在传统的信息安全厂商内部,安全服务和安全产品所占的比重一直都是严重失调的,通常是二八开,即销售额一般都是安全产品占80%,安全服务占20%,有的甚至更少。因此摆在公司决策者面前只会是产品比服务重要,因为卖服务不赚钱,卖产品才赚钱。这确实是目前在安全行业普遍存在的现象。
从做服务和卖产品的人角度看,做服务的瞧不起卖产品的,经常说的是:这帮卖产品的,整天就知道卖产品。而卖产品的人又认为做服务,太虚,没有实际性的东西,认为做服务的人都是满嘴跑火车的,不靠谱,不过很多产品的销售人员,为了能够将产品销售出去,又何尝不是满嘴跑火车呢?有的销售在客户面前,都将自己的产品吹嘘成万能的,貌似只要上了安全产品,就可以解决所有的安全问题。
那么对于客户来讲,到底是安全产品重要还是安全服务重要呢?还是都重要?学过信息安全基本理论的人都知道信息安全工程的概念,从信息安全工程的整个生命周期来看,信息安全工程包括几个重要的阶段:
1、风险识别--->2、需求分析-->3、设计部署--->4、功能验证--->5、维护废弃安全是一项工程,它既不是产品也不是服务,而是产品和服务的结合,就好像医生和药品的关系。如果要将安全产品和安全服务放到信息安全工程的阶段里,通常的安全服务包括了风险识别、需求分析和设计的过程,而安全产品只是部署的过程。从信息安全工程的几个阶段来看,安全产品的部署是应该经过风险识别、需求分析和设计之后,才会涉及到产品的部署,而我们目前的行业实际情况是,很多安全厂商的人为制造风险,杜撰需求,从而进行产品的销售。
回到刚才的问题,那对于客户来讲,安全服务和安全产品到底哪个更重要?我觉得每个企业的情况都不一样,例如一家信息化刚起步的公司,连基本的基础建设都没做好,让他们做IT流程的管理或者整个安全体系架构的设计,这明显是不合理的,就好像让一个小孩,都没学会走呢,就让他开始学跑。所以安全的建设应该是一个循序渐进的过程,而不是一蹴而就,能够一步登天的,曾经和某集团的CTO访谈时,CTO问安全什么时候才是个头?每年都要投入那么多钱,什么时候有个头?好吧,安全是个持续的过程,是没有头的,因为风险是动态的,是不断变化的,我们都知道PDCA,只有不断的计划、实施、检查和改进,才能持续的保证安全。
2、安全服务和安全产品目前的瓶颈
现在在乙方工作的人,不管是做服务的或者是卖产品的,都能够感觉到现在服务越来越难做,产品越来越难卖了。这到底是为什么?究其原因就是服务被做烂,产品已饱和。
2.1产品为什么越来越难卖?
做过产品的销售的人可能近两年都会明显感觉到,现在安全产品真是越来越难卖了?究其原因可能有两个:
1、现在安全市场的各种安全产品都是品种齐全,种类繁多,任何一种类型的安全产品,都能够找多好几家厂家,而各自的安全产品不管是性能、功能,还是价格,都是大同小异的,在这种情况下,自家的安全产品的竞争力在哪?貌似只能靠客户关系和价格战了。
2、企业该有的安全产品都有了,我们还能卖什么?这个问题应该是目前普遍存在的问题,一般稍微有点规模的企业,在经过这几年来,各大产品厂商的"洗劫",基本该买的也买了,不该买的也买了,曾经在某客户的机房,看到客户的机柜上有台漏扫设备,还很好奇的问,你们还买漏扫?谁知客户也很疑问说这是哪来的?什么时候买的?完全不知道。显然在客户该有的安全产品都有了的情况下,产品销售通常是不知道再卖什么了?只能开始杜撰需求,能塞进去的,都塞进去。
2.2服务为什么越来越难做?
从事安全服务的人员可能也会感觉到,现在服务越来越难做,客户的要求越来越高,对服务的人员也是越来越高,再也不像几年前,那个漏扫工具扫一下,导出一份报告,这就算服务了,导致现在客户都说你们做服务的,不就是拿个漏扫工具扫扫么?还有什么?也总结下为什么现在服务越来越难做了?
1、客户要求越来越高。在前几年,由于客户不知道什么是安全服务,也没思路,只能任由各安全公司忽悠,就好像前面说的,做个漏洞扫描就安全服务了。这两年因为各种黑客攻击和地下产业链频频见诸新闻和报纸上,企业对安全的要求也越来越重视,并且企业经常受到各大安全公司人员的不停洗脑,已经知道了什么是安全服务,对安全有了一定的了解,进而有了基本的思路,知道自己要的是什么。
2、安全服务人员水平参差不齐。现在很多安全公司随便找几个人,就敢接安全服务的项目了,而且这些公司这些人员真的做过安全服务么?我看不尽然。所以在这种背景下,安全服务项目能做好么?客户能满意么?
3、利润空间小,投入少。这也是目前普遍存在的问题,很多安全公司为了能够拿下项目,都会低价投标,一种情况是低价中标,服务做完之后,后续卖产品,以弥补服务的差价。试想在这种场景下,服务项目未实施前,已经计算好卖什么产品了,这种服务项目做的就太有针对性了,想卖什么产品,就会针对性的去发现该产品能够解决的问题,从而让客户买单。曾经在项目过程中看到一些厂商给客户的安全解决方案里的需求设计部分,真是惊心动魄,各种吓唬,一个小的风险,并夸大成很严重的安全问题,仿佛不解决,公司离倒闭就不远了。另一种情况是低价中标后,因为利润的关系,无非保质保量的完成项目内容,在这种情况下,只能开始糊弄了。
