雷鋒網(wǎng)按:作者張矩,峰瑞資本董事,負(fù)責(zé)過 Google 和 YouTube數(shù)據(jù)中心的構(gòu)建與運(yùn)維,是 Google 中國(guó)創(chuàng)始團(tuán)隊(duì)成員和首位運(yùn)維人員,參與研發(fā)和服務(wù)環(huán)境建設(shè),也曾任 Joyent 中國(guó)區(qū)首席代表、友友系統(tǒng)首席運(yùn)營(yíng)官,以及光速安振執(zhí)行董事,國(guó)內(nèi)最早一批投身云計(jì)算產(chǎn)業(yè)的人。本文系張矩在阿里安全峰會(huì)上發(fā)表的題為《投資人眼里有“安全感”的創(chuàng)業(yè)者》的部分演講內(nèi)容,解析當(dāng)下網(wǎng)絡(luò)安全團(tuán)隊(duì)創(chuàng)業(yè)面臨的問題和機(jī)遇,對(duì)投資人而言,到底什么樣的安全創(chuàng)業(yè)者是有“安全感”的?
投資人眼里有“安全感”的創(chuàng)業(yè)者
在過去的一年內(nèi),中國(guó)信息安全領(lǐng)域的創(chuàng)業(yè)變得非常熱。自領(lǐng)導(dǎo)人親自組建了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組并擔(dān)任組長(zhǎng)以來,信息安全產(chǎn)業(yè)逐步受到越來越多的關(guān)注,且感到 “不明覺厲”。這件事從頂層來講,徹底改變了投資界和產(chǎn)業(yè)界對(duì)于信息安全創(chuàng)業(yè)的基本觀感,使其從相對(duì)中性變成了一件非常熱的大事。
我想和大家分享一下,我這些年對(duì)信息安全從業(yè)人員創(chuàng)業(yè)的觀察和想法。創(chuàng)業(yè)無論怎樣看都是一個(gè)一邊成長(zhǎng)、一邊蛻變的過程。重要的是,既然義無反顧地開始了這個(gè)過程,無論是非功敗,都要仰著頭做一回英雄。
1、為破壞而生的 “異類”
對(duì)內(nèi)看人,信息安全從業(yè)人員實(shí)際上是一個(gè)很特殊,很稀缺的群體。在思路上,他們和傳統(tǒng)意義上的計(jì)算機(jī)工程師有本質(zhì)的區(qū)別。工程師有一個(gè)普適的思路:利用技術(shù)加上資源和原材料,把眾多部件構(gòu)建成一個(gè)系統(tǒng),從而實(shí)現(xiàn)特定功能。這是一個(gè)典型的建造和創(chuàng)造的過程。
而信息安全從業(yè)人員的思路恰恰相反。當(dāng)他們看見一個(gè)運(yùn)行的系統(tǒng),通常想到的是這個(gè)系統(tǒng)在運(yùn)行中是否有漏洞,設(shè)計(jì)上是否有不合理的地方,使用、構(gòu)建上有怎樣的弱點(diǎn),并通過這些漏洞、缺陷、弱點(diǎn)來降服這個(gè)系統(tǒng),改變其行為規(guī)律從而導(dǎo)致系統(tǒng)損傷,或者為我們所用。這個(gè)過程是一個(gè)典型的破壞過程。
天才的信息安全從業(yè)者通常具有破壞性思維
天才的信息安全從業(yè)者通常是具有破壞性思維的人。不過,我們的教育體系是壓制、矯正、甚至杜絕這種破壞性思維的。能夠幸存或者逃避開教育洗禮的人,無論如何應(yīng)該算是“異類”。
如果真正追根溯源,教育也許是第二位的。因?yàn)槿祟惔蟛糠值倪M(jìn)化過程對(duì)有破壞性思維的個(gè)體非常不利。人類在發(fā)展的大部分時(shí)間里都處于資源非常匱乏的狀態(tài),有建設(shè)性和創(chuàng)造性的個(gè)體在資源匱乏的時(shí)代是比較容易存活下來的,而天生喜歡破壞的個(gè)體則會(huì)活得比較艱難,無論在食上還是色上。
2、信息安全的江湖,是屬于圈內(nèi)人的
向外看行業(yè),信息安全領(lǐng)域有傳說中武林的感覺。從外面看是個(gè)相對(duì)神秘的大圈子,里面的人都身懷絕技,能為常人所不能。談到武林,很重要的一件事情就是人的江湖地位,這在信息安全圈里也很重要。談到江湖地位,其實(shí)就是兩件事,一是武功的高低。如同武俠小說,信息安全圈子里也是各方門派林立,結(jié)果就是信息安全可能算是技術(shù)領(lǐng)域里競(jìng)技比賽最多的領(lǐng)域之一。全球應(yīng)該有超過一半的信息安全攻防比賽是在東亞舉辦的。
信息安全領(lǐng)域就像一個(gè)武林
第二,除了要有本事,還要有人品。如同武林,講義氣的人通常江湖地位比較高,信息安全從業(yè)人員的高手往往從黑客做起,然后變成某個(gè)垂直領(lǐng)域非常有影響力的專家。一路走來,施恩積德,結(jié)交了一群好友,授業(yè)解惑,也有一幫忠誠(chéng)的粉絲,慢慢成為領(lǐng)域內(nèi)的大咖。
信息安全領(lǐng)域的創(chuàng)業(yè)有別于其他領(lǐng)域,一個(gè)主要特征是這是圈內(nèi)人的事。一位非信息安全行業(yè)的外來人士,做信息安全領(lǐng)域的創(chuàng)業(yè),基本上只是玩票性質(zhì)的嘗試。中國(guó)有句古話說得非常到位:慈不領(lǐng)兵,義不聚財(cái)。而創(chuàng)業(yè)這件事本質(zhì)就是一路戰(zhàn)斗,最終實(shí)現(xiàn)名利雙收。這個(gè)過程對(duì)于創(chuàng)業(yè)者,無論從初衷還是本性,通常都是一個(gè)很大的挑戰(zhàn),是個(gè)重新塑造、重新成長(zhǎng)的過程。
3、信息安全創(chuàng)業(yè):項(xiàng)羽的善戰(zhàn)+劉邦的謀略
信息安全從業(yè)人員的成長(zhǎng)和創(chuàng)業(yè)過程是一個(gè)典型的從士兵到將軍,再到元首的過程。他們通常從技術(shù)精湛的工程人員起步,經(jīng)過實(shí)戰(zhàn)對(duì)抗的洗禮變成行業(yè)專家。一名優(yōu)秀的安全人員通常會(huì)通過自己的理念和技術(shù)傳承形成一個(gè)有影響力的小圈子,士兵到這也就達(dá)到將領(lǐng)位置了。這個(gè)時(shí)間點(diǎn)往往是信息安全從業(yè)人員開始考慮創(chuàng)業(yè)的時(shí)機(jī)。因?yàn)樗麄冇兄R(shí),有實(shí)戰(zhàn)經(jīng)驗(yàn),也有想法,甚至有不少人脈。
信息安全從業(yè)人員的成長(zhǎng)是一個(gè)典型的從士兵到將軍,再到元首的過程
實(shí)際上,創(chuàng)業(yè)過程的關(guān)鍵是從將軍到元首的過程。這個(gè)過程中有太多的不確定性,有太多的挑戰(zhàn)和問題,也有太多需要整合的資源和需要去團(tuán)結(jié)的力量,所以要有一定的手段來規(guī)避,也需要很多妥協(xié)。這個(gè)過程往往是從一個(gè)高姿態(tài)、高標(biāo)準(zhǔn)的軍人,到一個(gè)非常落地并切合實(shí)際的政治家的演變過程。
很多信息安全從業(yè)者身上有意無意的有項(xiàng)羽的影子:不但自己驍勇善戰(zhàn),而且可以帶兵打勝仗,不僅可以蔑視權(quán)威瀟灑自如,更可以美人在懷。但是真正成功的創(chuàng)業(yè)者身上一定要加上劉邦的元素:也就是對(duì)人的把握和對(duì)本質(zhì)的洞見,為了遠(yuǎn)見,做出堅(jiān)持或者妥協(xié)。
4、反其道而行之,去他的唯快不破
信息安全是一個(gè)非常廣泛的領(lǐng)域(在信息技術(shù)快速發(fā)展的今天,信息安全的覆蓋也在快速增長(zhǎng))。信息安全的攻防屬性決定了信息安全是一個(gè)常青的市場(chǎng):不斷演進(jìn)的對(duì)抗手段會(huì)層出不窮地催生信息安全初創(chuàng)企業(yè)。在這個(gè)背景下,信息安全從業(yè)人員在尋找創(chuàng)業(yè)方向上大可不必去追尋所謂的熱點(diǎn)。
信息安全的攻防屬性決定了這是一個(gè)常青市場(chǎng)。
信息技術(shù)行業(yè)和娛樂行業(yè)有較大的相似之處。我們大可以反其道而行之,退后一步看,其實(shí)信息安全從業(yè)人員擅長(zhǎng)的反向工程能力正是當(dāng)下浮躁的創(chuàng)業(yè)環(huán)境所稀缺的:針對(duì)目前現(xiàn)狀來尋找它的裂縫,弱點(diǎn)和不完美的地方都加以利用。
創(chuàng)業(yè)的啟始用反向思維方式比正向的更有效,特別是在信息安全領(lǐng)域。反向思維看到的往往是,目前的技術(shù)架構(gòu)體系下和目前市場(chǎng)環(huán)境中,用正向思維不容易看到的、非常明確的弱點(diǎn)和不完美??梢詮倪@里倒推出應(yīng)該選擇什么樣的方向,做什么樣的事。
創(chuàng)業(yè)歸根到底是人的事情。如何匯聚同行業(yè)者,是所有創(chuàng)業(yè)者都會(huì)面臨的最大挑戰(zhàn)。這件事對(duì)于信息安全創(chuàng)業(yè)者尤甚。優(yōu)秀的信息安全從業(yè)人員本身就是非常稀缺的資源,再加上 BAT3 (百度、阿里巴巴、騰訊、奇虎360)這幾年對(duì)于信息安全人員的囤積(但凡耳熟能詳?shù)拿?,基本都以在全球范圍?nèi)非常驚人的薪資,被他們收之麾下),這意味著創(chuàng)業(yè)企業(yè)基本上是不可能從經(jīng)濟(jì)利益的角度與其競(jìng)爭(zhēng)。
信息安全公司的江湖地位比巨型公司更有吸引力。
好在信息安全領(lǐng)域真的是江湖輩有人才出,耳熟能詳?shù)拿謧円仓皇钦娓呤种械囊徊糠?,更重要的是,年輕的優(yōu)秀人才最看重的往往不是經(jīng)濟(jì)利益,而是與同樣優(yōu)秀的人一起工作、成長(zhǎng),從更優(yōu)秀的人身上看到自己未來的職業(yè)發(fā)展。
這也解釋了真正優(yōu)秀的信息安全創(chuàng)業(yè)團(tuán)隊(duì)在匯聚同行業(yè)者時(shí)往往是游刃有余的。優(yōu)秀的信息安全從業(yè)者,有機(jī)會(huì)通過自身的知識(shí)、領(lǐng)域的專長(zhǎng),打造非常有吸引力的個(gè)人品牌。一句話,你的江湖地位往往比冷冰冰的巨型公司更有吸引力。
唯快不破,一個(gè)在互聯(lián)網(wǎng)創(chuàng)業(yè)時(shí)代被推崇到極致的概念,我個(gè)人認(rèn)為這對(duì)信息安全領(lǐng)域的創(chuàng)業(yè)是有害的。一部分原因是,任何創(chuàng)業(yè)的過程通常沒有大家津津樂道的那么快;更重要的是,信息安全產(chǎn)品的有效性是在信息安全攻防的對(duì)抗中體現(xiàn)的,如同其他具有攻防特征的產(chǎn)品,比如藥品和武器開發(fā),快往往不能幫助這樣的產(chǎn)品成功。
不可否認(rèn),時(shí)機(jī)是決定一個(gè)創(chuàng)業(yè)企業(yè)成功的重要原因,但時(shí)機(jī)通常是熬出來的。而耐心來源于對(duì)未來和自身的信心。當(dāng)你對(duì)自己做的這件事非常自信,才會(huì)有耐心、有堅(jiān)持來等待時(shí)機(jī)。我覺得心里慢下來是做信息安全創(chuàng)業(yè)者非常重要的出發(fā)點(diǎn)。
5、堅(jiān)持原則,保持紀(jì)律,以身作則
關(guān)于創(chuàng)始公司的管理有很多的說法和流派,特別流行的是各種各樣論述怎樣管理高智商、高能力人群的理論。大家可以說出很多花哨的管理理念,但是管理的最終目的還是希望建立一個(gè)高效的組織結(jié)構(gòu),來實(shí)現(xiàn)產(chǎn)品技術(shù)上和商業(yè)上的目標(biāo)。
拋開這些理論的論述,我覺得管理最重要的本質(zhì)在于兩件事:
一是要有原則,二是要有紀(jì)律。
原則這件事對(duì)于信息安全從業(yè)者不難,紀(jì)律卻是信息安全從業(yè)者比較難以把握和執(zhí)行的。
紀(jì)律往往是信息安全從業(yè)者比較難以把握和執(zhí)行的。
管理本身就是要在一個(gè)組織體系內(nèi)建立起好的、合理的規(guī)范。規(guī)范是靠紀(jì)律來保障的,所有的東西都應(yīng)該在一個(gè)合理的規(guī)范之內(nèi)。公司文化建立在公司秉承的原則體系之上,包括對(duì)外的原則,重要的是有哪些事不能做。這些對(duì)一家信息安全公司極其重要——對(duì)內(nèi)的原則就是公平、公正、互相尊重;原則和紀(jì)律背后,對(duì)創(chuàng)始人自身的要求還會(huì)多一點(diǎn),那就是以身作則。信息安全從業(yè)人員很多時(shí)候?qū)σ?guī)則和紀(jì)律都有幾乎偏執(zhí)的蔑視,但是創(chuàng)始人對(duì)原則和紀(jì)律的遵守,是帶動(dòng)整個(gè)公司發(fā)展成管理良好、文化良好的實(shí)體的基本要求。
6、生于恐懼,市場(chǎng)地位卻來自信任
信息安全市場(chǎng)的本質(zhì)驅(qū)動(dòng)力是恐懼——對(duì)數(shù)據(jù)資產(chǎn)被竊取的恐懼,對(duì)商業(yè)機(jī)密被偷竊的恐懼,對(duì)信息安全事件導(dǎo)致品牌、信譽(yù)乃至客戶流失的恐懼。
其實(shí),很多產(chǎn)業(yè)的商業(yè)模式都是建立在恐懼的基礎(chǔ)上。保險(xiǎn)業(yè)就是另一個(gè)以恐懼為基礎(chǔ)的產(chǎn)業(yè),保險(xiǎn)業(yè)和信息安全行業(yè)的結(jié)合是一個(gè)非常值得探討的話題。恐懼本身是一個(gè)很大的驅(qū)動(dòng)力,讓客戶找到你的產(chǎn)品,而你的服務(wù)能夠提供信息安全的保障。
顯然,恐懼是信息安全公司的產(chǎn)品和服務(wù)落地的起點(diǎn),但是一家希望長(zhǎng)久發(fā)展的信息安全公司,一定不要以增強(qiáng)恐懼感作為市場(chǎng)發(fā)展正反饋的手段。作為安全能力的執(zhí)行者,信息安全公司的市場(chǎng)地位來自于信任而不是恐懼。
對(duì)于信任而言,能力越強(qiáng),責(zé)任越大。一個(gè)真正成功的信息安全公司通常是一個(gè)領(lǐng)域的規(guī)則建立者,而不是收保護(hù)費(fèi)的那個(gè)人。
信息安全市場(chǎng)的本質(zhì)驅(qū)動(dòng)力是恐懼。
總而言之,以懼而起,以技而立、以謀而勝、以治而穩(wěn)、以德而久,這大概是一個(gè)信息安全創(chuàng)業(yè)公司從無到有,從弱到強(qiáng)的歷程。最后想跟大家分享:英雄總是腳踏實(shí)地做事的人。
謹(jǐn)此獻(xiàn)給在創(chuàng)業(yè)路上的信息安全從業(yè)者們。