安全咨询到底应不应该负责落地？

安全咨询应该负责落地吗？当然不负责落地！

上周五下班时间，某金融科技风险管理交流群里，有人发消息问“软件安全生命周期管控、数据安全生命周期管控、等保2.0都落地”的咨询项目，大概得需要多少钱。

一石激起千层浪，沉默许久的群里开始热闹起来，有人说这些都没法落地，有人说多少钱都能给造造完了，我对这个有意思的讨论说了句「咨询是传道授业解惑的，不负责落地」。

我把这个群聊截图发到朋友圈，结果就变的一发不可收拾，同感、调侃、鄙视等各种各样的观点都有。我的观点向来不拖泥带水，正如这篇文章开篇说的那样，咨询当然不负责落地。

本人作为一名十五年安全从业者，曾有十年咨询经验的安全顾问，并且在咨询机构、IT服务机构、厂商、甲方都有职业经历，对这个话题还是具有一定的发言权的。接下来就闲扯一下安全行业中咨询与落地的那些事。

何所谓咨询呢？咨询是在结合客户实际情况的前提下，构建出与客户实际需求相吻合的，能帮助客户实施规划、制订策略、优化流程、完善管理、提高效率、降低成本、增加收入的一套解决方案。

本质上来说，咨询是通过特定的咨询产品向目标客户传递价值的过程；咨询的价值包括知识理念、决策数据和服务人天三种，严格来说服务人天并不是咨询的价值，或者说属于咨询的低价值。

严谨的定义总是含混晦涩的，如果把咨询说得通俗一点的话，就是「你的客户想知道他不知道但是你知道的事情」，说白了就是你比客户懂得多。只要你懂得比别人更多的知识，而这个知识又恰恰是别人所需要的，这样便有了咨询的供需关系。

所以说咨询无处不在，在工作中可以向别人咨询个技术问题，在生活中可以向别人咨询个好吃的餐馆，在旅行中甚至可以向陌生人咨询出行路线。咨询并不见得都是高深莫测的，只要能传递知识与理念便是咨询，如此而已。

从安全建设的生命周期来看，咨询处于这个链条的顶端，咨询解决做什么（规划）和怎么做（设计）的问题。说到这里回过头来看看前面的话题，如果安全建设解决了做什么和怎么做的问题，这算是安全工作落地了吗？当然是不算的。

怎么才算安全工作落地呢？不但要知道做什么、怎么做，还需要按照既定规划蓝图去实施，实施完成交付运维，并通过运营使收益最大化。只有把这个生命周期走完，并处于稳定有效的运营阶段，安全工作才算真正落地了。

如此来看，咨询显然不应该负责落地，也不可能负责落地，因为就算把后面的建设、运维都做了，最终运营不还是得客户自己来吗？退一万步说，把客户运营工作接管了，那就变成了客户职能的一部分，咨询的前提与条件也就不存在了。

既然咨询不应该负责落地，那么为什么客户在咨询的过程中，却总是要不断地强调落地呢？这里面「落地」的潜台词应该是「可落地」，即咨询的过程是基于客户现状的，咨询的结论是严谨论证的，咨询的建议是技术可行的，解决方案是当前最优的。

套用微信群里一位兄弟的话，安全落地是需要天时地利人和的，需要不同的职能各司其职、各负其责，才可能（仅仅是可能）做到。咨询并不是万能的，如果咨询能够做到上面说的几点，客户自然不会就落地问题提出质疑。当然做不到的话，那是失败的咨询项目，并不是咨询本身的问题。

之所以咨询会有落地的争议，很大程度上是对咨询的内涵理解不一致所造成的，什么才是真正的咨询呢？想一想比较容易，真的说出来又很难，我想即没有负责落地工作，客户又非常满意认可，这便是咨询了吧。

声明：本文来自微言晓意，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。