2013-09-28 09:32:07 | 中國安防網(wǎng) c-ps.net | 業(yè)內(nèi)信息 | 瀏覽 3661 次 信息安全, 銷售額, 安防,

　　1、目前的現(xiàn)狀是什么?

　　在傳統(tǒng)的信息安全廠商內(nèi)部，安全服務(wù)和安全產(chǎn)品所占的比重一直都是嚴(yán)重失調(diào)的，通常是二八開，即銷售額一般都是安全產(chǎn)品占80%，安全服務(wù)占20%，有的甚至更少。因此擺在公司決策者面前只會是產(chǎn)品比服務(wù)重要，因為賣服務(wù)不賺錢，賣產(chǎn)品才賺錢。這確實是目前在安全行業(yè)普遍存在的現(xiàn)象。

　　從做服務(wù)和賣產(chǎn)品的人角度看，做服務(wù)的瞧不起賣產(chǎn)品的，經(jīng)常說的是：這幫賣產(chǎn)品的，整天就知道賣產(chǎn)品。而賣產(chǎn)品的人又認(rèn)為做服務(wù)，太虛，沒有實際性的東西，認(rèn)為做服務(wù)的人都是滿嘴跑火車的，不靠譜，不過很多產(chǎn)品的銷售人員，為了能夠?qū)a(chǎn)品銷售出去，又何嘗不是滿嘴跑火車呢?有的銷售在客戶面前，都將自己的產(chǎn)品吹噓成萬能的，貌似只要上了安全產(chǎn)品，就可以解決所有的安全問題。

　　那么對于客戶來講，到底是安全產(chǎn)品重要還是安全服務(wù)重要呢?還是都重要?學(xué)過信息安全基本理論的人都知道信息安全工程的概念，從信息安全工程的整個生命周期來看，信息安全工程包括幾個重要的階段：

　　1、風(fēng)險識別--->2、需求分析-->3、設(shè)計部署--->4、功能驗證--->5、維護(hù)廢棄安全是一項工程，它既不是產(chǎn)品也不是服務(wù)，而是產(chǎn)品和服務(wù)的結(jié)合，就好像醫(yī)生和藥品的關(guān)系。如果要將安全產(chǎn)品和安全服務(wù)放到信息安全工程的階段里，通常的安全服務(wù)包括了風(fēng)險識別、需求分析和設(shè)計的過程，而安全產(chǎn)品只是部署的過程。從信息安全工程的幾個階段來看，安全產(chǎn)品的部署是應(yīng)該經(jīng)過風(fēng)險識別、需求分析和設(shè)計之后，才會涉及到產(chǎn)品的部署，而我們目前的行業(yè)實際情況是，很多安全廠商的人為制造風(fēng)險，杜撰需求，從而進(jìn)行產(chǎn)品的銷售。

　　回到剛才的問題，那對于客戶來講，安全服務(wù)和安全產(chǎn)品到底哪個更重要?我覺得每個企業(yè)的情況都不一樣，例如一家信息化剛起步的公司，連基本的基礎(chǔ)建設(shè)都沒做好，讓他們做IT流程的管理或者整個安全體系架構(gòu)的設(shè)計，這明顯是不合理的，就好像讓一個小孩，都沒學(xué)會走呢，就讓他開始學(xué)跑。所以安全的建設(shè)應(yīng)該是一個循序漸進(jìn)的過程，而不是一蹴而就，能夠一步登天的，曾經(jīng)和某集團(tuán)的CTO訪談時，CTO問安全什么時候才是個頭?每年都要投入那么多錢，什么時候有個頭?好吧，安全是個持續(xù)的過程，是沒有頭的，因為風(fēng)險是動態(tài)的，是不斷變化的，我們都知道PDCA，只有不斷的計劃、實施、檢查和改進(jìn)，才能持續(xù)的保證安全。

　　2、安全服務(wù)和安全產(chǎn)品目前的瓶頸

　　現(xiàn)在在乙方工作的人，不管是做服務(wù)的或者是賣產(chǎn)品的，都能夠感覺到現(xiàn)在服務(wù)越來越難做，產(chǎn)品越來越難賣了。這到底是為什么?究其原因就是服務(wù)被做爛，產(chǎn)品已飽和。

　　2.1產(chǎn)品為什么越來越難賣?

　　做過產(chǎn)品的銷售的人可能近兩年都會明顯感覺到，現(xiàn)在安全產(chǎn)品真是越來越難賣了?究其原因可能有兩個：

　　1、現(xiàn)在安全市場的各種安全產(chǎn)品都是品種齊全，種類繁多，任何一種類型的安全產(chǎn)品，都能夠找多好幾家廠家，而各自的安全產(chǎn)品不管是性能、功能，還是價格，都是大同小異的，在這種情況下，自家的安全產(chǎn)品的競爭力在哪?貌似只能靠客戶關(guān)系和價格戰(zhàn)了。

　　2、企業(yè)該有的安全產(chǎn)品都有了，我們還能賣什么?這個問題應(yīng)該是目前普遍存在的問題，一般稍微有點規(guī)模的企業(yè)，在經(jīng)過這幾年來，各大產(chǎn)品廠商的“洗劫”，基本該買的也買了，不該買的也買了，曾經(jīng)在某客戶的機(jī)房，看到客戶的機(jī)柜上有臺漏掃設(shè)備，還很好奇的問，你們還買漏掃?誰知客戶也很疑問說這是哪來的?什么時候買的?完全不知道。顯然在客戶該有的安全產(chǎn)品都有了的情況下，產(chǎn)品銷售通常是不知道再賣什么了?只能開始杜撰需求，能塞進(jìn)去的，都塞進(jìn)去。

　　2.2服務(wù)為什么越來越難做?

　　從事安全服務(wù)的人員可能也會感覺到，現(xiàn)在服務(wù)越來越難做，客戶的要求越來越高，對服務(wù)的人員也是越來越高，再也不像幾年前，那個漏掃工具掃一下，導(dǎo)出一份報告，這就算服務(wù)了，導(dǎo)致現(xiàn)在客戶都說你們做服務(wù)的，不就是拿個漏掃工具掃掃么?還有什么?也總結(jié)下為什么現(xiàn)在服務(wù)越來越難做了?

　　1、客戶要求越來越高。在前幾年，由于客戶不知道什么是安全服務(wù)，也沒思路，只能任由各安全公司忽悠，就好像前面說的，做個漏洞掃描就安全服務(wù)了。這兩年因為各種黑客攻擊和地下產(chǎn)業(yè)鏈頻頻見諸新聞和報紙上，企業(yè)對安全的要求也越來越重視，并且企業(yè)經(jīng)常受到各大安全公司人員的不停洗腦，已經(jīng)知道了什么是安全服務(wù)，對安全有了一定的了解，進(jìn)而有了基本的思路，知道自己要的是什么。

　　2、安全服務(wù)人員水平參差不齊。現(xiàn)在很多安全公司隨便找?guī)讉€人，就敢接安全服務(wù)的項目了，而且這些公司這些人員真的做過安全服務(wù)么?我看不盡然。所以在這種背景下，安全服務(wù)項目能做好么?客戶能滿意么?

　　3、利潤空間小，投入少。這也是目前普遍存在的問題，很多安全公司為了能夠拿下項目，都會低價投標(biāo)，一種情況是低價中標(biāo)，服務(wù)做完之后，后續(xù)賣產(chǎn)品，以彌補(bǔ)服務(wù)的差價。試想在這種場景下，服務(wù)項目未實施前，已經(jīng)計算好賣什么產(chǎn)品了，這種服務(wù)項目做的就太有針對性了，想賣什么產(chǎn)品，就會針對性的去發(fā)現(xiàn)該產(chǎn)品能夠解決的問題，從而讓客戶買單。曾經(jīng)在項目過程中看到一些廠商給客戶的安全解決方案里的需求設(shè)計部分，真是驚心動魄，各種嚇唬，一個小的風(fēng)險，并夸大成很嚴(yán)重的安全問題，仿佛不解決，公司離倒閉就不遠(yuǎn)了。另一種情況是低價中標(biāo)后，因為利潤的關(guān)系，無非保質(zhì)保量的完成項目內(nèi)容，在這種情況下，只能開始糊弄了。

　　2.3信息安全建設(shè)到底應(yīng)該怎么做?

　　其實不光是乙方的人員認(rèn)為安全難做，從客戶的角度來看，也很迷茫，不知道自己的企業(yè)中存在哪些問題?通常只是暴露出來一個解決一個，隱藏的問題，并不能被發(fā)現(xiàn)和解決，而這些隱藏的問題往往卻是致命的問題，一旦發(fā)生，可以會導(dǎo)致嚴(yán)重的后果。在做售前的幾年里，遇到客戶問的最多的問題可能是以下幾個，我梳理了下：

　　1、我們已經(jīng)買了很多產(chǎn)品，為什么還是會有很多問題?

　　2、市場上這么多安全產(chǎn)品，說的天花亂墜，我們該買什么產(chǎn)品?

　　3、哪些安全產(chǎn)品才是我們真正需要的?很多產(chǎn)品功能重疊，究竟哪種產(chǎn)品才是最適合我們的?怎樣才能將產(chǎn)品的最大效用發(fā)揮出來?如何部署?

　　4、這么多的安全產(chǎn)品，如何管理?怎么才能從海量的日志里發(fā)現(xiàn)問題?

　　5、上級機(jī)構(gòu)又要來進(jìn)行安全檢查，每次都不達(dá)標(biāo)，被通報批評，安全問題為什么那么多?

　　6、我們公司現(xiàn)在到底有哪些安全隱患?

　　7、未來我們的信息安全應(yīng)該如果來做?簡單來說就是情況不明，目標(biāo)不明，步驟不明。情況不明，即對自己目前的現(xiàn)狀不了解，不知道企業(yè)中到底多少問題?目標(biāo)不明，即不知道企業(yè)的信息安全目標(biāo)是什么，要達(dá)到什么樣的水平?步驟不明，因為不知道安全目標(biāo)是什么，也就無法制定有針對性的安全建設(shè)思路和步驟，不知道如何通過一步步的安全建設(shè)，來達(dá)到安全目標(biāo)的要求。

　　3、面臨的挑戰(zhàn)和機(jī)遇

　　前面提了那么多的問題，好像安全這一塊確實越來越難做了，其實不然，個人覺得目前的現(xiàn)狀對乙方來說，雖然問題重重，但既是挑戰(zhàn)也是機(jī)遇。

　　具體的挑戰(zhàn)包括：

　　1、對安全人員自身的水平要求高。安全人員應(yīng)該不斷學(xué)習(xí)新的知識和理念，不斷充實自己，這樣在客戶那邊才能將最先進(jìn)最成功的經(jīng)驗分享給客戶。

　　2、服務(wù)的專業(yè)化。不光是技能水平的提高，服務(wù)水平也應(yīng)提高。服務(wù)項目的前兩周，是項目的關(guān)鍵階段，為什么說是關(guān)鍵呢?因為在這段時間內(nèi)，是你和客戶建立信任關(guān)系的重要階段，只有客戶信任你了，后面的工作才可以開展，所以在這2周內(nèi)的專業(yè)能力的體現(xiàn)就顯得尤為重要了。

　　3、銷售人員思路轉(zhuǎn)變。很多產(chǎn)品銷售人員初次拜訪客戶可能不太受客戶歡迎，為什么?因為客戶感覺目的性太強(qiáng)，產(chǎn)品銷售去拜訪客戶，最終目的當(dāng)然是銷售產(chǎn)品，所以不管過程是怎么樣的，已經(jīng)被客戶猜中了結(jié)局，所以銷售人員在客戶的所說的每一句話都是為了最終銷售產(chǎn)品。而不像技術(shù)人員，技術(shù)人員是去幫助客戶解決問題的。所以我們的銷售人員應(yīng)該進(jìn)行思路的轉(zhuǎn)變，不要一味的去強(qiáng)調(diào)自己的產(chǎn)品是多么的優(yōu)秀，性能是多么的好?如果我是客戶，我會問銷售：你知道我們有什么問題么?你就向我推銷產(chǎn)品?這就好像我們?nèi)メt(yī)院檢查身體，醫(yī)生什么都不給你做檢查，就給你開了一堆的藥，你會接受么?所以我們應(yīng)該站在客戶的角度去思考問題，就算賣不成產(chǎn)品也無妨，因為買賣不成，仁義在，當(dāng)客戶認(rèn)為你是真心實意幫他們解決問題的，何愁做不成生意?

　　我們再來看看問題所帶來的機(jī)遇和方向：

　　1、以業(yè)務(wù)為導(dǎo)向。安全的最終是為業(yè)務(wù)保駕護(hù)航的，而目前很多的安全建設(shè)方案，業(yè)務(wù)部分考慮的很少，在做風(fēng)險識別和規(guī)劃時，很多都沒有考慮能夠給業(yè)務(wù)帶來多大影響?而只是考慮了安全的部分，一切都是圍繞安全來做的設(shè)計。目前普遍的情況是懂業(yè)務(wù)的不懂安全，懂安全的又不懂業(yè)務(wù)。所以未來如果安全公司能夠真正從客戶的業(yè)務(wù)流程、業(yè)務(wù)發(fā)展的方向來做評估做設(shè)計，必定會成為一個亮點。

　　2、體系建設(shè)是個不錯的機(jī)遇。最近發(fā)現(xiàn)體系建設(shè)類的項目成為了最近的熱門，很多企業(yè)都有這方面的需求，因為企業(yè)通過幾年的信息安全建設(shè)，基礎(chǔ)設(shè)施都已經(jīng)完善了，但是仍然會發(fā)生安全事件，企業(yè)開始意識到安全不光是技術(shù)的問題，而最重要的是管理的問題。

　　我們經(jīng)常說：錢能解決的問題，都不是問題。而在安全行業(yè)內(nèi)，技術(shù)能解決的問題，都不是問題，管理的問題才是問題，而管理的問題歸根結(jié)底就是人的管理，人的問題。而解決人的問題，通常是通過安全意識的培養(yǎng)、技術(shù)手段、制度的懲處來實現(xiàn)。另一方面是客戶對未來的信息安全建設(shè)沒有總的思路和方向，迫切需要依靠第三方來幫助自己建立安全建設(shè)思路和方向。