1、目前的現狀是什麼?
在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80% ,安全服務佔 20% ,有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。
從做服務和賣產品的人角度看,做服務的瞧不起賣產品的,經常說的是:這幫賣產品的,整天就知道賣產品。而賣產品的人又認為做服務,太虛,沒有實際性的東西,認為做服務的人都是滿嘴跑火車的,不靠譜,不過很多產品的銷售人員,為了能夠將產品銷售出去,又何嘗不是滿嘴跑火車呢?有的銷售在客戶面前,都將自己的產品吹噓成萬能的,貌似只要上了安全產品,就可以解決所有的安全問題。
那麼對於客戶來講,到底是安全產品重要還是安全服務重要呢?還是都重要?學過資訊保安基本理論的人都知道資訊保安工程的概念,從資訊保安工程的整個生命週期來看,資訊保安工程包括幾個重要的階段:1、風險識別 ---> 2、需求分析 --> 3、設計部署 ---> 4、功能驗證 ---> 5、維護廢棄,安全是一項工程,它既不是產品也不是服務,而是產品和服務的結合,就好像醫生和藥品的關係。如果要將安全產品和安全服務放到資訊保安工程的階段裡,通常的安全服務包括了 風險識別、需求分析和設計的過程,而安全產品只是部署的過程。從資訊保安工程的幾個階段來看,安全產品的部署是應該經過風險識別、需求分析和設計之後,才會涉及到產品的部署,而我們目前的行業實際情況是,很多安全廠商的人為製造風險,杜撰需求,從而進行產品的銷售。回到剛才的問題,那對於客戶來講,安全服務和安全產品到底哪個更重要?我覺得每個企業的情況都不一樣,例如一家資訊化剛起步的公司,連基本的基礎建設都沒做好,讓他們做 it 流程的管理或者整個安全體系架構的設計,這明顯是不合理的,就好像讓乙個小孩,都沒學會走呢,就讓他開始學跑。所以安全的建設應該是乙個循序漸進的過程,而不是一蹴而就,能夠一步登天的,曾經和某集團的 cto 訪談時,cto 問安全什麼時候才是個頭?每年都要投入那麼多錢,什麼時候個頭?好吧,安全是個持續的過程,是沒有頭的,因為風險是動態的,是不斷變化的,我們都知道 pdca ,只有不斷的計畫、實施、檢查和改進,才能持續的保證安全。
2、安全服務和安全產品目前的瓶頸
現在在乙方工作的人,不管是做服務的或者是賣產品的,都能夠感覺到現在服務越來越難做,產品越來越難賣了。這到底是為什麼?究其原因就是服務被做爛,產品已飽和。
2.1 產品為什麼越來越難賣?
做過產品的銷售的人可能近兩年都會明顯感覺到,現在安全產品真是越來越難賣了?究其原因可能有兩個:
1、現在安全市場的各種安全產品都是品種齊全,種類繁多,任何一種型別的安全產品,都能夠找多好幾家廠家,而各自的安全產品不管是效能、功能,還是**,都是大同小異的,在這種情況下,自家的安全產品的競爭力在哪?貌似只能靠客戶關係和**戰了。
2、企業該有的安全產品都有了,我們還能賣什麼?這個問題應該是目前普遍存在的問題,一般稍微有點規模的企業,在經過這幾年來,各大產品廠商的「洗劫」,基本該買的也買了,不該買的也買了,曾經在某客戶的機房,看到客戶的機櫃上有台漏掃裝置,還很好奇的問,你們還買漏掃?誰知客戶也很疑問說這是哪來的?什麼時候買的?完全不知道。顯然在客戶該有的安全產品都有了的情況下,產品銷售通常是不知道再賣什麼了?只能開始杜撰需求,能塞進去的,都塞進去。
2.2 服務為什麼越來越難做?
從事安全服務的人員可能也會感覺到,現在服務越來越難做,客戶的要求越來越高,對服務的人員也是越來越高,再也不像幾年前,那個漏掃工具掃一下,匯出乙份報告,這就算服務了,導致現在客戶都說你們做服務的,不就是拿個漏掃工具掃掃麼?還有什麼?也總結下為什麼現在服務越來越難做了?
1、客戶要求越來越高。在前幾年,由於客戶不知道什麼是安全服務,也沒思路,只能任由各安全公司忽悠,就好像前面說的,做個漏洞掃瞄就安全服務了。這兩年因為各種******和地下產業鏈頻頻見諸新聞和報紙上,企業對安全的要求也越來越重視,並且企業經常受到各大安全公司人員的不停**,已經知道了什麼是安全服務,對安全有了一定的了解,進而有了基本的思路,知道自己要的是什麼。
2、安全服務人員水平參差不齊。現在很多安全公司隨便找幾個人,就敢接安全服務的專案了,而且這些公司這些人員真的做過安全服務麼?我看不盡然。所以在這種背景下,安全服務專案能做好麼?客戶能滿意麼?
3、利潤空間小,投入少。這也是目前普遍存在的問題,很多安全公司為了能夠拿下專案,都會低價投標,一種情況是低價中標,服務做完之後,後續賣產品,以彌補服務的差價。試想在這種場景下,服務專案未實施前,已經計算好賣什麼產品了,這種服務專案做的就太有針對性了,想賣什麼產品,就會針對性的去發現該產品能夠解決的問題,從而讓客戶買單。曾經在專案過程中看到一些廠商給客戶的安全解決方案裡的需求設計部分,真是驚心動魄,各種嚇唬,乙個小的風險,並誇大成很嚴重的安全問題,彷彿不解決,公司離倒閉就不遠了。另一種情況是低價中標後,因為利潤的關係,無非保質保量的完成專案內容,在這種情況下,只能開始糊弄了。
2.3 資訊保安建設到底應該怎麼做?
其實不光是乙方的人員認為安全難做,從客戶的角度來看,也很迷茫,不知道自己的企業中存在哪些問題?通常只是暴露出來乙個解決乙個,隱藏的問題,並不能被發現和解決,而這些隱藏的問題往往卻是致命的問題,一旦發生,可以會導致嚴重的後果。在做售前的幾年裡,遇到客戶問的最多的問題可能是以下幾個,我梳理了下:
1、我們已經買了很多產品,為什麼還是會有很多問題?
2、市場上這麼多安全產品,說的天花亂墜,我們該買什麼產品?
3、哪些安全產品才是我們真正需要的?很多產品功能重疊,究竟哪種產品才是最適合我們的?怎樣才能將產品的最大效用發揮出來?如何部署?
4、這麼多的安全產品,如何管理?怎麼才能從海量的日誌裡發現問題?
5、上級機構又要來進行安全檢查,每次都不達標,被通報批評,安全問題為什麼那麼多?
6、我們公司現在到底有哪些安全隱患?
7、未來我們的資訊保安應該如果來做?
簡單來說就是情況不明,目標不明,步驟不明。情況不明,即對自己目前的現狀不了解,不知道企業中到底多少問題?目標不明,即不知道企業的資訊保安目標是什麼,要達到什麼樣的水平?步驟不明,因為不知道安全目標是什麼,也就無法制定有針對性的安全建設思路和步驟,不知道如何通過一步步的安全建設,來達到安全目標的要求。
3、面臨的挑戰和機遇
前面提了那麼多的問題,好像安全這一塊確實越來越難做了,其實不然,個人覺得目前的現狀對乙方來說,雖然問題重重,但既是挑戰也是機遇。
具體的挑戰包括:
1、對安全人員自身的水平要求高。安全人員應該不斷學習新的知識和理念,不斷充實自己,這樣在客戶那邊才能將最先進最成功的經驗分享給客戶。
2、服務的專業化。不光是技能水平的提高,服務水平也應提高。服務專案的前兩周,是專案的關鍵階段,為什麼說是關鍵呢?因為在這段時間內,是你和客戶建立信任關係的重要階段,只有客戶信任你了,後面的工作才可以開展,所以在這 2週內的專業能力的體現就顯得尤為重要了。
3、銷售人員思路轉變。很多產品銷售人員初次拜訪客戶可能不太受客戶歡迎,為什麼?因為客戶感覺目的性太強,產品銷售去拜訪客戶,最終目的當然是銷售產品,所以不管過程是怎麼樣的,已經被客戶猜中了結局,所以銷售人員在客戶的所說的每一句話都是為了最終銷售產品。而不像技術人員,技術人員是去幫助客戶解決問題的。所以我們的銷售人員應該進行思路的轉變,不要一味的去強調自己的產品是多麼的優秀,效能是多麼的好?如果我是客戶,我會問銷售:你知道我們有什麼問題麼?你就向我推銷產品?這就好像我們去醫院檢查身體,醫生什麼都不給你做檢查,就給你開了一堆的藥,你會接受麼?所以我們應該站在客戶的角度去思考問題,就算賣不成產品也無妨,因為買賣不成,仁義在,當客戶認為你是真心實意幫他們解決問題的,何愁做不成生意?
我們再來看看問題所帶來的機遇和方向:
1、以業務為導向。安全的最終是為業務保駕護航的,而目前很多的安全建設方案,業務部分考慮的很少,在做風險識別和規劃時,很多都沒有考慮能夠給業務帶來多大影響?而只是考慮了安全的部分,一切都是圍繞安全來做的設計。目前普遍的情況是懂業務的不懂安全,懂安全的又不懂業務。 所以未來如果安全公司能夠真正從客戶的業務流程、業務發展的方向來做評估做設計,必定會成為乙個亮點。
2、體系建設是個不錯的機遇。最近發現體系建設類的專案成為了最近的熱門,很多企業都有這方面的需求,因為企業通過幾年的資訊保安建設,基礎設施都已經完善了,但是仍然會發生安全事件,企業開始意識到安全不光是技術的問題,而最重要的是管理的問題。我們經常說:錢能解決的問題,都不是問題。而在安全行業內,技術能解決的問題,都不是問題,管理的問題才是問題,而管理的問題歸根結底就是人的管理,人的問題。而解決人的問題,通常是通過安全意識的培養、技術手段、制度的懲處來實現。另一方面是客戶對未來的資訊保安建設沒有總的思路和方向,迫切需要依靠第三方來幫助自己建立安全建設思路和方向。
以上只是我從乙方的角度,對安全產品和安全服務做了乙個總結,也是對自己的乙個簡單總結,因為時間和能力的關係,寫的不是完全正確,錯漏之處難免,望包涵!
關於安全服務和安全產品
1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...
終端安全產品的進化 終端安全檢測和響應
終端威脅的進化 現今針對於終端的惡意威脅複雜性和多樣性都有顯著的變化和提公升,短短的幾年時間,惡意威脅就由原來的盲目 直接 粗暴的惡意攻擊手段轉變為有目標 精確 持久隱藏的高階威脅所取代。同時現在高階威脅也並非像原來的單一的威脅事件,它們會依照安排好的多個階段進行有條不紊的開展,預估好每一步驟,通過...
騰訊雲安全產品介紹第五章 業務安全產品天御
防刷服務 技術原理 地域屬性 業務屬性 惡意屬性 自然人畫像 qq畫像 裝置畫像 防刷服務優勢 銀行卡支付防盜刷 線上營銷風控 天御反欺詐服務 技術原理 技術優勢 應用場景 產品計費方案 活動防刷 按呼叫次數包年 超出 的按次數區間表月結。註冊保護 提供按次呼叫的包年 登入保護 基於每日防護上限次數...