https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

賣產品掌握趨勢 當顧問服務周到-包化富動口成績斐然

2004 / 06 / 25
邱詩琁
賣產品掌握趨勢  當顧問服務周到-包化富動口成績斐然

十年前在美修習資訊科技管理碩士,並以資訊安全管理為主修科目,讓包化富和資訊安全領域結下了不解之緣。從唸資安管理到進入台灣第一個從事防火牆自行研發的臺華科技,再到擔任普華資安總經理,跨足資訊安全產品和服務兩大面向、累積多年資安經驗、並成為該領域顧問、講師的不二人選,包化富堪稱是資歷完備的資安人。
資歷完備從整體視野看資訊安全
在臺華歷任防火牆產品經理、資訊安全整合行銷總監,包化富提到,當時負責的包括產品規格開列、上市前的銷售規畫、市場趨勢的掌握等。因為學資訊安全管理因此能有整體的安全視野。臺華除了是台灣最早自行研發防火牆的公司,許多研發觀念在當時都算走在前面,包括將防火牆結合入侵偵測功能;防火牆產品從網路閘道端發展到主機端;及從軟體產品走向硬體,都算是當時國內的先趨。

當時包化富常出國參加國際研討會,將國外最新觀念帶回,因此也思考著如何將資訊安全從上層管理面結合至產品應用、底層元件。於是開啟了臺華和管理顧問公司資誠合作的契機,共同成立了普華資安,成為當時國內唯一完全專注在資訊安全風險管理的顧問公司。

包化富帶進了國外資安管理的觀念,他表示:所謂資訊安全就是科技風險管理,也就是科技本身或其影響的範圍和領域,便需做風險的管理。從這樣的角度切入也較易為企業管理者所接受、理解,而非侷限在產品的眼界裡。

因為較早投入資安服務領域,包化富笑說:「當時常常是在做義工」,在當時資訊安全觀念並不普及、對服務的認知也相當薄弱,要做很多觀念的推廣及教育市場的動作。因政府對資安的需求較大、也較有預算,普華資安當時的客戶以政府單位居多,協助政府導入資安的管理經驗,普華資安也因此累積了許多這方面的Domain Know How。

點出難處 必需找到更佳的獲利模式
幾年下來,資訊安全開始較為一般大眾所熟知和重視,甚至在企業資訊系統建置已近飽合之際,成為下一個採購要項。同時資訊安全服務亦同樣看好,也成了廠商跨足的目標。「國家資通安全會報」將通過BS7799國際資安認證,視為2004年的資安建設目標,相關單位需導入資訊安全管理系統(ISMS)並通過驗證,看似釋出了極大的服務商機,但包化富表示,目前從事此服務的顧問公司規模皆不大,能提供服務的顧問人數也是屈指可數,根本無暇接下這麼多的案子。

「顧問算的是時間,人的時間最多一天也只有24小時,不像產品可以大量生產。」包化富提到了顧問業的特殊之處,顧問費無法像產品般以量制價,而政府預算有限,對時間更有限的顧問而言其實不算是筆好賺的生意。

包化富舉旗下擁有7萬多人的知名顧問管理公司Accenture為例,國外因較看重服務、顧問的價值,因此能獲得合理的利潤;才能留住人才、累積豐富經驗和資源,而造就了大者恆大的顧問公司。反觀台灣仍舊多將服務視為產品的附加,「台灣市場和國外不同,國外是先談管理再發展產品,台灣則是相反。」包化富說,「所以顧問流動率很高,很難累積出資深的顧問。」他認為未來也許藉由市場的放大,而產生眾家爭鳴、汰弱留強的效應,如國外般產生較大規模的顧問服務公司,也才能提供更有品質的服務。

於去年底轉任三商電腦總經理室特助的包化富,目前仍然擔任普華資安的董事,為何會在此時離開顧問服務公司?他表示此為個人職涯的考量,並非看壞顧問服務市場,「顧問業必需找到一個更佳的獲利模式」否則市場體制不佳,政府經費有限,企業直接詢求SI廠商提供附加服務,都使得顧問服務業的生存空間更為狹窄。

提出典型 先博學多聞再靈活運用
如何才算是個出色的顧問?累積了四、五年的資安顧問經驗,包化富認為顧問是個很專門的行業,絕不能只是按表操課。每個公司、企業有不同的組織文化、管理制度,因此顧問必需要充分融入服務公司的企業文化中,視其需要做必要的調整。且服務的客戶涵括政府、醫療、金融、製造等不同領域,顧問很難對每個領域都瞭解,因此必需和擁有該領域know-how的人一同合作,並創造出適合該領域的資訊安全需求。

「客戶不會付錢讓你去問他的專業」包化富強調,因此顧問必需私下花很多時間去做功課,這些時間當然都無法計費。進入一個全新產業領域,必需再次投入大量時間、精力去瞭解,他形容;「有時是很痛苦的!」這也是很多顧問陣亡的原因之一。

融會貫通、創造力、勤奮用功、博學多聞;懂系統、資料庫、軟硬體產品;瞭解組織文化、管理規範,一連串的要求,難怪常聽人說:顧問實在不是人當的。

包化富提到:「顧問必需先學會很多東西,才能夠靈活運用。而且很多能力是必需要經由時間、經驗累積出來的。」除此之外,還需具備專案管理的能力,不單是時程管理,還需做跨部門、跨公司的協調溝通。真是十八般武藝樣樣得具全。

提供建議 有心從事者應慎選公司
對於想進入資安管理顧問者有何建議?包化富表示首先當然要慎選公司,除了衡量上司是否真具備有良好的資安觀念,並評估上司是否有心且有能力培養旗下的顧問。當然也要先自我評量已具備了什麼能力(如已具備了技術能力),再針對不足處做補強。而相關證照對顧問當然有加分作用,他鼓勵有心朝此發展者可考CISSP、CISA等相關證照,可藉此瞭解該領域的全貌。加入相關公協會組織,可以快速累積、拓展人脈,並進而瞭解市場最新動向趨勢,都相當有幫助。

面對轉變 沒有適應問題只能面對
服務過的眾多案子中,包化富對接下商業司PKI規畫的案子印象深刻,為了規畫出適合我國的PKI應用環境,而考察了芬蘭、新加坡等和我國環境較類似的國家,其中芬蘭人的創意和創造力令他印象深刻,「這些國家可以給台灣帶來很好的示範效果」。累積了豐富的資安經驗,包化富目前除了身兼多個資安公協會的主要幹部外,也常受邀擔任研討會、課程的講師,或是成為很多人諮詢資安的顧問人選,包括立法委員李永萍、龐建國等都常向其請教。而歷練了資安產品、服務領域後,包化富目前則代表三商電腦和北京清華大學合作,將資訊安全管理觀念帶入其軟件學院中。

遇到任何抉擇或轉變時,包化富都欣然面對,這也許可以解釋他為何如此活躍,「沒有適不適應的問題,就是去面對,像我去美國求學時,根本沒想到適應的問題,只是想打入國外的圈子而已。」可以想見的是,不變的是包化富仍會繼續活躍於資安領域,繼續當推動資安的義工。