在《:把脉现实中的(反省篇)》中,我们看到了安全服务现阶段所暴露出的各种问题,但用户的安全体系建设离不开安全服务的帮助,这部分市场也是厂商不可或缺的。那么,厂商该如何求变,才能赢得更多用户的认可和信赖,让自己可以更加健康、良性地发展?
灵活一点,合理调配资源
画外音:安全服务本身非常灵活,不过却离不开“人”的动作,可惜的是,安全服务人员的总体数量是非常有限的。如果不能合理地调配现有的资源,让不同级别的“人”去做不同层次的工作,那么,当安全服务的“春天”全面到来时,必然无“种”可播!
产品一旦研发成功,可以销售很长一段时间,直至产品的生命周期的终结。服务则完全不同,它是相对个性化的内容,需要靠“人”去执行,需要足够的“人”来支撑。安全服务更是如此,很多项目都需要服务人员的贴身支持。可惜的是,安全领域一直都缺少综合型的服务人才。
现实是,没有任何两个的网络环境以及运行在其上的应用是完全相同的,再加上员工的安全意识、计算机水平又参差不齐,即便是固定不变的安全产品都会有不同的表现,更何况原本就是为了解决个性化问题的安全服务了,所以,问题的关键在于——没有足够的安全服务人员,如何为用户提供高标准的安全服务?
安全服务是个很有技术含量的工作,即便是安全专家,面对新的领域和新的问题也不见得总有办法,更何况,专家也是“术业有专攻”的,有擅长的也有不擅长的,所以,只有合理调配,选对“人”做对“事”,才可以达到事半功倍的效果,更快、更好地完成安全服务:不同的安全服务类型都有自己的重点服务内容,让高水平的人做基础的售后服务,固然可以提高服务的品质,但却也是一种资源的浪费;让低水平的人去做高端的安全咨询服务,固然可以节省人力成本,但在效果上却会大打折扣;但如果让每个人都尽可能发挥出自己最大的价值,无疑会让用户获得最大满意度的同时,也让自己尽可能节约资源。
另外,尽可能地促成“服务产品化”,把大量的重复的安全服务工作用类似产品的方式来完成,同样可以节省人员成本,让他们可以把精力放在更高、更深层次的安全服务上去。目前,国内部分厂商如启明星辰、梭子鱼等在经过一段时期的试水后推出的“在线安全检查服务”就是一个非常好的尝试,值得借鉴。
发散一点,关注长远效果
画外音:对于企业的而言,安全产品采用的是西医治疗,哪里有问题就从哪里入手去解决;而安全服务采用的则是中西医结合的治疗,在解决当前存在的安全问题的同时,更应该深度挖掘出问题的本质,从根本上杜绝同类问题的再次发生。
安全服务没有被广泛认可的重要原因,就是用户还没有看到安全服务所带来真正的价值,导致这个结果的原因,就是安全厂商没有发散思维,关注长远的效果。
例如,风险评估类安全服务,最终提交给用户的通常都是或薄或厚的一叠报告,却没有让用户真正明白,这只是他购买这项安全服务得到好处的开始。如果安全服务在帮用户发现漏洞、提供修补建议的同时,更多地从用户的网络环境和员工入手,分析出为什么会有这些漏洞?是技术问题,还是人为因素?这些补丁打完之后,类似的漏洞是否不会再出现?这个漏洞的出现是否意味着整个安全管理工作中遗漏了什么重要环节?……让用户明白这些问题的答案,才是安全服务的真正价值。
同样,产品的售后服务也不应该仅仅是解决用户已经遇到的问题这么简单,同样需要“发散思维”。这方面,梭子鱼就做的非常不错,已经充分让用户体会到服务的价值:为对应用户提供定期故障汇总及产品检测,总结用户遇到的典型故障以及最优的解决方案,帮助还没有遇到这类问题的用户避免类似故障的发生;对已解决的问题100%地进行细致的回访,确认问题解决的程度以及是否还有其他潜在的问题;即便不是自己产品的故障,也会尽可能地为用户提供建议和指导,让用户少走弯路。
事实上,每一项安全服务其实都是可以无限延展的,让项目的终结变成用户安全管理和体系建设新的开始,明白安全服务真正的价值所在,才是安全服务长远发展的根本。
综合一点,立足业务保障
画外音:信息安全建设的最终目的是保证业务发展的连续性,因此,安全服务进行过程中,除了考虑安全体系本身的问题,一定要关注到业务发展——把所有的安全威胁清除掉是不现实的,但至少可以让安全威胁对关键业务的影响最小化。
如今,安全威胁越来越普遍,安全事件由零星发生变成普遍发生可见,这让越来越多的人开始认识到安全建设的重要性。但用户建设安全体系的目的,并不是为了安全而安全,而是要保障业务系统的稳定、顺畅运行,因此,安全服务必须与“业务”紧密结合。
安全服务提供商在提供任何安全服务之前,都应该清楚清楚安全与业务的关系,在做任何动作或建议时,都应该关注它对业务的影响,从而在安全与业务之间找到最佳的契合点,在尽可能不提升业务复杂度的基础上,给业务系统提供一个稳固的平台,保障并促进业务的顺畅发展。
建立在保证业务发展基础上的安全服务,才能在用户的现在以及未来的安全体系建设中被普遍接受和认可。尽管用户对安全服务的认知上存在很大偏差,尽管安全服务本身存在着诸多问题,但不可否认,要想更加合理地部署安全体系,并让安全体系发挥最大的作用,就必须借助安全服务的力量——无论是产品的升级服务、售后服务,还是紧急事件的应急处理,安全体系的规划、部署和实施,甚至安全知识的培训……都将帮主用户的安全投入的价值最大化。因此,在应对越来越复杂的安全威胁过程中,我们期待安全服务尽快完善,成为安全建设中不可分割的重要环节!