這兩天公司內部在討論本身所開發的產品時,業務提出了客戶的一個想法,某些客戶希望在原先產品的設計上加上一個特殊的"白名單"設定,而此一設定會造成這個產品的主要功能產生一個管理上的大漏洞。當然,客戶的說法是為了提供長官及外來貴賓一道方便門。對此,我其實可以猜想到這個需求應該是管理人員自己想要偷懶或是讓自己藉此不受限制。理由很簡單,因為從我聽到的說法跟客戶所遭遇的問題,其實根本就不需要也不應該利用這樣的解法。姑且不論對管理者而言這樣的說法"絕對"是完全錯誤的心態與行為,此一解法著實讓我們的產品出現了一個很大的漏洞。老實說,產品有漏洞也不是甚麼新鮮事。但是對於安全產品來說,是否真正能夠提供足夠的保護給予客戶,甚至自己產品本身是否安全,都是最重要的議題。而這樣大開方便門的設計,不但對組織目前造成立即性的威脅,對於未來的威脅性更大。如果管理者在交接之際,忘了關閉這樣的方便門,或是忘了交接下去,這就成了系統中永遠存在且不為人知的後門(不為人知並無法確保真的沒有人知道這樣的後門存在)。
對我而言,這樣的後門設定,即使產品本身已經特別加註如此設定的危險性,對產品本身功能的達成仍是有嚴重的危害。客戶會有這樣的想法不奇怪,但是公司與業務也完全聽從客戶的想法,著實讓我感到害怕不已。當然,我不是說客戶的想法都不切實際,而是開發者應該認真評估這樣的修改對於產品提供客戶問題解決能力所帶來的風險,確認風險是可以被接受才納入這樣的需求。否則,為了一兩個人的方便,把一個產品打成跛腳,我實在看不出來有何值得之處。尤其,當業務提出說不只一兩個客戶有這樣的需求時,你要反駁他還真是很難。畢竟當多數的接觸窗口(這裡我不用客戶,因為客戶應該指對方所有利害相關的人員)都說要的功能,不就應該是對產品有益的功能嗎?事情沒那麼簡單,因為同一個產業內的組織特性是比較接近的,再加上面對的都是管理人員,所以這樣的想法就代表所有客戶的想法了嗎?以我的認知來看,顯然需要再加強說服力才行。也就是部分管理人員≠全部管理人員≠全部客戶。
以一個原廠的角色,我認為除了賣產品,更要把正確的使用概念傳達給客戶。很多人都在說,現在賣產品同時也在賣服務,甚至是以服務的重要性已經凌駕於產品之上。只是如果連基本的資安觀念都沒有,能做的服務不就還是重新啟動、重新安裝、重新報價(維護/擴充合約)...客戶付錢之後,能不能利用你所提供的產品解決他(這個他是指組織,而不是個人)的問題,才是產品最重要的價值所在。如果客戶用了你的產品,依舊不能解決問題,不管原因出在客戶自己身上或是產品本身,即使客戶沒有見怪,或是沒有直接反映他的抱怨,原廠都應該羞的無地自容才是。或者更積極的來說,唯有當客戶真正利用你的產品來預防或解決他所面對的問題,產品才能達到自我行銷的層次。
資訊安全不是靠產品,而是必須依靠組織的資訊安全政策與規範才能有效達成,產品只是協助政策與規範的落實。上述的需求是出於管理者自己的想法,還是組織政策的要求?如果只是管理者自己的想法,這樣做不但沒有滿足客戶的需求,反而是破壞了客戶的期望。採購案中Say Yes的人很重要,但是背後的使用者與經營階層更為重要,因為他們才是真正有影響力與受影響的人。除此之外,其實安全產品很重要的概念就是管理與監督兩種不同的功能與角色。今天監督者不會是管理者(IT人員),所以這樣的需求表示客戶的環境對於監督的角色是模糊的,也代表了產品本身一個不安全的設計。很可惜的是,客戶可能沒有安全政策,賣產品的業務不懂甚麼是安全政策,也不想去管甚麼安全政策,只想賣產品。畢竟公司是靠產品的收入維生。
原廠除了賣產品外,更要提升公司自身對於資訊安全的智能。除了可以更了解客戶所遭遇的問題,也可以取得顧客的信賴。當然,有些顧客就是不懂,或是認為他說了算,遇到這種客戶確實無能為力。但是,如果遇到的是認真且有實力的客戶,半桶水的公司或產品一定是吃(閉門)羹吃到飽。我們老希望提升國產產品的競爭力,期待與國外產品有一較高下的機會。但是真要提升產品的競爭力,應該是鎖定在有實力的客戶,還是渾渾噩噩過日的客戶?當然,在身為原廠的時候,這樣的堅持是很難的。但是能人所不能,或許是想要獲得成功前所必須經歷的階段。
沒有留言:
張貼留言