雖然我們很難準確地指出信息安全市場的確切規(guī)模,但可以肯定的是,即其規(guī)模日漸增長。無論是對人力、過程,還是技術方面的投資,在未來的幾年都將繼續(xù)增長。但是,對于所有這些投資,如果你問一些安全購買者在找什么樣的方案或產品,其中的多數可能會說還沒有找到正在找的東西。
信息安全市場由大量的廠商以及子市場組成。讓我們做一個大膽的假設:信息安全的購買者成功地記住了名片資料、電子郵件、職業(yè)社交網站的邀請。那么,問題就變成:企業(yè)要傳達什么樣的賣點,如何引起購買者的共鳴?
某廠商所強調的產品或服務也許在激烈的市場競爭中只是比競爭者稍微好一點。或者,可能廠商宣傳中所描述的產品或服務并不適合購買者的策略計劃或預算?或者,廠商詳細描述的產品或服務,但購買者已經投資購買了呢?
這種問題還可以舉出很多,真正的問題是:安全購買者在找什么呢?進一步講,賣方如何理解購買者正在尋找的東西,從而決定自己提供的產品或服務是否適合,以及如何用適當的方式來傳達服務或產品的價值?因此,測試、評估、審核在買賣雙方的會話中可以起巨大作用。
擁有大型安全團隊的大型企業(yè)經常對自身進行評級和測試,執(zhí)行評估和自我審計,用以確認需要解決的挑戰(zhàn)和問題。因而,這些大型企業(yè)一般都確切的知道哪些問題需要解決。因而,賣方就可以直接問買方他們在找些什么。購買者往往會非常高興地分享自己優(yōu)先考慮的問題以及近期和將來的計劃。如果賣方認真傾聽,就會找到所需要的信息。
但是,中小型企業(yè)怎么辦?當然,中小型企業(yè)也有需要解決的問題和挑戰(zhàn)。不幸的是,在多數情況下,這些企業(yè)并沒有評測自身的資源、財力和人力,很難客觀地評估其安全項目的狀態(tài),也不能有效和客觀地審核安全項目的功能。
這是不是意味著中小型企業(yè)必然無法洞察應當投資的資源和時間呢?或者除了大型企業(yè)外,買方和賣方就應當總是處于不同的高度呢?當然不是,但是如何克服這種困難?
而這種情況正是自動評測和評估發(fā)揮功能的時機。中小型企業(yè)需要和大型企業(yè)一樣多的評測、評估和審計能力。問題是當前的技術涉及到大量的人工過程。這個過程對大型企業(yè)來說還是不錯的,但對于中小型企業(yè)來說,存在兩個限制其使用這些服務的因素:
成本:無疑,這種需要人工的勞動密集型過程要求高度熟練的高級人才。這就使得人工的評測、評估、審計成本高昂,而這必然不是中小型企業(yè)的財力所能承擔的。
帶寬:除了依賴熟練的技術人才,這種服務還自然存在一個帶寬的限制問題。即使價格不是很高,中小型企業(yè)也沒有足夠的帶寬來執(zhí)行評測、評估、審計服務。
這些問題的解決都需要評測、評估、審計過程的自動化,只有這樣,中小型企業(yè)才能從中受益。
現在又回到了最初的問題上:安全購買者在找什么?在廠商們問這個問題之前,首先需要給予購買者回答這個問題的能力。而使其能夠自動評測、評估和審計是完成這個任務的一個好方法。
京公網安備 11010502049343號