任何一家信息安全公司,在任何时候都会有很多不同的项目在进行,而且是在很多日常运营活动中。每个项目都需要一定数量的金钱、资源和时间。同时,这些项目对公司整体安全态势的贡献各不相同,并且完成程度也不同。组织需要持续评估项目预算消耗和进度,以及项目为企业安全态势增加的价值。阶段性评估工作不做好,可能导致企业投入大量资金、人力和时间,而安全状况得不到改善,或距离项目完成还有很长的路要走。《福布斯》曾经发表过一篇名为《怎样浪费1000亿美元:失败武器项目》的文章,讨论了一系列政府军火项目,烧了很多美元却以失败告终。文章提醒,任何项目都应该在过程中设置关卡,确保项目朝着既定目标推进,不会超出预算。如果不这样做,随着时间的推移或超出预算,项目很容易偏离轨道。那么,组织可以做些什么来避免陷入安全计划投入资源的黑洞呢?1.回归本源在考虑如何评估哪些行为会给安全组织带来价值时,我们需要回归本源来寻找答案。归根结底,每个安全计划都是为了减轻对我们最重要的风险和威胁,并解决我们自己的一系列安全目标和优先事项。如果我们回到这些基础知识,我们可以很快看到如何将各种工作映射到我们需要解决的问题。给定项目是否有助于解决和减轻特定风险或威胁?它会帮助我们实现安全目标和优先事项吗?如果不是,我们为什么要做这个项目?2.实施项目管理如果你觉得项目管理***实践只适用于武器程序和软件工程,请三思。每个人都应该熟悉项目管理技术。为什么安全工作不能像其他项目一样正式?公司是否有其他方式了解现状并知道如何衡量进展、成功、成本和其他关键指标?项目管理是一门比许多安全人员意识到的更正式的学科当然!但是是时候习惯它并开始使用项目管理了。3.关注预算安全预算显然永远不足以涵盖安全公司想要涵盖的所有内容。那么,为什么要花钱购买不会增加价值的人员、流程和技术呢?花在不同项目上的金额应该与它们带来的附加值相关联。这使安全公司可以看到大量资金花在了哪些地方没有提供预期的附加值的虚假项目上。4.密切关注进度没有人希望看到项目延迟或从未交付。所以,不要让事情失控。在项目过程中设置检查点,并根据项目目标评估进度。在问题和障碍累积成额外的延误和成本超支之前识别它们。着眼大局可以发现隐患,防止小隐患演变成大问题,毁掉整个项目。5.避免跟风安防行业似乎很容易被时髦的东西分散注意力。时不时地,一种新型的产品或服务会突然出现,引发一波不必要的炒作。但很多时候,这种关注并没有反映公司希望解决的现实运营问题。一些公司足够聪明,可以坚持既定战略而不偏离它们。但太多的企业被卷入了炒作之中,陷入了漩涡。不幸的是,陷入炒作往往伴随着将大量资金、人力资源和时间投入到虚幻的、毫无结果的项目中。更多的情况下,今年的必备时尚明年将是一堆废铁,少数创业公司烧毁融资倒闭。不要咬钩。这只会将宝贵的资源从可以为安全公司带来更多增值的项目中转移出去。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信?id:gooann-sectv)获得授权】点此阅读作者更多好文
