ฉันจะโน้มน้าวให้ บริษัท ของฉันลงทุนด้านไอที - โดเมนความปลอดภัย ฯลฯ ได้อย่างไร


26

ฉันทำงานให้กับผู้ค้าปลีกขนาดกลางขนาดเล็กซึ่งมีร้านค้าไฮสตรีทครึ่งโหลและเว็บไซต์

สถานการณ์ไอทีในปัจจุบันอยู่ในสถานะที่พื้นฐานมาก ในฐานะที่เป็น "หัวหน้าฝ่ายไอที" เป็นเพียงส่วนเล็ก ๆ ของรายละเอียดงานของฉันและสุดท้ายในรายการฉันไม่สามารถใส่เวลาลงไปมากเท่าที่ฉันต้องการ

เรามีคอมพิวเตอร์ประมาณ 50 เครื่องและ Windows 14 เครื่องบนเครือข่ายของเรา (30 ภายในสำนักงานใหญ่ร้านค้าภายนอก 20 แห่งคลังสินค้าและแล็ปท็อป) นี่คือทั้งหมดที่สร้างขึ้นบนเครือข่าย Workgroup และไซต์ทั้งหมดเชื่อมต่อกันผ่านการตั้งค่า VPN ระดับเราเตอร์ขั้นพื้นฐานที่มีซับเน็ตสำหรับแต่ละร้านค้า

ดังนั้นฉันไม่สามารถจัดการอะไรได้ตรวจสอบคอมพิวเตอร์ว่าปลอดภัยทำการตรวจสอบใด ๆ ตรวจสอบให้แน่ใจว่าติดตั้งการปรับปรุงจัดการ Wi-Fi สำหรับอุปกรณ์ของแขกหรือตรวจสอบอะไร

ฉันอยากได้โดเมนจริงๆและหลังจากบอกเจ้านายของฉันแล้วเขาบอกว่ามันไม่คุ้มกับ:

  • เราได้จัดการกับเวิร์กกรุ๊ปเป็นเวลาหลายปีโดยไม่มีปัญหา
  • พนักงานสามารถไว้วางใจได้
  • หากฉันออกไปหรือไม่พร้อมใช้งานเมื่อมีบางสิ่งแตกหักจะไม่มีใครสามารถเข้าใจได้ว่ามันทำงานอย่างไร
  • ค่าติดตั้งสำหรับฮาร์ดแวร์ใหม่และลิขสิทธิ์สำหรับโดเมนนั้นสูงมาก (ขณะนี้เราเพิ่งซื้อพีซี OEM Windows ที่สร้างไว้ล่วงหน้าแล้วตามด้วยใบอนุญาต Office แบบขายปลีกที่แปลก)
  • เนื่องจากโดเมนมีการจัดการจากส่วนกลางหากมีปัญหาสำคัญเกิดขึ้นอาจทำให้คอมพิวเตอร์ทุกเครื่องไม่ทำงาน (ต่างจากเวิร์กกรุ๊ปที่หากคอมพิวเตอร์เพียงเครื่องเดียวตายจากนั้นทุกอย่างอื่นก็ใช้ได้และไม่ส่งผลกระทบต่อการทำงานของคนอื่น)

ฉันไม่รู้ว่าจะเน้นหนักแค่ไหนในด้านความปลอดภัยที่เราไม่มีโดเมน ทุกคนสามารถเข้าถึงเนื้อหาได้หากพวกเขาเชื่อมต่อกับ Wi-Fi ของเราทุกคนสามารถเข้าถึงเนื้อหาจากพีซีเครื่องใดก็ได้เนื่องจากผู้ใช้ไม่ได้ติดตั้งรหัสผ่านทุกคนสามารถดูโฟลเดอร์ที่แชร์ได้และลบโดยไม่มีบันทึกเพื่อแสดงหรือสำรองข้อมูล ฉันไม่แน่ใจว่า PCI เป็นไปตามที่เรามีหรือว่าเราเป็นไปตามมาตรฐานสำหรับผู้ตรวจสอบ ฉันได้รับคำสั่งให้เพิกเฉยและไม่ต้องกังวล

ในฐานะที่เป็น "หัวหน้าโครงสร้างพื้นฐานด้านไอทีภายใน" อยู่ในรายละเอียดงานของฉันฉันจึงไม่ต้องการถูกตรวจสอบหากเราได้รับข้อมูลที่ผิดพลาดหรือถูกกฎหมายฟ้องเรา

ฉันจะแสดงให้เห็นได้อย่างไรว่าสิ่งต่าง ๆ จำเป็นต้องเปลี่ยนแปลงและต้องใช้เวลาและเงินพิเศษในเรื่องนี้ สำหรับ บริษัท ขนาดของเราอาจต้องการผู้ดูแลระบบเครือข่ายเต็มเวลา หรือฉันกำลังคิดถึงสิ่งต่าง ๆ และเห็นแก่ตัวมากสำหรับสิ่งที่ฉันต้องการจริงๆและเวิร์กกรุ๊ปจะไม่เป็นไร?

อัปเดต: ดูเหมือนฉันอาจเก็บความคิดของโดเมนไว้ที่เครื่องเขียนหลังและลองทำสิ่งเล็ก ๆ ตัวอย่างเช่นตรวจสอบให้แน่ใจว่ามีการอัพเดทสแกนไวรัสและไฟร์วอลล์ตรวจสอบให้แน่ใจว่ามีการเปิดใช้รหัสผ่านในพีซีส่วนบุคคลเปิดใช้งานการสำรองข้อมูลในทุกเครื่องล็อคทางกายภาพในห้องที่มีเซิร์ฟเวอร์ในฉันไม่แน่ใจว่าจะทำอย่างไร -Fi แต่นั่นเป็นคำถามอื่น!


14
ถามพวกเขาว่าพวกเขายินดีจ่ายเพื่อชำระคดีความในชั้นเรียนหากข้อมูลลูกค้าและข้อมูลบัตรเครดิต / การชำระเงินถูกขโมย ถามพวกเขาว่าพวกเขายินดีที่จะเสี่ยงสูญเสียธุรกิจทั้งหมดในสถานการณ์เช่นนี้เพราะอาจเกิดขึ้นได้เป็นอย่างดี
joeqwerty

2
โอ้รายการที่สี่นั้นไม่จริงเช่นกันเว้นแต่ว่าพวกเขาจะทำงานบน warez นอกจากนี้ยังมีค่าใช้จ่ายในการดูแลของผู้ดูแลระบบในการรักษาระเบียบ
blaughw

4
แสดงให้พวกเขาเห็นว่ากางเกงของพวกเขาลงไปได้อย่างไรด้วยการเชื้อเชิญคนที่สวมหมวกสีขาวเพื่อทดสอบปากกาของพวกคุณ :)
Mike McMahon

2
คำตอบทั้งหมดครอบคลุมมากที่สุดของสิ่งที่ฉันอยากจะแนะนำให้คุณเกี่ยวกับสาเหตุที่เขาไม่ถูกต้องในหลายจุดที่นั่นและที่คุณจะไม่เปลี่ยนใจในชั่วข้ามคืน ฉันพบปัญหาที่คล้ายกันและข้อเสนอแนะของฉันคือเขียนข้อเสนอที่มีเอกสารครบถ้วน ทำไมระบบปัจจุบันที่ยอมรับไม่ได้สำหรับความปลอดภัยการจัดการและอื่น ๆ ครอบคลุมคุณบ้างหากมีการฝ่าฝืนที่คุณแจ้งเตือนฝ่ายจัดการถึงปัญหาล่วงหน้าและให้คุณพูดอย่างระมัดระวังเพื่อส่งผลกระทบต่อข้อกังวลที่พวกเขาสื่อสารไปแล้วและแนะนำการเคลื่อนไหวในระดับช้าเพื่อแก้ไข นอกจากนี้ยังแสดงว่าคุณสามารถประมวลผลเอกสารชี้ 3 ไม่ถูกต้อง
Piskie

2
คุณได้รับแจ้งว่า "พนักงานสามารถเชื่อถือได้"? ฉันไม่สามารถคิดอะไรมากขึ้นที่จะไปขัดแย้งกับบทบาทของไอทีและที่สมมติว่าพนักงานทั้งหมดของคุณ / ผู้ใช้งานมีความตั้งใจที่ดี
Eric McCormick

คำตอบ:


28

นี่ไม่ใช่คำตอบของเทคโนโลยีไอที แต่หวังว่าจะมีประโยชน์อย่างไรก็ตาม

เมื่อพูดถึงประสบการณ์หลายปีคุณจะไม่สามารถโน้มน้าวให้เจ้านายของคุณทำทุกสิ่งที่แตกต่าง เหตุผลหลักของเรื่องนี้คือเขาเป็นเจ้านายในขณะที่คุณเป็นแค่ผู้ใต้บังคับบัญชาของเขา คุณอยู่ในตำแหน่งที่ไม่ถูกต้องเพื่อผลักดันการเปลี่ยนแปลงขั้นพื้นฐาน

คุณสามารถมีชีวิตอยู่กับความคาดหวังของมากการเปลี่ยนแปลงอย่างค่อยเป็นค่อยไปด้วยงบประมาณเสมอมากเกินไปแน่นและแก้ปัญหาโดยจำนวนเงินที่แท้จริงของการใช้แรงงานแทนการวางแผนที่รัดกุมและการใช้งานสมาร์ทของเครื่องมือ? นี่เป็นโอกาสที่คุณจะได้เห็น เจ้านายของคุณเปิดร้านค้าของเขาด้วยวิธีนี้มานานหลายปี ธุรกิจเติบโตและเติบโตดังนั้นกลยุทธ์จึงเป็นไปได้ คุณเป็นใครในการตั้งคำถามการตัดสินใจและกลยุทธ์ทางธุรกิจของเขา?

หากคุณต้องการที่จะนำการเปลี่ยนแปลงองค์กรที่องค์กรจะต้องขอให้คุณทำมัน การเปลี่ยนแปลงใด ๆ จะเกิดขึ้นในราคาที่ผู้บริหารต้องพิจารณาว่าคุ้มค่า คุณต้องการการสนับสนุนจากฝ่ายบริหารเพื่อเอาชนะแนวต้านและความเฉื่อยที่เกี่ยวข้อง หากคุณสามารถหาที่ปรึกษาที่เจ้านายของคุณจะรับฟังมันอาจเป็นเส้นทางที่มีแนวโน้มมากกว่าการเสียเวลา (และเจ้านายของคุณ) ไปกับการโน้มน้าวให้เขาทำบางสิ่งที่เขาบอกว่าเขาไม่ต้องการทำ

ถ้าฉันอยู่ในรองเท้าของคุณฉันอาจจะเริ่มหางานใหม่


9
ฉันเกือบจะพิจารณาสร้างบัญชีใหม่เพียงเพื่อให้ฉันสามารถถอนมันได้อีกครั้ง (ถ้าไม่ได้ขมวดคิ้วอย่างมหาศาล) นี่ไม่ใช่ปัญหาไอที แต่เป็นปัญหาของคน คุณได้รับการว่าจ้างให้ทำงาน แต่ไม่ได้รับอิสรภาพเครื่องมือหรือแหล่งข้อมูลอย่างมืออาชีพ ฉันจะเริ่มมองหาที่อื่นเช่นกัน
GregL

1
+1 สำหรับองค์ประกอบครอสโอเวอร์ Workplace.SE น่าเสียดายที่นี่เป็นสิ่งที่ผู้เชี่ยวชาญด้านไอทีต้องรับมือ
blaughw

18

คุณต้องมุ่งเน้นไปที่วิธีที่ช่วยพวกเขาไม่ใช่สิ่งที่คุณ "ต้องการ"

  • เราจัดการมาหลายปีแล้วโดยไม่มีปัญหา

และคุณไม่ต้องการที่จะเริ่มตอนนี้! มีการละเมิดข้อมูลจำนวนมากเมื่อเร็ว ๆ นี้รวมถึงTarget , Home Depotและอีกมากมาย Home Depot ใช้จ่าย$ 43,000,000ในการฝ่าฝืนข้อมูลในเวลาเพียงหนึ่งในสี่ เป้าหมายจ่าย$ 10,000,000ในการชำระ การศึกษาของไอบีเอ็มพบว่ามีการละเมิดข้อมูลค่าใช้จ่ายเฉลี่ย $ 3.8 ล้าน การ pwned มีราคาแพง

  • พนักงานสามารถเชื่อถือได้

นี่เป็นความเท็จที่พิสูจน์ได้ ขโมยของพนักงาน บริษัท มีค่าใช้จ่ายเกี่ยวกับ $ 18 พันล้านปี

  • ถ้าฉันจากไปแล้วไม่มีใครจะสามารถเข้าใจได้ว่ามันทำงานอย่างไร

นี่คือเหตุผลที่คุณจะใช้มาตรฐานแนวปฏิบัติที่ดีที่สุดแทนการตั้งค่าแปลก ๆ ที่คุณมีตอนนี้

  • ค่าติดตั้งสำหรับฮาร์ดแวร์และใบอนุญาตใหม่นั้นสูงเมื่อเทียบกับ $ 0 ทันที

ค่าใช้จ่ายในการติดตั้งสำหรับฮาร์ดแวร์และการออกใบอนุญาตใหม่นั้นมีราคาถูกเมื่อเทียบกับการละเมิดความปลอดภัย

นอกจากนี้หาก "หัวหน้าฝ่ายไอที" เป็นเพียงส่วนเล็ก ๆ ของคำบรรยายลักษณะงานของคุณมันอาจช่วยให้เอกสารที่คุณใช้เวลากับไอทีมากขึ้นเมื่อคุณสามารถใช้เวลากับหน้าที่อื่นของคุณ นั่นคือการคิดต้นทุนเงินด้วย

ทุกอย่างที่กล่าวว่า: ฉันกลัว -wabbit ถูกต้อง ผู้ที่ไม่ได้รับไอทีและคิดว่าเป็นเพียงค่าใช้จ่ายที่โง่สำหรับสิ่งที่พวกเขาไม่ต้องการนั้นค่อนข้างยากที่จะโน้มน้าวใจ ฉันจะหยุดสั้น ๆ ที่จะบอกให้คุณหางานใหม่เพราะเมื่อหลายเดือนก่อนมีเมตาดาต้าบอกว่าเรากำลังวางคำแนะนำ "รับงานใหม่" ที่ค่อนข้างหนา แต่ฉันไม่ได้มองโลกในแง่ดีเกี่ยวกับคุณ บริษัท.

ฉันจะไปตามเส้นทางที่เพิ่มขึ้น - ค้นหาสิ่งที่ใช้งานได้ง่ายซึ่งจะช่วยได้มากและทำให้เป็นจริง คุณสามารถไปจากที่นั่น


ขอบคุณ Katherine ฉันเข้าใจประเด็นของคุณโดยสิ้นเชิง บางทีฉันอาจเห็นแก่ตัวเกินไปและพยายามทำสิ่งที่ "ฉันจะมี" ถ้าฉันทำธุรกิจ โดยบอกว่าฉันจะพยายามแสดงให้เห็นว่าหน้าที่ด้านไอทีของฉันมีค่าใช้จ่ายเท่าไร แม้ว่ามันอาจเป็นเรื่องยากที่จะประเมินว่าจะลดลงด้วยโครงสร้างพื้นฐานเพิ่มเติมหรือไม่
Jeff

1
ฉันไม่คิดว่าคุณจะเห็นแก่ตัว ฉันคิดว่าผู้ดูแลระบบคนใดต้องการทำให้โครงสร้างพื้นฐานของพวกเขาดีขึ้น โครงสร้างพื้นฐานที่ดีกว่าทำงานได้ดีขึ้นโดยใช้ความพยายามน้อยลง ไม่ใช่เรื่องง่ายเลยที่จะโน้มน้าวผู้บริหาร
Katherine Villyard

9

คำตอบของ "วิธีที่สอดคล้องกับ PCI" คุณไม่มาก (แก้ไขตามความคิดเห็น) เทอร์มินัล CC ของคุณอาจไม่เป็นไรหากไถเองไม่มีข้อมูลใด ๆ

ตอนนี้เลือกรายการ "ไม่คุ้ม" ...

เราจัดการมาหลายปีแล้วโดยไม่มีปัญหา

นี่อาจเป็นจริง แต่ปัญหาคือการรับรู้ นี่จะเป็นเครื่องกีดขวางที่ใหญ่ที่สุดของคุณ

พนักงานสามารถไว้วางใจได้

ไม่เลย พวกเขาไม่สามารถ. สำหรับฉันแล้วนี่แสดงให้เห็นว่าเจ้านายของคุณไม่รู้ถึงความสูญเสียในองค์กร Moreso นี้เป็นร้านค้าปลีกที่มักจะมีการจัดการความสูญเสียอย่างเข้มงวดหรืออย่างน้อยก็เข้าใจ

ถ้าฉันจากไปแล้วไม่มีใครจะสามารถเข้าใจได้ว่ามันทำงานอย่างไร

สิ่งนี้ไม่ถูกต้องสมบูรณ์ ไม่มีใครเข้ามาในวันนี้และทำความเข้าใจกับสิ่งที่เกิดขึ้นเพราะไม่มีอะไรเข้าร่วมกับโดเมน ฯลฯ ผู้ดูแลระบบที่อย่างน้อยมีความเข้าใจพื้นฐานของ Active Directory และโครงสร้าง OU นั้นมีค่าเล็กน้อย

ค่าติดตั้งสำหรับฮาร์ดแวร์และลิขสิทธิ์ใหม่สูงเมื่อเทียบกับ $ 0 ทันที

พวกเขาอยู่ที่ไหนในโลกที่ได้รับความประทับใจว่าค่าใช้จ่ายของเขาอยู่ที่ $ 0 ตอนนี้หรือไม่ ค่าใช้จ่ายจะไม่เคยเป็นศูนย์ในองค์กรไอที เห็นได้ชัดว่าสิ่งต่าง ๆ ไม่ได้ถูกคิดแต่นี่ไม่ได้หมายความว่าค่าใช้จ่ายเป็นศูนย์

หากหัวหน้าของคุณต้องการโน้มน้าวใจให้พวกเขาเขียนรายการบทความของ บริษัท ที่ละเมิดในเดือนที่แล้ว คุณสามารถเดิมพันว่าชื่อใหญ่ ๆ ในรายชื่อนั้นทำงานได้จริงเพื่อแก้ไขปัญหาเหล่านี้ แต่ก็ยังถูกแบ่งออก

ดูเหมือนว่าเจ้านายในสถานการณ์นี้จะมีความสุขมากกว่าที่จะขัดเกลาความกังวลทั้งหมด (เชื่อใจพนักงานความปลอดภัยการปฏิบัติตามกฎระเบียบ ฯลฯ ) ตราบใดที่เงินยังคงหมุนอยู่การพูดอย่างมืออาชีพนี่เป็นสถานการณ์ที่สั่นคลอนสำหรับทุกคนใน องค์กร.


ฉันคิดว่านั่นเป็นปัญหา เว็บไซต์ของเราเป็นไปตามมาตรฐาน PCI เนื่องจากเป็นที่เก็บข้อมูลลูกค้าและวิธีดำเนินการธุรกรรม ฉันไม่รู้เกี่ยวกับร้านค้ามากนัก และพยายามโน้มน้าวให้เจ้านายของคุณเมื่อคุณยังสามารถบุกเข้าไปได้แม้จะจัดการกับปัญหาและไม่ปลอดภัย 100%
เจฟฟ์

2
ฉันจะเน้นว่า "สอดคล้อง" ไม่ได้หมายความว่า "ปลอดภัย" มันเป็นเพียงเรื่องของเวลาจนกว่าจะมีการละเมิดเกิดขึ้น
HostBits

ตกลงกระสุนนัดหนึ่งที่พูดไม่ดีในส่วนของฉัน เมื่อฉันพูด $ 0 ฉันหมายถึงนอกเหนือจากพีซีแปลกใหม่ที่นี่และที่นั่น (ลองคิดดูทุกๆ 3 เดือนหรือมากกว่านั้น) และสำเนาแปลก ๆ ของ Office ไม่มีค่าใช้จ่ายฮาร์ดแวร์อื่น ๆ เห็นได้ชัดว่ามีเงินในค่าจ้างที่ใช้เวลาของฉันในการตั้งค่าพีซีแต่ละเครื่องแล้วแยกแยะปัญหาของผู้คน
Jeff

1
เผง เดสก์ท็อปพีซีแต่ละเครื่องที่คุณซื้อมีอายุการใช้งานนาน แนวทางทั่วไปคือ 3 ปี หากต้องการระบุสิ่งนี้ในแง่ที่เจ้านายของคุณสามารถเข้าใจได้ให้แบ่งค่าใช้จ่ายส่วนบุคคลของใบอนุญาตพีซีหรือสำนักงาน ฯลฯ ด้วย 36 และมีค่าใช้จ่ายรายเดือนของคุณ
blaughw

7

นี่คือความคิดของฉัน:

ผู้บริหารไม่ค่อยเข้าใจเทคโนโลยีและสถานที่ในการทำธุรกิจมากนัก เวลาส่วนใหญ่ฝ่ายบริหารมีความเข้าใจผิดเกี่ยวกับเทคโนโลยีคืออะไรและมีผลกระทบอย่างไรต่อธุรกิจ ใช่มันเป็นความจริงที่การจัดการเทคโนโลยีที่ผิดพลาดบ่อยครั้งจะนำไปสู่การใช้จ่ายที่สิ้นเปลือง แต่การจัดการที่เหมาะสมจะเพิ่มผลผลิตอย่างมาก ของเสียทั่วไปเกิดขึ้นเมื่อคุณมีคนที่คิดว่าพวกเขาเข้าใจเทคโนโลยีทำผิดหรือด้วยเหตุผลที่ผิด

  • เราจัดการมาหลายปีแล้วโดยไม่มีปัญหา

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

  • พนักงานสามารถเชื่อถือได้

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

  • ถ้าฉันจากไปแล้วไม่มีใครจะสามารถเข้าใจได้ว่ามันทำงานอย่างไร

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

  • ค่าติดตั้งสำหรับฮาร์ดแวร์และใบอนุญาตใหม่นั้นสูงเมื่อเทียบกับ $ 0 ทันที

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

เมื่อถึงจุดนี้คุณอาจกำลังคิดว่า "เดี๋ยวก่อน; สิ่งที่คุณพูดส่วนใหญ่เป็นการสนับสนุนท่าทางของเจ้านายของฉันในการไม่ทำสิ่งที่ฉันแนะนำ" คุณก็ถูก 1/2

แม้ว่าเทคนิคการพูด; ตราบใดที่วิธีการแก้ปัญหาเป็นมาตรฐานและการปฏิบัติ / นโยบายไม่ซับซ้อนมาก / ใช้เวลามากเกินไปการแทนที่พนักงานนั้นง่ายเหมือนการหาผู้สมัครที่มีประสบการณ์กับมาตรฐานเหล่านั้น นี่ไม่ใช่จุดโต้เถียง

อีก 1/2 ก็คือคุณต้องเข้าใจค่าใช้จ่าย / ผลประโยชน์ของการใส่เทคโนโลยีที่คุณต้องการ มันทำได้และไม่คุ้มกับค่าใช้จ่าย คุณจะไม่รู้ว่านอกจากคุณจะใช้เวลาในการวิเคราะห์ค่าใช้จ่าย / ผลประโยชน์ของคุณเอง ในการทำเช่นนี้คุณต้องพิจารณาค่าใช้จ่าย (หมายเหตุ: นี่เป็นเพียงจุดเริ่มต้นของคำถามที่คุณควรถามตัวเองก่อนที่จะนำวิธีการของคุณกลับไปหาเจ้านายของคุณอีกครั้ง):

  • เซิร์ฟเวอร์เท่าไหร่
  • ฉันต้องการเซิร์ฟเวอร์จำนวนเท่าใด
  • ใบอนุญาตเท่าไหร่
  • ฉันต้องมีใบอนุญาตจำนวนเท่าใด
  • เครือข่ายของฉันจะสามารถจัดการกับการเปลี่ยนแปลงแบนด์วิดท์เนื่องจากการรับส่งข้อมูลที่เพิ่มขึ้นจากเครือข่ายการจัดการได้อย่างไร
  • ฉันต้องเปลี่ยนโครงสร้างพื้นฐานของฉันอย่างไร
  • ฉันจะต้องเปลี่ยนระบบปลายทางใด ๆ ของฉันเพื่อให้ตรงตามข้อกำหนดขั้นต่ำที่เปลือยเปล่าสำหรับโดเมนของฉันหรือไม่
  • ฉันจะรู้วิธีตั้งค่าโดเมนของตัวเองหรือฉันต้องนำบุคคลที่สามมาวางโซลูชันแบบเทิร์นคีย์สำหรับฉันได้อย่างไร และถ้าเป็นเช่นนั้นพวกเขาจะเสียค่าใช้จ่ายเท่าไหร่?
  • มีปัญหากี่ข้อในสิ่งแวดล้อมและฉันใช้เวลาทำงานกับสิ่งเหล่านั้นเท่าไหร่ที่สามารถบรรเทาบรรเทาหรือลดลงได้ด้วยวิธีแก้ปัญหาที่ฉันเสนอ
  • ใช้เงินเท่าไรในการทำงานกับปัญหาที่สามารถบรรเทาบรรเทาหรือลดลงด้วยวิธีแก้ปัญหาที่ฉันเสนอ (รวมถึงค่าใช้จ่ายของเวลาต้นทุนการหยุดทำงานของพนักงานและค่าใช้จ่ายของการสูญเสียทางธุรกิจ

โปรดทราบอีกครั้งว่าคำถามที่ฉันเสนอไว้ข้างต้นไม่ได้รวมทุกอย่าง มีคำถามทางเทคนิคเพิ่มเติมที่อาจถูกถามซึ่งนำไปสู่คำถามอื่น ๆ เป็นต้นและอื่น ๆ เมื่อคุณมีหมายเลขเหล่านั้นทั้งหมดแล้วให้พิจารณาสิ่งต่อไปนี้:

  • การใช้เทคโนโลยีจะช่วยลดบรรเทาหรือลดจำนวนเวลา / เงิน / ความพยายามที่ใช้ไปกับปัญหาที่เกิดขึ้นจริงหรือไม่?
  • การใช้เทคโนโลยีจะช่วยชดเชยต้นทุนการเผชิญปัญหา / ความพึงพอใจได้หรือไม่?

เมื่อคุณสามารถพัฒนาการวิเคราะห์ต้นทุน / ผลประโยชน์ที่เหมาะสมคุณจะสามารถเข้าหานายจ้างของคุณด้วยวิธีการแก้ปัญหาที่เหมาะสมซึ่งต่างจากข้อเสนอแนะที่ไม่มีมูลความจริง

จากประสบการณ์ของฉันค่าใช้จ่ายในการใช้โครงสร้างพื้นฐานการจัดการแบบรวมศูนย์และค่าใช้จ่ายในการสนับสนุนอย่างต่อเนื่องของโครงสร้างพื้นฐานดังกล่าวเท่ากับค่าใช้จ่ายในการว่าจ้างองค์กรอื่นสำหรับแผนกไอที (ขึ้นอยู่กับขนาดของสภาพแวดล้อม) อย่างน้อยที่สุดด้วยการนำโซลูชันภายในมาใช้ โซลูชันคลาวด์และ SaaS ที่มีในปัจจุบันอาจชดเชยต้นทุนโครงสร้างพื้นฐานทางกายภาพและประหยัดเงิน แต่ขึ้นอยู่กับรูปแบบธุรกิจและข้อ จำกัด ด้านความปลอดภัยของแผนกหรือ บริษัท

หมายเหตุ: หากค่าใช้จ่ายในการดำเนินการแก้ปัญหามีราคาแพงกว่าการจ้างคนทำงานเต็มเวลาเพื่อจัดการกับปัญหาที่ควรแก้ไขเพื่อแก้ปัญหาโดยทั่วไปแล้วจะมีประสิทธิภาพมากกว่าในการจ้างงานศพ (ขึ้นอยู่กับความซับซ้อนของปัญหาที่ต้องการ ได้รับการบรรเทาบรรเทาหรือลด)

TL; DR: ใช้เวลาสักครู่ที่เกี่ยวข้องกับเจ้านายของคุณแม้ว่าจะเป็นจำนวนเงินดอลล่าร์ซึ่งตรงข้ามกับตัวอักษรไอทีที่หรูหรา อาจหรือไม่อาจช่วยโต้แย้งของคุณ แต่ไม่ว่าจะเกิดอะไรขึ้นคุณต้องเรียนรู้เพิ่มเติมเกี่ยวกับวิธีจัดการโครงสร้างพื้นฐานของคุณอย่างมีประสิทธิภาพยิ่งขึ้น

สุดท้ายหากข้อสรุปของคุณคือ บริษัท ต้องการทางออกอย่างหมดจดสามารถจ่ายได้และเจ้านายของคุณยังคงไม่ต้องการทำสิ่งที่คุณพูดด้วยเหตุผลที่ไร้เหตุผลคุณไม่สามารถเจรจาต่อรองกลางเหตุผลได้ก็ถึงเวลาเตรียมสิ่งของของคุณ และหานายจ้างใหม่ ชนิดของนายจ้างที่ตกลงเป็นปานกลางและไม่ตัดสินใจอย่างมีเหตุผลเมื่อแสดงหลักฐานไม่ใช่ประเภทของนายจ้างที่คุณต้องการ พวกเขามีแนวโน้มที่จะทำการตัดสินใจที่ไม่ดี

อัปเดต: 2015-10-11

การคำนวณต้นทุนของเวลา

สถานการณ์จำลอง: แง่มุมหนึ่งของการปฏิบัติตามข้อกำหนด PCI DSS ที่ต้องใช้คอมพิวเตอร์ปลายทาง / POS ของคุณเป็นรุ่นล่าสุดพร้อมกับแพตช์ (หรือมีกระบวนการจัดการแพตช์อยู่)

สมมติว่าคุณสร้างรายได้ $ 15 / ชม. USD หรือ $ 31,200 / yr USD และเพื่อให้แน่ใจว่าแพตช์ไม่ทำให้ระบบของคุณแตกสลายคุณต้องทำการปะแก้ระบบของคุณด้วยตนเองทุกครั้งที่มีแพตช์ใหม่ออกมา เพื่อความเรียบง่ายสมมติว่าโครงสร้างการจัดการแบบรวมศูนย์ (หมายเหตุ: นี่เป็นเพียงมุมมองที่เรียบง่ายขึ้นอยู่กับการเชื่อมต่อระหว่างสำนักงานของคุณไม่ว่าคุณจะต้องการความซ้ำซ้อนหรือไม่และมีเหตุผลที่จะมีเซิร์ฟเวอร์ในทุกสำนักงาน หรือเพียงหนึ่ง) จะเสียค่าใช้จ่าย $ 11,000 สำหรับเซิร์ฟเวอร์, $ 2,500 สำหรับสิทธิ์ใช้งานเซิร์ฟเวอร์และ $ 2,500 สำหรับ CAL และ 80 ชั่วโมงในการตั้งค่าโดเมนและเข้าร่วมคอมพิวเตอร์ทุกเครื่องกับโดเมน 80 ชม. x $ 15 / ชม. = $ 1,200 (มากกว่านี้ถ้าคุณเอาท์ซอร์ซไปยังผู้ขายในพื้นที่; highball คือ $ 120 / ชม. ดังนั้น 80 ชม. x $ 120 / ชม. = $ 9,600) โครงสร้างพื้นฐานการจัดการแบบรวมศูนย์ของคุณสามารถ จะถูกวางในราคาประมาณ $ 17,200 ถึง $ 25,600

Patch Tuesday เกิดขึ้นทุกวันอังคารที่ 2 และ 4 ของทุกเดือน หากมีแพทช์ 1 ตัวที่ปล่อยออกมาทุก Patch วันอังคารซึ่งต้องใช้ทุกที่ระหว่าง 15 นาทีถึง 30 นาทีในการติดตั้งและรีบูตคุณต้องใช้เวลาอย่างน้อย 1 ชั่วโมงต่อเดือนในการติดตั้งคอมพิวเตอร์ 1 เครื่อง หรือ 12 ชั่วโมงต่อปี

คุณใช้จ่ายไปแล้ว: 12 ชั่วโมง x $ 15 = $ 180 ต่อปีสำหรับการจัดการแพตช์สำหรับคอมพิวเตอร์ 1 เครื่อง ตอนนี้คอมพิวเตอร์หลายเครื่องที่คุณมี 50 เครื่อง (เพราะจำไว้ว่าคุณไม่สามารถปล่อยให้ระบบแก้ไขโดยอัตโนมัติได้เพราะคุณไม่รู้ว่าแพตช์จะทำลายแอพที่คุณติดตั้งอยู่หรือไม่) นี่หมายความว่าคุณใช้จ่ายให้กับคอมพิวเตอร์ $ 180 / ปี x50 = 9,000 ดอลลาร์ในการจัดการแพตช์ นั่นคือค่าจ้างของคุณ 28.85% และ ...

  • คอมพิวเตอร์ 15 นาที x 50 = 750 นาทีหรือ 12.5 ชั่วโมงหรืออย่างน้อย 1.56 วัน
  • คอมพิวเตอร์ 30 นาที x 50 = สูงสุด 1,500 นาทีหรือ 25 ชั่วโมงหรือสูงสุด 3.13 วัน

ใช้เวลากับงานที่ต้องใช้ความสามารถน้อยซึ่งสามารถจัดการได้โดยโครงสร้างพื้นฐานการจัดการแบบรวมศูนย์ การทดสอบโปรแกรมแก้ไขนั้นง่ายขึ้นตอนนี้ขึ้นอยู่กับจำนวน "ภาพ" ที่คุณมีซึ่ง "ภาพ" เป็นสำเนาพื้นฐานของระบบปฏิบัติการและแอพที่กลุ่มระบบใช้ ณ จุดนี้คุณใช้เวลา 15-30 นาทีต่อภาพเท่านั้นเมื่อเทียบกับ 1.56-3.13 วัน ไม่รวมเวลาเดินทางหากจำเป็นและไม่รวมถึงการสิ้นเปลือง / รอให้ผู้คนออกจากคอมพิวเตอร์เพื่อให้คุณสามารถทำงานของคุณได้

เดี๋ยวก่อน $ 9,000 ดูเหมือนจะไม่เป็นเช่นนั้น อาจเป็นไปได้ไหมว่าคุณเคยคิดที่จะรวมโซลูชันการรักษาความปลอดภัยของจุดสิ้นสุด (ป้องกันไวรัส, ต่อต้านมัลแวร์, ฯลฯ ... )? โอ้เด็ก! นั่นคืออีก $ 9,000 ถ้าคุณพิจารณาการอัพเดทจุดสิ้นสุดเกิดขึ้นทุกสัปดาห์! ยิ่งไปกว่านั้นความสามารถในการระบุระบบที่ติดไวรัสและระบุตำแหน่งคอมพิวเตอร์และบุคคลนั้นเป็นชัยชนะที่ยิ่งใหญ่ ตอนนี้คุณรู้ว่ากลุ่มคนที่คุณต้องการให้ความรู้เกี่ยวกับความปลอดภัยของข้อมูล

รอ! คุณกำลังบอกว่ายังไม่พอ? โอ้? ตอนนี้ความสามารถในการใช้นโยบายกลุ่มเพื่อป้องกันไม่ให้ผู้คนทำสิ่งที่ไม่ควรทำ นั่นเป็นสิ่งที่คุ้มค่ากับการป้องกันความเสี่ยง โอ้คุณกำลังบอกว่ายังไม่พอเหรอ? ถ้าฉันบอกคุณว่าตอนนี้คุณสามารถทำภาพ / รูปแบบจากระยะไกลและติดตั้งระบบใหม่โดยไม่ต้องออกจากสำนักงาน!? โอ้เด็ก! มันจะไม่คุ้มค่าหรือไม่ นั่นคือ 2-4 ชั่วโมงต่อระบบที่คุณกำลังบันทึก อาจใช้เวลา 100-200 ชั่วโมงต่อช่วงเวลารีเฟรช

ดังนั้นฉันหมายถึงอะไรกับข้อมูลทั่วไปของฉันจากด้านบน? อาจเป็นไปได้ว่าคุณสามารถประหยัดขั้นต่ำ $ 18,000 โดยการใช้ระบบการจัดการแบบรวมศูนย์ (Windows AD) นั่นเป็นมากกว่า 1/2 เงินเดือนของคนไอทีที่ทำรายได้ $ 15 / ชม. $ 18,000 เป็นมากกว่าค่าใช้จ่ายของการแก้ปัญหา (เช่นกันโซลูชันขั้นพื้นฐานของฉันคุณจะต้องคิดตัวเลขจริงของคุณเอง) ซึ่งหมายความว่าโซลูชันจะจ่ายเอง ในทางเทคนิคภายใน 12 เดือนของการดำเนินการ

ตัวเลขเหล่านี้ไม่ได้คำนึงถึงโครงการใด ๆ ที่อาจต้องมีโครงสร้างพื้นฐานการจัดการแบบรวมศูนย์เพื่อเริ่มต้น สำหรับทุกโครงการที่ก้าวไปข้างหน้าที่คุณต้องการใช้งาน Active Directory ในขณะนี้เป็น 50 เท่าของเวลาที่คุณใช้ไปกับการนำไปใช้งานจริงระบบที่คุณใช้จ่ายรายชั่วโมงในการประหยัด

สิ่งนี้ยังไม่ได้คำนึงถึงความสามารถในการใช้การพิสูจน์ตัวตนผู้ใช้ที่เหมาะสมการกำหนดอายุของรหัสผ่านข้อกำหนดด้านความซับซ้อนของรหัสผ่านและแนวทางปฏิบัติในการจัดการความเสี่ยงอื่น ๆ และนโยบายที่อาจช่วยประหยัดเงินจำนวนมากของ บริษัท หรือประนีประนอม

โอ้โดยวิธีการที่คุณสามารถโยนความต้องการการปฏิบัติตามที่คนเช่นกัน เพียงเพื่อการวัดที่ดี ไม่มีทางที่ บริษัท ของคุณจะเข้ากันได้กับ PCI หากผู้คนแบ่งปันรหัสผ่าน

รับแนวคิดตอนนี้หรือไม่ ตอนนี้ไปที่มัน


1
ขอบคุณ CIA มีรายละเอียดมากและทำให้ฉันคิดอย่างนั้นจริงๆ ฉันชอบ บริษัท ของฉันดังนั้นฉันไม่คิดว่าส่วนสุดท้ายจะเป็นไปได้ ฉันจะพยายามสร้างการวิเคราะห์ค่าใช้จ่าย / ผลประโยชน์แม้ว่าจะขึ้นอยู่กับสิ่งที่เกิดขึ้นตอนนี้ฉันสงสัยว่าจริงๆแล้วมีประโยชน์ด้านต้นทุนใด ๆ ของโดเมนอื่นที่ไม่ใช่มุมมองที่เห็นแก่ตัวอาจทำให้ง่ายต่อการจัดการสำหรับฉัน ฉันเพิ่งพบว่ากังวลว่า บริษัท ที่มีพีซี 50 เครื่องและขนาดที่เราใช้ในเวิร์กกรุ๊ปที่มีรหัสผ่านหรือความปลอดภัยเครือข่ายน้อยมาก
Jeff

อาจดูเหมือนเห็นแก่ตัว แต่อาจเป็นธรรม ดูการอัปเดตของฉันด้านบน
CIA

1

คุณบอกว่าหนึ่งในงานของคุณคือ "หัวหน้าฝ่ายไอที" แต่หัวหน้าของคุณมีอำนาจเหนือการตัดสินใจด้านไอที ถามตัวคุณเองและเจ้านายของคุณว่าคุณเป็น "หัวหน้าฝ่ายไอที" ในแบบไหน? เขาควรให้งบประมาณด้านไอทีแก่คุณและให้คุณตัดสินใจว่าจะใช้จ่ายอย่างไร หากเขาไม่ได้ทำเงินจำนวนนั้นคุณก็ไม่ใช่หัวของอะไรเลย

เนื่องจากเป็นเพียงหนึ่งในบทบาทของคุณให้พิจารณาปล่อยมันมอบความรับผิดชอบให้กับเจ้านายของคุณ หากเขายืนยันว่าคุณมีความรับผิดชอบ แต่ไม่ได้ให้งบประมาณหรือเครื่องมือในการทำงานของคุณให้ออกไปและ (ถ้าคุณอาศัยอยู่ในเขตอำนาจศาลที่มีอารยธรรม) พาเขาไปที่ศาลการจ้างงานเพื่อปลดไล่ออกอย่างสร้างสรรค์

ในระยะสั้นนี่ไม่ใช่คำถามไอทีจริงๆมันเป็นคำถามการจัดการ


1

สิ่งที่ฉันเข้าใจมากขึ้นในช่วงไม่กี่ปีที่ผ่านมาคือมนุษย์เป็นสัตว์ที่ไม่มีเหตุผล เมื่อเราทำการตัดสินใจในพื้นที่เราจะติดอยู่กับอารมณ์ความรู้สึกและไม่ค่อยโน้มน้าวใจเป็นอย่างอื่นโดยข้อเท็จจริงหรือข้อมูล คุณไม่สามารถโต้เถียงหรือพิสูจน์ว่าเจ้านายของคุณอยู่ในตำแหน่งที่ดีกว่า

เมื่อคำนึงถึงกลยุทธ์ที่ดีที่สุดของคุณคือการแสดงให้เจ้านายเห็นว่าอุปกรณ์และการปฏิบัติที่ดีขึ้นสามารถปรับปรุงผลกำไรของเขาได้โดยการลดต้นทุนหรือเพิ่มรายได้และประสิทธิภาพที่อื่น สายเกินไปที่จะเล่นการ์ดลดความเสี่ยง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.