張矩,峰瑞資本董事、早期暨成長期項(xiàng)目負(fù)責(zé)人。張矩?fù)碛谐^ 20 年的高科技領(lǐng)域行業(yè)經(jīng)驗(yàn),對中美兩國的互聯(lián)網(wǎng)創(chuàng)業(yè)和企業(yè) IT 環(huán)境有深刻理解。張矩曾負(fù)責(zé) Google 和 YouTube 數(shù)據(jù)中心的構(gòu)建與運(yùn)維,并于 2006 年作為 Google 中國創(chuàng)始團(tuán)隊(duì)成員和首位運(yùn)維人員,參與研發(fā)和服務(wù)環(huán)境建設(shè)。他還曾任 Joyent 中國區(qū)首席代表、友友系統(tǒng)首席運(yùn)營官,以及光速安振執(zhí)行董事。張矩還是國內(nèi)最早一批投身云計算產(chǎn)業(yè)的人。張矩側(cè)重于企業(yè) IT、安全領(lǐng)域的投資,他的郵箱是 [email protected]
張矩:
在過去的一年內(nèi),中國信息安全領(lǐng)域的創(chuàng)業(yè)變得非常熱。自領(lǐng)導(dǎo)人親自組建了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組并擔(dān)任組長以來,信息安全產(chǎn)業(yè)逐步受到越來越多的關(guān)注,且感到 “不明覺厲”。這件事從頂層來講,徹底改變了投資界和產(chǎn)業(yè)界對于信息安全創(chuàng)業(yè)的基本觀感,使其從相對中性變成了一件非常熱的大事。
我想和大家分享一下,我這些年對信息安全從業(yè)人員創(chuàng)業(yè)的觀察和想法。創(chuàng)業(yè)無論怎樣看都是一個一邊成長、一邊蛻變的過程。重要的是,既然義無反顧地開始了這個過程,無論是非功敗,都要仰著頭做一回英雄。
為破壞而生的 “異類”
對內(nèi)看人,信息安全從業(yè)人員實(shí)際上是一個很特殊,很稀缺的群體。在思路上,他們和傳統(tǒng)意義上的計算機(jī)工程師有本質(zhì)的區(qū)別。工程師有一個普適的思路:利用技術(shù)加上資源和原材料,把眾多部件構(gòu)建成一個系統(tǒng),從而實(shí)現(xiàn)特定功能。這是一個典型的建造和創(chuàng)造的過程。
而信息安全從業(yè)人員的思路恰恰相反。當(dāng)他們看見一個運(yùn)行的系統(tǒng),通常想到的是這個系統(tǒng)在運(yùn)行中是否有漏洞,設(shè)計上是否有不合理的地方,使用、構(gòu)建上有怎樣的弱點(diǎn),并通過這些漏洞、缺陷、弱點(diǎn)來降服這個系統(tǒng),改變其行為規(guī)律從而導(dǎo)致系統(tǒng)損傷,或者為我們所用。這個過程是一個典型的破壞過程。
天才的信息安全從業(yè)者通常具有破壞性思維。
天才的信息安全從業(yè)者通常是具有破壞性思維的人。不過,我們的教育體系是壓制、矯正、甚至杜絕這種破壞性思維的。能夠幸存或者逃避開教育洗禮的人,無論如何應(yīng)該算是“異類”。
如果真正追根溯源,教育也許是第二位的。因?yàn)槿祟惔蟛糠值倪M(jìn)化過程對有破壞性思維的個體非常不利。人類在發(fā)展的大部分時間里都處于資源非常匱乏的狀態(tài),有建設(shè)性和創(chuàng)造性的個體在資源匱乏的時代是比較容易存活下來的,而天生喜歡破壞的個體則會活得比較艱難,無論在食上還是色上。
信息安全的江湖,是屬于圈內(nèi)人的
向外看行業(yè),信息安全領(lǐng)域有傳說中武林的感覺。從外面看是個相對神秘的大圈子,里面的人都身懷絕技,能為常人所不能。談到武林,很重要的一件事情就是人的江湖地位,這在信息安全圈里也很重要。談到江湖地位,其實(shí)就是兩件事,一是武功的高低。如同武俠小說,信息安全圈子里也是各方門派林立,結(jié)果就是信息安全可能算是技術(shù)領(lǐng)域里競技比賽最多的領(lǐng)域之一。全球應(yīng)該有超過一半的信息安全攻防比賽是在東亞舉辦的。
信息安全領(lǐng)域就像一個武林。
第二,除了要有本事,還要有人品。如同武林,講義氣的人通常江湖地位比較高,信息安全從業(yè)人員的高手往往從黑客做起,然后變成某個垂直領(lǐng)域非常有影響力的專家。一路走來,施恩積德,結(jié)交了一群好友,授業(yè)解惑,也有一幫忠誠的粉絲,慢慢成為領(lǐng)域內(nèi)的大咖。
信息安全領(lǐng)域的創(chuàng)業(yè)有別于其他領(lǐng)域,一個主要特征是這是圈內(nèi)人的事。一位非信息安全行業(yè)的外來人士,做信息安全領(lǐng)域的創(chuàng)業(yè),基本上只是玩票性質(zhì)的嘗試。中國有句古話說得非常到位:慈不領(lǐng)兵,義不聚財。而創(chuàng)業(yè)這件事本質(zhì)就是一路戰(zhàn)斗,最終實(shí)現(xiàn)名利雙收。這個過程對于創(chuàng)業(yè)者,無論從初衷還是本性,通常都是一個很大的挑戰(zhàn),是個重新塑造、重新成長的過程。
信息安全創(chuàng)業(yè):項(xiàng)羽的善戰(zhàn)+劉邦的謀略
信息安全從業(yè)人員的成長和創(chuàng)業(yè)過程是一個典型的從士兵到將軍,再到元首的過程。他們通常從技術(shù)精湛的工程人員起步,經(jīng)過實(shí)戰(zhàn)對抗的洗禮變成行業(yè)專家。一名優(yōu)秀的安全人員通常會通過自己的理念和技術(shù)傳承形成一個有影響力的小圈子,士兵到這也就達(dá)到將領(lǐng)位置了。這個時間點(diǎn)往往是信息安全從業(yè)人員開始考慮創(chuàng)業(yè)的時機(jī)。因?yàn)樗麄冇兄R,有實(shí)戰(zhàn)經(jīng)驗(yàn),也有想法,甚至有不少人脈。
信息安全從業(yè)人員的成長是一個典型的從士兵到將軍,再到元首的過程。
實(shí)際上,創(chuàng)業(yè)過程的關(guān)鍵是從將軍到元首的過程。這個過程中有太多的不確定性,有太多的挑戰(zhàn)和問題,也有太多需要整合的資源和需要去團(tuán)結(jié)的力量,所以要有一定的手段來規(guī)避,也需要很多妥協(xié)。這個過程往往是從一個高姿態(tài)、高標(biāo)準(zhǔn)的軍人,到一個非常落地并切合實(shí)際的政治家的演變過程。
很多信息安全從業(yè)者身上有意無意的有項(xiàng)羽的影子:不但自己驍勇善戰(zhàn),而且可以帶兵打勝仗,不僅可以蔑視權(quán)威瀟灑自如,更可以美人在懷。但是真正成功的創(chuàng)業(yè)者身上一定要加上劉邦的元素:也就是對人的把握和對本質(zhì)的洞見,為了遠(yuǎn)見,做出堅(jiān)持或者妥協(xié)。
反其道而行之,去他的唯快不破
信息安全是一個非常廣泛的領(lǐng)域(在信息技術(shù)快速發(fā)展的今天,信息安全的覆蓋也在快速增長)。信息安全的攻防屬性決定了信息安全是一個常青的市場:不斷演進(jìn)的對抗手段會層出不窮地催生信息安全初創(chuàng)企業(yè)。在這個背景下,信息安全從業(yè)人員在尋找創(chuàng)業(yè)方向上大可不必去追尋所謂的熱點(diǎn)
信息安全的攻防屬性決定了這是一個常青市場。
信息技術(shù)行業(yè)和娛樂行業(yè)有較大的相似之處。我們大可以反其道而行之,退后一步看,其實(shí)信息安全從業(yè)人員擅長的反向工程能力正是當(dāng)下浮躁的創(chuàng)業(yè)環(huán)境所稀缺的:針對目前現(xiàn)狀來尋找它的裂縫,弱點(diǎn)和不完美的地方都加以利用。
創(chuàng)業(yè)的啟始用反向思維方式比正向的更有效,特別是在信息安全領(lǐng)域。反向思維看到的往往是,目前的技術(shù)架構(gòu)體系下和目前市場環(huán)境中,用正向思維不容易看到的、非常明確的弱點(diǎn)和不完美。可以從這里倒推出應(yīng)該選擇什么樣的方向,做什么樣的事。
創(chuàng)業(yè)歸根到底是人的事情。如何匯聚同行業(yè)者,是所有創(chuàng)業(yè)者都會面臨的最大挑戰(zhàn)。這件事對于信息安全創(chuàng)業(yè)者尤甚。優(yōu)秀的信息安全從業(yè)人員本身就是非常稀缺的資源,再加上 BAT3 (百度、阿里巴巴、騰訊、奇虎360)這幾年對于信息安全人員的囤積(但凡耳熟能詳?shù)拿郑径家栽谌蚍秶鷥?nèi)非常驚人的薪資,被他們收之麾下),這意味著創(chuàng)業(yè)企業(yè)基本上是不可能從經(jīng)濟(jì)利益的角度與其競爭。
信息安全公司的江湖地位比巨型公司更有吸引力。
好在信息安全領(lǐng)域真的是江湖輩有人才出,耳熟能詳?shù)拿謧円仓皇钦娓呤种械囊徊糠郑匾氖牵贻p的優(yōu)秀人才最看重的往往不是經(jīng)濟(jì)利益,而是與同樣優(yōu)秀的人一起工作、成長,從更優(yōu)秀的人身上看到自己未來的職業(yè)發(fā)展。
這也解釋了真正優(yōu)秀的信息安全創(chuàng)業(yè)團(tuán)隊(duì)在匯聚同行業(yè)者時往往是游刃有余的。優(yōu)秀的信息安全從業(yè)者,有機(jī)會通過自身的知識、領(lǐng)域的專長,打造非常有吸引力的個人品牌。一句話,你的江湖地位往往比冷冰冰的巨型公司更有吸引力。
唯快不破,一個在互聯(lián)網(wǎng)創(chuàng)業(yè)時代被推崇到極致的概念,我個人認(rèn)為這對信息安全領(lǐng)域的創(chuàng)業(yè)是有害的。一部分原因是,任何創(chuàng)業(yè)的過程通常沒有大家津津樂道的那么快;更重要的是,信息安全產(chǎn)品的有效性是在信息安全攻防的對抗中體現(xiàn)的,如同其他具有攻防特征的產(chǎn)品,比如藥品和武器開發(fā),快往往不能幫助這樣的產(chǎn)品成功。
不可否認(rèn),時機(jī)是決定一個創(chuàng)業(yè)企業(yè)成功的重要原因,但時機(jī)通常是熬出來的。而耐心來源于對未來和自身的信心。當(dāng)你對自己做的這件事非常自信,才會有耐心、有堅(jiān)持來等待時機(jī)。我覺得心里慢下來是做信息安全創(chuàng)業(yè)者非常重要的出發(fā)點(diǎn)。
堅(jiān)持原則,保持紀(jì)律,以身作則
關(guān)于創(chuàng)始公司的管理有很多的說法和流派,特別流行的是各種各樣論述怎樣管理高智商、高能力人群的理論。大家可以說出很多花哨的管理理念,但是管理的最終目的還是希望建立一個高效的組織結(jié)構(gòu),來實(shí)現(xiàn)產(chǎn)品技術(shù)上和商業(yè)上的目標(biāo)。
拋開這些理論的論述,我覺得管理最重要的本質(zhì)在于兩件事:一是要有原則,二是要有紀(jì)律。原則這件事對于信息安全從業(yè)者不難,紀(jì)律卻是信息安全從業(yè)者比較難以把握和執(zhí)行的。
紀(jì)律往往是信息安全從業(yè)者比較難以把握和執(zhí)行的。
管理本身就是要在一個組織體系內(nèi)建立起好的、合理的規(guī)范。規(guī)范是靠紀(jì)律來保障的,所有的東西都應(yīng)該在一個合理的規(guī)范之內(nèi)。公司文化建立在公司秉承的原則體系之上,包括對外的原則,重要的是有哪些事不能做。這些對一家信息安全公司極其重要——對內(nèi)的原則就是公平、公正、互相尊重;原則和紀(jì)律背后,對創(chuàng)始人自身的要求還會多一點(diǎn),那就是以身作則。信息安全從業(yè)人員很多時候?qū)σ?guī)則和紀(jì)律都有幾乎偏執(zhí)的蔑視,但是創(chuàng)始人對原則和紀(jì)律的遵守,是帶動整個公司發(fā)展成管理良好、文化良好的實(shí)體的基本要求。
生于恐懼,市場地位卻來自信任
信息安全市場的本質(zhì)驅(qū)動力是恐懼——對數(shù)據(jù)資產(chǎn)被竊取的恐懼,對商業(yè)機(jī)密被偷竊的恐懼,對信息安全事件導(dǎo)致品牌、信譽(yù)乃至客戶流失的恐懼。
其實(shí),很多產(chǎn)業(yè)的商業(yè)模式都是建立在恐懼的基礎(chǔ)上。保險業(yè)就是另一個以恐懼為基礎(chǔ)的產(chǎn)業(yè),保險業(yè)和信息安全行業(yè)的結(jié)合是一個非常值得探討的話題。恐懼本身是一個很大的驅(qū)動力,讓客戶找到你的產(chǎn)品,而你的服務(wù)能夠提供信息安全的保障。
顯然,恐懼是信息安全公司的產(chǎn)品和服務(wù)落地的起點(diǎn),但是一家希望長久發(fā)展的信息安全公司,一定不要以增強(qiáng)恐懼感作為市場發(fā)展正反饋的手段。作為安全能力的執(zhí)行者,信息安全公司的市場地位來自于信任而不是恐懼。
對于信任而言,能力越強(qiáng),責(zé)任越大。一個真正成功的信息安全公司通常是一個領(lǐng)域的規(guī)則建立者,而不是收保護(hù)費(fèi)的那個人。
信息安全市場的本質(zhì)驅(qū)動力是恐懼。
總而言之,以懼而起,以技而立、以謀而勝、以治而穩(wěn)、以德而久,這大概是一個信息安全創(chuàng)業(yè)公司從無到有,從弱到強(qiáng)的歷程。最后想跟大家分享:英雄總是腳踏實(shí)地做事的人。謹(jǐn)此獻(xiàn)給在創(chuàng)業(yè)路上的信息安全從業(yè)者們。
(本文選用了張矩在 2016 阿里安全峰會上的部分演講。)
京公網(wǎng)安備 11010502049343號