇好多了!
安全也是一種公益
上面說了一番話,一方面求一些乙方同仁不要打我,另一方面也希望有追求的乙方也別盲目膨脹。安全能夠掙到錢,但絕對不能成為頂級富豪。如同海叔給投資人說的:安全產業不是直上直下的直梯,而是始終向上的分段扶梯(當然,有些商場為了讓客人停留時間變長,特意把從一樓上二樓的扶梯和從二樓到三樓扶梯搞的好遠好遠)。從投資人角度,投資安全產業也是資產配置的一種安全做法!因為,安全說到底還有潛在的公益屬性。
在精神層面,安全產業要服務於的是公眾的安全感。比如說反欺詐、防釣魚等等,就如同這兩天熱映的電影《我不是藥神》,救命的事就別玩暴利吧。
所以,搞安全的人,一定要有愛心,有自覺做公益的覺悟!越是大的安全廠商,越不能偏離初心!
閱讀更多 安在信息安全新媒體 的文章
