一直在,追求真理……
08月 9th, 2008
从业这么多年以来,碰到不少逻辑炸弹的事情了,有认识的放炸弹的人,有认识被炸弹害的人,但大多都是和软件有关,这次的武汉千余辆出租车因计价器死机停运、杭州千余辆出租车因计价器感染病毒停运新闻也让我耳目一新了,社会上对这个事件的理解有芯片感染病毒、有计价器死机,当然,聪明的人们很快也想到了解决方案,将时间调整到2003年就好使了,多象几年前破解软件使用限制的方法啊,武汉、杭州、厦门,三个城市都出现此故障,看来这个厂家卖的还不错啊,说不定还有不少呢,好在5年前决策部门的人现在应该已经离职了,不然又得为这个逻辑炸弹买单了。
08月 7th, 2008
出差,完事,出宾馆,准备打车……
宾馆门口来了2个衣冠楚楚的中年男人,一人拖着个拉杆箱,另一人夹着一手包,另一手上提了个纸袋,走过来,准备开始行骗。
“我们单位买了一些茶叶,我准备拿来送给上海的战友,我马上要坐飞机去台北,这个茶叶拿着不方便,要不给你拿着吧”,手包男走过来对我如是说,一边说一边打开纸袋,给我看里面的茶叶,茶叶盒上赫然写着¥600的价签,我一边等的士一边瞄了一眼,随口说了句“我对茶叶没兴趣,你们自己拿着吧,我也得去机场了”,拉杆箱男走上前来,递给我一张名片,处于礼貌,我接过了名片,名片上赫然写着“中国安徽黄山国际饭店”总经理,再一看,总经理英文竟然是Assistant Manager,看到这个我基本认为这就是骗子了,反正的士也没到,再看看他的名片上写的开户行,居然就是市工行,连帐号都不写,这个也太不专业了,本来想再跟人玩玩的,谁知道的士来了,只好怏怏地离开了~
07月 28th, 2008
最近满世界都能看到赛门铁克在宣扬自己的转型,从技术专家向问题解决专家出发,希望从渠道销售转为行业专家直销(准确意义还不能算直销,可能是要求高素质代理,但国内状况可能无法满足此要求)的模式,对技术工程师的要求增加了行业知识。当然,对于国际市场的安全行业而言,Symantec可能代表了一定的方向,这个方向也是我认为安全行业发展的方向。
个人以为,作为每个从业人员而言,从技术专家到问题解决专家,需要一定的时间,从问题解决专家到问题发现专家,需要更长的一段时间。我接触到的部分安全从业人士整天鼓吹的行业知识可能仅仅局限于似懂非懂地理解了几个其他行业的缩写,了解了这个行业里一些办事的流程,至于到问题解决专家,安全行业里的同行们还需要不断地努力,这之间的差距终究原因我认为是从业人员与最终客户对安全理解的不对称导致的,从业人员更多的理解是“小安全”,而最终客户更多的希望是“大安全”;从业人员更多的是希望能将自己摘干净,希望这些问题是开发商的问题、是网络集成商的问题、是运维人员的问题,而对于最终客户而言,不管是谁的问题,谁能解决问题就是最牛X的服务,解决问题最关键的要素就是找到问题的内部根本原因和外部环境诱因,下一步就是减轻影响、降低概率的工作了,这些方式方法看似简单,但到了具体工作的时候,到了紧急情况的时候,许多直接面对最终客户的从业人员可能就忘记了这些驾轻就熟的操作方法,与客户一起陷入到推卸责任的漩涡里,这也毫无疑问地降低了客户对你的信任。
所以说,安全行业的同行们,要想成为问题解决专家,一定得花时间在安全和行业两个方面努力,而国内的现状是我们对安全的知识还不够,我从来不认为作为安全行业的同行们能比最终客户更了解他们的业务,我也不相信我们能比合格的网络集成商更了解业务系统的架构,我更不相信我们能比开发商更了解业务系统的实现方式,但我们需要的是一些高屋建瓴的视角,需要的是不在此山中的位置,需要的是广博的知识体系,需要的是长期协助该行业客户分析问题、解决问题的经验,更需要的是一颗主动积极的心。
我曾经跟我的同事们说过,作为安全服务人员,最重要的是需要你诚心诚意地去协助你的客户,就象你上一次真心真意地帮助一个陌路人一样。为了实现这个目标,你需要一个舞台(这个不在这里谈),然后你需要具备帮助他人的能力,这个能力通常是你具备客户所不具备的技能,你能用安全、风险等视角(安全知识)来审视故障的点、线、面(行业知识),或者也可以依靠你的经验提醒客户用户那些忽视了的地方,这就是你的价值。这也是我们所说的T型人才。
备注:T型人才是一次开会信手偶得的一个词,横着的是安全知识,竖的是行业知识,由于安全知识个人认为还是有层次的,而且行业知识也有一定的宽深,所以俺觉得还是用蘑菇型人才比较合适,哈哈,Google了一把,好像没有人提“蘑菇型人才”这个词,算俺首创了,哈哈。
Technorati 标签: 蘑菇型人才
05月 26th, 2008
生活中多了一个关键字,不小心悟到了
05月 20th, 2008
领导和管理
——5.12地震应急的感悟
2008年12日,中国四川汶川发生8.0级强烈地震后,温总理第一时刻赶赴灾区指导抗震救灾工作,并四处疲于奔命指挥、调度、慰问,这样的总理,不管是2004年的印尼海啸,还是2005年的美国飓风,全球恐怕找不出第二个,敢于在余震不断的时间,赶到灾难现场,视察灾情,慰问群众,而且还亲自担任救灾总指挥,这是什么样的领导啊,个人收集了温总理在此次抗震救灾中的言行,借以分析领导人和管理者的区别。
领导者和管理者,在我们日常工作中是两个很容易混淆的角色,但既然要分析区别,首先的工作肯定是引经据典了,查了查金山词霸2007,还觉得解释不妥(金山词霸应该修订一下了),又搜索了一下网上的汉语辞海。
领导,汉语辞海解释为带领并引导朝一定方向前进。
管理,金山词霸解释为主持或负责某项工作;经管和料理;约束、照管。
从词典对这两个词的概念含义的解释来看,两者的区别十分明显。前者比较宏观也比较虚,后者比较具体也比较实。前者强调的是,领导者首先要以自身的言行影响被领导者,同时要用先进的思想理论宣传教育凝聚被领导者,使他们自觉自愿地跟随前行。后者强调的是,管理者要运用相关的法律和制度,管好自己所负责的人和事。前者属于思想、理论和伦理的范畴,不具有法规的强制性;后者属于法律法规的范畴,具有强制的意义。因此,领导和管理是存在着本质上差别的。
对应这两个角色所具备的能力(领导力、管理能力),在我职业生涯的早期,曾经天真地认为领导力就是一个组织中最高层人士才需要关心的事情,而管理则是组织中所有中层人员该完成的任务。现在以为,虽然这种观点在很多的组织当中适用,但它却并不意味着一定应该是这样。“在其位谋其政”经常被认为是理所当然的,就行政架构而言,这的确合理。不过“职位”(Title)也造成了一个问题,就是让大家有意无意地误会了“领导力”(Leadership)的存在范围。
领导力是个人能力,管理能力也是一样。只不过一提到“领导”,可能所有人都会直接想到顶头上司——这种印象的捆绑并不利于个人领导力的培养:因为职位是固定的,但角色是灵活的。
本人在此次5.12地震中对温总理的言行进行分析和学习,希望能定义出领导和管理之间的区别,对自己未来的职业发展方向有所帮助,诚然,管理和领导都是任何成功企业所必须的要素,无论它们的企业规模如何,如果一个组织想要成功,它需要同时确保领导+管理结合模式的同步运行。但从个人角度考虑,不管处于何种位置,偏重培养自己的领导力将会自己的中远期目标。
领导应该具备什么样的行为风格呢?
1、 重目标、价值观
“人民生命财产高于一切”
“时间最为宝贵,时间就是生命,要争分夺秒,尽最大努力,抢救埋压在废墟下的群众的生命。”
目标非常清晰,生命、时间,不是考虑成本、代价的时候,没有更多的时候考虑如何才能高效。
2、 不断挑战,而不是管理现状
“我不管你们怎么样,我只要这10万群众脱险,这是命令。”
灾后的天气复杂多变,而受灾地区基本上无法通过陆路和水路进入,客观的现状对救灾工作可能存在一定困难,但这种魄力、这种果敢,对救灾工作期待了非常积极的作用,甚至对当时团队中的管理者抛出了“人民养着你们,你们自己看着办!”的话语。
3、 人性化,重人,而不是职位、流程
“我是温家宝爷爷,孩子们一定要挺住,一定会得救!”
“孩子,别哭,孩子”
是总理,不是爷爷,但温情总理的做法并非仅仅安排相关官员要做好安抚群众的工作,更多的考虑是从人的角度出发,而不是职位、工作流程。
4、 充分信任、授权
“我相信在这一场抗震救灾的过程中,同志们能经受住严峻的考验。有没有信心!”
并不需要总理来安排如何来做,让参与救灾工作的人员都抱着“为知己”死的信念参加工作,极大地发挥各自的主观能动性。
5、 重长远方向,坚定
在举国上下众志成城、团结协作,一致抗灾抢险的同时,一些人一味地埋怨预警机制失效、政府应急无能等,甚至还有人在“探究”地震人为原因。温总理在奔赴救灾前线时,讲了几句话:“在灾害面前,最重要的是镇定、信心、勇气和强有力的指挥。” 我们没有理由在这个紧要关头,向地震预测泼冷水、向救援队伍泼冷水、向灾区人民波冷水。我们也没有必要在这个节骨眼上,再去探讨“天生异象”、“地震前兆”等早先发生过的事情,因为当前不是对这些问题“追根求源”的时候。我们更不能在这生死存亡时刻,事不关己、高高挂起,或忙中添堵、唯恐天下不乱,因为这丧失了人的本性和良知。
根本任务是救灾,所有不和谐音符都无法动摇。
6、 重Why,而不是How
“你们的亲人就是我们的亲人,你们的孩子就是我们的孩子。”
抢救自己的亲人,抢救自己的孩子,抢救生命,是所有救灾队伍当前奋不顾身的原因。
地震只会让汽车飞机停下来,救灾队伍在泥石流中奔跑,就算少一条腿都不会在黑夜中停下来;地震只会让无助的亲人深埋,人民战士的双手在瓦砾堆中刨挖,就算血肉模糊都要让他们重见天日。
有困难,我们消灭困难,义无反顾——上!
没有条件,我们创造条件,义无反顾——上!
记得以前学习项目管理的时候,授课老师把领导者和管理者做了个类比,船长和舵手,由于缺乏海事方面相关经验,只得个大概,后来学习CobiT、ISO 27001的时候,也有类似的比喻,思路逐渐明晰,直到这次看到了这个大领导,感悟了不少东西。
在企业里,通过领导者的思想、行为,以及建立与下属、同仁更为积极的关系而起作用。领导的责任包括为组织明确方向和目标、鼓舞人心并获取同仁的承诺、制定实现目标的策略、率领大家全力追求结果,领导力是使管理目标得以实现的重要保证。而管理的责任就是为实现任务(使命、目标)创立条件,并为过程确立规则并保持相应的控制。比如,招募人才、组织培训、设定架构、明确分工、确定职责、制定规范和标准、理清业务流程和特别情况下的处理程序(就是俺常说的超越流程的流程)、制定计划和目标等等,当然也包括依据权限作出各种决策。管理工作的本质特征体现在其规范性上,以科学精神为指引努力使运营过程达到高效。
作为信奉中庸之道的我,作为热衷于寻找平衡的我,我坚信我必须要努力使自己同时具备领导和管理这两种能力和素养,失去领导力的管理是僵化和死板的,缺乏管理能力的领导往往使组织陷于对个人的依赖。一方面理解组织成员的各种需求,能够激发大家的潜能,高瞻远瞩,见微知著等等;另一方面以身作则、以原则为中心、捍卫组织利益、公而忘私,这是一种大我人格的思维模式。
毫无疑问,路慢慢,其修远兮,而我将一直在,追求真理……
最后附两个名人名言作为结束语,这样也许会显得更权威一些:
John P. Kotter 说过(领导力专家,不认识的话点链接看看介绍):管理过强而领导过弱,或过强的领导辅以过弱的管理都不好,有时甚至于还会更糟。事实上,并非所有的人都既擅长于领导又精通管理,因为有的人能成为卓越的管理者却不能成为优秀的领导者,而有的人虽具有杰出的领导才能,却不能成为强有力的管理者。但即使是这样,当今世界上的许多人士仍然强调要尽可能将两者纳入同一组织中,任何组织既需要管理者,也需要领导者,人们基本都希望一个组织中的高层人士最好能成为多面手。
而按照中国人的观点,韩非子《主道》里提到:故有智而不以虑,使万物知其处;有行而不以贤,观臣下之所因;有勇而不以怒,使群臣尽其武。是故去智而有明,去贤而有功,去勇而有强。群臣守职,百官有常,因能而使之,是谓习常。
05月 15th, 2008
2008年5月12日四川省汶川县发生7.8级强烈地震,现在全社会大家都在关注救灾行动,现阶段工作可能重点放在生命救援、灾民安置上;而对于劫后余生的灾民来说,如何安排后续的生活,如何对灾民进行心理抚慰将是同胞们需要面对的问题,这个时间段可能会持续半年到一年时间;再往后,可能更多的是需要弱势群体的关怀、生活的重建,在这个方面,灾民的自救是最主要的,而政府、企业、民间这三股力量应该都可以起到主力军的作用,
救灾是一个复杂的工作,本人并非专业人员,政府、企业、民间、灾民如何进行统一,最大限度地发挥其作用力,政府在这个工作中起到主导作用是必然的,毕竟政府能提供的不仅仅是财力、物力,而且还有充足的人力可以提供;改革开放三十周年了,企业的力量也不容小觑,刚看到的新闻上说捐赠在现在为止已经到了8.7亿,超过了政府拨款的8.6亿,我想当然地说,企业捐赠的比例应该不在少数,建议考虑捐赠在税收上的减免政策步子可以再大一些,鼓励更多的企业进行捐赠;对于民间力量来说,提供的特性化、专业化的服务应该是他的重点,而且集思广益提供救灾的创新模式也是民间力量的亮点之一,所以沟通渠道可能是民间力量需要考虑的重要问题,如何让救灾的主导者听到、重视自己的声音。
最后一点就是灾民自身的自救,能救自己的只有自己,前期救灾物资的发放就是很容易发出不和谐音符的点,而到后面的心结,更多的也是需要自己来解,个人的问题、家庭的问题在这件事面前很可能就是社会的问题,如何重建家园、如何重建城市、如何繁荣城市,这可能是个十年乃至二十年的庞大工程,担子何其重也。
在此谨向受灾的四川同胞表示沉重的哀悼。
10月 3rd, 2007
昨天中午和朋友一起中餐,朋友升级至“父”字辈,吃饭的时候把刚满7个月的小孩带了过来,小孩虎头虎脑的,远远地看着我,等到让我将其抱在手中时,小孩立马不假思索地咧开小嘴哇哇地乱哭,一声更比一声高,失败。看来友善指数实在是太低了。
只有继续懊恼着吃饭,未曾想,也同时在进餐的小P孩居然嗝着了,大家拍背的拍背,着急的着急,更有好事者提出让我来抱一下,说也奇怪,我就这么一抱,大约10秒种时间,小孩光忙着哭,居然忘记打嗝的历史使命了。由此我不得不相信,我,的确是一个对社会有用的人。
时值全北京人民奥运筹备的紧张时期,为了不给大家带来不必要的麻烦,电线杆、天桥这些平面媒体我就不参与宣传了,写个Blog,做做口碑式营销吧。
09月 27th, 2007
这几天给某银行做信息安全管理体系主任审核员的培训,学员们在理解Mobile Code时又一次地提出了疑问,记得以前也有人曾经向我提出过这个问题,我当时还认真查过,不过现在居然忘记了,再查一次,并把它记下来,免得以后忘记。
ISO 17799:2005中是这样解释的:
Mobile code is software code which transfers from one computer to another computer and then executes automatically and performs a specific function with little or no user interaction. Mobile code is associated with a number of middleware services.
移动代码是一种软件代码,它能从一台计算机传递到另一台计算机,随后自动执行并在很少或没有用户干预的情况下完成特定功能。移动代码与大量的中间件服务有关。
这个解释实在是晦涩难懂,再看看其他的。
按照W3C中的定义,http://www.w3.org/MobileCode/Overview.html
mobile code - code that can be transmitted across the network and executed on the other end.
Cert有一篇文章对Mobile Code举了一些例子 http://www.cert.org/tech_tips/home_networks.html
“mobile code” (e.g. Java, JavaScript, and ActiveX):These are programming languages that let web developers write code that is executed by your web browser. Although the code is generally useful, it can be used by intruders to gather information (such as which web sites you visit) or to run malicious code on your computer.
看到这里,Mobile Code是啥应该已经很清楚了。
09月 7th, 2007
本文从一个小故事开始:
20世纪60年代,丽贝卡的妈妈过生日时,丽贝卡的奶奶亲手烤制生日蛋糕,她购买价值1毛、2毛的蛋糕制作原料;
20世纪80年代,丽贝卡过生日时,妈妈打电话给超市或当地的面包房订生日蛋糕,这种定制服务将花费10~20美元,而许多父母却认为定制蛋糕很全家,毕竟这样做,他们可以集中精力于计划和举行画龙点晴的生日聚会;
21世纪初,丽贝卡的女儿过生日时,丽贝卡会把整个聚会交给“迪斯尼俱乐部”公司来举办。在一个叫纽邦德的旧式农场,丽贝卡的女儿和她的14个小朋友一起体验了旧式的农家生活。他们用水洗刷牛的身体、放羊、喂鸡,自己制造苹果酒,还要背着干柴爬过小山,穿过树林。丽贝卡为此付给公司一张146美元的支票。
丽贝卡女儿的生日祝辞上写着:“生日最美妙的东西并非物品。”
从产品经济到服务经济,从服务经济到体验经济,客户需要的东西似乎越来越升级了,乍一看似乎是客户变聪明了,其实只不过是卖东西的人愿意更进一步去研究客户了,都是竞争惹的“祸”啊,客户的需求是不断变化的,卖家需要不断地学习以应付客户的需求,这些工作不仅仅是专业领域的技术尖子能干的,还需要与具有社会学、心理学和统计学知识的专家一起来相互配合协作。
B.约瑟夫.派恩和詹姆士.H.吉尔摩在《体验经济》一书中提出所谓“体验”就是企业以商品为道具,以服务为舞台,以顾客为中心,创造出能使消费者全面参与、值得消费者回忆的活动。体验是使每个人以个性化的方式参与消费,在消费过程中产生情绪、体力、心理、智力、精神等方面的满足,并产生预期或更为美好的感觉。
从经济学的角度来看,体验经济指出了经济学的回归之路,杰尼米.边沁(Jeremy Bentham) 在《道德与立法原理导论》中,把快乐和痛苦作为终极价值,亚当.斯密(Adam Smith)也提到了这个问题,然而在阿尔弗雷德.马歇尔(Alfred Marshall)以后的西方经济学里,快乐不见了,取而代之的是效用的概念,在科学大行其道的今天,理性已经战胜了感性,2002年诺贝尔经济学奖获得者之一丹尼尔.卡尼曼(Daniel Kahneman)写了一篇《回到边沁》的文章,试图将两者进行融合,他能获得诺贝尔经济学奖从一个角度也说明了感性的价值观不敢说如火如荼,至少也是暗流涌动了吧。
回到现实生活中来,国外的公司不用说,XP的意思不就是体验么?就连国内的企业也对体验趋之若骛,联想大张旗鼓地亮出了体验的旗帜(联想不仅向客户提供质量上乘的产品,而且为客户创造充满喜悦和惊奇的体验),百度也不停地利用各种资源确定客户的需求,并且在北大建立了体验中心……
融入到体验经济的大潮中来,我们要做的工作:
1、生产那些能满足某种体验的商品;(如变形金刚模型)
2、增加一些要素使你的商品更具备体验价值;(如北京交通台天天放的广告:这是宝马车门,这是XX木门)
3、使你的产品稀缺;(如限量版XX)
4、策划一些展示产品体验的活动。(如奥迪的试驾)
最重要的是理解我们销售出去的是体验……
让我们把快乐作为我们的目标吧,为社会,也是为你自己。
07月 31st, 2007
话说Symantec在今年2月发布了一个“IT风险管理研究报告”后,摇身一变,成为了一个IT风险管理专家的身份,从安全管理到风险管理,其实也是需要一个过程的,尽管早些年间鄙人就已经意识到安全行业迟早会走到这一步,不过没想到第一个跨出这一大步的会是Symantec,当时我的预测走出这一步的应该是一些基础架构厂商如IBM、HP之流的企业(虽然他们也提风险管理,不过吼得似乎没有那么大声),不过Symantec在鲸吞了几家公司后也俨然以”领先的基础架构软件供应商”的身份自居了,但是毕竟还是根不红、苗不正啊,正因如此,借一个“IT风险管理研究报告”以及强大的宣传攻势,赛先生推出了自己的IT风险管理服务:顾问服务和支持服务,今天拜读了Symantec全球服务团队总裁Greg Hughes先生的《Five Steps to IT Risk Management Practices》以及按图索骥找到了Symantec对IT Risk的一些理解(当然,这些看法和本人的看法有所出入,不然也不会有这篇文章了)。
Symantec在报告中认为IT Risk包括:
Greg Hughes在他的文章中对IT Risk的分类:
Greg Hughes在他的分类方式中,单独把Recoverability和Scalability拿了出来,Recoverability拿出来我可以理解,毕竟人家已经收购了Veritas嘛,把Scalability拿出来未免太超前了,“瓶颈”还好一些,“竖井”在安全行业里可不算一个常用词,在咨询行业里的业务分析中出现的会多一些,看了看Greg Hughes的背景,果然,这个家伙曾经是麦肯锡的合伙人,但无形中向大家透露了一些信息,关注业务可能真的不仅仅是一个口号了。(有点跑题了)
我为什么会不赞同Symantec对IT风险的分类方法呢?因为里面缺乏了一个治理层面的风险,也就是IT治理风险,所有的风险,即便拥有再NB的风险控制手段,但终究还是需要有人来接受风险的,而接受风险的人都是治理层面的角色,也许Symantec对IT管理咨询兴趣还不大、或缺乏相应的产品线来支撑,以致于遗漏了这个重要的类别。
附上我对IT Risk的分类方法吧,我会想办法从多个角度来对IT风险进行定义,或者假装专业地用上一个快用滥的词”多维度、多视角”来对IT Risk进行分类,这些视角可能包括投资者的视角、合规性视角、公司治理的视角、企业全面风险管理的视角、审计的视角、系统视角、企业社会责任的视角(理论尚在不断完善中,可能不仅限于这些,或者还会想办法来综合),其中一种分类方法是:
当然,分类方法也可以有很多种嘛,再来一个:
今天就到这里吧,下回再扯……祝今天在外面happy的人们不要被雨淋了,淋病了可不好啊。:)