Quais são algumas das práticas recomendadas ao assumir a TI em uma nova empresa? [fechadas]

9

Eu pensei que isso daria um bom tópico com algumas sugestões interessantes.

Quais são as primeiras coisas que você faria ao assumir a TI em uma nova organização?

Quais são algumas das bandeiras vermelhas que você procuraria imediatamente?

Quais são as suas DEVERES para um departamento (dependendo do tamanho da organização)?

security best-practices Robert Swisher
fonte
2
Embora eu goste da sua pergunta, ela é quase uma duplicata. Este é um tópico abordado em vários níveis. Veja: serverfault.com/questions/152707/…
Warner
Mesmo que não seja fechado como duplicado, esse tipo de pergunta deve ser wiki. Se nada mais, é muito subjetivo.
John Gardeniers

Respostas:

17

Honestamente ... nada, nada. Sento-me e aprendo o trabalho como é feito AGORA pelas pessoas que estão lá. Depois de algum tempo e quando tiver certeza de que sabe bem como as coisas funcionam agora (não apenas tecnicamente, mas também politicamente e inter-pessoalmente), você pode começar a formular listas do que acha que deve ser alterado.

Se você não entende onde está agora, suas idéias de onde deveria estar poderiam e provavelmente estarão muito longe da realidade.

Quanto às bandeiras vermelhas:

  • Muitos processos manuais
  • Sem controle de alterações
  • Sem documentação ou pior documentação incorreta
  • Níveis de VP / C MUITO MUITO envolvidos nas operações do dia a dia (como redefinir servidores quando você não está no meio de uma emergência e ninguém mais pode fazê-lo)
  • Equipamentos baratos em todos os lugares, mas a empresa alega ganhar XXX (milhão / bilhão) por ano
  • Funcionários insatisfeitos
  • Combate a incêndios constante
  • Nenhum ou mau sistema de monitoramento
  • "Você precisa conversar com 'joe'" é a resposta para todas as perguntas que você fizer
    • e Joe não está em TI

Quanto aos itens obrigatórios ... acho que depende do que você faz e como você faz as coisas ... como se eu tivesse um servidor de terminal digi conectado a um modem com uma linha dedicada como último recurso, se eu não conseguir aos meus roteadores de voz ... mas você pode não precisar disso. Mais uma vez, sente-se e reserve um tempo para descobrir como estão as coisas e quais são as queixas das pessoas antes de entrar e querer mudar tudo.

Zypher
fonte
+1, especialmente "Sem documentação ou pior documentação incorreta" - Esse foi o barco em que me encontrei alguns anos atrás, quando fui atualizar a documentação (o material antigo estava completamente errado, faltando informações, extremamente desatualizado).
21810 Chris S
@ Chris: É um ponto de dor atual para mim ... um monte de facepalming enquanto eu tento documentação atualização :)
Zypher
+1 Se estiver em execução, deixe estar e concentre-se em aprender. Poucas coisas na vida são exatamente o que parecem ser, incluindo sistemas herdados.
John Gardeniers
+1 por tentar entender o clima político e inter-pessoal antes de mudar as coisas. Para que grandes mudanças funcionem, você precisa de adesão e isso é difícil de ganhar se ninguém gosta de você.
gMale
8

Isso é tudo de alto nível:

Segurança:

  1. Audite quem são os administradores. Verifique se eles devem ser administradores.
  2. Determine quais são os controles de TI e a última vez que foram verificados.
  3. Verifique os níveis de patch / SO e atualizações de aplicativos.
  4. Realize pelo menos uma verificação mínima de vulnerabilidades usando ferramentas prontamente disponíveis.
  5. Verifique a segurança física nos servidores e nos equipamentos principais de rede.

Ambiente / Desempenho:

  1. Determine quais pontos problemáticos existem em seu data center.
  2. Descubra o que são seus SLAs e OLAs e verifique se eles são remotamente razoáveis.
  3. Coloque pelo menos o monitoramento superficial do desempenho nos sistemas para garantir que nenhum deles esteja sobrecarregado.
  4. Entenda como os principais ativos são implantados e verifique fisicamente se eles estão onde todos dizem que estão e que estão configurados como deveriam.

Pessoal:

  1. Encontre o pessoal de TI individualmente ou em pequenos grupos fora do ambiente de trabalho (almoço, por exemplo) para conhecer como cada um é como pessoa.
  2. Converse com as pessoas que mais interagem com sua equipe de TI para determinar quem são os trabalhadores mais exigentes, que possuem boas habilidades de pessoas, que são brilhantes, mas desafiados socialmente, etc., para garantir que eles estejam nos lugares adequados para fazer o trabalho.
  3. Determine onde estão os pontos negativos da segurança e do desempenho e faça uma ligação se forem as pessoas atuais empregadas, a falta de pessoas, a falta de ferramentas ou alguma combinação.
K. Brian Kelley
fonte
No que diz respeito à segurança, eu acrescentaria estar procurando políticas escritas sobre uso aceitável e acesso a dados. Também políticas relacionadas a áreas de conformidade específicas, como SOX, HIPPA, PCI DSS. Se essa aquisição ocorrer por meio de uma aquisição, eu provavelmente examinaria os projetos de TI e avaliaria se algum desses projetos deveria ou não ser suspenso até que seja possível determinar como eles se encaixam no portfólio total de TI.
jl.
0

Ótimas respostas.

1 - Analise os processos e sistemas atuais para que você os entenda melhor do que o seu antecessor. Mesmo que seja uma razão estúpida aos seus olhos, algo provavelmente não foi configurado da maneira que é sem nenhuma razão.

2 - Concentre-se na eficiência, não no crescimento. Você quer fazer mais com menos e depois crescer a partir daí. No futuro, as coisas devem ser extremamente bem documentadas, seguras, mas o mais importante de tudo, escaláveis.

MisterITGuy
fonte
1
Descobri que o "algo provavelmente não foi configurado da maneira que é sem motivo" é verdade apenas ~ 75% das vezes.
Chris S