如何避免安全專案投入中的“黑洞”
任何資訊保安公司任何時候都會有很多不同專案在進行,而且是在還有很多日常操作性活動的情況下。每個專案都要花費一定的金錢、資源和時間。同時,這些專案對公司整體安全態勢的貢獻也不一樣,並且處在不同的完成度上。公司企業需持續評估專案的預算消耗情況和進度,以及專案為企業安全態勢注入的價值。階段性評估沒做好,可能會造成公司企業花費大量金錢、人力資源和時間卻對安全態勢毫無改善,或者專案完工遙遙無期。
《福布斯》上曾經發表過一篇名為《怎樣浪費1000億美元:失敗武器專案》的文章,討論了一系列燒掉大把美元還沒成功的政府武器專案。文章提醒,任何專案都應在過程中設定檢查點,確保該專案朝著既定目標推進,且不會超出預算。如果沒這麼做,專案很容易偏離軌道,造成超期或超預算的後果。
那麼,機構想要避免陷入安全專案的資源投入黑洞,要怎麼做呢?
1. 迴歸基礎
考慮該如何評估哪些行動可以為安全機構帶來價值時,我們需要回歸基礎來找尋答案。歸根結底,各個安全專案都要緩解我們最為關注的風險和威脅,解決我們自己設立的安全目標和重要事項。如果我們迴歸這些基本要素,很快就能看出該怎樣將各種不同工作對應到我們需解決的問題上。給定專案有助於解決和緩解某個風險或威脅嗎?能幫助我們達成安全目標和實現優先事項嗎?如果不能,那我們為什麼要做這個專案?
2. 實施專案管理
如果你覺得專案管理最佳實踐只適用於武器專案和軟體工程,不妨再想想。每個人都應該熟悉專案管理技術。為什麼安全工作就不能像其他專案一樣正式呢?還有別的方法讓公司瞭解現狀並知曉如何衡量進度、成功、成本和其他關鍵指標嗎?專案管理是超出很多安全人員認知的更正式的學科嗎?當然!但也早該習慣並開始運用專案管理了。
3. 關注預算
安全預算顯然從來都不足以覆蓋安全公司想要涵蓋的所有方面。那為什麼還要在不能帶來價值的人員、過程和技術上砸錢?花在不同專案上的錢數應與其帶來的價值增值相關聯。這能使安全公司瞭解大量金錢都打在了哪個沒能帶來既定價值附加的水漂專案上。
4. 盯緊進度
誰都不想看到專案延期或永遠不能交付。所以,不要讓事情脫離掌控。專案進行過程中設定檢查節點,根據專案目標評估進度。識別出問題和障礙,在問題積累成額外的延遲與超支前防患於未然。通觀全域性可以讓我們發現隱患,防止小隱患變成大問題以致毀了整個專案。
5. 避免趕潮流
安全行業似乎很容易被時髦的東西帶跑注意力。時不時的,新的產品或服務型別就冒出來,引發一輪沒必要的熱炒。但很多時候,這種關注根本沒有映射回公司企業希望解決的現實操作問題。有些公司夠聰明,能堅持既定策略不偏離。但太多公司就被捲入熱炒掉進漩渦了。不幸的是,陷進熱炒往往伴隨著要投入大量金錢、人力資源和時間在虛幻的毫無結果的專案上。更多情況下,今年的必備時尚會是明年的廢鐵一堆,再附帶幾家初創公司燒光融資關門大吉。不要咬鉤。這隻會將寶貴的資源從能帶給安全公司更多價值附加的專案中分流出去。