Ich arbeite für einen kleinen, mittelgroßen Einzelhändler mit einem halben Dutzend Läden und einer Website.
Die IT-Situation befindet sich derzeit in einem sehr grundlegenden Zustand. Da "Head of IT" nur ein kleiner Teil meiner Stellenbeschreibung ist und der letzte auf der Liste, konnte ich nicht so viel Zeit darauf verwenden, wie ich möchte.
Wir haben rund 50 Computer und 14 Windows-Kassen in unserem Netzwerk (30 in der Zentrale, 20 externe Geschäfte, Lager und Laptops). Dies alles basiert auf einem Workgroup-Netzwerk und alle Standorte sind über ein sehr einfaches VPN-Setup auf Router-Ebene mit Subnetzen für jedes Geschäft miteinander verbunden.
Daher kann ich nichts verwalten, überprüfen, ob Computer sicher sind, ob Audits durchgeführt werden, ob Updates installiert sind, ob Wi-Fi für Gastgeräte verwaltet wird oder ob etwas überprüft wurde.
Ich hätte wirklich gerne eine Domain und, nachdem ich es meinem Chef gesagt habe, sagt er, dass es sich nicht lohnt:
- Wir haben jahrelang eine Arbeitsgruppe ohne Probleme bewältigt
- Mitarbeitern kann vertraut werden
- Wenn ich ging oder nicht verfügbar war, als etwas kaputt ging, würde niemand verstehen können, wie es funktioniert
- Die Einrichtungskosten für neue Hardware und die Lizenzierung für eine Domain sind sehr hoch. (Derzeit kaufen wir nur vorgefertigte OEM-Windows-PCs und dann die einen oder anderen Office-Lizenzen für den Einzelhandel.)
- Da Domänen zentral verwaltet werden, kann ein schwerwiegendes Problem dazu führen, dass alle Computer nicht mehr funktionieren. (Im Gegensatz zu einer Arbeitsgruppe, in der nur ein Computer ausfällt, ist alles in Ordnung und hat keine Auswirkungen auf die Arbeit anderer.)
Ich kann nicht betonen, wie ernst die Sicherheitsaspekte sind, dass wir keine Domain haben. Jeder kann auf Inhalte zugreifen, wenn er eine Verbindung zu unserem WLAN herstellt. Jeder kann von jedem PC aus auf Inhalte zugreifen, da Benutzer keine Kennwörter installiert haben. Freigegebene Ordner können von jedem Benutzer gesehen und gelöscht werden, ohne dass Protokolle angezeigt oder gesichert werden müssen. Ich bin nicht sicher, wie PCI-konform wir sind oder ob wir für Auditoren konform sind. Mir wurde gesagt, ich solle das ignorieren und mir keine Sorgen machen.
Da "Leiter der internen IT-Infrastruktur" in meiner Stellenbeschreibung steht, möchte ich auch nicht zur Rechenschaft gezogen werden, wenn wir einen Datenverstoß erleiden oder eine Klage gegen uns erheben.
Wie kann ich zeigen, dass sich die Dinge ändern müssen und meine Zeit und mein zusätzliches Geld dafür aufgewendet werden müssen? Für ein Unternehmen unserer Größe wäre möglicherweise ein Vollzeit-Netzwerkadministrator erforderlich. Oder überdenke ich Dinge und bin sehr egoistisch für das, was ich wirklich möchte und eine Arbeitsgruppe wird in Ordnung sein?
Update: Es hört sich so an, als würde ich die Idee einer Domain auf Backbrennern belassen und einfach ein paar kleinere Dinge ausprobieren. Stellen Sie beispielsweise sicher, dass Updates, Virenscans und Firewalls aktiviert sind, stellen Sie sicher, dass Kennwörter auf einzelnen PCs aktiviert sind, aktivieren Sie Sicherungen auf jedem Computer und sperren Sie Räume mit Servern -Fi, aber das ist eine andere Frage!
Antworten:
Dies wird keine IT-technische Antwort sein, aber hoffentlich trotzdem nützlich.
Aufgrund jahrelanger Erfahrung können Sie Ihren Chef nicht davon überzeugen, alles anders zu machen. Der Hauptgrund dafür ist, dass er der Chef ist, während Sie nur sein Untergebener sind. Sie sind in der falschen Position, um grundlegende Veränderungen voranzutreiben.
Können Sie mit der Aussicht auf einen sehr allmählichen Wandel mit einem immer zu knappen Budget und Problemen leben, die durch eine Menge Arbeit gelöst werden, anstatt eine präzise Planung und einen intelligenten Einsatz von Werkzeugen? Dies ist genau die Perspektive, die Sie suchen. Ihr Chef betreibt seinen Laden seit Jahren auf diese Weise. Das Geschäft ist gewachsen und gedeiht, und die Strategie hat sich bewährt. Mit wem können Sie seine geschäftlichen Entscheidungen und Strategien in Frage stellen?
Wenn Sie Änderungen an einer Organisation vornehmen möchten, muss die Organisation Sie dazu auffordern . Jede Änderung ist mit Kosten verbunden, die von der Geschäftsführung als wertvoll eingestuft werden müssen. Sie benötigen die Unterstützung des Managements, um den Widerstand und die Trägheit zu überwinden. Wenn Sie einen Berater finden, dem Ihr Chef zuhört, ist dies möglicherweise ein vielversprechenderer Weg, als Ihre (und die Ihres Chefs) Zeit und Energie zu verschwenden, um ihn von etwas zu überzeugen, von dem er Ihnen gesagt hat, dass er es nicht tun möchte.
Wenn ich in Ihren Schuhen stecke, würde ich wahrscheinlich anfangen, nach einem neuen Job zu suchen.
quelle
Sie müssen sich darauf konzentrieren, wie es ihnen hilft, nicht darauf, was Sie "wollen".
Und du willst jetzt nicht anfangen! In letzter Zeit gab es eine Reihe von Datenschutzverletzungen, darunter Target , Home Depot und mehr. Home Depot gab in nur einem Quartal 43.000.000 USD für seine Datenverletzung aus. Das Ziel zahlte 10.000.000 USD in einem Vergleich. Eine IBM-Studie ergab, dass die durchschnittliche Datenverletzung 3,8 Millionen US-Dollar kostet . Pwned zu bekommen ist teuer.
Dies ist nachweislich falsch. Mitarbeiterdiebstahl kostet Unternehmen rund 18 Milliarden US-Dollar pro Jahr .
Aus diesem Grund verwenden Sie Standard-Best Practices anstelle der jetzt üblichen seltsamen Einrichtung.
Die Einrichtungskosten für neue Hardware und Lizenzen sind im Vergleich zu Sicherheitslücken spottbillig.
Wenn "IT-Leiter" nur ein kleiner Teil Ihrer Stellenbeschreibung ist, kann es hilfreich sein, zu dokumentieren, dass Sie mehr Zeit für die IT aufwenden, als für andere Aufgaben. Das kostet sie auch Geld.
Alles, was gesagt wurde: Ich fürchte, das Wabbit hat recht. Leute, die keine IT haben und denken, dass es nur eine dumme Ausgabe für Dinge ist, die sie nicht brauchen, sind ziemlich schwer zu überzeugen. Ich werde aufhören, Ihnen zu sagen, dass Sie einen neuen Job bekommen sollen, weil es vor einigen Monaten einen Thread auf der Meta-Liste gab, der besagt, dass wir den Rat "einen neuen Job bekommen" ein wenig dicker formuliert haben, aber ich bin nicht optimistisch in Bezug auf Ihren Job Unternehmen.
Ich gehe den inkrementellen Weg - finde etwas, das relativ einfach zu implementieren ist und das mir sehr helfen wird - und mache mich dafür stark. Sie können von dort aus gehen.
quelle
Die Antwort auf "Wie PCI-konform" ist "Nicht sehr" (basierend auf einem Kommentar bearbeitet). Ihre CC-Terminals könnten in Ordnung sein, wenn die Kassen selbst keine Daten enthalten.
Nun, um die "nicht wert" -Liste auseinander zu nehmen ...
Wir sind jahrelang ohne Probleme damit umgegangen
Das mag richtig sein, aber das Problem ist die Wahrnehmung. Dies wird Ihre größte Hürde sein.
Mitarbeitern kann vertraut werden
Nun, nein. Sie können nicht. Für mich zeigt dies, dass Ihr Chef Verluste in der Organisation glücklicherweise nicht kennt. Moreso, dies ist im Einzelhandel der Fall, wo Verluste typischerweise eng gemanagt oder zumindest verstanden werden.
Wenn ich gehen würde, würde niemand verstehen können, wie es funktioniert
Das ist völlig falsch. Heute konnte niemand hereinkommen und einen Sinn für die Vorgänge erkennen, da einer Domäne usw. nichts zugeordnet ist. Administratoren, die zumindest ein grundlegendes Verständnis für Active Directory- und OU-Strukturen haben, sind ein Dutzend.
Die Einrichtungskosten für neue Hardware und Lizenzen sind im Vergleich zu derzeit 0 US-Dollar hoch.
Wo auf der Erde haben sie den Eindruck, dass seine Kosten jetzt 0 $ sind? In einer IT-Organisation sind die Kosten niemals gleich Null. Es ist klar, dass Dinge nicht berücksichtigt werden , aber dies bedeutet nicht, dass die Kosten Null sind.
Wenn Ihr Chef überzeugt werden muss, geben Sie ihm eine Liste der Artikel von Unternehmen, gegen die im letzten Monat verstoßen wurde. Sie können wetten, dass alle großen Namen auf dieser Liste tatsächlich DID funktionieren, um diese Probleme zu beheben, aber dennoch eingebrochen wurden.
Es scheint, dass der Chef in dieser Situation mehr als glücklich ist, alle Bedenken zu verschleiern (Vertrauen in die Mitarbeiter, Sicherheit, Compliance usw.), solange das Geld weiter fließt Organisation.
quelle
Hier sind meine Gedanken:
Das Management versteht Technologie und ihren Platz im Geschäft sehr selten. In den meisten Fällen hat das Management falsche Vorstellungen darüber, was Technologie ist und wie sie sich auf das Geschäft auswirkt. Ja, es stimmt, dass ein Missmanagement der Technologie oft zu verschwenderischen Ausgaben führt, aber ein korrektes Management die Produktivität dramatisch steigert. Verschwendung tritt im Allgemeinen auf, wenn Leute denken, dass sie Technologie verstehen, die es falsch macht oder aus den falschen Gründen.
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
An diesem Punkt könnten Sie denken: "Warten Sie eine Minute. Das meiste, was Sie sagen, ist für die Haltung meines Chefs, nicht zu tun, was ich vorschlage." Nun, du hast 1/2 Recht.
Obwohl technisch gesehen; Solange eine Lösung standardisiert ist und die Praktiken / Richtlinien nicht zu komplex / zeitaufwendig sind, ist das Ersetzen von Mitarbeitern so einfach wie das Finden von Kandidaten, die Erfahrung mit diesen Standards haben. Das ist wirklich kein Streitpunkt.
Die andere 1/2 besteht darin, dass Sie die Kosten und den Nutzen der Implementierung der gewünschten Technologie verstehen müssen. Es könnte und es könnte die Kosten nicht wert sein. Sie werden es erst erfahren, wenn Sie Zeit damit verbringen können, Ihre eigene Kosten-Nutzen-Analyse zusammenzustellen. Dazu müssen Sie die Kosten berücksichtigen (Hinweis: Dies ist nur der Anfang der Fragen, die Sie sich stellen sollten, bevor Sie sich erneut an Ihren Chef wenden):
Denken Sie auch hier daran, dass die Fragen, die ich oben vorgeschlagen habe, nicht alles einschließen. Es könnten weitere technische Fragen gestellt werden, die zu anderen Fragen usw. führen. Sobald Sie alle diese Zahlen haben, bestimmen Sie Folgendes:
Sobald Sie in der Lage sind, eine angemessene Kosten-Nutzen-Analyse zu erstellen, können Sie sich mit einer angemessenen Lösung an Ihren Arbeitgeber wenden, anstatt einen unbegründeten Vorschlag zu unterbreiten.
Nach meiner Erfahrung entsprechen die Kosten für die Implementierung einer zentralisierten Verwaltungsinfrastruktur und die Kosten für die fortgesetzte Unterstützung dieser Infrastruktur den Kosten für die Einstellung einer anderen Stelle für die IT-Abteilung (abhängig von der Größe der Umgebung). Zumindest mit der Implementierung einer internen Lösung. Die heute verfügbaren Cloud- und SaaS-Lösungen können die Kosten für die physische Infrastruktur ausgleichen und etwas Geld sparen. Dies hängt jedoch stark vom Geschäftsmodell der Abteilung oder des Unternehmens sowie von den Sicherheitsbeschränkungen ab.
Hinweis: Wenn die Kosten für die Implementierung einer Lösung teurer sind als die Einstellung einer Vollzeitkraft, die sich mit den Problemen befasst, die die Lösung lösen soll, ist es im Allgemeinen kostengünstiger, die Stelle einzustellen (abhängig von der Komplexität des Problems, das erforderlich ist) gemildert, entlastet oder reduziert werden).
TL; DR: Verbringen Sie einige Zeit in Bezug auf Ihren Chef, obwohl der Dollar im Gegensatz zu einem ausgefallenen IT-Alphabet steht. Möglicherweise hilft es Ihrer Argumentation nicht, aber was auch immer passiert, Sie lernen am Ende mehr darüber, wie Sie Ihre Infrastruktur effizienter verwalten können.
Wenn Sie zu dem Schluss kommen, dass das Unternehmen die Lösung dringend benötigt, sich diese leisten kann und Ihr Chef immer noch nicht tun möchte, was Sie aus unlogischen Gründen sagen, können Sie keinen vernünftigen Mittelweg aushandeln, ist es Zeit, Ihre Sachen zu packen und einen neuen Arbeitgeber finden. Die Art von Arbeitgebern, die in Ordnung sind, mittelmäßig zu sein und keine logischen Entscheidungen treffen, wenn Beweise vorgelegt werden, sind nicht die Art von Arbeitgebern, bei denen Sie bleiben möchten. Sie neigen dazu, schlechte Entscheidungen zu treffen und alle um sie herum zu Fall zu bringen.
Update: 11.10.2015
Zeitkosten berechnen
Szenario: Um die PCI-DSS-Konformität zu gewährleisten, müssen Ihre Endpunkt- / POS-Computer mit Patches auf dem neuesten Stand sein (oder über einen Patch-Verwaltungsprozess verfügen).
Angenommen, Sie verdienen 15 US-Dollar pro Stunde oder 31.200 US-Dollar pro Jahr. Um sicherzustellen, dass Patches Ihre Systeme nicht beschädigen, müssen Sie alle Systeme jedes Mal manuell patchen, wenn ein neuer Patch herauskommt. Nehmen wir der Einfachheit halber auch eine zentralisierte Verwaltungsinfrastruktur an (Hinweis: Dies ist nur eine vereinfachte Ansicht; es hängt wirklich davon ab, wie Ihre Büros miteinander verbunden sind, ob Sie Redundanz benötigen und ob es sinnvoll ist, in jedem Büro einen Server zu haben oder nur eine) kostet Sie $ 11.000 für einen Server, $ 2.500 für die Serverlizenz und $ 2.500 für CALs und 80 Stunden, um eine Domain einzurichten und alle Computer der Domain hinzuzufügen; 80 Std. X 15 USD / Std. = 1.200 USD (mehr, wenn Sie es an einen lokalen Anbieter auslagern; Highball kostet 120 USD / Std.; Also 80 Std. X 120 USD / Std. = 9.600 USD). Ihre gesamte zentralisierte Verwaltungsinfrastruktur könnte für rund 17.200 bis 25.600 US-Dollar eingesetzt werden.
Patch Tuesday findet jeden 2. und 4. Dienstag im Monat statt. Wenn an jedem Patch-Dienstag sogar ein Patch veröffentlicht wird, für dessen Installation und Neustart zwischen 15 und 30 Minuten erforderlich sind, müssen Sie mindestens eine Stunde pro Monat für das Patchen eines Computers aufwenden. oder 12 Stunden pro Jahr.
Sie geben bereits 12 Stunden x 15 US-Dollar = 180 US-Dollar pro Jahr für das Patch-Management für einen Computer aus. Vervielfachen Sie jetzt die Anzahl der Computer, die Sie haben (weil Sie nicht vergessen haben, dass die Systeme nicht automatisch patchen können, da Sie nicht wissen, ob die Patches die derzeit installierten Apps beschädigen). Dies bedeutet, dass Sie mehr als 180 USD / Jahr x 50 Computer = 9.000 USD für das Patch-Management ausgeben. Das sind 28,85% Ihres Gehalts und ...
Ausgaben für eine grundlegende Aufgabe, die von einer zentralisierten Verwaltungsinfrastruktur verwaltet werden kann; Das Testen von Patches wird jetzt vereinfacht, nur basierend auf der Anzahl Ihrer "Images", wobei ein "Image" eine Basiskopie des Betriebssystems und der Apps ist, die eine Gruppe von Systemen verwendet. Zu diesem Zeitpunkt verbringen Sie nur 15 bis 30 Minuten pro Bild, im Gegensatz zu 1,56 bis 3,13 Tagen. Dies beinhaltet weder die Reisezeit, falls erforderlich, noch das Verschwenden / Warten, bis Personen vom Computer absteigen, damit Sie Ihre Arbeit erledigen können.
Warten Sie, $ 9.000 scheinen meine Anfrage nicht zu rechtfertigen. Vielleicht, aber haben Sie darüber nachgedacht, Ihre Endpunkt-Sicherheitslösung (Virenschutz, Malware-Schutz usw.) zu zentralisieren? Oh Junge! Das sind weitere 9.000 USD, wenn Sie bedenken, dass wöchentlich Endpunktaktualisierungen durchgeführt werden! Außerdem ist es ein RIESIGER Sieg, zu erkennen, welche Systeme mit Viren infiziert sind, und den Computer UND die Person zu identifizieren. Jetzt wissen Sie, welche Personengruppen Sie über das Bewusstsein für Informationssicherheit aufklären müssen.
Warten! Sie sagen, das reicht noch nicht? Oh? Wie wäre es, wenn Sie jetzt Gruppenrichtlinien implementieren könnten, um zu verhindern, dass Personen Dinge tun, die sie nicht tun sollten? Das muss in Sachen Risikoprävention einen schönen Cent wert sein. Oh man, du sagst das reicht noch nicht? Was wäre, wenn ich Ihnen sagen würde, dass Sie jetzt ein Remote-Image / -Format erstellen und ein System neu installieren können, ohne jemals das Büro verlassen zu müssen? Oh Junge! Wäre das nicht etwas wert? Das sind 2-4 Stunden pro System, das Sie sparen. Möglicherweise 100-200 Stunden pro Aktualisierungszeitraum.
Was impliziere ich mit meinen allgemeinen Informationen von oben? Möglicherweise können Sie durch die Implementierung eines zentralen Verwaltungssystems (Windows AD) mindestens 18.000 US-Dollar einsparen. Das ist mehr als die Hälfte des Gehalts eines IT-Mitarbeiters, der 15 US-Dollar pro Stunde verdient. 18.000 US-Dollar sind mehr als die Kosten der Lösung (meine grundlegende Lösung; Sie müssen Ihre tatsächlichen Zahlen herausfinden), was bedeutet, dass sich die Lösung mit der Zeit amortisiert. technisch innerhalb von 12 Monaten nach der Implementierung.
Diese Zahlen berücksichtigen keine Projekte, für die möglicherweise zunächst eine zentralisierte Verwaltungsinfrastruktur vorhanden sein muss. Für jedes Projekt, für das Sie ein Active Directory benötigen, ist es jetzt das 50-fache der Zeit, die Sie für die Implementierung auf einem System aufgewendet haben, und das Doppelte Ihres Stundenlohns an Einsparungen.
Dies berücksichtigt auch nicht die Fähigkeit, jetzt eine ordnungsgemäße Benutzerauthentifizierung, Kennwortalterung, Kennwortkomplexitätsanforderungen und eine Reihe anderer Risikomanagementpraktiken und -richtlinien zu implementieren, die dem Unternehmen im Falle eines Verstoßes / Eindringens möglicherweise viel Geld sparen könnten oder Kompromiss.
Übrigens, Sie können Compliance-Anforderungen auch immer an Menschen richten. Nur zum Guten. Es gibt keine Möglichkeit, dass Ihr Unternehmen PCI-konform ist, wenn Personen Passwörter austauschen.
Jetzt auf die Idee kommen? Kommen Sie jetzt dazu.
quelle
Sie sagen, einer Ihrer Jobs ist "IT-Leiter", aber Ihr Vorgesetzter entscheidet über IT-Entscheidungen. Fragen Sie sich und Ihren Chef, inwiefern Sie wirklich "IT-Leiter" sind? Er sollte Ihnen ein IT-Budget zur Verfügung stellen und Sie entscheiden lassen, wie Sie es ausgeben möchten. Wenn er nicht so viel delegiert, sind Sie nicht der Leiter von irgendetwas.
Da es sich nur um eine Ihrer Rollen handelt, sollten Sie in Betracht ziehen, sie aufzugeben und die Verantwortung dafür Ihrem Chef zu übertragen. Wenn er darauf besteht, dass Sie verantwortlich sind, Ihnen aber nicht das Budget oder die Mittel für Ihre Arbeit zur Verfügung stellt, gehen Sie und bringen Sie ihn (wenn Sie in einer zivilisierten Gerichtsbarkeit leben) zur konstruktiven Entlassung vor ein Arbeitsgericht.
Kurz gesagt, dies ist keine eigentliche IT-Frage, sondern eine Management-Frage.
quelle
In den letzten Jahren habe ich immer mehr verstanden, dass Menschen im Grunde genommen irrationale Wesen sind. Sobald wir eine Entscheidung in einem Bereich treffen, werden wir emotional an ihn gebunden und lassen uns selten von Fakten oder Daten überreden. Sie können nicht argumentieren oder Ihren Chef in eine bessere Position beweisen.
In diesem Sinne ist es Ihre beste Strategie, Ihrem Chef zu zeigen, wie bessere Geräte und Verfahren sein Endergebnis verbessern können, indem Sie an anderer Stelle Kosten senken oder Einnahmen und Effizienz steigern. Es ist zu spät, um die Risikominderungskarte zu spielen.
quelle