数字化时代,安全隐私逐渐成为了人们关注的焦点,这是无法逆转的趋势。
用户的安全隐私意识的觉醒,会导致他们更直接地向终端企业提出安全隐私需求,有意无意地介入到终端企业的安全隐私体系的构建中(通过产品反馈、舆情、法律法规等很多手段),促进了以用户为导向的、以数据安全与隐私保护为核心的安全体系的发展。
如果在三五年前,你对一个做终端安全的人说:你要用户导向!那么这个人可能会满脑子的疑问,甚至会大发脾气:做安全的,讲什么用户导向,我们从来是技术导向!但你现在再对他说一下,就有可能得到理解。
说到做一个安全体系,就意味着有说不完的安全隐私需求。每个企业都资源有限,这个需求做不做?先做哪些?后做哪些?不做哪些?怎么做?即安全隐私需求的一般投资逻辑是什么?
我们不讲大的IPD的需求管理方法,也不去讲“对用户,需求=购买力+欲望”“对企业,需求=问题+解决方案”,那些都是放之四海而皆准的每个做研发管理的人都应该默认掌握的一般知识。我们直接给出基于IPD需求管理基础上的安全隐私相关落地性的方法,分4步:
首先,把需求涉及到的相对确定的安全场景(包括前后场景),比如手机丢失场景、支付安全场景等,从用户视角画出一个用户旅程链条,显示用户在这个场景下是如何使用终端的,这个链条要尽可能详尽的、事无巨细地画出来。这其实也是C端产品常见的“用户故事线”。
其次,把产品、攻防、合规、工程、技术、开发专业人员卷进来,一起给出这个链条下每个子场景和操作可能面临的安全风险,无论大小,都列出来。这其实也是一种还原“攻击链”“杀伤链”的方法。
有的人可能会说了,不是用户导向吗?产品经理负责不就行了,为什么卷进来这么多人?虽然用户导向是必须的,但不是唯一的,因为有时候没有专业知识的人未必能看出存在的安全风险、风险的大小,所以要把多样化的专业人员卷进来共创。
再次,根据企业当前的产品导向,比如安全无死角?打造科技感?追求AI热点的融入?表现社会责任?等等,来决定怎么做这个需求。很多人可能以为看到了好的用户需求就一定得到好的解决方案、好的产品,大错特错!每个能力差不多的同行业的企业,看到一样的用户需求的概率几乎是100%,你看到别人没看到,或者别人看到你没看到的需求,不存在。
但同样是需求,你的理解是什么、用什么方法做、用什么技术做,谁能做得漂亮、做得让用户拍掌叫好,这就是竞争力和差距的根本来源。
在企业导向下,把风险对应的可能的解决方案列出来,就形成了初步的需求池。这里千万注意,解决用户需求不是炫技,而是在符合企业导向的情况下,选择一个对用户而言最友好的方案去满足用户的需求。企业的导向,无论是想打造科技感,还是别的什么,最终要回到解决用户需求上,否则就是自话自说。
最后,就是大家非常熟悉的,按IPD需求管理打分或者卡诺模型等需求评判模型排定优先级,聚焦解决高优先级的需求。
当然,实际的过程比上面的4步要复杂,但方法是相通的。总的来说,决定一个安全隐私需求是否要做,主要要在企业的导向下,考虑这个需求是否是用户的真实需求、是否是当地的合规要求、做了之后安全性是否提升、做了之后竞争力是否提升、技术可行性和成本这几个维度,即是否有利于增强竞争力、安全性和体验。