Eu trabalho para um varejista de pequeno e médio porte que tem meia dúzia de lojas de rua e um site.
A situação de TI está atualmente em um estado muito básico. Como ser "chefe de TI" é apenas uma pequena parte da descrição do meu trabalho e a última da lista, não pude dedicar tanto tempo quanto gostaria.
Temos cerca de 50 computadores e 14 janelas Windows em nossa rede (30 dentro da matriz, 20 lojas externas, armazenagem e laptops). Tudo isso é construído em uma rede de grupo de trabalho e todos os sites são conectados juntos por uma configuração VPN básica no nível do roteador, com sub-redes para cada loja.
Portanto, não consigo gerenciar nada, verificar se os computadores estão seguros, fazer qualquer auditoria, garantir a instalação de atualizações, gerenciar o Wi-Fi para dispositivos convidados ou verificar qualquer coisa.
Eu realmente gostaria de um domínio e, mas depois de dizer ao meu chefe, ele diz que não vale a pena como:
- Há anos que lidamos com um grupo de trabalho sem problemas
- Os funcionários podem ser confiáveis
- Se eu saísse ou não estivesse disponível quando algo quebrasse, ninguém seria capaz de entender como isso funciona
- Os custos de instalação do novo hardware e o licenciamento de um domínio são muito altos. (Atualmente, compramos PCs Windows OEM pré-construídos e, em seguida, licenças ímpares do Office)
- Como os domínios são gerenciados centralmente, se um problema grave ocorrer, poderá interromper o funcionamento de todos os computadores. (Diferentemente de um grupo de trabalho em que, se apenas um computador morre, tudo fica bem e não afeta o trabalho de ninguém.)
Não sei como enfatizar a seriedade dos aspectos de segurança que não temos domínio. Qualquer um pode acessar o conteúdo se conectar ao nosso Wi-Fi, qualquer um pode acessar o conteúdo de qualquer PC, pois os usuários não têm senhas instaladas, as pastas compartilhadas podem ser vistas por qualquer pessoa e excluídas sem registros para mostrar ou fazer backup. Não tenho certeza de como somos compatíveis com PCI ou se somos compatíveis com auditores. Disseram-me para ignorar isso e não se preocupar.
Como "Chefe de infraestrutura interna de TI" está na descrição de meu trabalho, também não quero ser responsabilizado se tivermos uma violação de dados ou um processo legal for contra nós.
Como posso mostrar que as coisas precisam mudar e que meu tempo e dinheiro extra precisam ser gastos com isso? Para uma empresa do nosso tamanho, talvez seja necessário um administrador de rede em período integral. Ou estou pensando demais nas coisas e sendo muito egoísta com o que realmente quero e um grupo de trabalho vai ficar bem?
Atualização: Parece que talvez eu mantenha a ideia de um domínio em segundo plano e tente algumas coisas menores. Por exemplo, verifique se há atualizações, verificações de vírus e firewalls, verifique se as senhas estão ativadas em computadores individuais, habilite backups em todas as máquinas, bloqueios físicos em salas com servidores. Não sei o que fazer sobre o compartilhamento de arquivos em toda a rede e o Wi-Fi -Fi, mas isso é outra pergunta!
Respostas:
Esta não será uma resposta técnica de TI, mas espero que seja útil.
Falando de anos de experiência, você não será capaz de convencer seu chefe a fazer tudo de maneira diferente. A principal razão para isso é que ele é o chefe enquanto você é apenas seu subordinado. Você está na posição errada para promover mudanças fundamentais.
Você pode viver com a perspectiva de uma mudança muito gradual com um orçamento sempre apertado e problemas resolvidos por uma quantidade enorme de trabalho, em vez de um planejamento conciso e uso inteligente de ferramentas? Essa é exatamente a perspectiva que você está olhando. Seu chefe administra sua loja dessa maneira há anos. Os negócios cresceram e prosperaram, então a estratégia deu certo. Quem é você para questionar suas decisões e estratégias de negócios?
Se você deseja trazer alterações para uma organização, a organização deve estar pedindo que você faça isso . Qualquer alteração terá um custo que deve ser considerado valioso pela administração. Você precisa do apoio da gerência para superar a resistência e a inércia envolvidas. Se você encontrar um consultor que seu chefe ouvirá, pode ser uma rota mais promissora do que desperdiçar seu (e seu chefe) tempo e energia para convencê-lo a fazer algo que ele disse que não quer fazer.
Se eu estivesse no seu lugar, provavelmente começaria a procurar um novo emprego.
fonte
Você precisa se concentrar em como isso os ajuda, não no que você "deseja".
E você não quer começar agora! Ultimamente, houve várias violações de dados, incluindo Target , Home Depot e muito mais. A Home Depot gastou US $ 43.000.000 em violação de dados em apenas um quarto. A Target pagou US $ 10.000.000 em um acordo. Um estudo da IBM descobriu que a violação média de dados custa US $ 3,8 milhões . Ser pwned é caro.
Isso é comprovadamente falso. O roubo de funcionários custa às empresas cerca de US $ 18 bilhões por ano .
É por isso que você usará as práticas recomendadas padrão, em vez da configuração estranha que você tem agora.
Os custos de instalação de novo hardware e licenciamento são muito baratos se comparados a violações de segurança.
Além disso, se "Chefe de TI" é apenas uma pequena parte da descrição do seu trabalho, pode ajudar a documentar que você está gastando mais tempo com TI quando poderia estar gastando com outras tarefas. Isso está custando dinheiro também.
Tudo o que disse: Receio que o wabbit esteja certo. As pessoas que não recebem TI e acham que é apenas uma despesa estúpida para coisas de que não precisam são muito difíceis de convencer. Vou parar de dizer para você conseguir um novo emprego, porque há alguns meses atrás, havia uma discussão na meta dizendo que estávamos colocando um pouco de espessura o conselho "conseguir um novo emprego", mas não estou otimista quanto ao seu empresa.
Eu seguia a rota incremental - encontrava algo relativamente fácil de implementar que ajudaria muito - e defendia isso. Você pode ir de lá.
fonte
A resposta para "como você é compatível com PCI" não é muito (editada com base em um comentário). Seus terminais CC podem ficar bem se as próprias caixas não tiverem dados.
Agora, para separar a lista "não vale a pena" ...
Nós lidamos há anos sem problemas
Isso pode ser verdade, mas o problema é a percepção. Este será o seu maior obstáculo.
Os funcionários podem ser confiáveis
Bem não. Eles não podem. Para mim, isso ilustra que seu chefe ignora alegremente as perdas na organização. Além disso, isso é no varejo , onde as perdas são tipicamente gerenciadas com rigor, ou pelo menos entendidas.
Se eu fosse embora, ninguém seria capaz de entender como isso funciona
Isso está completamente incorreto. Ninguém poderia entrar hoje e entender o que está acontecendo, porque nada está associado a um domínio etc. Os administradores que tenham pelo menos um conhecimento básico das estruturas do Active Directory e da OU são um centavo a uma dúzia.
Os custos de instalação para novo hardware e licenciamento são altos em comparação a US $ 0 agora.
Onde diabos eles têm a impressão de que seus custos agora são US $ 0? Os custos nunca são zero em uma organização de TI. Claramente, as coisas não estão sendo contabilizadas , mas isso não significa que os custos sejam zero.
Se seu chefe precisar convencer, forneça uma lista de artigos de empresas que foram violadas no último mês. Você pode apostar que qualquer grande nome dessa lista realmente funcionou para resolver esses problemas, mas ainda assim foi invadido.
Parece que o chefe nesta situação está mais do que feliz em encobrir todas as preocupações (confiar nos funcionários, segurança, conformidade, etc.), enquanto o dinheiro continuar chegando. Profissionalmente, essa é uma situação instável para todos os organização.
fonte
Aqui estão os meus pensamentos:
A administração raramente entende a tecnologia e seu lugar nos negócios. Na maioria das vezes, a gerência tem conceitos errados sobre o que é a tecnologia e como ela afeta os negócios. Sim, é verdade que o mau gerenciamento da tecnologia geralmente leva a gastos desnecessários, mas o gerenciamento adequado aumenta drasticamente a produtividade. O desperdício geralmente acontece quando há pessoas que acham que entendem a tecnologia que fazem errado ou pelas razões erradas.
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.Nesse ponto, você deve estar pensando: "Espere um pouco; a maior parte do que você está dizendo é a favor da posição do meu chefe de não fazer o que estou sugerindo". Bem, você está meio certo.
Embora, tecnicamente falando; contanto que uma solução seja padronizada e as práticas / políticas não sejam abertamente complexas / demoradas, substituir a equipe é tão simples quanto encontrar candidatos com experiência nesses padrões. Este realmente não é um ponto de discussão.
O outro 1/2 é que você precisa entender o custo / benefício de colocar também a tecnologia que deseja. Poderia e não valeria a pena a despesa. Você não saberá, a menos que possa gastar tempo montando sua própria análise de custo / benefício. Para fazer isso, é necessário considerar os custos (nota: estas são apenas o começo das perguntas que você deve fazer antes de apresentar sua abordagem ao seu chefe novamente):
Novamente, lembre-se de que as perguntas que propus acima não são completas. Há mais perguntas técnicas que podem ser feitas, o que leva a outras perguntas e assim por diante. Depois de ter todos esses números, determine o seguinte:
Depois de desenvolver uma análise de custo / benefício adequada, você poderá abordar melhor seu empregador com uma solução adequada, em oposição a uma sugestão infundada.
Com base na minha experiência, o custo da implementação de uma infraestrutura de gerenciamento centralizado e o custo do suporte contínuo dessa infraestrutura são equivalentes ao custo da contratação de outro órgão para o departamento de TI (dependendo do tamanho do ambiente); pelo menos, com a implementação de uma solução interna. As soluções de nuvem e SaaS disponíveis hoje podem compensar o custo da infraestrutura física e economizar algum dinheiro, mas isso realmente depende do modelo de negócios do departamento ou da empresa e das restrições de segurança.
Nota: se o custo de implementação de uma solução for mais caro do que contratar uma pessoa em período integral para lidar com os problemas que a solução deve resolver, geralmente será mais econômico contratar o corpo (dependendo da complexidade do problema que precisa ser resolvido) mitigados, aliviados ou reduzidos).
TL; DR: dedique algum tempo ao seu chefe, embora o valor em dólar seja diferente do alfabeto sofisticado de TI. Isso pode ou não ajudar seu argumento, mas aconteça o que acontecer, você acaba aprendendo mais sobre como gerenciar sua infraestrutura com mais eficiência.
Por fim, se sua conclusão é que a empresa precisa desesperadamente da solução, pode pagá-la, e seu chefe ainda não quer fazer o que você diz por razões ilógicas, não é possível negociar um meio termo razoável, é hora de arrumar suas coisas e encontre um novo empregador. O tipo de empregador que está bem sendo medíocre e não toma decisões lógicas quando apresentado com evidência não é o tipo de empregador que você deseja manter; eles tendem a tomar más decisões e derrubar todos ao seu redor.
Atualização: 11-10-2015
Cálculo do custo de tempo
Cenário: Um aspecto da conformidade com o PCI DSS exige que os computadores dos terminais / POS estejam atualizados com as correções (ou que tenham um processo de gerenciamento de correções).
Digamos que você ganhe US $ 15 / hora ou US $ 31.200 / ano e, para garantir que os patches não danifiquem seus sistemas, você deve corrigir manualmente todos os seus sistemas sempre que um novo patch for lançado. Por uma questão de simplicidade, digamos também uma infraestrutura de gerenciamento centralizada (Nota: essa é apenas uma visão simplificada; depende realmente de como seus escritórios estão interconectados, se você precisa de redundância e se faz sentido ter um servidor em todos os escritórios) ou apenas um) custará US $ 11.000 para um servidor, US $ 2.500 para a licença do servidor e US $ 2.500 para CALs e 80 horas para configurar um domínio e associar todos os computadores ao domínio; 80 horas x US $ 15 / hora = US $ 1.200 (mais se você estiver terceirizando para um fornecedor local; highball é US $ 120 / hora; portanto, 80 horas x US $ 120 / hora = US $ 9.600). Sua infraestrutura total de gerenciamento centralizado pode ser implementado por aproximadamente US $ 17.200 a US $ 25.600.
A terça-feira de atualização ocorre toda segunda e quarta terça-feira de cada mês. Se houver até 1 patch lançado a cada terça-feira de patch, que requer algo entre 15 minutos e 30 minutos para instalar e reiniciar, você estará gastando pelo menos 1 hora por mês corrigindo 1 computador; ou 12 horas por ano.
Você já está gastando: 12 horas x US $ 15 = US $ 180 por ano em gerenciamento de patches para 1 computador. Agora, multiplique isso pelos 50 computadores que você possui (porque lembre-se, você não pode deixar os sistemas fazerem patches automaticamente, porque você não sabe se os patches quebrarão os aplicativos que você instalou atualmente). Isso significa que você gasta mais perto de US $ 180 / ano x 50 computadores = US $ 9.000 em gerenciamento de patches. Isso representa 28,85% do seu salário e ...
gasto em uma tarefa servil que pode ser gerenciada por uma infraestrutura de gerenciamento centralizada; Agora, o teste de patches é simplificado, apenas com base no número de "imagens" que você possui, onde uma "imagem" é uma cópia básica do SO e dos aplicativos que um grupo de sistemas usa. Nesse momento, você está gastando apenas 15 a 30 minutos por imagem, em vez de 1,56 a 3,13 dias. Isso não inclui o tempo de viagem, se necessário, nem desperdiça / espera que as pessoas saiam do computador para que você possa fazer seu trabalho.
Espere, US $ 9.000 não parecem justificar minha solicitação. Talvez, mas você já pensou em centralizar sua solução de segurança de ponto final (antivírus, anti-malware, etc ...)? Oh garoto! Isso significa mais US $ 9.000 se você considerar que as atualizações do ponto final acontecem toda semana! Além disso, ser capaz de identificar quais sistemas estão infectados com vírus e apontar o computador E a pessoa é uma enorme vitória; agora você sabe quais grupos de pessoas você precisa educar sobre conscientização sobre segurança da informação.
Esperar! Você está dizendo que ainda não é suficiente? Oh? Que tal agora poder implementar a Diretiva de Grupo para impedir que as pessoas façam coisas que não deveriam? Isso deve valer um centavo na prevenção de riscos. Oh cara, você está dizendo que ainda não é suficiente? E se eu lhe disser que agora você pode remotamente criar uma imagem / formatar e reinstalar um sistema sem precisar sair do escritório !? Oh garoto! Isso não valeria alguma coisa? São de 2 a 4 horas por sistema que você está economizando; potencialmente 100-200 horas por período de atualização.
Então, o que estou implicando com minhas informações genéricas de cima? Bem, potencialmente, você pode economizar no mínimo US $ 18.000 implementando um sistema de gerenciamento centralizado (Windows AD). Isso equivale a mais da metade do salário de um profissional de TI que ganha US $ 15 / hora. $ 18.000 é mais do que o custo da solução (bem, minha solução básica; você precisará descobrir seus próprios números reais), o que significa que a solução se pagará ao longo do tempo; tecnicamente, dentro de 12 meses após a implementação.
Esses números não levam em consideração nenhum projeto que possa exigir a instalação de uma infraestrutura de gerenciamento centralizada. Para cada projeto em que você precisava de um Active Directory, agora é 50 vezes o tempo gasto na implementação do sistema em um sistema vezes o seu salário por hora em economia.
Isso também não leva em consideração a capacidade de implementar agora a autenticação adequada do usuário, o envelhecimento da senha, os requisitos de complexidade da senha e uma série de outras práticas e políticas de gerenciamento de risco que poderiam potencialmente economizar muito dinheiro para a empresa em caso de violação / invasão ou comprometer.
Ah, a propósito, você também pode sempre aplicar requisitos de conformidade às pessoas. Apenas por uma boa medida. Sua empresa não é compatível com PCI se as pessoas estiverem compartilhando senhas.
Obtenha a ideia agora? Agora, consiga.
fonte
Você diz que um de seus trabalhos é "chefe de TI", mas seu chefe governa as decisões de TI. Pergunte a si mesmo e ao seu chefe de que maneira você é realmente "chefe de TI"? Ele deve fornecer um orçamento de TI e permitir que você decida como gastá-lo. Se ele não estiver fazendo essa quantidade de delegação, você não será o chefe de nada.
Como esse é apenas um de seus papéis, considere renunciá-lo, entregando a responsabilidade ao seu chefe. Se ele insistir em que você seja responsável, mas não lhe fornecer o orçamento ou as ferramentas para fazer seu trabalho, saia e (se você mora em uma jurisdição civilizada) leve-o a um tribunal de trabalho para demissão construtiva.
Em resumo, essa não é realmente uma questão de TI, é uma questão de gerenciamento.
fonte
Algo que eu entendi mais nos últimos anos é que os humanos são basicamente criaturas irracionais. Uma vez que tomamos uma decisão em uma área, nos apegamos emocionalmente a ela e raramente somos persuadidos por fatos ou dados. Você não pode discutir ou provar seu chefe em uma posição melhor.
Com isso em mente, sua melhor estratégia é mostrar ao seu chefe como os melhores equipamentos e práticas podem melhorar seus resultados, cortando custos ou aumentando a receita e a eficiência em outros lugares. É tarde demais para jogar a carta de mitigação de risco.
fonte