Я работаю в розничной сети малого и среднего размера, у которой есть полдюжины крупных уличных магазинов и веб-сайт.
Ситуация с ИТ в настоящее время находится в очень простом состоянии. Поскольку должность «руководителя отдела информационных технологий» - это лишь небольшая часть моей должности, и последняя в списке, я не смог уделить ей столько времени, сколько мне хотелось бы.
В нашей сети около 50 компьютеров и 14 компьютеров с Windows (30 внутри головного офиса, 20 внешних магазинов, складские помещения и ноутбуки). Все это построено в сети Workgroup, и все сайты соединены вместе с помощью очень простой настройки VPN на уровне маршрутизатора с подсетями для каждого магазина.
Поэтому я не могу ничем управлять, проверять безопасность компьютеров, проводить аудит, проверять, установлены ли обновления, управлять Wi-Fi для гостевых устройств или что-либо проверять.
Я бы очень хотел домен и, но после того, как сказал своему боссу, он сказал, что это того не стоит:
Я не знаю, как подчеркнуть, насколько серьезны аспекты безопасности из-за отсутствия домена. Кто угодно может получить доступ к контенту, если он подключится к нашему Wi-Fi, любой может получить доступ к контенту с любого ПК, так как у пользователей не установлены пароли, общие папки могут быть видны всем и удалены без журналов для отображения или резервного копирования. Я не уверен, насколько мы соответствуем требованиям PCI и соответствуем ли мы требованиям для аудиторов. Мне сказали игнорировать это и не волноваться.
Поскольку в описании моей должности фигурирует «руководитель внутренней ИТ-инфраструктуры», я также не хочу, чтобы меня привлекали к ответственности, если мы обнаружим утечку данных или против нас будет возбужден судебный иск.
Как я могу показать, что что-то нужно изменить, и на это нужно потратить мое время и дополнительные деньги? Для компании нашего размера, возможно, потребуется сетевой администратор, работающий полный рабочий день. Или я слишком много думаю о вещах и очень эгоистичен ради того, чего действительно хочу, и рабочая группа будет в порядке?
Обновление: похоже, что я, возможно, отложу идею домена в долгий ящик и просто попробую кое-что поменьше. Например, убедитесь, что обновления, сканирование на вирусы и брандмауэры включены, пароли включены на отдельных компьютерах, разрешено резервное копирование на каждой машине, физические блокировки в комнатах с серверами внутри. Я не уверен, что делать с общим доступом к файлам в сети и Wi-Fi. -Фи, а это другой вопрос!
Это не будет ИТ-ответ, но, надеюсь, он будет полезен.
Судя по многолетнему опыту, вы не сможете убедить своего начальника сделать все по-другому. Основная причина этого в том, что он - начальник, а вы - его подчиненный. Вы находитесь в неправильном положении, чтобы продвигать фундаментальные изменения.
Можете ли вы жить с перспективой очень постепенные изменения при всегда слишком ограниченном бюджете и проблемы, решаемые огромным трудом вместо четкого планирования и разумного использования инструментов? Это именно та перспектива, на которую вы смотрите. Ваш босс уже много лет управляет своим магазином таким образом. Бизнес рос и процветал, поэтому стратегия сработала. Кто вы такие, чтобы подвергать сомнению его бизнес-решения и стратегии?
Если вы хотите внести изменения в организацию, организация должен просить тебя сделать это. Любые изменения будут стоить дорого, и руководство должно счесть их стоящими. Вам нужна поддержка руководства, чтобы преодолеть сопротивление и инерцию. Если вам удастся найти консультанта, которого будет слушать ваш начальник, это может быть более многообещающим путем, чем тратить впустую ваше (и вашего начальника) время и энергию на то, чтобы убедить его в том, что, по его словам, он не хочет делать.
Если бы я был на вашем месте, я бы, наверное, начал искать новую работу.
Вам нужно сосредоточиться на том, как это им помогает, а не на том, чего вы «хотите».
- мы справлялись годами без проблем
И ты не хочешь начинать сейчас! В последнее время произошел ряд утечек данных, в том числе Цель, Home Depot, и больше. Home Depot потрачено 43 000 000 долл. США об утечке данных только за один квартал. Целевой платный 10 000 000 долл. США в поселке. Исследование IBM показало, что в среднем утечка данных обходится в 3,8 миллиона долларов.. Получение pwned обходится дорого.
- сотрудникам можно доверять
Это явно неверно. Воровство сотрудников обходится компаниям примерно в 18 миллиардов долларов в год.
- если я уйду, то никто не сможет понять, как это работает
Вот почему вы собираетесь использовать стандартные передовые практики вместо странных настроек, которые у вас есть сейчас.
- Стоимость установки нового оборудования и лицензирования высока по сравнению с нынешними 0 долларами.
Затраты на установку нового оборудования и лицензирование намного дешевле по сравнению с нарушениями безопасности.
Кроме того, если «руководитель ИТ-отдела» - это лишь небольшая часть описания вашей должности, это может помочь задокументировать, что вы тратите больше времени на ИТ, чем могли бы тратить его на другие свои обязанности. Это тоже стоит им денег.
Все, что было сказано: я боюсь, что ваббит прав. Людей, которые не понимают ИТ и думают, что это просто глупая трата на ненужные вещи, довольно сложно убедить. Я собираюсь не говорить вам о новой работе, потому что несколько месяцев назад на мета была ветка, в которой говорилось, что мы давали совет "найдите новую работу" слишком толстым, но я не оптимистичен по поводу вашего Компания.
Я бы пошел по инкрементному пути - нашел что-то относительно легкое в реализации, что очень поможет - и обосновал это. Вы можете пойти оттуда.
Ответ на вопрос «насколько вы совместимы с PCI» - не очень (отредактировано на основе комментария). Ваши терминалы CC могут быть в порядке, если сами кассы не содержат данных.
А теперь разберемся со списком «не стоит» ...
Это вполне может быть правдой, но проблема в восприятии. Это будет вашим самым большим препятствием.
Ну нет. Они не могут. Для меня это показывает, что ваш босс блаженно игнорирует потери в организации. Moreso, это в розничная торговля, где потери обычно строго контролируются или, по крайней мере, понимаются.
Это совершенно неверно. Никто не мог войти Cегодня и разобраться в том, что происходит, потому что к домену ничего не присоединено и т. д. Админов, которые хотя бы имеют базовое представление об Active Directory и структурах подразделений, пруд пруди.
Откуда у них такое впечатление, что его расходы сейчас равны нулю? Затраты в ИТ-организации никогда не равны нулю. Ясно, что дела не идут приходилось, но это не означает, что затраты равны нулю.
Если вашему боссу нужно убедить вас, дайте ему список статей компаний, которые были взломаны за последний месяц. Вы можете поспорить, что любые громкие имена в этом списке действительно работали над решением этих проблем, но все же были взломаны.
Казалось бы, начальник в этой ситуации более чем счастлив замалчивать все проблемы (доверие сотрудников, безопасность, соблюдение требований и т. Д.), Пока деньги продолжают поступать. С профессиональной точки зрения это шаткая ситуация для всех в организация.
Вот мои мысли:
Менеджмент очень редко понимает технологии и их место в бизнесе. В большинстве случаев руководство имеет неправильное представление о том, что такое технология и как она влияет на бизнес. Да, это правда, что неправильное управление технологиями часто приводит к расточительным расходам, но правильное управление резко увеличивает производительность. Обычно отходы случаются, когда люди, которые думают, что понимают технологии, делают это неправильно или по неправильным причинам.
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
В этот момент вы можете подумать: «Подождите минутку; большая часть того, что вы говорите, говорит в пользу позиции моего босса, которая не делает того, что я предлагаю». Что ж, ты прав на 1/2.
Хотя, технически говоря; до тех пор, пока решение стандартизировано, а методы / политики не являются явно сложными / требуют много времени, заменить персонал так же просто, как найти кандидатов, которые имеют опыт работы с этими стандартами. Это действительно не предмет споров.
Другая половина заключается в том, что вам нужно понимать стоимость / выгоду от внедрения нужной вам технологии. Это могло и не могло стоить затрат. Вы не узнаете, если не потратите время на составление собственного анализа затрат и выгод. Для этого вам необходимо учитывать затраты (примечание: это только начало вопросов, которые вы должны задать себе, прежде чем снова обратиться к своему боссу):
Опять же, имейте в виду, что вопросы, которые я предложил выше, не являются исчерпывающими. Могут быть заданы и другие технические вопросы, которые приводят к другим вопросам и так далее, и так далее. Когда у вас будут все эти числа, определите следующее:
Как только вы сможете разработать надлежащий анализ затрат / выгод, вы сможете лучше обратиться к своему работодателю с правильным решением, а не с необоснованным предложением.
Исходя из моего опыта, стоимость внедрения инфраструктуры централизованного управления и стоимость постоянной поддержки указанной инфраструктуры эквивалентны стоимости найма другого органа для ИТ-отдела (в зависимости от размера среды); по крайней мере, с внедрением внутреннего решения. Доступные сегодня облачные и SaaS-решения могут компенсировать стоимость физической инфраструктуры и сэкономить немного денег, но на самом деле это зависит от бизнес-модели отдела или компании и ограничений безопасности.
Примечание: если затраты на внедрение решения дороже, чем наем штатного специалиста для решения проблем, которые должно решить решение, обычно более рентабельно нанять тело (в зависимости от сложности проблемы, которую необходимо решить. быть смягченным, облегченным или уменьшенным).
TL; DR: потратьте некоторое время на общение со своим боссом, используя суммы в долларах, а не причудливый ИТ-алфавит. Это может помочь или не помочь вашему аргументу, но что бы ни случилось, вы в конечном итоге узнаете больше о том, как более эффективно управлять своей инфраструктурой.
Наконец, если вы пришли к выводу, что компания отчаянно нуждается в решении, может себе это позволить, а ваш босс по-прежнему не хочет делать то, что вы говорите, по нелогичным причинам, по которым вы не можете найти разумную золотую середину, пора собирать вещи. и найти нового работодателя. Работодатели, которые нормально себя ведут, будучи посредственными и не принимают логических решений при представлении доказательств, - это не тот тип работодателей, с которым вы хотите работать; они склонны принимать неверные решения и унижать всех вокруг.
Обновление: 2015-10-11
Расчет стоимости времени
Сценарий. Один из аспектов соответствия стандарту PCI DSS требует, чтобы на ваших конечных компьютерах / POS-компьютерах были установлены последние обновления (или имелся процесс управления исправлениями).
Допустим, вы зарабатываете 15 долларов США в час или 31 200 долларов США в год, и чтобы исправления не нарушали работу ваших систем, вам нужно вручную исправлять все ваши системы каждый раз, когда выходит новый патч. Для простоты назовем также централизованную инфраструктуру управления (Примечание: это просто упрощенное представление; это действительно зависит от того, как ваши офисы связаны между собой, нужна ли вам избыточность и имеет ли смысл иметь сервер в каждом офисе. или только один) обойдется вам в 11 000 долларов за сервер, 2500 долларов за серверную лицензию и 2500 долларов за клиентские лицензии и 80 часов на установку домена и присоединение всех компьютеров к домену; 80 часов x 15 долларов в час = 1200 долларов (больше, если вы передаете его местному продавцу; хайбол стоит 120 долларов в час; поэтому 80 часов x 120 долларов в час = 9600 долларов). Ваша полная централизованная инфраструктура управления мог примерно за 17 200–25 600 долларов.
Патч-вторник происходит каждый 2-й и 4-й вторник каждого месяца. Если каждый вторник выпускается хотя бы 1 патч, для которого требуется от 15 до 30 минут для установки и перезагрузки, вы тратите не менее 1 часа каждый месяц на исправление 1 компьютера; или 12 часов в год.
Уже сейчас вы тратите: 12 часов x 15 долларов = 180 долларов в год на управление исправлениями для 1 компьютера. Теперь умножьте это на 50 компьютеров, которые у вас есть (потому что помните, вы не можете позволить системам автоматически исправлять, потому что вы не знаете, сломают ли исправления какие-либо приложения, которые вы в настоящее время установили). Это означает, что вы тратите около 180 долларов в год x 50 компьютеров = 9000 долларов на управление исправлениями. Это 28,85% от вашей зарплаты и ...
тратится на черную задачу, которой можно управлять с помощью централизованной инфраструктуры управления; Тестирование патчей теперь упрощено, только на основе количества имеющихся у вас «образов», где «образ» - это базовая копия ОС и приложений, используемых группой систем. На данный момент вы тратите всего 15–30 минут на одно изображение, а не 1,56–3,13 дня. Это не включает время в пути, если это необходимо, и не включает в себя трату / ожидание, пока люди выйдут из компьютера, чтобы вы могли выполнять свою работу.
Погодите, 9000 долларов, похоже, не оправдают мою просьбу. Может быть, но думали ли вы о централизации решения для обеспечения безопасности конечных точек (антивирус, защита от вредоносных программ и т. Д.)? О, парень! Это еще 9000 долларов, если учесть, что обновления конечных точек происходят каждую неделю! Кроме того, возможность определить, какие системы заражены вирусами, и точно указать компьютер И человек - это ОГРОМНАЯ победа; теперь вы знаете, какие группы людей нужно обучать вопросам информационной безопасности.
Подождите! Вы говорите, что этого все еще недостаточно? Ой? Как насчет того, чтобы теперь можно было реализовать групповую политику, чтобы запретить людям делать то, чего они не должны? Это должно стоить немалых денег в предотвращении рисков. Ой, ты говоришь, этого все еще недостаточно? Что, если бы я сказал вам, что теперь вы можете удаленно создавать изображения / форматировать и переустанавливать систему, даже не покидая офиса !? О, парень! Разве это не чего стоит? Это 2-4 часа на систему, которую вы экономите; потенциально 100-200 часов за период обновления.
Итак, что я подразумеваю под своей общей информацией сверху? Что ж, потенциально вы можете сэкономить минимум 18 000 долларов, внедрив централизованную систему управления (Windows AD). Это более чем 1/2 зарплаты ИТ-специалиста, получающего 15 долларов в час. 18 000 долларов - это больше, чем стоимость решения (ну, мое базовое решение; вам нужно вычислить свои собственные фактические цифры), что означает, что решение окупится со временем; технически в течение 12 месяцев с момента внедрения.
Эти цифры не учитывают какие-либо проекты, которые могут потребовать наличия централизованной инфраструктуры управления с самого начала. Для каждого продвигающегося вперед проекта, для которого вам нужна была Active Directory, теперь это в 50 раз больше времени, которое вы потратили на внедрение системы в одной системе, умноженное на вашу почасовую заработную плату в виде экономии.
Это также не принимает во внимание возможность внедрения надлежащей аутентификации пользователей, устаревания пароля, требований к сложности пароля и множества других методов и политик управления рисками, которые потенциально могут сэкономить компании много денег в случае взлома / вторжения. или компромисс.
О, кстати, вы всегда можете предъявить людям требования к соблюдению требований. Просто на всякий случай. Ваша компания не может быть совместима с PCI, если люди делятся паролями.
Получите идею сейчас? Теперь приступим к делу.
Вы говорите, что одна из ваших должностей - «руководитель отдела информационных технологий», но ваш начальник управляет решениями ИТ. Спросите себя и своего начальника, в каком смысле вы на самом деле «глава ИТ»? Он должен дать вам ИТ-бюджет и позволить вам решить, как его потратить. Если он не выполняет такое количество делегаций, вы ничего не возглавляете.
Поскольку это только одна из ваших ролей, подумайте о том, чтобы отказаться от нее и передать ответственность своему боссу. Если он настаивает на вашей ответственности, но не дает вам бюджета или инструментов для выполнения вашей работы, уйдите и (если вы живете в цивилизованной юрисдикции) отнесите его в суд по трудовым спорам для конструктивного увольнения.
Короче говоря, это не совсем вопрос ИТ, это вопрос руководства.
Кое-что, что я стал лучше понимать за последние несколько лет, это то, что люди в основном иррациональные существа. Как только мы принимаем решение в какой-либо области, мы эмоционально привязываемся к нему, и факты или данные редко убеждают нас в обратном. Вы не можете спорить или доказать, что положение вашего начальника лучше.
Имея это в виду, ваша лучшая стратегия - показать своему начальнику, как более совершенное оборудование и методы могут улучшить его чистую прибыль за счет сокращения затрат или увеличения доходов и эффективности в других областях. Слишком поздно разыгрывать карту снижения риска.