Was sind einige Best Practices bei der Übernahme der IT in einem neuen Unternehmen? [geschlossen]

9

Ich dachte, dies wäre ein gutes Thema mit einigen interessanten Vorschlägen.

Was würden Sie als Erstes tun, wenn Sie die IT in einer neuen Organisation übernehmen?

Nach welchen roten Fahnen würden Sie sofort suchen?

Was MÜSSEN Sie für eine Abteilung haben (abhängig von der Größe der Organisation)?

security best-practices Robert Swisher
quelle
2
Während ich Ihre Frage mag, ist es fast ein Duplikat. Dies ist ein Thema, das auf verschiedenen Ebenen behandelt wurde. Siehe: serverfault.com/questions/152707/…
Warner
Auch wenn es nicht als Duplikat geschlossen wird, sollte diese Art von Frage ein Wiki sein. Wenn nichts anderes, ist es sehr subjektiv.
John Gardeniers

Antworten:

17

Ehrlich ... nichts, keine verdammte Sache. Ich lehne mich zurück und lerne den Job, wie er JETZT von den Leuten gemacht wird, die dort sind. Nach einiger Zeit und wenn Sie sicher sind, dass Sie einen guten Überblick darüber haben, wie die Dinge jetzt funktionieren (nicht nur technisch, sondern auch politisch und auch zwischenmenschlich), können Sie Listen erstellen, die Ihrer Meinung nach geändert werden sollten.

Wenn Sie nicht verstehen, wo Sie sich gerade befinden, können und werden Ihre Vorstellungen davon, wo Sie sich befinden sollten, höchstwahrscheinlich von der Realität abweichen.

Wie für rote Fahnen:

  • Viele, viele manuelle Prozesse
  • Keine Änderungskontrolle
  • Keine Dokumentation oder schlimmer noch falsche Dokumentation
  • VP / C-Levels, die viel zu sehr in den täglichen Betrieb involviert sind (wie das Zurücksetzen von Servern, wenn Sie sich nicht mitten in einem Notfall befinden und niemand anderes dies tun kann)
  • Überall billige Ausrüstung, aber das Unternehmen behauptet, XXX (Millionen / Milliarde) pro Jahr zu verdienen
  • Unglückliche Mitarbeiter
  • Ständige Brandbekämpfung
  • Kein oder schlechtes Überwachungssystem
  • "Du musst mit 'Joe' sprechen" ist die Antwort auf jede Frage, die du stellst
    • und Joe ist nicht in der IT

Was Must Haves angeht ... Ich denke, das hängt davon ab, was Sie tun und wie Sie Dinge tun ... Als letztes Mittel muss ich einen Digi-Terminalserver an ein Modem mit einer Standleitung angeschlossen haben, wenn ich es nicht bekomme an meine Voice Router ... aber das brauchen Sie vielleicht nicht. Lehnen Sie sich noch einmal zurück und nehmen Sie sich etwas Zeit, um herauszufinden, wie die Dinge sind und welche Beschwerden die Menschen zuerst haben, bevor Sie sich einschleichen und alles ändern wollen.

Zypher
quelle
+1, insbesondere "Keine Dokumentation oder schlimmer noch falsche Dokumentation" - Das ist das Boot, in dem ich mich vor einigen Jahren befand, als ich die Dokumentation aktualisierte (das alte Zeug war absolut falsch, fehlende Informationen, extrem veraltet).
Chris S
@ Chris: Es ist ein aktueller Schmerzpunkt für mich ... viel Facepalming, als ich versuche, die Dokumentation zu aktualisieren :)
Zypher
+1 Wenn es läuft, lass es und konzentriere dich darauf, es zu lernen. Nur wenige Dinge im Leben sind so, wie sie auf den ersten Blick zu sein scheinen, einschließlich geerbter Systeme.
John Gardeniers
+1 für den Versuch, das politische und zwischenmenschliche Klima zu verstehen, bevor Dinge geändert werden. Damit große Änderungen funktionieren, müssen Sie sich einkaufen, und das ist schwer zu verdienen, wenn Sie niemand mag.
gMale
8

Das ist alles High-Level-Zeug:

Sicherheit:

  1. Prüfen Sie, wer die Administratoren sind. Stellen Sie sicher, dass es sich um Administratoren handelt.
  2. Stellen Sie fest, welche IT-Kontrollen vorhanden sind und wann sie zuletzt überprüft wurden.
  3. Überprüfen Sie die Patch-Levels / Betriebssystem- und Anwendungsupdates.
  4. Führen Sie mit leicht verfügbaren Tools mindestens minimale Schwachstellenüberprüfungen durch.
  5. Überprüfen Sie die physische Sicherheit auf Servern und Kernnetzwerkgeräten.

Umgebung / Leistung:

  1. Bestimmen Sie, welche Schwachstellen in Ihrem Rechenzentrum vorhanden sind.
  2. Finden Sie heraus, was Ihre SLAs und OLAs sind, und überprüfen Sie, ob sie aus der Ferne angemessen sind.
  3. Setzen Sie mindestens eine flüchtige Leistungsüberwachung auf Systeme, um sicherzustellen, dass keines von ihnen überlastet ist.
  4. Verstehen Sie, wie wichtige Assets bereitgestellt werden, und überprüfen Sie physisch, ob sie sich dort befinden, wo sie von allen angegeben werden, und konfigurieren Sie sie so, wie sie sein sollen.

Personal:

  1. Treffen Sie sich mit IT-Mitarbeitern einzeln oder in kleinen Gruppen außerhalb des Arbeitsumfelds (z. B. Mittagessen), um zu erfahren, wie jeder einzelne als Person ist.
  2. Sprechen Sie mit Leuten, die am meisten mit Ihren IT-Mitarbeitern interagieren, um herauszufinden, wer die harten Mitarbeiter sind, die über gute Fähigkeiten verfügen, brillant, aber sozial herausgefordert sind usw., damit Sie sicherstellen können, dass sie an den richtigen Stellen für die Arbeit sind.
  3. Bestimmen Sie, wo Ihre Schwachstellen in Bezug auf Sicherheit und Leistung liegen, und rufen Sie an, wenn es sich um die derzeit beschäftigten Personen, den Mangel an Mitarbeitern, den Mangel an Werkzeugen oder eine Kombination handelt.
K. Brian Kelley
quelle
In Bezug auf die Sicherheit möchte ich nach schriftlichen Richtlinien bezüglich akzeptabler Verwendung und Datenzugriff suchen. Auch Richtlinien in Bezug auf bestimmte Compliance-Bereiche wie SOX, HIPPA, PCI DSS. Wenn diese Übernahme über eine Akquisition erfolgt, würde ich wahrscheinlich IT-Projekte prüfen und beurteilen, ob eines dieser Projekte zurückgestellt werden sollte oder nicht, bis festgestellt werden kann, wie sie in das gesamte IT-Portfolio passen.
jl.
0

Tolle Antworten.

1 - Analysieren Sie die aktuellen Prozesse und Systeme, damit Sie sie besser verstehen als Ihr Vorgänger. Auch wenn es in Ihren Augen ein dummer Grund ist, wurde etwas wahrscheinlich nicht so konfiguriert, wie es ist, ohne Grund.

2 - Konzentrieren Sie sich auf Effizienz, nicht auf Wachstum. Sie wollen mit weniger mehr erreichen und dann von dort aus wachsen. In Zukunft sollten die Dinge äußerst gut dokumentiert, sicher, aber vor allem skalierbar sein.

MisterITGuy
quelle
1
Ich habe festgestellt, dass das "Etwas wurde wahrscheinlich ohne Grund nicht so konfiguriert, wie es ist" nur in ~ 75% der Fälle wahr ist.
Chris S