如何问问题?

标签:IBM安全存储问问题方法论Websphere

访客:68860  发表于:2012-09-14 14:36:04


昨天下午参加了IBM WebSphere竞争力巡展上海站活动,在讲worklight的时候,有听众AIBM的“专家”Bworklight如何保证移动设备端应用的安全性。

B没听明白问题,只好将前面讲过一遍的“移动终端上的应用不直接和后端企业应用系统连接,而是和Worklight server连接,Worklight Server再和后面的企业应用连接,之间会有防火墙之类云云”。

B答非所问,A急了,说自己公司做的是金融类的应用,推送到客户的手机上,当然要为安全性负责,并举例说支付宝就要为移动设备端的支付宝客户端安全负责等等。

可惜,最后B也没有给出令人满意的答复,只好以演讲主题很多,时间有限,会后个别交流的答复技巧性地“混”了过去。

其实,这个场景在IT业很普遍,总结下来就是问的人不会问问题,答的人不会引导、提炼、确认问的人的问题,最后含含糊糊地对付过去,双方都很不爽。

产生这种状况的根源,A这边的问题是:

1:喜欢总结、归纳问题,而没有把自己本源的问题直接告诉B,问出来的问题更抽象、更笼统、经过了加工,而又不知道自己的加工是否正确,是否损失了有效信息,是否转移了重点,是否模糊了自己的本源”。

2:喜欢问大问题,如“SAPOracle哪个好?没有代入感,没有企业背景的介绍,没有问题环境的介绍,没有自己期望的介绍,总之,没有任何个性,没有任何约束;

B这边的问题是:

实战经验和跨领域知识不够丰富,不能够逐一列举各种可能性、各种场景,来询问A是否担心的是这个问题,从而确认具体问题后再给出答案。


所以,科学地问问题的方法是

1. 不要加工,问最本源的问题,问你最直接的担心,问你最直接的期望是否可以达成,解释清楚自己问题的具体场景、前提条件、约束、顾虑等。这样答的人才能最真切地把握问题,才能回答最有针对性、价值也最大的解决方法。

2. 不要单单问大问题,就像破案一样,要提供尽可能多的细节,反映出一个特定的企业问题的根源、具体的约束、不同的权重(针对成本、困难、价值、重要性、紧迫性),这样有助于判断解决方案的适配性;在权衡、取舍方面更科学;对最终要达成的目标也更清晰,更容易统一思想。

3. 要做到“烂笔头”,任何时候有问题了,在一个集中的地方把它记下来,包括问题和场景。如何有能力,最好贴上各种属性或标签(如什么部门的问题、什么级别人员的问题、什么流程的问题、重要性如何、紧迫性如何、损害或价值如何、)。这其实就是知识管理的一种必不可少的基础工作。有机会的时候拿出来找专家问,或者平常看书、听讲座、参观成功案例时找答案。

4.不要怕羞,怕暴露自己的不懂。


本人不是安全领域的专业人士,只能猜测A的本源问题可能是如下几种,问题的完备性方面以及解决方案的正确性方面,希望专业人士补充和指正。

一、移动终端设备上有病毒,可能会破坏应用

二、移动终端设备OS有漏洞,甚至是零日漏洞?破坏应用或偷数据

三、如何保护使用者隐私?

四、移动终端设备上有Malware,偷窃重要信息,如银行卡账号、密码等。

五、应用是否在移动终端设备上存储数据,是否加密?设备丢失后是否可以远程控制删除?

六、应用和后端应用联系时,采用什么协议如Https,是否安全?

七、如何安全备份?

八、如何确认使用者身份信息?

显然,如何A将自己担心的各种具体场景作为问题一一问出来,B将更容易理解,也能更有针对性地提供解决方案。另一方面,估计很多IT人士马上就能给出一些场景的解决方案来,因为问题分析清楚了,可能一半的答案就已经找到了,至少知道去哪里找答案了。最怕的就是我们小时候听过的“咕咚的故事”,咕咚是什么不知道,可怕在哪里也不知道,就是可怕,结果自然无解。


评论(2)

您可以在评论框内@您的好友一起参与讨论!

    1. guo.wei 非常感谢!很适用,沟通讲求效率的必要条件就是说双方都听得懂的话!谈判,提问都是如此。

      回复[0] 2012/09/17 13:14

    1. 张宇婷 这个帖子高度适用于记者采访!感谢~

      回复[0] 2012/09/16 21:43

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");