如何避免安全项目投入中的“黑洞”

任何信息安全公司在任何时候都会有许多不同的项目，而且还有许多日常运营活动。每个项目都需要一定的金钱、资源和时间。同时，这些项目对公司整体安全形势的贡献也不同，完成程度也不同。公司需要继续评估项目的预算消耗和进度，以及项目为企业安全形势注入的价值。分阶段评估做得不好，可能会导致公司花费大量资金、人力资源和时间来改善安全形势，或者项目完成还很远。

《福布斯》曾发表过一篇题为《如何浪费1000亿美元：失败武器项目》的文章，讨论了一系列未成功烧毁大量美元的 *** 武器项目。文章提醒，任何项目都应在过程中设置检查点，以确保项目朝着既定目标前进，不超过预算。如果不这样做，项目很容易偏离轨道，导致逾期或超过预算。

那么，机构要想避免陷入安全项目资源投入黑洞，该怎么办呢？

1. 回归基础

当我们考虑如何评估哪些行动可以给安全机构带来价值时，我们需要回到基础上寻找答案。归根结底，每个安全项目都应该缓解我们最关心的风险和威胁，解决我们自己设定的安全目标和重要事项。如果我们回到这些基本要素，我们很快就会看到如何将各种不同的工作与我们需要解决的问题相对应。给定的项目是否有助于解决和缓解风险或威胁？它能帮助我们实现安全目标和优先事项吗？如果没有，为什么要做这个项目？

2. 实施项目管理

假如你认为项目管理***实践只适用于武器项目和软件项目。你不妨再想想。每个人都应该熟悉项目管理技术。为什么安全工作不能像其他项目那样正式？还有其他 *** 可以让公司了解现状，如何衡量进度、成功、成本等关键指标吗？项目管理是一门比许多安全人员认知的更正式的学科吗？当然！但是我们应该习惯并开始使用项目管理。

3. 关注预算

安全预算显然从来不足以涵盖安全公司想要涵盖的所有方面。那么，为什么要在不能带来价值的人、过程和技术上花钱呢？在不同项目上花费的资金数量应该与它带来的价值增值有关。这可以让安全公司知道，在没有带来既定价值附加的漂浮项目上花了很多钱。

4. 盯紧进度

没有人愿意看到项目延期或永远无法交付。因此，不要让事情脱离控制。在项目过程中，根据项目目标设置检查节点，评估进度。识别问题和障碍，在问题积累成额外的延迟和超支之前采取预防措施。通过全局，我们可以发现隐患，防止小隐患成为大问题，破坏整个项目。

5. 避免赶潮流

安全行业似乎很容易被时尚的东西所吸引。不时出现新产品或服务类型，导致一轮不必要的热炒。但很多时候，这种关注并没有反映出公司希望解决的实际操作问题。有些公司足够聪明，可以坚持既定的策略而不偏离。但太多的公司被卷入了热炒的漩涡。不幸的是，陷入热炒往往伴随着在虚幻的无效项目中投入大量资金、人力资源和时间。更多的时候，今年必要的时尚将是明年的一堆废铁，然后几家初创公司烧掉融资。不要咬钩子。这只会将宝贵的资源从可以给安全公司带来更多价值附加的项目中转移出来。

【本文是51CTO专栏作者“”李少鹏“”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv）获取授权】

戳这里，看作者更好的文章