创新型安全业务的发展战略管理(上)

发表评论 / 技术 / 作者: / 2018-07-30
打印 .PDF 电子书

If you know where you are and know how to get there, you may know where you are going. Of course, if the direction does not meet our original expectations, it should be changed in time.

——Abraham Lincoln

 

引言

战略管理的目的,是为企业的未来把握和创造新的机遇,为了明天而优化今天的发展。本文谈论的创新型安全业务,可以理解为成熟公司孵化新型安全业务,也可以指初创安全企业01”创新发展。

近些年来,由于国际信息对抗持续升温,网络与信息安全终于被提升到国家安全的高度,政府从组织机构、法律法规、人才教育、产业扶持、宣传活动等方面多管齐下,推进落实国家安全战略。国内第一代安全从业人员苦苦奋斗十几年,终于迎来行业发展的春天。2018年的中美贸易战,更是犹如一剂猛料,火上浇油,深度刺激了政府的神经,可以断言,安全的发展势头只会越来越旺。虽然目前局部存在雷声大雨点小的情况,但纵观全局和未来,随着国家重视力度的不断加大,大雨点时代必将到来。在这个最好的历史时机,在新旧安全技术迭代更替的时代,如何顺势而为,抓住市场机会,让企业飞跃发展,需要企业管理者从战略层面有科学的思考和规划。

在军事上,习惯用“战略”和“战术”区分不同层次和范围的决策,前者多指最高首长对某次战役的整体部署,后者指某一级将领和指挥人员对某一次战斗行动的具体策划。在企业管理上,纵向可以将战略分成公司战略、竞争战略和职能战略三个层次;横向可以将战略管理过程分成战略制定、战略实施和战略评估等三个阶段。在战略制定阶段,又可分为战略分析和战略选择两个子阶段(如图1所示)。本期重点讨论战略分析的相关框架和方法,下一期重点讨论战略选择和实施。


图1 战略管理过程及组成要素

战略分析

战略分析要了解组织所处的环境正在发生哪些变化,这些变化将给组织带来哪些影响,是给组织带来更多的发展机会,还是带来更多的威胁。环境不仅指宏观环境,如国家和行业层面的安全法律法规和相关要求,还包括行业结构的特点、变化趋势等。

一、宏观环境分析

1. 政治与法律环境

除了众所周知的“没有网络安全就没有国家安全”、网络安全法、国家网络空间安全战略、网络安全等级保护条例、国家重点研发计划等重要内容,在2018713日,中央财经委员会第二次会议上,习大大强调,关键核心技术是国之重器,对推动我国经济高质量发展、保障国家安全都具有十分重要的意义,必须切实提高我国关键核心技术创新能力,把科技发展主动权牢牢掌握在自己手里,为我国发展提供有力科技保障。

在中美贸易战持续升温、拉锯、消耗的背景下,中央财经委员会的会议讨论内容主要围绕技术主题,足以见得核心技术及自主可控的重要性。

图2 中国IT系统自主可控全景图

2. 经济环境

近年来,随着各种数据泄露事件以及广告骚扰、经济诈骗、勒索事件的频发,广大民众的个人安全意识越来越高,但个人用户对安全产品和服务的消费意愿却没有同步提升,被保护的需求和消费意愿之间存在较大的鸿沟。并且,长期考虑,提供个人业务的企业将安全作为服务的一部分,可能是更高效和有价值的方式。因此,经济环境将重点考虑企业用户。

在企业用户中,以消费力为中心,根据政治影响力、被监管力度、IT系统复杂度、科技实力、安全支出意愿和预算等维度进行综合评估,可粗略分为三个梯队:头部消费的企业用户为党政军和大型国企,中部企业用户为中小型国企和大型民企(大型互联网公司除外),尾部企业用户为大型互联网公司和中小型民企。

随着“自主可控”诉求的升级,头部和中部企业用户必将持续增加安全支出。

3. 社会和物质环境

该方面主要考虑人力因素。目前,安全领域高精尖人才极其短缺。20185月,教育部公布最新的《学位授予和人才培养学科目录》,相比2011年公布的版本,本次学科目录增设网络空间安全一级学科,预计四年后将有一大批安全人才入市。

4. 技术环境

参考中国IT系统自主可控全景图(如图2所示),安全技术的应用依赖于IT技术设施和平台软件,安全技术的有效性决定了上层应用和服务的安全。当前,底层IT技术和上层应用发展迅速,从理论成果转化为产品、产品更新的周期大大缩短,导致传统的安全防护技术逐步落后,局部领域甚至失效,对当前主流的安全技术实现思路或逻辑提出了重大挑战,进而迫使安全企业加大研发投入,解决新的问题。

二、行业结构分析

根据安全公司的企业属性和规模大小,把安全产业的参与者粗略分为五大类:创业型安全公司(以成立时间六年内、融资阶段在D轮及更早期的公司为代表)、成熟型安全公司(成立时间超过六年以上的安全公司)、互联网公司(以阿里、腾讯等为代表,对外输出安全能力和服务的互联网公司)、国企集成子公司(以中国电信集成公司、长城网际、中油瑞飞、国网信通等为代表)、传统大型综合集成商(以浪潮、太极等为代表)。本文重点从成熟型安全公司和创业型安全公司的角度,对行业结构情况(如图3所示)开展论述。

图3 行业结构分析框架

1. 潜在进入者

对于成熟型安全公司,潜在的进入者有集成商、创业型安全公司。对于创业型安全公司,潜在的进入者有成熟型安全公司和更新的创业公司。

对于任何一个公司,想进入一个新的领域,需要分析以下挑战:

1)规模经济、成本优势:例如,在传统的防火墙、防病毒、入侵检测系统、漏洞扫描器等产品领域,头部企业已形成规模经济,某一公司的创新型安全业务在进入初期,难以快速形成规模,面临较大的价格挑战。

2)差异化:例如,在安全态势感知领域,客户之间的需求各不相同,许多安全公司提供的产品和解决方案也存在差异,总体来看,行业中的差异化较大。对于先进入者,在客户侧拥有相对高的品牌认知度,某公司的创新型安全业务若进入该领域,初期需要通过让价来竞争大客户,在业务进入市场的一段时间内,要忍耐亏损经营。

3)资金需求:例如,安全大数据分析平台领域,除了需要传统的安全人才,还需要懂业务的人员和算法工程师、模型分析师等人员,而该类人员的成本较高,且高端人才集中在一线城市,公司需要在人员薪资和公司运营方面投入更多的资金,对新进入者是一个挑战。

4)转换成本:客户是否接受新进入者提供的产品和服务,不仅取决于产品与服务的性价比,还在于对现有产品或系统的转换成本。尤其与客户业务强关联的领域,转换成本较高,新进入者的障碍也高。

5)公司信誉:主要指在行业内已经形成的口碑和品牌认知度。

 

2. 竞争对手之间的抗衡

由于安全产业整体较为分散,成熟型安全公司之间、创业型安全公司之间以及两种类型的公司之间,在某些不同的细分领域均会产生竞争关系,在其他细分领域又有合作关系,即所谓的“竞合”状态。

分析竞争对手,可以从产品研发策略和生命周期、外部采购、市场、渠道、服务、财务管理、个性和文化等情况。

行业的竞争形势始终处于动态变化中,企业管理人员可以通过推行创新业务,加强客户粘性提高客户转换成本、加强产品和服务的差异化程度、快速占领细分市场,或降低自身的退出障碍(如图4所示)。

4 行业进入、退出障碍与获利情况

高进入障碍、低退出障碍:一般情况下,借助稀缺性高的政策优势,或者极强的、具有排他性的客户关系,企业可以达到这种状态。这需要企业有独特的资源优势,但不一定依靠创新业务。

高进入障碍、高退出障碍:潜在的利润很高,同时也存在较大风险,若竞争失败,不能轻易退出。例如传统的SOCSIEM平台,项目复杂度高、成本高、用户使用体验差,但部分企业前期已经投入了较大资源,后期为了保障客户的业务可靠性和可持续性,不得不继续投入人力财力。

低进入障碍、低退出障碍:例如单纯的咨询类、安全评估类等服务,进入和退出门槛均低,风险比较低,整体的盈利水平也相对较低。

低进入障碍、高退出障碍:这种条件下,会有大量新进入者涌入,但竞争环境恶化时,公司很难退出,面临较高的风险,而盈利较低。例如流量分析领域,在GDPR的催化下,许多公司开始做相关产品,虽然进入门槛较低,但企业面临的竞争失败风险很大。

3. 替代品的威胁

辨识替代品的本质在于寻找与当前产品实现相同总体功能的产品或服务。较简单的替代形式,例如,硬件安全产品被支持虚拟化部署的软件产品替代,而两者实现的功能一致。较复杂的替代形式中,有的替代品实现的功能更多一些,有的更少一些。例如,NGSOC对传统SOC的替代。

安全公司需要时刻保持危机意识并采取针对性的防替代战略:通过降低成本或改进产品等措施、提高客户的转换成本、为产品寻找新用途、开拓受替代威胁小的细分市场。若替代品与企业产品之间存在很强的关联性,或整个行业面临技术演进带来的替代时,公司可以考虑与新兴公司联合、或直接开拓新产品和服务。

4. 供应商

例如,以OEM其他公司的产品为主的公司,应重点考虑上游供应商前向一体化的能力。

5. 客户

在客户方面,应重点明晰,不同行业、不同客户之间的收益有较大差异。各类型安全公司应根据自身资源和能力特点,发展适合创新型安全业务的目标行业和客户。

三、企业自身分析

无论企业大小,都有多种资源,不同企业资源的构成有较大差异,这些资源各有不同的特点和作用。而资源能否产生竞争优势,取决于企业能否利用这些资源形成一种综合能力。企业资源和能力是决定盈利的主要因素(图5所示)。

5 资源、能力和竞争优势的关系

1. 资源

对于将要开拓创新型安全业务的公司,务必充分知晓自身有形资产、无形资产和人力资源的情况与特点,最重要的当属团队、技术资产和客户资源。

2 能力

资源本身并不能创造价值,资源利用效率在很大程度上取决于企业整合资源的能力。为了评价企业的能力,需要对企业生产经营活动进行分类,波特把企业活动分为两组(如图6所示),一组是基本活动,直接与客户发生各种各样的联系。另一组是支持活动,主要是内部过程。

6 波特价值链

安全公司可以参照价值链,准确分析各个环节的内部资源,有效选择外部资源。对资源的使用和控制能力,决定了公司的盈利能力。可以从成本效率、产品和服务的有效性、关键财务指标(如市盈率、流动比率等)等三个方面重点评价公司的能力。例如,一个健康的创新型安全业务,在达到一定规模后,成本能否大幅度降低;能否很好的满足客户需求;公司的重要财务指标表现如何。

3. 市场

除了资源和能力,还需要对产品和服务的市场情况进行分析,以便采取相应的策略。

根据波士顿公司的成长份额矩阵(如图7所示)

7 波士顿成长份额矩阵

对于成熟型安全公司,明星产品有发展潜力,应当作为重点发展项目,加大资源投入,如创新型安全业务;“金牛”产品能为公司带来大量现金收入,但市场增长率低,可以采取维持策略,如当前已经成熟的传统防火墙、防病毒、入侵检测系统等,可以用“金牛”的收入支持“明星”的发展;“瘦狗”产品既无市场潜力可挖,又缺少竞争力,对于不赔钱的产品,应采取收获策略,增加短期收入,如传统的漏洞扫描设备,对于赔钱的产品,应采取放弃策略;“问号”产品需要公司投入大量资源,满足迅速成长的市场需求,大多数产品都要经历这一阶段,在确定产品发展策略时要小心谨慎,公司应该在大量投资和及时放弃之间做出明智的选择,如移动应用安全,当前市场需求保持增长,但单个公司的相对市场份额较低。

对于创业型安全公司,要根据自身情况和公司发展愿景,选择进入“明星”或“金牛”产品领域。

四、利益相关者分析

利益相关者包括员工、管理人员、股东(自然人股东和机构股东)、客户、供应商以及其他相关组织等,利益相关者会试图通过各种方式对企业的战略管理施加影响。当利益相关者之间发生冲突和矛盾时,企业需要在不同期望之间做出妥协,同时解决局部最优化的问题。而做到这一点,就需要深入了解和分析不同利益相关者的期望、权力高低和可能采取的态度与行动。

8 利益相关者定位图

权力高的团体可以可以支持或阻碍公司的新战略,需要在采取一项重大战略举措前,测试利益相关者的态度,以防发生不测,或利用或规避,为战略变革目标服务。

对于成熟型和创新型安全公司,利益相关者情况各不相同,需要因地制宜进行分析,并采取相关措施。

战略选择

通过战略的分析,下一步任务是为组织选择一个合适的战略。对于成熟型安全公司和创业型安全公司,由于自身情况差异较大,在创新型安全业务的发展战略实施方面有较大区别。本节内容将在下一期重点论述。

小结

战略管理不同于业务管理,也不同于单纯的长期计划。战略管理基于对未来发展趋势、数据和变化的预期,着眼于未来,更具前瞻性,为整个组织提供一个清晰和严谨的发展方向,在发展的过程中,不断进行战略的评价和优化,保证组织整体效益的最大化。公司战略、竞争战略和职能战略都是战略管理的重要组成部分,但侧重点和影响的范围有所不同,高层次的战略变动往往会波及低层次的战略,而低层次战略影响的范围较小,尤其是职能战略涉及的问题一般可在部门范围内加以解决。

人们普遍认为,只有大型公司才有条件谈论战略管理,小公司无战略管理可言,只有业务管理。而小编本人认为,无论是个人还是组织,都需要战略管理,只是根据体量和规模的不同,在战略管理上所投入的资源多少不同。尤其对于中小微安全企业,更是要审时度势,在竞争激烈的市场上,充分发挥自己的特点和优势能力,在细分领域抢占先机,才有实力与大型公司进行博弈。这要求企业的管理者一定要具备良好战略意识。对于大型安全企业,敢于进行管理变革,采取良好的激励措施,鼓励员工创新创业,并通过收购等方式不断补足公司创新实力。

本文的作用在于抛“砖”,希望通过浅谈一些战略分析的框架和方法,启发读者的思考,下一期将从实际出发,重点讨论创新型安全业务发展战略的选择和落地实施。欢迎在下一期发刊前,读者朋友与小编互动沟通。

 

作者简介:
颜骏,国科嘉和,投资经理。海外网络安全硕士,中国TOP商学院MBA。九年企业安全技术管理经验,曾先后就职于通信、咨询、银行、互联网公司。在通信和银行业获得过国家级安全创新奖项。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注