如何避免安全项目投入中的“黑洞”

任何信息安全公司任何时候都会有很多不同项目在进行,而且是在还有很多日常操作性活动的情况下。每个项目都要花费一定的金钱、资源和时间。同时,这些项目对公司整体安全态势的贡献也不一样,并且处在不同的完成度上。公司企业需持续评估项目的预算消耗情况和进度,以及项目为企业安全态势注入的价值。阶段性评估没做好,可能会造成公司企业花费大量金钱、人力资源和时间却对安全态势毫无改善,或者项目完工遥遥无期。

《福布斯》上曾经发表过一篇名为《怎样浪费1000亿美元:失败武器项目》的文章,讨论了一系列烧掉大把美元还没成功的政府武器项目。文章提醒,任何项目都应在过程中设置检查点,确保该项目朝着既定目标推进,且不会超出预算。如果没这么做,项目很容易偏离轨道,造成超期或超预算的后果。

那么,机构想要避免陷入安全项目的资源投入黑洞,要怎么做呢?

1. 回归基础

考虑该如何评估哪些行动可以为安全机构带来价值时,我们需要回归基础来找寻答案。归根结底,各个安全项目都要缓解我们最为关注的风险和威胁,解决我们自己设立的安全目标和重要事项。如果我们回归这些基本要素,很快就能看出该怎样将各种不同工作对应到我们需解决的问题上。给定项目有助于解决和缓解某个风险或威胁吗?能帮助我们达成安全目标和实现优先事项吗?如果不能,那我们为什么要做这个项目?

2. 实施项目管理

如果你觉得项目管理最佳实践只适用于武器项目和软件工程,不妨再想想。每个人都应该熟悉项目管理技术。为什么安全工作就不能像其他项目一样正式呢?还有别的方法让公司了解现状并知晓如何衡量进度、成功、成本和其他关键指标吗?项目管理是超出很多安全人员认知的更正式的学科吗?当然!但也早该习惯并开始运用项目管理了。

3. 关注预算

安全预算显然从来都不足以覆盖安全公司想要涵盖的所有方面。那为什么还要在不能带来价值的人员、过程和技术上砸钱?花在不同项目上的钱数应与其带来的价值增值相关联。这能使安全公司了解大量金钱都打在了哪个没能带来既定价值附加的水漂项目上。

4. 盯紧进度

谁都不想看到项目延期或永远不能交付。所以,不要让事情脱离掌控。项目进行过程中设置检查节点,根据项目目标评估进度。识别出问题和障碍,在问题积累成额外的延迟与超支前防患于未然。通观全局可以让我们发现隐患,防止小隐患变成大问题以致毁了整个项目。

5. 避免赶潮流

安全行业似乎很容易被时髦的东西带跑注意力。时不时的,新的产品或服务类型就冒出来,引发一轮没必要的热炒。但很多时候,这种关注根本没有映射回公司企业希望解决的现实操作问题。有些公司够聪明,能坚持既定策略不偏离。但太多公司就被卷入热炒掉进漩涡了。不幸的是,陷进热炒往往伴随着要投入大量金钱、人力资源和时间在虚幻的毫无结果的项目上。更多情况下,今年的必备时尚会是明年的废铁一堆,再附带几家初创公司烧光融资关门大吉。不要咬钩。这只会将宝贵的资源从能带给安全公司更多价值附加的项目中分流出去。

上一篇:五步应用NIST网络安全框架

下一篇:戴尔EMC和VMware产品曝高危漏洞,现已发放补丁