从甲方视角看乙方商业化安全产品的需求
一、总体策略布局规划
二、关于信息安全工作的定位
乙方商业化团队的职责是通过产品和技术能力,向甲方IT部门和安全部门提供服务,赋能甲方业务。
因此,乙方商业化团队应该多多站在甲方的视角进行产品和技术规划,从本质上讲,企业的商业价值是为客户提供服务,业务永远是其根本和主业,IT的价值在于把技术做好,为公司提供先进的、安全的、有市场竞争力的IT平台和工具,服务好客户。因此IT万不可跳脱出来,就着技术论技术,甚至倒逼公司做投入。信息安全作为IT的一个细分领域,也同样必须统一到这个认识上。作为甲方的安全从业人员,必须基于公司的业务、发展阶段和内外部环境,综合统筹制定安全规划和实施路径,帮助企业达成商业目标,与业务的差别仅仅是分工不同、职责不同而已。
同时,对于甲方安全团队来说,他们所面临的信息安全问题包罗万象,涉及技术与管理、研发与测试等全链条,从物理层到应用层,从机器到人都需要纳入到工作范畴里,从体系、规划、架构、管理与技术落地以及运营迭代形成闭环。这是一个复杂的系统工程,需要整体系统性思维,乙方的安全服务和安全产品需要找准真实客户的实际需求,根据自身的供给能力,按照年度计划持续完善自己的产品和服务,不断给甲方创造更多的实际价值。
对乙方来说,有两个点是值得思考的:
- 一是,跳出企业安全的领域,关注到2C、2B、2G的企业生态安全,这也是数字化发展过程中,企业边界的生态环境发展的必然,安全的薄弱环节往往出现在生态领域内,但目前看来,大部分安全厂商关注的仍是企业内部的安全,产品的场景适应性不足
- 二是,安全不要局限在传统的系统,网络,主机,应用的范畴,应改关注数据、业务领域,从技术风险的维度来全面考量企业的网络信息安全风险,这两点与Gartner提出的EASM有异曲同工之妙。
三、客户价值交付的两种形态 - 产品/服务
乙方商业化公司对客户交付价值有两种形态:一种是产品形态,一种是服务形态。
服务和产品都是能力和资源的组合。企业所拥有的资产就两部分:一部分是能力,一部分是资源。
- 能力,是管理能力、组织能力、流程能力、知识能力、人员能力。
- 资源,是人力资源、信息资源、数据资源、软硬件资源和资金资源。
把资源和能力组合起来,以新的组合形态(服务或产品)交付出来,就是我们的业务。
云环境下的乙方安全产品,相对于传统安全架构,就是做一件将安全服务软件化、自动化的事。过去,客户信息科技部门主要有两个:一个是数据中心,一个是开发中心。
- 数据中心是把企业的IT基础设施,依赖ITILV3的人工为主的流程化管理,为上层的应用提供IT服务。
- 相关的IT服务管理,就是把计算、存储、网络、安全、数据库、大数据等技术专业的资源、操作、运维,通过人工流程和半自动化的工具组合成一种非软件化、自动化的IT服务形式,交付给上层的应用。
云安全产品属于IT服务管理下面的一个子领域,它的核心任务就是把企业安全的相关工作软件化建模(攻防模型抽象),依靠一系列的虚拟化、软件化、服务化的云产品/云平台,向用户交付一种软件化、自动化、服务化的云服务。