张矩,峰瑞资本董事、早期暨成长期项目负责人。张矩拥有超过 20 年的高科技领域行业经验,对中美两国的互联网创业和企业 IT 环境有深刻理解。张矩曾负责 Google 和 YouTube 数据中心的构建与运维,并于 2006 年作为 Google 中国创始团队成员和首位运维人员,参与研发和服务环境建设。他还曾任 Joyent 中国区首席代表、友友系统首席运营官,以及光速安振执行董事。张矩还是国内最早一批投身云计算产业的人。张矩侧重于企业 IT、安全领域的投资,他的邮箱是 ju@freesvc.com
张矩:信息安全创业必知手册
在过去的一年内,中国信息安全领域的创业变得非常热。自领导人亲自组建了中央网络安全和信息化领导小组并担任组长以来,信息安全产业逐步受到越来越多的关注,且感到 “不明觉厉”。这件事从顶层来讲,彻底改变了投资界和产业界对于信息安全创业的基本观感,使其从相对中性变成了一件非常热的大事。
我想和大家分享一下,我这些年对信息安全从业人员创业的观察和想法。创业无论怎样看都是一个一边成长、一边蜕变的过程。重要的是,既然义无反顾地开始了这个过程,无论是非功败,都要仰着头做一回英雄。
对内看人,信息安全从业人员实际上是一个很特殊,很稀缺的群体。在思路上,他们和传统意义上的计算机工程师有本质的区别。工程师有一个普适的思路:利用技术加上资源和原材料,把众多部件构建成一个系统,从而实现特定功能。这是一个典型的建造和创造的过程。
而信息安全从业人员的思路恰恰相反。当他们看见一个运行的系统,通常想到的是这个系统在运行中是否有漏洞,设计上是否有不合理的地方,使用、构建上有怎样的弱点,并通过这些漏洞、缺陷、弱点来降服这个系统,改变其行为规律从而导致系统损伤,或者为我们所用。这个过程是一个典型的破坏过程。
天才的信息安全从业者通常是具有破坏性思维的人。不过,我们的教育体系是压制、矫正、甚至杜绝这种破坏性思维的。能够幸存或者逃避开教育洗礼的人,无论如何应该算是“异类”。如果真正追根溯源,教育也许是第二位的。因为人类大部分的进化过程对有破坏性思维的个体非常不利。人类在发展的大部分时间里都处于资源非常匮乏的状态,有建设性和创造性的个体在资源匮乏的时代是比较容易存活下来的,而天生喜欢破坏的个体则会活得比较艰难,无论在食上还是色上。
向外看行业,信息安全领域有传说中武林的感觉。从外面看是个相对神秘的大圈子,里面的人都身怀绝技,能为常人所不能。谈到武林,很重要的一件事情就是人的江湖地位,这在信息安全圈里也很重要。谈到江湖地位,其实就是两件事,一是武功的高低。如同武侠小说,信息安全圈子里也是各方门派林立,结果就是信息安全可能算是技术领域里竞技比赛最多的领域之一。全球应该有超过一半的信息安全攻防比赛是在东亚举办的。
第二,除了要有本事,还要有人品。如同武林,讲义气的人通常江湖地位比较高,信息安全从业人员的高手往往从黑客做起,然后变成某个垂直领域非常有影响力的专家。一路走来,施恩积德,结交了一群好友,授业解惑,也有一帮忠诚的粉丝,慢慢成为领域内的大咖。
信息安全领域的创业有别于其他领域,一个主要特征是这是圈内人的事。一位非信息安全行业的外来人士,做信息安全领域的创业,基本上只是玩票性质的尝试。中国有句古话说得非常到位:慈不领兵,义不聚财。而创业这件事本质就是一路战斗,最终实现名利双收。这个过程对于创业者,无论从初衷还是本性,通常都是一个很大的挑战,是个重新塑造、重新成长的过程。
信息安全从业人员的成长和创业过程是一个典型的从士兵到将军,再到元首的过程。他们通常从技术精湛的工程人员起步,经过实战对抗的洗礼变成行业专家。一名优秀的安全人员通常会通过自己的理念和技术传承形成一个有影响力的小圈子,士兵到这也就达到将领位置了。这个时间点往往是信息安全从业人员开始考虑创业的时机。因为他们有知识,有实战经验,也有想法,甚至有不少人脉。
▲ 信息安全从业人员的成长是一个典型的从士兵到将军,再到元首的过程。实际上,创业过程的关键是从将军到元首的过程。这个过程中有太多的不确定性,有太多的挑战和问题,也有太多需要整合的资源和需要去团结的力量,所以要有一定的手段来规避,也需要很多妥协。这个过程往往是从一个高姿态、高标准的军人,到一个非常落地并切合实际的政治家的演变过程。很多信息安全从业者身上有意无意的有项羽的影子:不但自己骁勇善战,而且可以带兵打胜仗,不仅可以蔑视权威潇洒自如,更可以美人在怀。但是真正成功的创业者身上一定要加上刘邦的元素:也就是对人的把握和对本质的洞见,为了远见,做出坚持或者妥协。
信息安全是一个非常广泛的领域(在信息技术快速发展的今天,信息安全的覆盖也在快速增长)。信息安全的攻防属性决定了信息安全是一个常青的市场:不断演进的对抗手段会层出不穷地催生信息安全初创企业。在这个背景下,信息安全从业人员在寻找创业方向上大可不必去追寻所谓的热点。
信息技术行业和娱乐行业有较大的相似之处。我们大可以反其道而行之,退后一步看,其实信息安全从业人员擅长的反向工程能力正是当下浮躁的创业环境所稀缺的:针对目前现状来寻找它的裂缝,弱点和不完美的地方都加以利用。
创业的启始用反向思维方式比正向的更有效,特别是在信息安全领域。反向思维看到的往往是,目前的技术架构体系下和目前市场环境中,用正向思维不容易看到的、非常明确的弱点和不完美。可以从这里倒推出应该选择什么样的方向,做什么样的事。创业归根到底是人的事情。如何汇聚同行业者,是所有创业者都会面临的最大挑战。这件事对于信息安全创业者尤甚。优秀的信息安全从业人员本身就是非常稀缺的资源,再加上 BAT3 (百度、阿里巴巴、腾讯、奇虎360)这几年对于信息安全人员的囤积(但凡耳熟能详的名字,基本都以在全球范围内非常惊人的薪资,被他们收之麾下),这意味着创业企业基本上是不可能从经济利益的角度与其竞争。好在信息安全领域真的是江湖辈有人才出,耳熟能详的名字们也只是真高手中的一部分,更重要的是,年轻的优秀人才最看重的往往不是经济利益,而是与同样优秀的人一起工作、成长,从更优秀的人身上看到自己未来的职业发展。这也解释了真正优秀的信息安全创业团队在汇聚同行业者时往往是游刃有余的。优秀的信息安全从业者,有机会通过自身的知识、领域的专长,打造非常有吸引力的个人品牌。一句话,你的江湖地位往往比冷冰冰的巨型公司更有吸引力。唯快不破,一个在互联网创业时代被推崇到极致的概念,我个人认为这对信息安全领域的创业是有害的。一部分原因是,任何创业的过程通常没有大家津津乐道的那么快;更重要的是,信息安全产品的有效性是在信息安全攻防的对抗中体现的,如同其他具有攻防特征的产品,比如药品和武器开发,快往往不能帮助这样的产品成功。不可否认,时机是决定一个创业企业成功的重要原因,但时机通常是熬出来的。而耐心来源于对未来和自身的信心。当你对自己做的这件事非常自信,才会有耐心、有坚持来等待时机。我觉得心里慢下来是做信息安全创业者非常重要的出发点。关于创始公司的管理有很多的说法和流派,特别流行的是各种各样论述怎样管理高智商、高能力人群的理论。大家可以说出很多花哨的管理理念,但是管理的最终目的还是希望建立一个高效的组织结构,来实现产品技术上和商业上的目标。
抛开这些理论的论述,我觉得管理最重要的本质在于两件事:一是要有原则,二是要有纪律。原则这件事对于信息安全从业者不难,纪律却是信息安全从业者比较难以把握和执行的。
▲ 纪律往往是信息安全从业者比较难以把握和执行的。管理本身就是要在一个组织体系内建立起好的、合理的规范。规范是靠纪律来保障的,所有的东西都应该在一个合理的规范之内。公司文化建立在公司秉承的原则体系之上,包括对外的原则,重要的是有哪些事不能做。这些对一家信息安全公司极其重要——对内的原则就是公平、公正、互相尊重;原则和纪律背后,对创始人自身的要求还会多一点,那就是以身作则。信息安全从业人员很多时候对规则和纪律都有几乎偏执的蔑视,但是创始人对原则和纪律的遵守,是带动整个公司发展成管理良好、文化良好的实体的基本要求。
信息安全市场的本质驱动力是恐惧——对数据资产被窃取的恐惧,对商业机密被偷窃的恐惧,对信息安全事件导致品牌、信誉乃至客户流失的恐惧。
其实,很多产业的商业模式都是建立在恐惧的基础上。保险业就是另一个以恐惧为基础的产业,保险业和信息安全行业的结合是一个非常值得探讨的话题。恐惧本身是一个很大的驱动力,让客户找到你的产品,而你的服务能够提供信息安全的保障。
显然,恐惧是信息安全公司的产品和服务落地的起点,但是一家希望长久发展的信息安全公司,一定不要以增强恐惧感作为市场发展正反馈的手段。作为安全能力的执行者,信息安全公司的市场地位来自于信任而不是恐惧。对于信任而言,能力越强,责任越大。一个真正成功的信息安全公司通常是一个领域的规则建立者,而不是收保护费的那个人。
总而言之,以惧而起,以技而立、以谋而胜、以治而稳、以德而久,这大概是一个信息安全创业公司从无到有,从弱到强的历程。最后想跟大家分享:英雄总是脚踏实地做事的人。
(本文选用了张矩在 2016 阿里安全峰会上的部分演讲。)
欢迎转发至朋友圈。如需转载至其他公众号、网站、移动端 App,请回复 “转载” 了解转载规则,并联系「峰瑞资本」获得授权。版权归峰瑞资本所有。