在过去的几年里,我注意到一个有趣的问题:**许多网络安全公司失败,是因为创始人只关注功能和产品,而不是公司本身。**对于一些人来说,这甚至可能听起来有些困惑,因为从外部很难区分这两者之间的界限。这正是这次深入探讨的目的:区分产品和公司的区别,为什么网络安全创始人往往只关注前者而不考虑后者,建立一个公司会是什么样子,以及为什么至少在这个行业中有一些人敢于这样做是很重要的。
特点、产品和公司
大多数安全初创公司都在开发功能或产品,而不是建立公司。讽刺的是,从外部很难判断创始人的雄心壮志和能力,以及他们是在努力开发一个功能、一个产品还是一个公司。
安全功能:有用,但不足以建立一家公司
伪装成初创企业的安全功能极为常见:
1.创始人使用了业界广泛认可的现有工具,并发现它似乎缺少一个关键的功能,如果添加了这个功能,将会使该产品变得更好
2.一支研究团队找到了一种比市场上大多数玩家使用的算法更强大的方法,一种比其他人更好的威胁检测方法等等
3.一个开源爱好者开发了一个插件,扩展了平台的功能,可以为依赖该平台的安全团队节省时间
大多数情况下,只凭一个“杀手级功能”来创办一家公司,并没有长期战略,这是一个失败的游戏,原因有很多。
首先,初创企业的创始人喜欢把在职者斥为行动迟缓、无关紧要的人。某些情况可能是这样,但总体而言,它们确实招聘了许多相当聪明的人才。如果缺失的功能并不妨碍现有公司成功扩大市场份额,那么它对客户来说可能并不那么重要。即使该功能对某些用户而言确实很重要,但对更广泛的市场,它可能过于小众、实施起来不可行、风险太大等。
第二,围绕一个特定的应用案例建立一家公司是有风险的:如果没有什么阻止原始平台添加缺失的功能,那么当主要竞争对手发布相关功能的时候,这家初创公司可能会失去所有客户。如果该功能是现有平台的附加组件,依赖于其API的话,拥有该平台的公司可以进行更改,使整个解决方案无法使用。
无论如何,要建立一家成功的公司,就需要有一个远见——一个超越“构建这个令人惊叹的功能会很酷——我相信人们会喜欢!”的远见。从一个功能开始,没有对问题的广度进行良好的研究,没有了解问题的普遍程度以及谁会遇到这个问题,这只会导致“功能”在寻找问题。
对于大多数创业公司的创始人来说,成功的结果是被收购:如果大型供应商认为直接购买一个已经开发好的功能以及相应的团队比自己内部开发更容易,他们可能会决定收购该团队及其技术。要实现这一点,许多因素必须成立,包括:
1.创业公司必须开发出公司内部没有专业知识或时间来构建的东西
2.创业公司必须定价合理,这意味着它不能以高估值筹集大量资金
要被收购可能比某些创始人认为的更为困难。在安全领域,现有企业具有优势,因为它们1) 可以获取大量客户数据,2) 拥有完善的分销网络。如果这些公司能够迅速复制初创公司的解决方案,利用其数据访问权来改进它,并调动销售团队全力推销新功能,那么它们可能会摧毁创始人的出售愿望。
构建安全产品
在功能之后,第二常见的情况是创始人发现了一个构建产品的机会。产品本身就具有价值,因为它们解决了更大、独立的问题。安全产品有更广泛的潜在结果范围:有些可能最终被收购,而其他一些则可能成为大公司。如果一家初创公司没有一个出色的产品可以提供给客户,它很可能会失败。然而,仅仅拥有一个好的产品并不能使其成功。
看到一家刚刚起步的安全创业公司,很容易就会忽视它,认为它只是一个毫无价值的“单点解决方案”。我认为这是一个错误的看法,这就好像看着一个名叫Agatha Christie的婴儿,并说“它连一个字都不会说,怎么可能写出一本书来”。婴儿长大并学习,经过一段时间后,他们可以实现以前不知道的事情,展示新的才能,最终定义产业。公司也是如此:当Palo Alto最初成立时,它是一家防火墙公司,没有人能够预测它会成为一家一站式安全提供商;没有什么能够阻止今天的一些小型初创公司,它们构建看似不起眼的产品,复刻其成功之路(我确信,有些会成功)。
创立公司不只是发布出色的功能和令人惊叹的产品
在这个行业中最稀缺的是那些创办公司的人。这些人可以是像思科、CrowdStrike、Tenable和Palo Alto Networks这样的老牌企业,也可以是像Wiz这样的新兴玩家。
所有公司都好比一座冰山,只有一小部分可以从外部看到初创公司的真实情况。外界看到的通常是产品、品牌和定位,这些可以通过初创公司的网站、营销材料、活动和社交媒体以及员工在网上分享的帖子来剖析。所有这些往往都围绕着公司的产品、带来的价值、新功能发布等。
对于外部人士(甚至是许多在公司工作的员工)来说,他们不了解创业公司实际运营所需的一切,其中包括公司治理、筹款、法律事务、投资者关系、运营、财务与预测、工资支付、风险管理、招聘与团队构建、激励设计、合作伙伴关系等等。虽然与大型企业不同,创业公司通常不会为每个职能领域设立独立的部门,但仍然需要有人来完成这些工作,因为它们是创立公司的关键部分。
虽然打造产品是公司为客户提供价值的基础,但推出新功能本身并不等同于经营企业。此外,从市场推广的角度来看,产品只是大局的一部分,大局包括市场规模、商业模式设计、定位和竞争分析等等。许多优秀产品的失败都是因为公司的商业模式设计不合理,导致收入无法弥补基础设施成本,或者需要太多人手,因而无法提供可接受的利润率。有些产品失败的原因是没有考虑到竞争格局,进入了一个完全商品化的细分市场。与此同时,有很大一部分网络安全初创企业虽然做出了很好的产品,但由于资本分配习惯不佳、在验证客户需求之前过度招聘和投资建设、没有考虑到最关键的风险以及其他与产品无关的问题,仍然倒闭了。
为什么网络安全创始人倾向于构建功能和产品,而不是公司
安全从业人员缺乏对自己所在组织业务的背景了解
许多安全领导者和从业人员缺乏对企业业务方面的了解。安全被视为与其他业务分开运作的职能部门,这种情况并不罕见。实际上,这意味着安全从业人员没有足够的时间去了解公司的运营需要什么,财务、客户成功、运营、业务发展、人力资源、薪资和投资者关系等领域是如何为公司的成功做出贡献的,他们每天都在做些什么,以及如何使公司发展壮大。当安全团队将组织的其他部门视为纯粹的风险源时,他们最终会缺乏自己组织的业务背景。幸运的是,随着行业的成熟,许多安全团队越来越不这样认为了。
当安全从业人员选供应商时,他们会考虑功能和产品
当安全从业人员谈到CrowdStrike时,他们关注的是其CrowdStrike Falcon平台;当他们讨论Wiz时,他们谈论的是其云安全能力。专注于功能和能力使安全从业人员能够评估哪个解决方案设计更好,支持更好,并能为他们的环境提供更好的保护。
现实情况是,无论是Wiz还是CrowdStrike平台,与其他解决方案一样,它们都是其母公司的创造物,而不是独立的公司。公司成功或失败的原因很少像“因为它们拥有更好的功能集”那样简单。相反,成功取决于它们如何准备、识别和应对风险;如何筹集和配置增长资本;如何管理投资者的期望并为退出做计划;如何决定关注哪些客户细分市场以及以何种顺序赢得更大的市场份额等等。要击败竞争对手,仅仅打造一个更好的功能集是不够的,因为公司的定义远远超出产品功能列表的范畴。
当你不知道自己不知道什么时,很难改变思维方式
未来创业者中有很大一部分是那些没有接触过他们曾经工作的公司业务的人,他们只是通过仅仅关注产品特点来了解供应商市场。当安全从业者创办自己的创业公司时,“安全与业务”的心态已不再可行:现在安全本身就是业务。
尽管我们现在终于承认“安全应该成为业务的推动者,而不是一个“禁止”的部门”,但实际上很少有安全专业人员接触到业务指标,并全面了解经营一家公司所需的要素。当轮到他们创办公司时,他们不仅缺乏作为企业主做出决策的思维模式,而且通常也缺乏可以寻求帮助的人际网络。
讽刺的是,许多安全从业者创办公司的初衷是专注于他们最擅长的领域——安全,并帮助其他组织解决他们自己曾经面临的问题。然而,运营初创公司所需的技能与安全几乎没有关系;更糟糕的是,随着时间的推移,创始人将花费越来越少的时间来从事安全工作,而更多的时间将集中在公司的建设上——如果他们周围没有良师益友,这对他们来说是很难适应的。
投资者经常不了解创始人的背景,或者了解也不支持
有大量资本可供支持网络安全初创公司,因此风险投资公司渴望找到潜在有前景的创业者,并为他们提供资金来实现他们的想法。
虽然有很多投资者愿意出资,但很少有人愿意提供实质性的支持来帮助安全创业者建立公司。这并不是因为投资者恶意忽视,而是因为他们中的许多人并不完全理解安全从业人员所处的环境。风险投资家习惯于支持软件工程师、产品经理等具有在高度了解如何建立企业所需的职能工作经验的人。许多投资者忽视的是,安全从业人员对于经营公司所需的知识和经验相对较少。
安全作为一门学科非常新颖,因此在商业背景下与软件开发等领域相比,它落后了数年。与首席技术官(CTO)和工程主管不同,他们被邀请参与高层讨论与其他领导共同创造,许多组织的首席信息安全官(CISO)仍在为有权坐在制定业务决策的桌子旁而奋斗。这种将安全视为“业务”之外的文化从领导层渗透到安全从业人员,他们没有足够的时间去建立关系和了解公司所处业务的复杂性;这往往不是因为他们不愿意,而是因为他们没有时间。
如果支持创始人的人,即投资者和顾问,了解这些差距,并且有资源并愿意提供支持,那么所有这些差距都是可以解决的。如果他们不了解或者没有准备好,那么他们投资的资本很可能会被用来推出酷炫的功能,而不是建立一个持久的公司。这就是我认为以色列风险投资公司做得很好的地方——他们支持早期创始人,并帮助他们从市场营销到销售和运营等方面,直到他们站稳脚跟。我们有很多可以从以色列模式中学习的地方,以及它所能带来的成果。
安全创始人和投资者须知:打造公司而非功能
创始人需要决定他们在构建什么,制定计划并执行它
对于创始人来说,诚实地决定他们试图构建什么非常重要。如果他们的目标是在2-5年内开发某种大公司可能会收购的东西,那么他们心目中的是一个项目(特性或产品),而不是一家公司。这种方法并不是不好,只要创始人在以下方面保持透明:
1.对自己诚实
2.对员工和投资者诚实
3.公司做出与这一目标一致的决策
另一方面,如果他们试图构建一家可以存在数十年的公司,那么为了实现这一目标,他们需要做出非常不同的决策。当然,仅仅做出决策是不够的;重要的是随之而来的执行。不少创始人常常会做出技术、筹资、产品以及其他决策,这些决策会妨碍他们将其特性发展成为一家公司。无论是过快筹资、过度投入建设而未找到产品市场契合点,或其他类似的错误,这些错误比许多人意识到的要常见。
安全从业者需要投入时间来理解如何经营一家公司
在众多业务领域中,安全是少数几个将组织的其余部分视为风险或责任的领域之一。这种心态具有局限性,因为它妨碍了安全从业者建立对构成一家公司的所有要素的理解。
当安全专业人员选择创建一家初创公司时,他们需要考虑市场推广战略,制定营销活动计划,处理销售,筹集资金,向投资者提供定期更新,阅读法律合同等。即使他们最终雇佣了专门负责他们不擅长的各个领域的员工,他们仍然需要监督公司的整体方向,这是他们不能外包给其他人的事情。
要想有效地经营一家公司,创始人需要培养商业头脑。理想的情况是,在他们离开安全团队建立自己的初创公司之前很长时间,就已经具备了这种能力;如果不是这样,他们就需要身边有值得信赖的顾问、导师和支持团队,以便迅速掌握业务技能。
为了解决优先级问题,创业者需全面考虑他们的业务
安全专业人员大多善于安排工作的轻重缓急——总是有相互竞争的优先事项,而且没有足够的资源来完成所有工作。同时,他们的所有工作在某种程度上都是相关的,因为这些工作都是为了满足一种需求——安全需求。
网络安全创业公司的创始人需要将他们的优先级技能提升到一个新的水平,因为他们需要优先处理与工作完全无关的事情。什么更重要?是在团队确实需要有人尽快开始工作的情况下面试一名潜在员工;在潜在客户与决策者汇报之前,与其交谈以明确价格信息;与审计员合作获得FedRAMP授权以开启新的销售机会,还是解决生产中的关键漏洞?当资源有限,各方面的工作量不断增加时,那些缺乏对业务的深刻理解的人将很难做出能够最大程度提高积极结果概率的决策。
达到下一个层次,安全创始人需学会建立关系和联盟
尽管安全专业人员是以团队形式工作,但个人贡献者大多对自己的工作负责,而管理者也应对下属的贡献负责。另一方面,安全领导者通过设定方向、确立目标并确保人们履行责任,最重要的是通过利益相关者管理来增加价值。一位优秀的首席信息安全官(CISO)花时间在公司内建立关系,将销售、法务、财务、客户成功、工程等职能部门转化为自己的盟友。
大多数安全专业人员习惯通过正式权威来影响他人——通过发布和执行政策,要求遵守等等。事实是,良好的利益相关者管理,尤其是建立一个公司,需要恰恰相反,即无权威的影响力。
一位初创公司的CEO需要具备激励和激发人们的能力,包括员工、投资者、行业分析师、合作伙伴甚至客户。如果创始人需要正式地强迫员工听取他们的意见,仅仅因为他们拥有公司,那么他们已经失败了。
要达到下一个层次,现在和未来的安全创始人需要建立关系并投资于发展他们的沟通技巧。如果没有这一点,他们仍然可以作为行业中的个人贡献者生存下去,但作为企业家,他们肯定会吃瘪。
无法测量的事情不会被完成
我坚信创业者需要对指标有着极度的痴迷。这意味着仅仅专注于建设是不够的;一家公司的首席执行官需要了解业务的数字表现,并且知道每个人所推动的可量化指标。这包括:
1.了解客户获取成本、平均合同价值、转化率以及其他与获取客户相关的指标。
2.拥有财务计划,过度合理化资源,并知道他们如何运用资金。大多数公司最终会在获得任何客户验证之前花费大量资金来开发产品。他们没有预算,相反,他们有一个银行账户,从中提取资金来开发他们在从事该领域工作时希望拥有的酷东西。
3.为整个创业公司以及组织的每个部分建立关键绩效指标,以促进公司目标的实现。
从第一天开始建立系统和流程
创始人们思考建立持久、可扩展的公司时,需要从一开始就寻找建立系统和流程的方法。这些方法必须适合公司所处的阶段:目的不是增加官僚主义或减慢进程,而是要长远思考,为未来的增长打下基础。
我经常看到的一些不足之处,包括:
1. 沟通渠道:创始人应有意识地在公司内部设计适当的沟通渠道,以便快速、透明地解决冲突、误解等问题。(例如,领导团队会去更新的内部open slack)
2.反馈机制:建立一个系统,早期识别差距、绩效问题和沟通失效。(例如,确保领导团队中有人充分关注解决障碍)
3.绩效期望:创始人需要对绩效设定明确的期望,并在员工未达到期望时愿意做出艰难的决策。关于慢招聘快解雇已经说了很多,但我发现很少有安全从业人员愿意做出人员配置决策。
4.愿景与使命的一致性:当每个人都行动迅速时,不一致的代价是巨大的。对公司愿景或方向的简单误解,如果不被发现和解决,可能导致多个人朝着不同的方向努力。(例如:每周全员更新,简洁而一致)
结语
并不是每个初创公司都会成为一家大型上市公司,许多公司是作为2-5年的项目开始的,目标是尽快被收购。创始人需要思考公司的建设,明确决策他们想要建立什么,并与投资者和关键利益相关者保持透明沟通。
打造功能是有趣且令人兴奋的;建立公司则是困难的。作为一个行业,我们需要鼓励长期思考:如果大多数创业者继续寻求快速退出,或者更糟糕的是,梦想着建立持久的公司却没有做出支持这一路径的决策,那么创新对我们来说将是困难的。
Ross Haleliuk
Venture in Security专栏作者,天使投资联盟负责人,LimaCharlie产品总监。
原文链接:
https://ventureinsecurity.net/p/a-shortage-of-cybersecurity-founders
认识中东网安市场
点击阅读原文或扫码
马上预约参会,踏上出海中东第一步!
往期回顾
MSSP巨头意图收购SOAR明星厂商,获得自动化和AI加持
SAST赛道竞争新局面|Forrester
PAM魔力象限新气象|3家领先,3家失落
关注「安全喵喵站」,后台回复关键词**【报告】,**即可获取网安行业研究报告精彩内容合集:
《网安供应链厂商成分分析及国产化替代指南》,****《网安新兴赛道厂商速查指南》,《网安初创天使投资态势报告》,《全球网络安全创业加速器调研报告》,《网安创业生态图》,**《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》**
**话题讨论,内容投稿,报告沟通,商务合作等,**请联系喵喵 hella@z1-sec.com。
