นี่คือความคิดของฉัน:
ผู้บริหารไม่ค่อยเข้าใจเทคโนโลยีและสถานที่ในการทำธุรกิจมากนัก เวลาส่วนใหญ่ฝ่ายบริหารมีความเข้าใจผิดเกี่ยวกับเทคโนโลยีคืออะไรและมีผลกระทบอย่างไรต่อธุรกิจ ใช่มันเป็นความจริงที่การจัดการเทคโนโลยีที่ผิดพลาดบ่อยครั้งจะนำไปสู่การใช้จ่ายที่สิ้นเปลือง แต่การจัดการที่เหมาะสมจะเพิ่มผลผลิตอย่างมาก ของเสียทั่วไปเกิดขึ้นเมื่อคุณมีคนที่คิดว่าพวกเขาเข้าใจเทคโนโลยีทำผิดหรือด้วยเหตุผลที่ผิด
- เราจัดการมาหลายปีแล้วโดยไม่มีปัญหา
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- ถ้าฉันจากไปแล้วไม่มีใครจะสามารถเข้าใจได้ว่ามันทำงานอย่างไร
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- ค่าติดตั้งสำหรับฮาร์ดแวร์และใบอนุญาตใหม่นั้นสูงเมื่อเทียบกับ $ 0 ทันที
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
เมื่อถึงจุดนี้คุณอาจกำลังคิดว่า "เดี๋ยวก่อน; สิ่งที่คุณพูดส่วนใหญ่เป็นการสนับสนุนท่าทางของเจ้านายของฉันในการไม่ทำสิ่งที่ฉันแนะนำ" คุณก็ถูก 1/2
แม้ว่าเทคนิคการพูด; ตราบใดที่วิธีการแก้ปัญหาเป็นมาตรฐานและการปฏิบัติ / นโยบายไม่ซับซ้อนมาก / ใช้เวลามากเกินไปการแทนที่พนักงานนั้นง่ายเหมือนการหาผู้สมัครที่มีประสบการณ์กับมาตรฐานเหล่านั้น นี่ไม่ใช่จุดโต้เถียง
อีก 1/2 ก็คือคุณต้องเข้าใจค่าใช้จ่าย / ผลประโยชน์ของการใส่เทคโนโลยีที่คุณต้องการ มันทำได้และไม่คุ้มกับค่าใช้จ่าย คุณจะไม่รู้ว่านอกจากคุณจะใช้เวลาในการวิเคราะห์ค่าใช้จ่าย / ผลประโยชน์ของคุณเอง ในการทำเช่นนี้คุณต้องพิจารณาค่าใช้จ่าย (หมายเหตุ: นี่เป็นเพียงจุดเริ่มต้นของคำถามที่คุณควรถามตัวเองก่อนที่จะนำวิธีการของคุณกลับไปหาเจ้านายของคุณอีกครั้ง):
- เซิร์ฟเวอร์เท่าไหร่
- ฉันต้องการเซิร์ฟเวอร์จำนวนเท่าใด
- ใบอนุญาตเท่าไหร่
- ฉันต้องมีใบอนุญาตจำนวนเท่าใด
- เครือข่ายของฉันจะสามารถจัดการกับการเปลี่ยนแปลงแบนด์วิดท์เนื่องจากการรับส่งข้อมูลที่เพิ่มขึ้นจากเครือข่ายการจัดการได้อย่างไร
- ฉันต้องเปลี่ยนโครงสร้างพื้นฐานของฉันอย่างไร
- ฉันจะต้องเปลี่ยนระบบปลายทางใด ๆ ของฉันเพื่อให้ตรงตามข้อกำหนดขั้นต่ำที่เปลือยเปล่าสำหรับโดเมนของฉันหรือไม่
- ฉันจะรู้วิธีตั้งค่าโดเมนของตัวเองหรือฉันต้องนำบุคคลที่สามมาวางโซลูชันแบบเทิร์นคีย์สำหรับฉันได้อย่างไร และถ้าเป็นเช่นนั้นพวกเขาจะเสียค่าใช้จ่ายเท่าไหร่?
- มีปัญหากี่ข้อในสิ่งแวดล้อมและฉันใช้เวลาทำงานกับสิ่งเหล่านั้นเท่าไหร่ที่สามารถบรรเทาบรรเทาหรือลดลงได้ด้วยวิธีแก้ปัญหาที่ฉันเสนอ
- ใช้เงินเท่าไรในการทำงานกับปัญหาที่สามารถบรรเทาบรรเทาหรือลดลงด้วยวิธีแก้ปัญหาที่ฉันเสนอ (รวมถึงค่าใช้จ่ายของเวลาต้นทุนการหยุดทำงานของพนักงานและค่าใช้จ่ายของการสูญเสียทางธุรกิจ
โปรดทราบอีกครั้งว่าคำถามที่ฉันเสนอไว้ข้างต้นไม่ได้รวมทุกอย่าง มีคำถามทางเทคนิคเพิ่มเติมที่อาจถูกถามซึ่งนำไปสู่คำถามอื่น ๆ เป็นต้นและอื่น ๆ เมื่อคุณมีหมายเลขเหล่านั้นทั้งหมดแล้วให้พิจารณาสิ่งต่อไปนี้:
- การใช้เทคโนโลยีจะช่วยลดบรรเทาหรือลดจำนวนเวลา / เงิน / ความพยายามที่ใช้ไปกับปัญหาที่เกิดขึ้นจริงหรือไม่?
- การใช้เทคโนโลยีจะช่วยชดเชยต้นทุนการเผชิญปัญหา / ความพึงพอใจได้หรือไม่?
เมื่อคุณสามารถพัฒนาการวิเคราะห์ต้นทุน / ผลประโยชน์ที่เหมาะสมคุณจะสามารถเข้าหานายจ้างของคุณด้วยวิธีการแก้ปัญหาที่เหมาะสมซึ่งต่างจากข้อเสนอแนะที่ไม่มีมูลความจริง
จากประสบการณ์ของฉันค่าใช้จ่ายในการใช้โครงสร้างพื้นฐานการจัดการแบบรวมศูนย์และค่าใช้จ่ายในการสนับสนุนอย่างต่อเนื่องของโครงสร้างพื้นฐานดังกล่าวเท่ากับค่าใช้จ่ายในการว่าจ้างองค์กรอื่นสำหรับแผนกไอที (ขึ้นอยู่กับขนาดของสภาพแวดล้อม) อย่างน้อยที่สุดด้วยการนำโซลูชันภายในมาใช้ โซลูชันคลาวด์และ SaaS ที่มีในปัจจุบันอาจชดเชยต้นทุนโครงสร้างพื้นฐานทางกายภาพและประหยัดเงิน แต่ขึ้นอยู่กับรูปแบบธุรกิจและข้อ จำกัด ด้านความปลอดภัยของแผนกหรือ บริษัท
หมายเหตุ: หากค่าใช้จ่ายในการดำเนินการแก้ปัญหามีราคาแพงกว่าการจ้างคนทำงานเต็มเวลาเพื่อจัดการกับปัญหาที่ควรแก้ไขเพื่อแก้ปัญหาโดยทั่วไปแล้วจะมีประสิทธิภาพมากกว่าในการจ้างงานศพ (ขึ้นอยู่กับความซับซ้อนของปัญหาที่ต้องการ ได้รับการบรรเทาบรรเทาหรือลด)
TL; DR: ใช้เวลาสักครู่ที่เกี่ยวข้องกับเจ้านายของคุณแม้ว่าจะเป็นจำนวนเงินดอลล่าร์ซึ่งตรงข้ามกับตัวอักษรไอทีที่หรูหรา อาจหรือไม่อาจช่วยโต้แย้งของคุณ แต่ไม่ว่าจะเกิดอะไรขึ้นคุณต้องเรียนรู้เพิ่มเติมเกี่ยวกับวิธีจัดการโครงสร้างพื้นฐานของคุณอย่างมีประสิทธิภาพยิ่งขึ้น
สุดท้ายหากข้อสรุปของคุณคือ บริษัท ต้องการทางออกอย่างหมดจดสามารถจ่ายได้และเจ้านายของคุณยังคงไม่ต้องการทำสิ่งที่คุณพูดด้วยเหตุผลที่ไร้เหตุผลคุณไม่สามารถเจรจาต่อรองกลางเหตุผลได้ก็ถึงเวลาเตรียมสิ่งของของคุณ และหานายจ้างใหม่ ชนิดของนายจ้างที่ตกลงเป็นปานกลางและไม่ตัดสินใจอย่างมีเหตุผลเมื่อแสดงหลักฐานไม่ใช่ประเภทของนายจ้างที่คุณต้องการ พวกเขามีแนวโน้มที่จะทำการตัดสินใจที่ไม่ดี
อัปเดต: 2015-10-11
การคำนวณต้นทุนของเวลา
สถานการณ์จำลอง: แง่มุมหนึ่งของการปฏิบัติตามข้อกำหนด PCI DSS ที่ต้องใช้คอมพิวเตอร์ปลายทาง / POS ของคุณเป็นรุ่นล่าสุดพร้อมกับแพตช์ (หรือมีกระบวนการจัดการแพตช์อยู่)
สมมติว่าคุณสร้างรายได้ $ 15 / ชม. USD หรือ $ 31,200 / yr USD และเพื่อให้แน่ใจว่าแพตช์ไม่ทำให้ระบบของคุณแตกสลายคุณต้องทำการปะแก้ระบบของคุณด้วยตนเองทุกครั้งที่มีแพตช์ใหม่ออกมา เพื่อความเรียบง่ายสมมติว่าโครงสร้างการจัดการแบบรวมศูนย์ (หมายเหตุ: นี่เป็นเพียงมุมมองที่เรียบง่ายขึ้นอยู่กับการเชื่อมต่อระหว่างสำนักงานของคุณไม่ว่าคุณจะต้องการความซ้ำซ้อนหรือไม่และมีเหตุผลที่จะมีเซิร์ฟเวอร์ในทุกสำนักงาน หรือเพียงหนึ่ง) จะเสียค่าใช้จ่าย $ 11,000 สำหรับเซิร์ฟเวอร์, $ 2,500 สำหรับสิทธิ์ใช้งานเซิร์ฟเวอร์และ $ 2,500 สำหรับ CAL และ 80 ชั่วโมงในการตั้งค่าโดเมนและเข้าร่วมคอมพิวเตอร์ทุกเครื่องกับโดเมน 80 ชม. x $ 15 / ชม. = $ 1,200 (มากกว่านี้ถ้าคุณเอาท์ซอร์ซไปยังผู้ขายในพื้นที่; highball คือ $ 120 / ชม. ดังนั้น 80 ชม. x $ 120 / ชม. = $ 9,600) โครงสร้างพื้นฐานการจัดการแบบรวมศูนย์ของคุณสามารถ จะถูกวางในราคาประมาณ $ 17,200 ถึง $ 25,600
Patch Tuesday เกิดขึ้นทุกวันอังคารที่ 2 และ 4 ของทุกเดือน หากมีแพทช์ 1 ตัวที่ปล่อยออกมาทุก Patch วันอังคารซึ่งต้องใช้ทุกที่ระหว่าง 15 นาทีถึง 30 นาทีในการติดตั้งและรีบูตคุณต้องใช้เวลาอย่างน้อย 1 ชั่วโมงต่อเดือนในการติดตั้งคอมพิวเตอร์ 1 เครื่อง หรือ 12 ชั่วโมงต่อปี
คุณใช้จ่ายไปแล้ว: 12 ชั่วโมง x $ 15 = $ 180 ต่อปีสำหรับการจัดการแพตช์สำหรับคอมพิวเตอร์ 1 เครื่อง ตอนนี้คอมพิวเตอร์หลายเครื่องที่คุณมี 50 เครื่อง (เพราะจำไว้ว่าคุณไม่สามารถปล่อยให้ระบบแก้ไขโดยอัตโนมัติได้เพราะคุณไม่รู้ว่าแพตช์จะทำลายแอพที่คุณติดตั้งอยู่หรือไม่) นี่หมายความว่าคุณใช้จ่ายให้กับคอมพิวเตอร์ $ 180 / ปี x50 = 9,000 ดอลลาร์ในการจัดการแพตช์ นั่นคือค่าจ้างของคุณ 28.85% และ ...
- คอมพิวเตอร์ 15 นาที x 50 = 750 นาทีหรือ 12.5 ชั่วโมงหรืออย่างน้อย 1.56 วัน
- คอมพิวเตอร์ 30 นาที x 50 = สูงสุด 1,500 นาทีหรือ 25 ชั่วโมงหรือสูงสุด 3.13 วัน
ใช้เวลากับงานที่ต้องใช้ความสามารถน้อยซึ่งสามารถจัดการได้โดยโครงสร้างพื้นฐานการจัดการแบบรวมศูนย์ การทดสอบโปรแกรมแก้ไขนั้นง่ายขึ้นตอนนี้ขึ้นอยู่กับจำนวน "ภาพ" ที่คุณมีซึ่ง "ภาพ" เป็นสำเนาพื้นฐานของระบบปฏิบัติการและแอพที่กลุ่มระบบใช้ ณ จุดนี้คุณใช้เวลา 15-30 นาทีต่อภาพเท่านั้นเมื่อเทียบกับ 1.56-3.13 วัน ไม่รวมเวลาเดินทางหากจำเป็นและไม่รวมถึงการสิ้นเปลือง / รอให้ผู้คนออกจากคอมพิวเตอร์เพื่อให้คุณสามารถทำงานของคุณได้
เดี๋ยวก่อน $ 9,000 ดูเหมือนจะไม่เป็นเช่นนั้น อาจเป็นไปได้ไหมว่าคุณเคยคิดที่จะรวมโซลูชันการรักษาความปลอดภัยของจุดสิ้นสุด (ป้องกันไวรัส, ต่อต้านมัลแวร์, ฯลฯ ... )? โอ้เด็ก! นั่นคืออีก $ 9,000 ถ้าคุณพิจารณาการอัพเดทจุดสิ้นสุดเกิดขึ้นทุกสัปดาห์! ยิ่งไปกว่านั้นความสามารถในการระบุระบบที่ติดไวรัสและระบุตำแหน่งคอมพิวเตอร์และบุคคลนั้นเป็นชัยชนะที่ยิ่งใหญ่ ตอนนี้คุณรู้ว่ากลุ่มคนที่คุณต้องการให้ความรู้เกี่ยวกับความปลอดภัยของข้อมูล
รอ! คุณกำลังบอกว่ายังไม่พอ? โอ้? ตอนนี้ความสามารถในการใช้นโยบายกลุ่มเพื่อป้องกันไม่ให้ผู้คนทำสิ่งที่ไม่ควรทำ นั่นเป็นสิ่งที่คุ้มค่ากับการป้องกันความเสี่ยง โอ้คุณกำลังบอกว่ายังไม่พอเหรอ? ถ้าฉันบอกคุณว่าตอนนี้คุณสามารถทำภาพ / รูปแบบจากระยะไกลและติดตั้งระบบใหม่โดยไม่ต้องออกจากสำนักงาน!? โอ้เด็ก! มันจะไม่คุ้มค่าหรือไม่ นั่นคือ 2-4 ชั่วโมงต่อระบบที่คุณกำลังบันทึก อาจใช้เวลา 100-200 ชั่วโมงต่อช่วงเวลารีเฟรช
ดังนั้นฉันหมายถึงอะไรกับข้อมูลทั่วไปของฉันจากด้านบน? อาจเป็นไปได้ว่าคุณสามารถประหยัดขั้นต่ำ $ 18,000 โดยการใช้ระบบการจัดการแบบรวมศูนย์ (Windows AD) นั่นเป็นมากกว่า 1/2 เงินเดือนของคนไอทีที่ทำรายได้ $ 15 / ชม. $ 18,000 เป็นมากกว่าค่าใช้จ่ายของการแก้ปัญหา (เช่นกันโซลูชันขั้นพื้นฐานของฉันคุณจะต้องคิดตัวเลขจริงของคุณเอง) ซึ่งหมายความว่าโซลูชันจะจ่ายเอง ในทางเทคนิคภายใน 12 เดือนของการดำเนินการ
ตัวเลขเหล่านี้ไม่ได้คำนึงถึงโครงการใด ๆ ที่อาจต้องมีโครงสร้างพื้นฐานการจัดการแบบรวมศูนย์เพื่อเริ่มต้น สำหรับทุกโครงการที่ก้าวไปข้างหน้าที่คุณต้องการใช้งาน Active Directory ในขณะนี้เป็น 50 เท่าของเวลาที่คุณใช้ไปกับการนำไปใช้งานจริงระบบที่คุณใช้จ่ายรายชั่วโมงในการประหยัด
สิ่งนี้ยังไม่ได้คำนึงถึงความสามารถในการใช้การพิสูจน์ตัวตนผู้ใช้ที่เหมาะสมการกำหนดอายุของรหัสผ่านข้อกำหนดด้านความซับซ้อนของรหัสผ่านและแนวทางปฏิบัติในการจัดการความเสี่ยงอื่น ๆ และนโยบายที่อาจช่วยประหยัดเงินจำนวนมากของ บริษัท หรือประนีประนอม
โอ้โดยวิธีการที่คุณสามารถโยนความต้องการการปฏิบัติตามที่คนเช่นกัน เพียงเพื่อการวัดที่ดี ไม่มีทางที่ บริษัท ของคุณจะเข้ากันได้กับ PCI หากผู้คนแบ่งปันรหัสผ่าน
รับแนวคิดตอนนี้หรือไม่ ตอนนี้ไปที่มัน