下载掌阅APP,畅读海量书库
立即打开
三次的战略规划都不断地重复使用下面的战略规划制定套路。
图 98
为了达到不同的目的,要根据实际情况不断地进行改变,调整每一次战略规划制定的思路。
把第一次市场洞察与战略规划的制定逻辑用简单的图画出来如下:
图 99
第一次中,当时看环境主要就是看罚款,而产业和领导层都不知道做产品网络安全的价值,所以需要详细描述做产品网络安全的价值,接下来从操作系统安全、隐私保护、云端安全、应用安全、IoT安全等各个方面看竞争对手、行业对手都是怎么做的,自身与行业有多大差距。
接着进行整体的推导,这点是最考验战略规划专家的功力的,信息非常多,如何找出关键点和战略控制点是关键。
技术地图为了每个技术或措施的投入和价值提供了直观的选择,技术地图里的技术的价值可以通过调查统计得出,而投入可以在和具体架构师、工程师的沟通或者从行业已经研发过该技术上得出。
技术有难易、业务分主次、各种法律法规的发行也有一段的缓冲期,而路标的制定可以让管理层、团队看到目标、信心以及未来的投入。也方便管理层审核这个路标是否合适,有时候是不需要走得太快的,只需要走得比竞争对手快一点就行,走得太快,投入会比较大。
所以路标制定后,最后就是要配搭的资源以及组织架构,才能完成它。这些都需要得到决策层、投资层的同意,要不一切都是镜花水月。
第一次战略规划最终的成绩,能给立项的项目就是网络安全的基础平台的建设,这在每一个公司中是非常基础,非常重要的事情。
把第二次战略规划的制定过程用图画出来如下:
图 100
可以看到第一次做了一次的技术洞察,虽然基础洞察分为 5 个细分方向,但都是基础方面的,而“五看”主要只是看竞争对手或领先公司的水平,其他方面比较少的洞察。
第二次做战略规划的时候,会回顾第一次做了什么,主要是取得的项目成果,根据这项目成果,再通过“五看”,非常明确的要看下一步应该做什么。
既有成果需要坚守,但对新领域的探索不能停止,所以第二次重点还看了能力的新方向,在这里提出了需要进行全面的安全能力建设的规划。虽然这个规划最终的决定是公司目前的业务形态、收入水平、利润状态不足与支撑全面的产品安全成熟度模型的建立,但通过这个阶段的洞察,也看到各个单位的安全水平参差不齐,没有统一的标准等,所以促使网络安全技术专家团队建立统一企业标准。
当前的产品网络安全还只是作为研发线的一个组成部分,所以对于新技术的洞察是避免不了的,通过看自己、看对手看出差距以及寻找卖点、控制点。这里虽然只是两看,但这两看中又分了智能电视、智能摄像头、智能门锁、IoT家电以及云服务几个业务进行洞察寻找差距和卖点,最终得到了每个品类产品应该做的产品策略是什么。
最终形成以安全成熟度模型和安全竞争力模型,这就是能力主基调,由其组成的双轮新的战略形式的提出给后续做各种品类的安全架构提供了指引,就像公鸡和母鸡,大部分的产品的安全技术架构都可以从这两个模型中得出,就看侧重点在哪。
而最后就是路标的更新,路标和第一次是有很大的差别的,这也是个人认知的提升以及业务的改变造成的。
图 101
第三次又转换了新的思路,回到如何解决业务痛点的问题,建立起和业务的强联系,所以找出业务关心或者顶层关心的问题就显得非常重要,这是本次战略规划的核心,所有的推导结论都围绕着痛点问题展开、寻找解决方法。找痛点问题其实很难,研发自己想出来的问题大部分不是业务所关心的,而且业务也不会关心到安全,所以只能研发自己想问题,然后去问业务问产品,这些问题你们认为的重要程度如何,给排列出来进行选择。
在进行新的战略前,还是需要对前面进行回顾,一般来说只需要回顾上一次就行,但此次展览规划回顾了前面 2 次战略,原因是:
●前面 2 次战略的结论是有所不一样;
●团队一直在开发的还是第一次战略所得到的机会点;
●第二次战略得到真正实施的工作并不多。
本次战略规划核心部分就是回答问题了。
●第一个问题产品的网络安全与隐私是否合规,那么就要看现有法规有什么规定,看看产品是否符合这些规定,还在制定的法规有哪些,还有哪些不符合的,需要提取做规划。“五看”的其他就不需要再看了,看法规就够了,这能找到存在感。
●第二个问题业务面临什么攻击和威胁,那么最重要就是看自己了,出现哪些事件,收到哪些漏洞,面临哪些攻击,而看其他公司主要是为了寻找解决方法,再结合自身的业务情况就找到针对自己的解决方法,也可能找到机会。
●第三个问题是给业务带来什么价值,那么就要看和自身相关的行业以及领先行业,在他们在安全上的投入给产品带来了什么好处,能否提升用户满意度、社会责任度、品牌影响力等。不同品类的产品对于网络安全技术的需求是不一样的,所以需要看公司的业务发展来找到匹配业务的安全策略,这也许能找到未来。
中间插了组织架构的洞察与建议,是为了匹配战略的执行。
接着就是机会点筛选,筛选出高价值的进行投入,至于是高投入或者低投入就看公司每年的预算策略,高投入高价值能建造护城河而低投入高价值能低成本地解决当前的痛点问题。
通过机会点就可以匹配到需要的人才是什么样子的,自己培养人才费时费力,无法很快地赶上市场的要求,所以需要在市场上找到有经验的人,人才有了,通过业界成熟的组织就能构建出符合自身业务的组织架构。组织架构必须这样推导出来的,不能专门为某人设立某个岗位。
每次战略的靠后,都是路标的更新,路标至少每年要更新一次,有时候每季度可以更新一次。
三次不同的战略规划基调没有优劣之分,就算是第一次的战略规划的整个过程,在特定的技术要求下,还是非常适用的;而第二次战略规划的思路比较适合某种能力的建设;第三次的战略规划的情形就非常贴合业务与产品,需要和业务产品互强锁技术与预算的。
三次的公司级产品网络安全战略制定带来了很好的经验:每次战略规划都是一个数据收集、信息分析、思维碰撞的过程,必须要求个人深入思考,只有这样才能知道未来的方向在哪。
上面三次战略规划,虽然形式不一样,但就算现在想来,都很难说清楚对错,只能说是一次一次思考的结果。
认真想了一下,假如有机会做第四次战略规划,应该怎么做呢?会不会才思枯竭了呢?
其实第三次的战略规划已经提供了一个非常好的套路和方法,假如真的才思枯竭了就按照以下套路制定就行了。
①给产业和产品进行培训,让产业和产品对产品网络安全有一定的认识。
②进行问题征集(第三次问题其实没有进行过问题征集),征集的范围从小到大为:领导、网络安全从业人员、软件开发人员、产品团队。有了问题就好办法了。
③围绕着问题进行研讨,列出各种理由和方法。
④把这些理由和方法回答给提问题方,看看对方的反映。
⑤提前看业务方想投多少钱。
⑥按照正常的市场洞察的方法进行五看三定去进行,反正现在经验足了,写起来应该比较快。
根据现有实际情况,不断更新应对措施。而不时轮换的领导层的也带来了其不同认知和政策,给制定战略规划带来重重不确定的因素。
三次战略规划其实都有其内在的目的:
●第一次战略规划是求成绩,当时团队正从物端系统软件单位转到物联网单位,并且得到了顶层的支持,有能做出成绩的背景,实际出了成绩,包括不限于工业领域数据安全典型案例、门锁安全卖点等;
●第二次战略规划是寻发展,试图把团队从技术开发带往能力建设方向,为以后能从安全治理一线转为安全治理二线做准备;
●第三次战略规划是找未来,所在组织已经逐渐只剩云服务,那么只有成为安全治理二线才有活路,当报告没通过就已经能够预见些许未来。
经过市场洞察以及战略规划,就能清楚本领域的目标、路标、技术、措施、资源等各种情况,回答了为什么做这个事情以及理论上的怎么做这个事情,那么接下来就是实际上怎么做这个事情了。