賣產品掌握趨勢 當顧問服務周到-包化富動口成績斐然

十年前在美修習資訊科技管理碩士，並以資訊安全管理為主修科目，讓包化富和資訊安全領域結下了不解之緣。從唸資安管理到進入台灣第一個從事防火牆自行研發的臺華科技，再到擔任普華資安總經理，跨足資訊安全產品和服務兩大面向、累積多年資安經驗、並成為該領域顧問、講師的不二人選，包化富堪稱是資歷完備的資安人。
資歷完備從整體視野看資訊安全
在臺華歷任防火牆產品經理、資訊安全整合行銷總監，包化富提到，當時負責的包括產品規格開列、上市前的銷售規畫、市場趨勢的掌握等。因為學資訊安全管理因此能有整體的安全視野。臺華除了是台灣最早自行研發防火牆的公司，許多研發觀念在當時都算走在前面，包括將防火牆結合入侵偵測功能；防火牆產品從網路閘道端發展到主機端；及從軟體產品走向硬體，都算是當時國內的先趨。

當時包化富常出國參加國際研討會，將國外最新觀念帶回，因此也思考著如何將資訊安全從上層管理面結合至產品應用、底層元件。於是開啟了臺華和管理顧問公司資誠合作的契機，共同成立了普華資安，成為當時國內唯一完全專注在資訊安全風險管理的顧問公司。

包化富帶進了國外資安管理的觀念，他表示：所謂資訊安全就是科技風險管理，也就是科技本身或其影響的範圍和領域，便需做風險的管理。從這樣的角度切入也較易為企業管理者所接受、理解，而非侷限在產品的眼界裡。

因為較早投入資安服務領域，包化富笑說：「當時常常是在做義工」，在當時資訊安全觀念並不普及、對服務的認知也相當薄弱，要做很多觀念的推廣及教育市場的動作。因政府對資安的需求較大、也較有預算，普華資安當時的客戶以政府單位居多，協助政府導入資安的管理經驗，普華資安也因此累積了許多這方面的Domain Know How。

點出難處 必需找到更佳的獲利模式
幾年下來，資訊安全開始較為一般大眾所熟知和重視，甚至在企業資訊系統建置已近飽合之際，成為下一個採購要項。同時資訊安全服務亦同樣看好，也成了廠商跨足的目標。「國家資通安全會報」將通過BS7799國際資安認證，視為2004年的資安建設目標，相關單位需導入資訊安全管理系統（ISMS）並通過驗證，看似釋出了極大的服務商機，但包化富表示，目前從事此服務的顧問公司規模皆不大，能提供服務的顧問人數也是屈指可數，根本無暇接下這麼多的案子。

「顧問算的是時間，人的時間最多一天也只有24小時，不像產品可以大量生產。」包化富提到了顧問業的特殊之處，顧問費無法像產品般以量制價，而政府預算有限，對時間更有限的顧問而言其實不算是筆好賺的生意。

包化富舉旗下擁有7萬多人的知名顧問管理公司Accenture為例，國外因較看重服務、顧問的價值，因此能獲得合理的利潤；才能留住人才、累積豐富經驗和資源，而造就了大者恆大的顧問公司。反觀台灣仍舊多將服務視為產品的附加，「台灣市場和國外不同，國外是先談管理再發展產品，台灣則是相反。」包化富說，「所以顧問流動率很高，很難累積出資深的顧問。」他認為未來也許藉由市場的放大，而產生眾家爭鳴、汰弱留強的效應，如國外般產生較大規模的顧問服務公司，也才能提供更有品質的服務。

於去年底轉任三商電腦總經理室特助的包化富，目前仍然擔任普華資安的董事，為何會在此時離開顧問服務公司？他表示此為個人職涯的考量，並非看壞顧問服務市場，「顧問業必需找到一個更佳的獲利模式」否則市場體制不佳，政府經費有限，企業直接詢求SI廠商提供附加服務，都使得顧問服務業的生存空間更為狹窄。

提出典型 先博學多聞再靈活運用
如何才算是個出色的顧問？累積了四、五年的資安顧問經驗，包化富認為顧問是個很專門的行業，絕不能只是按表操課。每個公司、企業有不同的組織文化、管理制度，因此顧問必需要充分融入服務公司的企業文化中，視其需要做必要的調整。且服務的客戶涵括政府、醫療、金融、製造等不同領域，顧問很難對每個領域都瞭解，因此必需和擁有該領域know-how的人一同合作，並創造出適合該領域的資訊安全需求。

「客戶不會付錢讓你去問他的專業」包化富強調，因此顧問必需私下花很多時間去做功課，這些時間當然都無法計費。進入一個全新產業領域，必需再次投入大量時間、精力去瞭解，他形容；「有時是很痛苦的！」這也是很多顧問陣亡的原因之一。

融會貫通、創造力、勤奮用功、博學多聞；懂系統、資料庫、軟硬體產品；瞭解組織文化、管理規範，一連串的要求，難怪常聽人說：顧問實在不是人當的。

包化富提到：「顧問必需先學會很多東西，才能夠靈活運用。而且很多能力是必需要經由時間、經驗累積出來的。」除此之外，還需具備專案管理的能力，不單是時程管理，還需做跨部門、跨公司的協調溝通。真是十八般武藝樣樣得具全。

提供建議 有心從事者應慎選公司
對於想進入資安管理顧問者有何建議？包化富表示首先當然要慎選公司，除了衡量上司是否真具備有良好的資安觀念，並評估上司是否有心且有能力培養旗下的顧問。當然也要先自我評量已具備了什麼能力(如已具備了技術能力)，再針對不足處做補強。而相關證照對顧問當然有加分作用，他鼓勵有心朝此發展者可考CISSP、CISA等相關證照，可藉此瞭解該領域的全貌。加入相關公協會組織，可以快速累積、拓展人脈，並進而瞭解市場最新動向趨勢，都相當有幫助。

面對轉變 沒有適應問題只能面對
服務過的眾多案子中，包化富對接下商業司PKI規畫的案子印象深刻，為了規畫出適合我國的PKI應用環境，而考察了芬蘭、新加坡等和我國環境較類似的國家，其中芬蘭人的創意和創造力令他印象深刻，「這些國家可以給台灣帶來很好的示範效果」。累積了豐富的資安經驗，包化富目前除了身兼多個資安公協會的主要幹部外，也常受邀擔任研討會、課程的講師，或是成為很多人諮詢資安的顧問人選，包括立法委員李永萍、龐建國等都常向其請教。而歷練了資安產品、服務領域後，包化富目前則代表三商電腦和北京清華大學合作，將資訊安全管理觀念帶入其軟件學院中。

遇到任何抉擇或轉變時，包化富都欣然面對，這也許可以解釋他為何如此活躍，「沒有適不適應的問題，就是去面對，像我去美國求學時，根本沒想到適應的問題，只是想打入國外的圈子而已。」可以想見的是，不變的是包化富仍會繼續活躍於資安領域，繼續當推動資安的義工。