Pracuję dla małego i średniego detalisty, który ma pół tuzina sklepów i stronę internetową.
Sytuacja IT jest obecnie w bardzo podstawowym stanie. Jako „szef działu IT” to tylko niewielka część opisu mojej pracy i ostatni na liście nie byłem w stanie poświęcić na to tyle czasu, ile bym chciał.
W naszej sieci mamy około 50 komputerów i 14 kas systemu Windows (30 w centrali, 20 sklepów zewnętrznych, magazyny i laptopy). Wszystko to jest zbudowane na sieci Workgroup, a wszystkie witryny są połączone ze sobą za pomocą bardzo podstawowej konfiguracji VPN na poziomie routera z podsieciami dla każdego sklepu.
Dlatego nie mogę nic zarządzać, sprawdzać, czy komputery są bezpieczne, przeprowadzać żadnych inspekcji, upewnić się, że są zainstalowane aktualizacje, zarządzać Wi-Fi dla urządzeń-gości lub sprawdzać cokolwiek.
Naprawdę chciałbym domenę, ale po powiedzeniu mojemu szefowi mówi, że nie warto:
- Przez lata bez problemu radziliśmy sobie z grupą roboczą
- Pracownikom można ufać
- Gdybym wyszedł lub nie był dostępny, gdy coś się zepsuło, nikt nie byłby w stanie zrozumieć, jak to działa
- Koszty instalacji nowego sprzętu i licencji dla domeny są bardzo wysokie. (Obecnie kupujemy tylko fabrycznie zainstalowane komputery OEM z systemem Windows, a następnie dziwne detaliczne licencje Office)
- Ponieważ domeny są zarządzane centralnie, jeśli wystąpi poważny problem, może to uniemożliwić działanie wszystkich komputerów. (W przeciwieństwie do grupy roboczej, w której jeśli umrze tylko jeden komputer, wszystko inne jest w porządku i nie wpływa na pracę innych osób).
Nie wiem, jak podkreślić, jak poważne są aspekty bezpieczeństwa, ponieważ nie mamy domeny. Każdy może uzyskać dostęp do treści, jeśli łączy się z naszym Wi-Fi, każdy może uzyskać dostęp do zawartości z dowolnego komputera, ponieważ użytkownicy nie mają zainstalowanych haseł, foldery udostępnione mogą być widoczne dla każdego i usunięte bez dzienników do wyświetlenia lub wykonania kopii zapasowej. Nie jestem pewien, czy jesteśmy zgodni z PCI, czy też jesteśmy zgodni z audytorami. Powiedziano mi, żebym to ignorował i nie martwiłem się.
Ponieważ „Szef wewnętrznej infrastruktury IT” znajduje się w opisie mojej pracy, nie chcę też być pociągnięty do odpowiedzialności, jeśli dostaniemy naruszenie danych lub wniesiemy przeciwko nam sprawę sądową.
Jak mogę pokazać, że wszystko musi się zmienić, a mój czas i dodatkowe pieniądze trzeba na to wydać? W przypadku naszej firmy potrzebna może być pełnoetatowy administrator sieci. A może zastanawiam się nad tym i jestem bardzo samolubny, gdybym naprawdę chciał, a grupa robocza będzie w porządku?
Aktualizacja: Wygląda na to, że być może utrzymuję ideę domeny na tylnych palnikach i po prostu próbuję kilku mniejszych rzeczy. Na przykład upewnij się, że aktualizacje, skanowanie w poszukiwaniu wirusów i zapory są włączone, upewnij się, że hasła są włączone na poszczególnych komputerach, włącz kopie zapasowe na każdym komputerze, fizyczne blokady w pokojach z serwerami. Nie jestem pewien, co zrobić z udostępnianiem plików w sieci i Wi-Fi -Fi, ale to kolejne pytanie!
Odpowiedzi:
To nie będzie odpowiedź technologiczna, ale mam nadzieję, że mimo wszystko przydatna.
Mówiąc z wieloletniego doświadczenia, nie będziesz w stanie przekonać swojego szefa do zrobienia wszystkiego inaczej. Głównym tego powodem jest to, że jest szefem, a ty jesteś jego podwładnym. Jesteś w złej pozycji, aby popchnąć fundamentalne zmiany.
Czy potrafisz żyć z perspektywą bardzo stopniowych zmian z zawsze zbyt napiętym budżetem i problemami rozwiązywanymi przez samą ilość siły roboczej zamiast zwięzłego planowania i inteligentnego korzystania z narzędzi? Właśnie na tę perspektywę patrzysz. Twój szef w ten sposób prowadzi swój sklep od lat. Firma rozrosła się i prosperowała, więc strategia się sprawdziła. Kim jesteś, aby zakwestionować jego decyzje biznesowe i strategie?
Jeśli chcesz wprowadzić zmiany w organizacji, organizacja musi Cię o to poprosić . Każda zmiana będzie się wiązać z kosztem, który kierownictwo musi uznać za opłacalne. Potrzebujesz wsparcia kierownictwa, aby pokonać opór i związaną z tym bezwładność. Jeśli możesz znaleźć konsultanta, którego będzie słuchać twój szef, może to być bardziej obiecująca droga niż marnowanie twojego (i twojego szefa) czasu i energii na przekonanie go do czegoś, co powiedział ci, że nie chce tego robić.
Gdybym był w twoich butach, prawdopodobnie zacząłbym szukać nowej pracy.
źródło
Musisz skupić się na tym, jak im to pomaga, a nie na tym, czego „chcesz”.
I nie chcesz teraz zaczynać! Ostatnio miało miejsce wiele naruszeń danych, w tym Target , Home Depot i wiele innych. Home Depot wydał 43 000 000 USD na naruszenie danych w zaledwie jednym kwartale. Target zapłacił 10 000 000 $ w ugodzie. Badanie przeprowadzone przez IBM wykazało, że średnie naruszenie danych kosztuje 3,8 miliona USD . Posiadanie konta jest drogie.
Jest to wyraźnie nieprawdziwe. Kradzież pracowników kosztuje firmy około 18 miliardów dolarów rocznie .
Dlatego zastosujesz standardowe, najlepsze praktyki zamiast dziwnej konfiguracji, którą masz teraz.
Koszty instalacji nowego sprzętu i licencji są tanie w porównaniu z naruszeniami bezpieczeństwa.
Ponadto, jeśli „Kierownik działu IT” stanowi tylko niewielką część opisu stanowiska, pomocne może być udokumentowanie, że spędzasz więcej czasu na działach IT, kiedy możesz poświęcić go na inne obowiązki. To także kosztuje ich pieniądze.
Wszystko, co powiedziało: obawiam się, że Wabbit ma rację. Trudno przekonać ludzi, którzy nie dostają IT i uważają, że to głupi wydatek na rzeczy, których nie potrzebują. Przestanę ci mówić, żebyś znalazł nową pracę, ponieważ kilka miesięcy temu na temat meta był wątek, w którym powiedzieliśmy, że poradzimy sobie trochę z poradą „dostać nową pracę”, ale nie jestem optymistą co do twojego firma.
Wybrałbym drogę przyrostową - znajduję coś stosunkowo łatwego do wdrożenia, co bardzo pomoże - i uzasadniam to. Możesz iść stamtąd.
źródło
Odpowiedź na to, jak „jesteś zgodny z PCI”, nie jest bardzo (zredagowana na podstawie komentarza). Twoje terminale CC mogą być w porządku, jeśli same kasy nie przechowują żadnych danych.
Teraz wyróżnij listę „nie warto” ...
Radziliśmy sobie od lat bez problemu
To może być prawda, ale problemem jest postrzeganie. To będzie twoja największa przeszkoda.
Pracownikom można ufać
Więc nie. Oni nie mogą. Dla mnie to pokazuje, że twój szef jest błogo nieświadomy strat w organizacji. Moreso, to jest w sprzedaży detalicznej , gdzie straty są zazwyczaj ściśle zarządzane, a przynajmniej rozumiane.
Gdybym odszedł, nikt nie byłby w stanie zrozumieć, jak to działa
To jest całkowicie niepoprawne. Nikt nie mógł dziś wejść i zrozumieć, co się dzieje, ponieważ nic nie jest przyłączone do domeny itp. Administratorzy, którzy przynajmniej znają podstawy Active Directory i struktur OU, są dziesiątkami.
Koszty instalacji nowego sprzętu i licencji są wysokie w porównaniu do 0 USD teraz.
Gdzie, u licha, mają wrażenie, że jego koszty wynoszą teraz 0 USD? Koszty w organizacji informatycznej nigdy nie są równe zeru. Oczywiście rzeczy nie są rozliczane , ale to nie znaczy, że koszty są zerowe.
Jeśli Twój szef potrzebuje przekonania, podaj mu listę artykułów, które zostały naruszone w ostatnim miesiącu. Możesz się założyć, że dowolne duże nazwiska na tej liście faktycznie DZIAŁAŁY, aby rozwiązać te problemy, ale nadal zostały włamane.
Wydawać by się mogło, że szef w tej sytuacji z przyjemnością rozwiewa wszelkie obawy (zaufanie pracowników, bezpieczeństwo, zgodność itp.), Dopóki pieniądze napływają. Z profesjonalnego punktu widzenia jest to niepewna sytuacja dla wszystkich w organizacja.
źródło
Oto moje przemyślenia:
Zarządzanie bardzo rzadko rozumie technologię i jej miejsce w biznesie. W większości przypadków kierownictwo ma błędne wyobrażenia o tym, czym jest technologia i jak wpływa na biznes. Tak, to prawda, że niewłaściwe zarządzanie technologią często prowadzi do marnotrawstwa wydatków, ale właściwe zarządzanie drastycznie zwiększa produktywność. Odpady na ogół zdarzają się, gdy ludzie, którzy myślą, że rozumieją technologię, robią to źle lub z niewłaściwych powodów.
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
W tym momencie możesz pomyśleć: „Zaczekaj chwilę; większość tego, co mówisz, jest przychylna postawie mojego szefa, by nie robić tego, co sugeruję”. Masz rację 1/2.
Chociaż technicznie rzecz biorąc; tak długo, jak rozwiązanie jest znormalizowane, a praktyki / zasady nie są zbyt skomplikowane / czasochłonne, zastępowanie pracowników jest tak proste, jak znalezienie kandydatów, którzy mają doświadczenie z tymi standardami. To naprawdę nie jest argument.
Druga połowa to to, że musisz zrozumieć koszt / korzyść z wprowadzenia odpowiedniej technologii. Mógłby i nie mógł być tego wart. Nie będziesz wiedział, chyba że będziesz mógł poświęcić czas na przygotowanie własnej analizy kosztów i korzyści. Aby to zrobić, musisz wziąć pod uwagę koszty (uwaga: to tylko początek pytań, które powinieneś sobie zadać, zanim ponownie przedstawisz swoje podejście szefowi):
Ponownie pamiętaj, że pytania, które zaproponowałem powyżej, nie obejmują wszystkich kwestii. Można zadać bardziej techniczne pytania, które prowadzą do innych pytań i tak dalej, i tak dalej. Po uzyskaniu wszystkich tych liczb określ następujące elementy:
Gdy będziesz w stanie opracować odpowiednią analizę kosztów i korzyści, będziesz w stanie lepiej zwrócić się do pracodawcy z właściwym rozwiązaniem, w przeciwieństwie do nieuzasadnionej sugestii.
Z mojego doświadczenia wynika, że koszt wdrożenia scentralizowanej infrastruktury zarządzania i koszt ciągłego wsparcia tej infrastruktury jest równoważny kosztowi wynajmu innego organu dla działu IT (w zależności od wielkości środowiska); przynajmniej z wdrożeniem rozwiązania wewnętrznego. Dostępne dziś rozwiązania chmurowe i SaaS mogą zrównoważyć koszty infrastruktury fizycznej i zaoszczędzić trochę pieniędzy, ale tak naprawdę zależy to od modelu biznesowego działu lub firmy oraz ograniczeń bezpieczeństwa.
Uwaga: jeśli koszt wdrożenia rozwiązania jest droższy niż zatrudnienie osoby zatrudnionej w pełnym wymiarze czasu w celu rozwiązania problemów, które rozwiązanie ma rozwiązać, generalnie bardziej opłacalne jest zatrudnienie organu (w zależności od złożoności problemu wymagającego zostać złagodzone, zwolnione lub zmniejszone).
TL; DR: spędzaj trochę czasu na relacjach z szefem, chociaż kwoty w dolarach, w przeciwieństwie do fantazyjnego alfabetu IT. Może to pomóc lub nie, ale cokolwiek się stanie, w końcu dowiesz się więcej o tym, jak efektywniej zarządzać infrastrukturą.
Na koniec, jeśli twój wniosek jest taki, że firma rozpaczliwie potrzebuje rozwiązania, może sobie na to pozwolić, a twój szef nadal nie chce robić tego, co mówisz z nielogicznych powodów, że nie możesz negocjować rozsądnego pośrednictwa, czas spakować swoje rzeczy i znajdź nowego pracodawcę. Pracodawcy, którzy są OK, są mierni i nie podejmują logicznych decyzji, gdy przedstawi się im dowody, nie są typem pracodawców, z którymi chcesz się trzymać; często podejmują złe decyzje i zabierają wszystkich wokół siebie.
Aktualizacja: 11.10.2015
Obliczanie kosztu czasu
Scenariusz: jeden aspekt spełnienia wymagań PCI DSS wymaga, aby komputery końcowe / POS były na bieżąco z poprawkami (lub miały wdrożony proces zarządzania poprawkami).
Załóżmy, że zarabiasz 15 USD / godz. USD lub 31.200 USD rocznie. Aby mieć pewność, że łatki nie uszkodzą systemów, musisz ręcznie załatać wszystkie systemy za każdym razem, gdy pojawi się nowa łatka. Dla uproszczenia powiedzmy również, że scentralizowana infrastruktura zarządzania (uwaga: jest to tylko uproszczony widok; to naprawdę zależy od tego, w jaki sposób biura są połączone, czy potrzebujesz redundancji, i czy warto mieć serwer w każdym biurze lub tylko jeden) będzie kosztować 11 000 USD za serwer, 2 500 USD za licencję na serwer i 2 500 USD za licencje CAL oraz 80 godzin na skonfigurowanie domeny i dołączenie do niej wszystkich komputerów; 80 godzin x 15 USD / godz. = 1200 USD (więcej, jeśli zlecasz to lokalnemu dostawcy; highball to 120 USD / godz .; więc 80 godzin x 120 USD / godz. = 9600 USD). Twoja całkowita scentralizowana infrastruktura zarządzania mogłaby zostanie wprowadzony za około 17 200 USD do 25 600 USD.
Wtorek we wtorek odbywa się co 2 i 4 wtorek każdego miesiąca. Jeśli w każdy wtorek jest wydawana choćby jedna łata, która wymaga instalacji między 15 a 30 minutami, konieczne jest co najmniej 1 godzina każdego miesiąca na łatanie 1 komputera; lub 12 godzin rocznie.
Już wydajesz: 12 godzin x 15 USD = 180 USD rocznie na zarządzanie poprawkami dla 1 komputera. Teraz pomnóż to przez 50 posiadanych komputerów (pamiętaj, że nie możesz pozwolić, aby systemy automatycznie się załatały, ponieważ nie wiesz, czy łaty zepsują wszystkie zainstalowane aplikacje). Oznacza to, że wydajesz blisko 180 USD rocznie na 50 komputerów = 9000 USD na zarządzanie poprawkami. To 28,85% twojej płacy i ...
spędzić na służebnym zadaniu, którym może zarządzać scentralizowana infrastruktura zarządzania; testowanie poprawek jest teraz uproszczone, tylko na podstawie liczby posiadanych „obrazów”, przy czym „obraz” jest podstawową kopią systemu operacyjnego i aplikacji używanych przez grupę systemów. W tym momencie wydajesz tylko 15-30 minut na zdjęcie, w przeciwieństwie do 1,56-3,13 dni. Nie obejmuje to czasu podróży, jeśli jest to wymagane, ani nie obejmuje marnowania / czekania, aż ludzie wysiądą z komputera, abyś mógł wykonać swoją pracę.
Poczekaj, 9 000 $ nie wydaje się uzasadniać mojej prośby. Być może, ale czy zastanawiałeś się nad scentralizowaniem swojego rozwiązania bezpieczeństwa punktu końcowego (antywirus, anty-malware itp.)? O chłopie! To kolejne 9 000 $, jeśli weźmiesz pod uwagę, że aktualizacje punktów końcowych będą się pojawiać co tydzień! Ponadto możliwość zidentyfikowania systemów zainfekowanych wirusami i precyzyjnego wskazania komputera ORAZ osoba to OGROMNE zwycięstwo; teraz wiesz, jakie grupy ludzi musisz edukować na temat świadomości bezpieczeństwa informacji.
Czekać! Mówisz, że to wciąż za mało? O? Co powiesz na to, by móc teraz wdrażać zasady grupy, aby uniemożliwić ludziom robienie rzeczy, których nie powinni? To musi być warte dość grosza w zapobieganiu ryzyku. O rany, mówisz, że to wciąż za mało? Co jeśli powiem ci, że możesz teraz zdalnie obraz / format i ponownie zainstalować system bez wychodzenia z biura !? O chłopie! Czy to nie byłoby coś warte? To oszczędzasz 2-4 godziny na system; potencjalnie 100-200 godzin na okres odświeżania.
Więc co sugeruję z moich ogólnych informacji z góry? Cóż, potencjalnie możesz zaoszczędzić minimum 18 000 USD, wdrażając scentralizowany system zarządzania (Windows AD). To ponad 1/2 pensji informatyka zarabiającego 15 USD / godz. 18 000 USD to więcej niż koszt rozwiązania (cóż, moje podstawowe rozwiązanie; musisz obliczyć własne rzeczywiste liczby), co oznacza, że rozwiązanie zwróci się z czasem; technicznie w ciągu 12 miesięcy od wdrożenia.
Liczby te nie uwzględniają żadnych projektów, które na początku mogą wymagać scentralizowanej infrastruktury zarządzania. W przypadku każdego projektu, do którego potrzebna była usługa Active Directory, jest to 50-krotny czas poświęcony na wdrażanie go w jednym systemie w porównaniu z godzinową pensją oszczędności.
Nie uwzględnia to również możliwości wdrożenia odpowiedniego uwierzytelnienia użytkownika, starzenia się hasła, wymagań dotyczących złożoności haseł oraz mnóstwa innych praktyk i zasad zarządzania ryzykiem, które mogłyby potencjalnie zaoszczędzić firmie dużo pieniędzy w przypadku naruszenia / włamania lub kompromis.
Aha, nawiasem mówiąc, zawsze możesz rzucić wymagania dotyczące zgodności także ludziom. Na wszelki wypadek. Nie ma możliwości, aby Twoja firma była zgodna z PCI, jeśli ludzie dzielą się hasłami.
Masz pomysł teraz? A teraz przejdź do tego.
źródło
Mówisz, że jednym z twoich zadań jest „szef IT”, ale twój szef rządzi decyzjami IT. Zapytaj siebie i swojego szefa, jak naprawdę jesteś „szefem IT”? Powinien dać ci budżet na IT i pozwolić ci zdecydować, jak go wydać. Jeśli nie wykonuje takiej liczby delegacji, nie jesteś szefem czegokolwiek.
Ponieważ jest to tylko jedna z twoich ról, rozważ rezygnację z niej, przekazując odpowiedzialność za nią swojemu szefowi. Jeśli nalega, abyś był odpowiedzialny, ale nie daje ci budżetu ani narzędzi do wykonywania swojej pracy, wyjdź i (jeśli mieszkasz w cywilizowanej jurysdykcji) zabierz go do sądu pracy w celu konstruktywnego zwolnienia.
Krótko mówiąc, nie jest to tak naprawdę pytanie informatyczne, lecz pytanie zarządcze.
źródło
W ciągu ostatnich kilku lat zrozumiałem bardziej, że ludzie są w istocie irracjonalnymi stworzeniami. Kiedy podejmujemy decyzję w danym obszarze, przywiązujemy się do niego emocjonalnie i rzadko przekonują nas fakty lub dane. Nie możesz kłócić się ani dowodzić, że twój szef ma lepszą pozycję.
Mając to na uwadze, najlepszą strategią jest pokazanie szefowi, w jaki sposób lepszy sprzęt i praktyki mogą poprawić jego wyniki finansowe, obniżając koszty lub zwiększając przychody i wydajność w innym miejscu. Jest za późno, aby zagrać kartą ograniczającą ryzyko.
źródło