今年1月,凯文·凯利写了一篇题为“比免费更好”这解释概念价值在互联网上举行。这引起了广泛关注,主要是围绕如何赚钱的问题这些概念。作为一个职业安全的家伙,我发现自己想在地球上我的领域将如何应对,如何安全需要适应支持商业模式基于这些价值观?当我们使用锁定一切,我们如何回应,当人们开始呼吁开放吗?
凯利的文章出发的想法完全明显的一旦你听到他们的声音:在能被复制接触互联网,很快成为免费的副本。当拷贝变成免费的,你需要卖东西不能被复制。当然,这是一个非常优雅的简短的总结陈述观点;我希望你们去读他的原创文章。这是一个很好的阅读。
凯利继续解释八“生财要素”,东西不能复制,所以仍持有价值在互联网上:即时性,个性化、解释、真实性、可访问性、化身,赞助,可寻性。你可能不想支付,mp3,你可以免费下载,但你可能能够支付现在,最好有一份调整声音在你的音频设置,歌词翻译成你的语言,知道它是真实的,等等。
我们需要做什么?安全如何适应这些生财要素呢?
答案是,我们需要做更多的比你期望的。除了他的原则的体现和赞助,是:人们可能支付一个物理副本(化身)的东西,或支持特定的艺术家或设计师的喜悦(赞助),但是有小,安全能帮助除了让开。但在其他地区,安全扮演一个重要部分,是否直接帮助产生收入或作为一个配角。让我们把他们一个接一个。
信任。凯莉通过信任短暂,不包括他的生财要素之一。但他确实承认它的重要性和正确,因为信任支撑最成功的交易。当购买在线,我不会把我的信用卡信息给公司我不相信,和Paypal赚了很多钱的实现,人们有这样的感觉。当购买金融产品,我将处理一个大银行在监管市场,我相信,而不是一个利基公司一个小国家,我在地图上找不到。
创建信任什么?我怀疑答案取决于你问的人不同,但三大组件的信任我相信公司会照顾无论我委托他们的关心,是否这就是我的钱,我的数据,或我的身份;相信,如果一个问题发生在他们看他们会尽他们所能修复它;和信任,公司仍将交易的生命周期。
当然,这是安全的中心地带。我们理解信任;我们了解如何支持和培育它。也许我们需要讨论更多营销专家更好地理解如何security-inspired信任这个品牌卖给我们的客户,但这是我们的力量。
即时性。在我们耐心的社会,我们将支付现在的东西,即使我们可以便宜或免费在几个星期或几个月。这已经说过很多次,很多人必须显而易见——为什么我们安全的人没有听说过吗?我们错过这个怎么样?
我们必须有错过,因为作为一个消费者我每次看到一个安全措施作为一个障碍,障碍阻止我花我的钱。注册流程与数据验证计划,不认识我的地址和我的电话号码,给我产品。没完没了的许可协议,我不理解,只是给我的产品。日益复杂的身份验证过程:用户名、密码的秘密的话,验证码腿,母亲的婚前姓,在测量你父亲的表弟的宠物仓鼠——给我的产品!
这些机制降低消费者一点点。和一次又一次我听保安说“但这只是一个简单的验证步骤。这不会真的妨碍。”Maybe each on its own won't, but add all the security steps together, and then see which is easier to get hold of: your legitimate product or a counterfeit copy.
如果是容易得到的假冒比真实的东西,我敢打赌,你十有八九的会,那么你将有一个有趣的时间试图让消费者支付钱给你的版本。我试着买一些GPS软件在线最近,一直遇到障碍。每一步是更困难的侵入性和设计不良的安全机制,最终我放弃了试图给这些人钱,去下载盗版版本。我花了大约两个小时在公司的网站在放弃之前,然后花了大约5分钟在海盗湾发现盗版拷贝。我积极想给公司钱,他们似乎积极地试图阻止我。他们成功了。
当然有好的理由这些安全措施必须到位,我已经把足够的时间。我不止一次的说我们摆脱这些机制,但我们必须换我们的重点。必须有两个基本设计目标对任何安全机制:它必须让好人尽可能容易,它必须保持坏人尽可能有效。常常,我们专注于坏人和忘记,好人,支付我们的工资。
个性化。没有固有的安全问题在定制产品的人。安全问题在第一时间识别人,记住他们是谁,他们喜欢什么,在记录他们买什么,他们决定不这么做。
这是身份管理,最难的问题之一的安全。在过去的二十年里我见过安全问题困难的兴衰成败:防火墙已经从专家网络路由设备一个黑盒子,一个标准的构建块在任何网络架构;杀毒软件已经从自定义编码反应个人Excel宏病毒大众市场的产品,即使你的祖父母会购买和使用。但身份管理仍然困难。
身份管理已经是最困难的问题之一,但如果个性化成为新经济的驱动力是只会变得更加困难。一些公司这样做已经:亚马逊还记得我当我访问时,记得我喜欢什么,我不推荐书籍和dvd对我来说,就像一个村庄店主知道她所有的顾客朋友。但是除了零售成功的故事,大多数公司仍在努力记住自己的员工是谁,来管理自己的员工的身份,和要走的路还很长,能够扩展到他们的客户。
如果凯利是对个性化,那么公司需要看他们的身份管理解决方案,并想知道他们是不会过时的。将它仍然支持你的员工的需求,(希望)扩大客户基础在五年的时间吗?如果没有,现在是时候开始把这基本的基础设施。
解释。的方式有很多种解释一个软件产品,和一个重要的一个是安全更新。这回来一个信任的基石——知道你的商业伙伴可以依靠修复一个问题如果发生在他们的手表。有钱可赚,赢得顾客的忠诚,在寻找安全漏洞,得到可靠的补丁市场尽快。没关系,大多数客户不知道缓冲区溢位来自一个破碎的风扇皮带,但是他们确实知道你解决问题,你照顾他们,鼓励他们信任你。
企业应该广告他们的安全更新的销售材料:“买我们的产品,它X, Y和Z,如果出现问题我们会修复它”。(也许比这更精致形式——我从来没有声称自己是一个好的文案,但对我来说这是一个引人注目的推销)。公司多次我们都被烧毁了我们的钱,交给一个产品,然后方便地忘记我们存在商品开始时出错。这个问题在其他行业是克服的保证,但在软件行业我们有选择不保证我们的产品工作。但是如果我们想让我们的客户信任我们,我们要给他们信心,我们会解决问题,原因,和常规的bug修复和安全更新这样做我们的最好方法之一。
真实性。我们再次回到安全的中心地带——真实性和身份验证。(安全人可以松一口气了,因为这是所有的教科书。)我们的专家告诉你什么是真的,什么是假的。我们有各种各样的工具和技术,校验和,水印,证明是伪造的,这是真正的交易。这是我们可以出去和铅。
但再一次,我们朝着稍微错了方向。在过去的几年里,我们的重点是坏人,而不是使生活更容易好人。数字版权管理是这一运动的典范,和其他一些安全机制所引起的公众厌恶。DRM的观点,必须不惜一切代价阻止坏人,即使导致的路径起诉自己的客户,故意设计功能的产品——“设计缺陷”——将来之不易的企业声誉与小霸王的法律策略。
凯利提醒我们,真实性是一个珍贵的价值客户,不仅仅是供应商。这就是为什么我愿意承认在写作,我下载一些盗版软件来自海盗湾网站的几周前,因为我停止下载,不会安装它。我价值的真实性我买什么;我不想把一块盗版软件在我的机器上,因为,就像猫拖回家,你永远不知道这是哪里。把这个软件在相同的机器上,我所有的电子邮件,我的工作,我的银行账户信息吗?不,谢谢,我将等待,直到我最终会得到一份原始的、真实的软件。这同样适用于各种产品:是的,你可以买到廉价的副本名牌服装在各种各样的地方,但是随着时间的推移你知道真实的衣服通常持续时间更长,更好看。给定一个昂贵的选择诺基亚电话或廉价的Nokai电话从我的本地市场,我知道哪一个是可能更可靠。
我们需要记住,好人支付工资。你的客户都不傻,他们可以区分一个廉价的假的和有价值的原创,而且他们通常愿意支付的。身份验证机制不必使生活不可能伪造者:通常是足够的只是为了弄清楚哪些是真的,哪些是假的。
可访问性。也许Acme数码仓库可以卖给我一个理念,那就是他们将组织所有我的数据,我的音乐,我的照片,我的数字身份,但首先他们要出售我的想法,他们会照顾它正确——再一次,我们回到信任。脸谱网学到这一点之后,最近一个客户反应有关的使用用户购物数据,和给他们的信贷他们似乎同样迅速地快速学习和解决问题。他们也学习,需要越来越细粒度访问控制,因为他们提供更多的访问。我有更详细的控制访问Facebook的个人资料比我曾经在访问机密数据在过去很少有公司我工作了,和越来越多的Facebook用户利用这些特性。
可寻性。当数以百万计的选择,能够为你找到合适的人是有价值的。这就是为什么世界上最有价值的科技公司之一谷歌公司最初成立的帮助你找到的东西。这并不新鲜:销售、市场营销和广告小组一直知道,除非人们知道你的产品存在,没有人能买它。
但如果市场营销的一个基本原则是“脱颖而出”的,安全的一个基本原则是保密的。不可能有两个截然相反的原则,和安全我们有一系列的工具设计隐藏,隐瞒,保护,防止人们发现我们所知道的。这些是完全“囤积和稀缺的技能”,凯利标签过时了。