如何避免安全項目投入中的“黑洞”
責編:gltian |2018-12-03 13:18:25任何信息安全公司任何時候都會有很多不同項目在進行,而且是在還有很多日常操作性活動的情況下。每個項目都要花費一定的金錢、資源和時間。同時,這些項目對公司整體安全態勢的貢獻也不一樣,并且處在不同的完成度上。公司企業需持續評估項目的預算消耗情況和進度,以及項目為企業安全態勢注入的價值。階段性評估沒做好,可能會造成公司企業花費大量金錢、人力資源和時間卻對安全態勢毫無改善,或者項目完工遙遙無期。
《福布斯》上曾經發表過一篇名為《怎樣浪費1000億美元:失敗武器項目》的文章,討論了一系列燒掉大把美元還沒成功的政府武器項目。文章提醒,任何項目都應在過程中設置檢查點,確保該項目朝著既定目標推進,且不會超出預算。如果沒這么做,項目很容易偏離軌道,造成超期或超預算的后果。
那么,機構想要避免陷入安全項目的資源投入黑洞,要怎么做呢?
1. 回歸基礎
考慮該如何評估哪些行動可以為安全機構帶來價值時,我們需要回歸基礎來找尋答案。歸根結底,各個安全項目都要緩解我們最為關注的風險和威脅,解決我們自己設立的安全目標和重要事項。如果我們回歸這些基本要素,很快就能看出該怎樣將各種不同工作對應到我們需解決的問題上。給定項目有助于解決和緩解某個風險或威脅嗎?能幫助我們達成安全目標和實現優先事項嗎?如果不能,那我們為什么要做這個項目?
2. 實施項目管理
如果你覺得項目管理最佳實踐只適用于武器項目和軟件工程,不妨再想想。每個人都應該熟悉項目管理技術。為什么安全工作就不能像其他項目一樣正式呢?還有別的方法讓公司了解現狀并知曉如何衡量進度、成功、成本和其他關鍵指標嗎?項目管理是超出很多安全人員認知的更正式的學科嗎?當然!但也早該習慣并開始運用項目管理了。
3. 關注預算
安全預算顯然從來都不足以覆蓋安全公司想要涵蓋的所有方面。那為什么還要在不能帶來價值的人員、過程和技術上砸錢?花在不同項目上的錢數應與其帶來的價值增值相關聯。這能使安全公司了解大量金錢都打在了哪個沒能帶來既定價值附加的水漂項目上。
4. 盯緊進度
誰都不想看到項目延期或永遠不能交付。所以,不要讓事情脫離掌控。項目進行過程中設置檢查節點,根據項目目標評估進度。識別出問題和障礙,在問題積累成額外的延遲與超支前防患于未然。通觀全局可以讓我們發現隱患,防止小隱患變成大問題以致毀了整個項目。
5. 避免趕潮流
安全行業似乎很容易被時髦的東西帶跑注意力。時不時的,新的產品或服務類型就冒出來,引發一輪沒必要的熱炒。但很多時候,這種關注根本沒有映射回公司企業希望解決的現實操作問題。有些公司夠聰明,能堅持既定策略不偏離。但太多公司就被卷入熱炒掉進漩渦了。不幸的是,陷進熱炒往往伴隨著要投入大量金錢、人力資源和時間在虛幻的毫無結果的項目上。更多情況下,今年的必備時尚會是明年的廢鐵一堆,再附帶幾家初創公司燒光融資關門大吉。不要咬鉤。這只會將寶貴的資源從能帶給安全公司更多價值附加的項目中分流出去。