安全咨询应该负责落地吗?当然不负责落地!
上周五下班时间,某金融科技风险管理交流群里,有人发消息问“软件安全生命周期管控、数据安全生命周期管控、等保2.0都落地”的咨询项目,大概得需要多少钱。
一石激起千层浪,沉默许久的群里开始热闹起来,有人说这些都没法落地,有人说多少钱都能给造造完了,我对这个有意思的讨论说了句「咨询是传道授业解惑的,不负责落地」。
我把这个群聊截图发到朋友圈,结果就变的一发不可收拾,同感、调侃、鄙视等各种各样的观点都有。我的观点向来不拖泥带水,正如这篇文章开篇说的那样,咨询当然不负责落地。
本人作为一名十五年安全从业者,曾有十年咨询经验的安全顾问,并且在咨询机构、IT服务机构、厂商、甲方都有职业经历,对这个话题还是具有一定的发言权的。接下来就闲扯一下安全行业中咨询与落地的那些事。
何所谓咨询呢?咨询是在结合客户实际情况的前提下,构建出与客户实际需求相吻合的,能帮助客户实施规划、制订策略、优化流程、完善管理、提高效率、降低成本、增加收入的一套解决方案。
本质上来说,咨询是通过特定的咨询产品向目标客户传递价值的过程;咨询的价值包括知识理念、决策数据和服务人天三种,严格来说服务人天并不是咨询的价值,或者说属于咨询的低价值。
严谨的定义总是含混晦涩的,如果把咨询说得通俗一点的话,就是「你的客户想知道他不知道但是你知道的事情」,说白了就是你比客户懂得多。只要你懂得比别人更多的知识,而这个知识又恰恰是别人所需要的,这样便有了咨询的供需关系。
所以说咨询无处不在,在工作中可以向别人咨询个技术问题,在生活中可以向别人咨询个好吃的餐馆,在旅行中甚至可以向陌生人咨询出行路线。咨询并不见得都是高深莫测的,只要能传递知识与理念便是咨询,如此而已。
从安全建设的生命周期来看,咨询处于这个链条的顶端,咨询解决做什么(规划)和怎么做(设计)的问题。说到这里回过头来看看前面的话题,如果安全建设解决了做什么和怎么做的问题,这算是安全工作落地了吗?当然是不算的。
怎么才算安全工作落地呢?不但要知道做什么、怎么做,还需要按照既定规划蓝图去实施,实施完成交付运维,并通过运营使收益最大化。只有把这个生命周期走完,并处于稳定有效的运营阶段,安全工作才算真正落地了。
如此来看,咨询显然不应该负责落地,也不可能负责落地,因为就算把后面的建设、运维都做了,最终运营不还是得客户自己来吗?退一万步说,把客户运营工作接管了,那就变成了客户职能的一部分,咨询的前提与条件也就不存在了。
既然咨询不应该负责落地,那么为什么客户在咨询的过程中,却总是要不断地强调落地呢?这里面「落地」的潜台词应该是「可落地」,即咨询的过程是基于客户现状的,咨询的结论是严谨论证的,咨询的建议是技术可行的,解决方案是当前最优的。
套用微信群里一位兄弟的话,安全落地是需要天时地利人和的,需要不同的职能各司其职、各负其责,才可能(仅仅是可能)做到。咨询并不是万能的,如果咨询能够做到上面说的几点,客户自然不会就落地问题提出质疑。当然做不到的话,那是失败的咨询项目,并不是咨询本身的问题。
之所以咨询会有落地的争议,很大程度上是对咨询的内涵理解不一致所造成的,什么才是真正的咨询呢?想一想比较容易,真的说出来又很难,我想即没有负责落地工作,客户又非常满意认可,这便是咨询了吧。