Bagaimana cara meyakinkan perusahaan saya untuk berinvestasi di bidang TI - domain, keamanan, dll.?

26

Saya bekerja untuk pengecer kecil-menengah yang memiliki setengah lusin toko jalanan dan situs web.

Situasi TI saat ini dalam keadaan yang sangat mendasar. Menjadi "Kepala TI" hanyalah sebagian kecil dari uraian tugas saya dan yang terakhir dalam daftar saya belum dapat menghabiskan waktu sebanyak yang saya inginkan.

Kami memiliki sekitar 50 komputer dan 14 panel Windows di jaringan kami (30 di kantor pusat, 20 toko eksternal, pergudangan, dan laptop). Ini semua dibangun pada jaringan Workgroup dan semua situs terhubung bersama melalui pengaturan VPN tingkat router yang sangat dasar dengan subnet untuk setiap toko.

Karena itu saya tidak dapat mengelola apa pun, memeriksa komputer aman, melakukan audit apa pun, memastikan pembaruan diinstal, mengelola Wi-Fi untuk perangkat tamu, atau memeriksa apa pun.

Saya benar-benar ingin domain dan, tetapi setelah memberi tahu bos saya, dia mengatakan itu tidak layak sebagai:

  • Kami telah mengatasi selama bertahun-tahun dengan kelompok kerja tanpa masalah
  • Karyawan bisa dipercaya
  • Jika saya pergi atau tidak tersedia ketika ada sesuatu yang pecah, maka tidak ada yang akan bisa mengerti cara kerjanya
  • Biaya pengaturan untuk perangkat keras baru dan lisensi untuk domain sangat tinggi. (Saat ini kami baru saja membeli PC Windows OEM prebuilt dan kemudian lisensi Office retail ganjil)
  • Karena domain dikelola secara terpusat, jika masalah besar terjadi, ini dapat menghentikan semua komputer untuk berfungsi. (Tidak seperti kelompok kerja di mana jika hanya satu komputer mati maka semua yang lain baik-baik saja dan tidak memengaruhi pekerjaan orang lain.)

Saya tidak tahu bagaimana menekankan seberapa serius aspek keamanannya sehingga kami tidak memiliki domain. Siapa pun dapat mengakses konten jika mereka terhubung ke Wi-Fi kami, siapa pun dapat mengakses konten dari PC mana pun karena pengguna tidak memasang kata sandi, folder bersama dapat dilihat oleh siapa saja dan dihapus tanpa log untuk ditampilkan atau dicadangkan. Saya tidak yakin bagaimana PCI mematuhi kami atau jika kami memenuhi persyaratan untuk auditor. Saya telah diberitahu untuk mengabaikan ini dan tidak perlu khawatir.

Karena "Kepala Infrastruktur TI Internal" ada dalam uraian tugas saya, saya juga tidak ingin dianggap bertanggung jawab jika kami mendapatkan pelanggaran data atau tuntutan hukum datang terhadap kami.

Bagaimana saya bisa menunjukkan bahwa hal-hal perlu diubah dan waktu serta uang tambahan saya perlu dihabiskan untuk ini? Untuk perusahaan seukuran kami, mungkin diperlukan administrator jaringan penuh waktu. Atau apakah saya terlalu memikirkan hal-hal dan menjadi egois untuk apa yang benar-benar saya inginkan dan kelompok kerja akan baik-baik saja?

Pembaruan: Kedengarannya saya mungkin menyimpan ide domain di pembakar belakang dan hanya mencoba beberapa hal yang lebih kecil. Misalnya, pastikan pembaruan, pemindaian virus, dan firewall diaktifkan, pastikan kata sandi diaktifkan pada masing-masing PC, aktifkan pencadangan pada setiap mesin, kunci fisik pada kamar dengan server. Saya tidak yakin apa yang harus dilakukan tentang berbagi file di seluruh jaringan dan Wi -Fi, tapi itu pertanyaan lain!

Jeff
sumber
14
Tanyakan kepada mereka berapa banyak yang akan mereka keluarkan untuk menyelesaikan gugatan class action jika data pelanggan dan informasi kartu kredit / pembayaran dicuri. Tanyakan kepada mereka apakah mereka mau mengambil risiko kehilangan seluruh bisnis dalam skenario seperti itu, karena itu bisa saja terjadi.
joeqwerty
2
Oh, item keempat juga tidak benar, kecuali mereka berjalan pada warez. Ada juga biaya menjalankan waktu admin untuk menjaga kekacauan ini berlangsung.
blaughw
4
Tunjukkan pada mereka seberapa rendah celana mereka dengan mengundang petugas keamanan topi putih untuk menguji kalian. :)
Mike McMahon
2
Semua jawaban mencakup sebagian besar dari apa yang saya sarankan kepada Anda tentang mengapa dia salah pada beberapa poin di sana dan bahwa Anda tidak akan berubah pikiran dalam semalam. Saya mengalami masalah yang sama, dan saran saya adalah menulis proposal yang terdokumentasi dengan baik. Mengapa sistem saat ini tidak dapat diterima untuk keamanan, pengelolaan, dll. Melindungi Anda jika ada pelanggaran yang membuat Anda memberi tahu manajemen tentang masalah sebelumnya, dan membiarkan Anda mengatakannya dengan hati-hati untuk dampak atas kekhawatiran yang telah dikomunikasikan dan menyarankan pergerakan skala lambat untuk diperbaiki. Juga menunjukkan Anda dapat mendokumentasikan proses, poin 3 tidak valid
Piskie
2
Anda diberi tahu "karyawan bisa dipercaya"? Saya tidak bisa memikirkan apa pun yang lebih bertentangan dengan peran TI, dan itu dengan asumsi bahwa semua karyawan / pengguna Anda memiliki niat baik .
Eric McCormick

Jawaban:

28

Ini tidak akan menjadi jawaban teknologi TI, tetapi semoga bermanfaat.

Berbicara dari pengalaman bertahun-tahun, Anda tidak akan dapat meyakinkan atasan Anda untuk melakukan segalanya secara berbeda. Alasan utama untuk ini adalah bahwa dia adalah bos sementara Anda hanya bawahannya. Anda berada di posisi yang salah untuk mendorong perubahan mendasar.

Dapatkah Anda hidup dengan prospek perubahan yang sangat bertahap dengan anggaran yang selalu terlalu ketat dan masalah yang diselesaikan dengan jumlah tenaga kerja semata alih-alih perencanaan yang ringkas dan penggunaan alat yang cerdas? Inilah prospek yang sedang Anda lihat. Bos Anda telah menjalankan tokonya dengan cara ini selama bertahun-tahun. Bisnis telah tumbuh dan berkembang, jadi strateginya berhasil. Siapa Anda mempertanyakan keputusan dan strategi bisnisnya?

Jika Anda ingin membawa perubahan ke suatu organisasi, organisasi tersebut harus meminta Anda untuk melakukannya . Setiap perubahan akan terjadi dengan biaya yang harus dianggap layak oleh manajemen. Anda membutuhkan dukungan manajemen untuk mengatasi hambatan dan kelembaman yang terlibat. Jika Anda dapat menemukan konsultan yang akan didengarkan atasan Anda, itu mungkin merupakan rute yang lebih menjanjikan daripada menyia-nyiakan waktu dan energi Anda (dan bos Anda) untuk membujuknya menjadi sesuatu yang dia katakan tidak ingin dia lakukan.

Jika saya berada di posisi Anda, saya mungkin akan mulai mencari pekerjaan baru.

the-wabbit
sumber
9
Saya hampir akan mempertimbangkan untuk membuat akun baru supaya saya dapat membatalkan ini lagi (jika itu tidak disukai). Ini bukan masalah TI, melainkan masalah orang. Anda telah direkrut untuk melakukan pekerjaan, tetapi belum diberi kebebasan, alat, atau sumber daya untuk melakukannya secara profesional. Saya akan mulai mencari di tempat lain juga.
GregL
1
+1 untuk komponen crossover Workplace.SE. Sayangnya ini adalah sesuatu yang harus ditangani oleh para profesional TI.
blaughw
18

Anda perlu fokus pada bagaimana hal itu membantu mereka, bukan pada apa yang Anda "inginkan."

  • kami telah mengatasi selama bertahun-tahun tanpa masalah

Dan Anda tidak ingin memulai sekarang! Ada beberapa pelanggaran data akhir-akhir ini, termasuk Target , Home Depot , dan banyak lagi. Home Depot menghabiskan $ 43.000.000 untuk pelanggaran data hanya dalam satu kuartal. Target membayar $ 10.000.000 dalam penyelesaian. Sebuah studi IBM menemukan bahwa pelanggaran data rata-rata menelan biaya $ 3,8 juta . Mendapatkan pwned itu mahal.

  • karyawan bisa dipercaya

Ini terbukti salah. Pencurian karyawan merugikan perusahaan sekitar $ 18 miliar setahun .

  • jika saya pergi maka tidak ada yang akan bisa mengerti cara kerjanya

Inilah sebabnya mengapa Anda akan menggunakan standar, praktik terbaik alih-alih pengaturan aneh yang Anda miliki sekarang.

  • Biaya pengaturan untuk perangkat keras baru dan lisensi tinggi dibandingkan dengan $ 0 sekarang.

Biaya pengaturan untuk perangkat keras baru dan lisensi jauh lebih murah dibandingkan dengan pelanggaran keamanan.

Juga, jika "Kepala TI" hanya sebagian kecil dari deskripsi pekerjaan Anda, mungkin membantu untuk mendokumentasikan bahwa Anda menghabiskan lebih banyak waktu di TI ketika Anda bisa menghabiskannya untuk tugas-tugas Anda yang lain. Harganya juga mahal.

Semua yang mengatakan: Saya khawatir wabbit benar. Orang-orang yang tidak mengerti dan menganggap itu hanya pengeluaran bodoh untuk hal-hal yang tidak mereka butuhkan cukup sulit untuk diyakinkan. Saya akan berhenti memberi tahu Anda untuk mendapatkan pekerjaan baru karena beberapa bulan yang lalu ada utas pada meta yang mengatakan kami meletakkan saran "dapatkan pekerjaan baru" dengan agak tebal, tapi saya tidak optimis tentang Anda perusahaan.

Saya akan menggunakan rute tambahan - menemukan sesuatu yang relatif mudah diimplementasikan yang akan banyak membantu - dan membuat kasus untuk itu. Anda bisa pergi dari sana.

Katherine Villyard
sumber
Terima kasih Katherine. Saya benar-benar mengerti maksud Anda. Mungkin saya agak terlalu egois dan hanya berusaha membuat apa yang "saya akan miliki" jika saya menjalankan bisnis. Mengatakan itu, saya akan mencoba untuk menunjukkan berapa banyak tugas TI saya membutuhkan biaya sekarang. Meskipun mungkin sulit untuk memperkirakan apakah itu akan dikurangi dengan infrastruktur tambahan
Jeff
1
Saya tidak berpikir Anda menjadi egois. Saya pikir setiap sysadmin ingin membuat infrastruktur mereka lebih baik. Infrastruktur yang lebih baik berfungsi lebih baik dengan sedikit usaha. Tidak selalu mudah untuk meyakinkan manajemen tentang hal itu.
Katherine Villyard
9

Jawaban "sesuai PCI" Anda adalah Tidak Sangat (diedit berdasarkan komentar). Terminal CC Anda mungkin baik-baik saja jika panel itu sendiri tidak menyimpan data apa pun.

Sekarang untuk memisahkan daftar "tidak layak" ...

Kami telah mengatasi selama bertahun-tahun tanpa masalah

Ini mungkin benar, tetapi masalahnya adalah persepsi. Ini akan menjadi rintangan terbesar Anda.

Karyawan bisa dipercaya

Ya tidak. Mereka tidak bisa. Bagi saya, ini menggambarkan bahwa atasan Anda benar-benar tidak mengetahui kerugian dalam organisasi. Lebih dari itu, ini dalam ritel , di mana kerugian biasanya dikelola dengan ketat, atau setidaknya dipahami.

Jika saya pergi, maka tidak ada yang bisa mengerti cara kerjanya

Ini sepenuhnya salah. Tidak ada yang bisa masuk hari ini dan memahami apa yang terjadi, karena tidak ada yang bergabung dengan domain, dll. Admin yang setidaknya memiliki pemahaman dasar tentang Direktori Aktif dan struktur OU adalah selusin sepeser pun.

Biaya pengaturan untuk perangkat keras dan lisensi baru tinggi dibandingkan dengan $ 0 sekarang.

Di mana mereka mendapatkan kesan bahwa biayanya $ 0 sekarang? Biaya tidak pernah nol dalam organisasi TI. Jelas hal-hal tidak diperhitungkan , tetapi ini tidak berarti biayanya nol.

Jika bos Anda perlu diyakinkan, berikan mereka daftar artikel perusahaan yang telah dilanggar pada bulan lalu. Anda dapat bertaruh bahwa nama-nama besar dalam daftar itu sebenarnya DID berfungsi untuk mengatasi masalah ini, tetapi masih bisa dibobol.

Tampaknya bos dalam situasi ini lebih dari senang untuk menutupi semua masalah (mempercayai karyawan, keamanan, kepatuhan, dll.) Selama uang terus mengalir masuk. Berbicara secara profesional, ini adalah situasi yang goyah untuk semua orang di organisasi.

blaughw
sumber
Saya pikir itulah masalahnya. Situs web kami sesuai PCI karena tempat data pelanggan disimpan dan bagaimana transaksi diproses. Saya tidak tahu banyak tentang toko. Dan mencoba meyakinkan atasan Anda ketika Anda masih bisa terlibat bahkan dengan mengatasi masalah dan tidak pernah bisa 100% aman.
Jeff
2
Saya akan menekankan bahwa "patuh" tidak berarti sama dengan "aman". Hanya masalah waktu sampai terjadi pelanggaran.
HostBits
Ok, sebutir peluru lain yang jelek. Ketika saya mengatakan $ 0, maksud saya selain PC baru yang aneh di sana-sini (Pikirkan satu setiap 3 bulan atau lebih) dan salinan Office yang aneh, tidak ada biaya perangkat keras lainnya. Jelas ada uang dalam upah yang membutuhkan waktu saya mengatur masing-masing PC dan kemudian memilah-milah masalah orang.
Jeff
1
Persis. Setiap PC desktop yang Anda beli memiliki masa pakai. Pedoman umum adalah 3 tahun. Untuk menempatkannya dalam istilah yang dapat dipahami bos Anda, bagi biaya individual PC atau lisensi kantor, dll hingga 36 dan ada biaya bulanan Anda.
blaughw
7

Inilah pikiran saya:

Manajemen sangat jarang memahami teknologi dan tempatnya dalam bisnis. Sering kali, manajemen memiliki kesalahpahaman tentang apa itu teknologi dan bagaimana pengaruhnya terhadap bisnis. Ya, memang benar bahwa salah urus teknologi sering menyebabkan pemborosan pengeluaran, tetapi manajemen yang tepat meningkatkan produktivitas secara dramatis. Pemborosan umumnya terjadi ketika Anda memiliki orang yang berpikir mereka memahami teknologi melakukan kesalahan atau karena alasan yang salah.

  • kami telah mengatasi selama bertahun-tahun tanpa masalah

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

  • karyawan bisa dipercaya

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

  • jika saya pergi maka tidak ada yang akan bisa mengerti cara kerjanya

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

  • Biaya pengaturan untuk perangkat keras baru dan lisensi tinggi dibandingkan dengan $ 0 sekarang.

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

Pada titik ini, Anda mungkin berpikir, "Tunggu sebentar; sebagian besar yang Anda katakan mendukung sikap bos saya untuk tidak melakukan apa yang saya sarankan." Ya, kau benar.

Meskipun secara teknis; selama solusi terstandarisasi dan praktik / kebijakan tidak terlalu rumit / memakan waktu, mengganti staf semudah menemukan kandidat yang memiliki pengalaman dengan standar-standar tersebut. Ini sebenarnya bukan poin perdebatan.

1/2 lainnya adalah bahwa Anda perlu memahami biaya / manfaat menempatkan teknologi yang Anda inginkan juga. Itu bisa dan tidak sebanding dengan biayanya. Anda tidak akan tahu kecuali Anda dapat menghabiskan waktu menyusun analisis biaya / manfaat Anda sendiri. Untuk melakukan ini, Anda perlu mempertimbangkan biayanya (catatan: ini hanyalah permulaan dari pertanyaan yang harus Anda tanyakan pada diri sendiri sebelum Anda membawa pendekatan lagi ke bos Anda):

  • berapa server?
  • berapa banyak server yang saya butuhkan?
  • berapa lisensi?
  • berapa banyak lisensi yang saya butuhkan?
  • apakah jaringan saya dapat menangani perubahan bandwidth karena peningkatan lalu lintas dari jaringan manajemen?
  • apakah saya perlu mengubah infrastruktur saya?
  • apakah saya perlu mengubah sistem titik akhir saya untuk memenuhi persyaratan minimum untuk domain saya?
  • apakah saya tahu cara mengatur domain saya sendiri atau apakah saya perlu membawa pihak ketiga untuk memberikan solusi turn-key untuk saya? dan jika demikian, berapa biayanya?
  • berapa banyak masalah yang ada di lingkungan dan berapa banyak waktu yang saya habiskan untuk mengatasinya yang dapat dikurangi, dikurangi atau dikurangi dengan solusi yang saya usulkan?
  • berapa banyak uang yang dihabiskan untuk mengerjakan masalah yang dapat dikurangi, dikurangi atau dikurangi dengan solusi yang saya usulkan (termasuk biaya waktu saya, biaya waktu istirahat karyawan, dan biaya kerugian bisnis aktual atau potensial)?

Sekali lagi, perlu diingat bahwa pertanyaan yang saya ajukan di atas tidak termasuk semua. Ada lebih banyak pertanyaan teknis yang bisa diajukan, yang mengarah ke pertanyaan lain dan sebagainya, dan sebagainya. Setelah Anda memiliki semua angka itu, tentukan yang berikut:

  • Akankah menerapkan teknologi benar-benar mengurangi, mengurangi atau mengurangi jumlah waktu / uang / upaya yang dihabiskan untuk masalah-masalah bermasalah yang berulang?
  • Apakah penerapan teknologi akan mengurangi biaya coping / kepuasan diri?

Setelah Anda dapat mengembangkan analisis biaya / manfaat yang tepat, Anda akan lebih mampu mendekati majikan Anda dengan solusi yang tepat, dibandingkan dengan saran yang tidak berdasar.

Berdasarkan pengalaman saya, biaya pelaksanaan infrastruktur manajemen terpusat dan biaya dukungan berkelanjutan dari infrastruktur tersebut setara dengan biaya menyewa badan lain untuk departemen TI (tergantung pada ukuran lingkungan); setidaknya, dengan menerapkan solusi internal. Solusi Cloud dan SaaS yang tersedia saat ini dapat mengimbangi biaya infrastruktur fisik dan menghemat uang, tetapi itu benar-benar tergantung pada model bisnis departemen dan perusahaan serta kendala keamanan.

Catatan: jika biaya penerapan solusi lebih mahal daripada menyewa orang penuh waktu untuk menangani masalah yang seharusnya diselesaikan, biasanya biaya lebih efektif untuk menyewa tubuh (tergantung pada kerumitan masalah yang perlu dikurangi, dikurangi atau dikurangi).

TL; DR: habiskan beberapa waktu berhubungan dengan bos Anda meskipun jumlah dolar sebagai lawan dari alfabet IT mewah. Ini mungkin atau mungkin tidak membantu argumen Anda, tetapi apa pun yang terjadi, Anda akhirnya belajar lebih banyak tentang bagaimana mengelola infrastruktur Anda secara lebih efisien.

Terakhir, jika kesimpulan Anda adalah bahwa perusahaan sangat membutuhkan solusi, mampu membelinya, dan bos Anda masih tidak ingin melakukan apa yang Anda katakan karena alasan tidak masuk akal Anda tidak dapat bernegosiasi dengan jalan tengah yang masuk akal, inilah saatnya untuk mengepak barang-barang Anda dan temukan majikan baru. Jenis majikan yang tidak apa-apa untuk menjadi biasa-biasa saja dan tidak membuat keputusan logis ketika dihadapkan dengan bukti bukanlah jenis majikan yang ingin Anda pertahankan; mereka cenderung membuat keputusan yang buruk dan menjatuhkan semua orang di sekitarnya.

Pembaruan: 2015-10-11

Menghitung biaya waktu

Skenario: Salah satu aspek memenuhi kepatuhan PCI DSS mengharuskan komputer titik akhir / POS Anda mutakhir dengan tambalan (atau memiliki proses manajemen tambalan).

Katakanlah Anda menghasilkan $ 15 / jam USD atau $ 31.200 / tahun USD, dan untuk memastikan tambalan tidak merusak sistem Anda, Anda harus menambal semua sistem Anda secara manual setiap kali tambalan baru keluar. Demi kesederhanaan, katakan juga infrastruktur manajemen terpusat (Catatan: ini hanya pandangan yang disederhanakan; itu benar-benar tergantung pada bagaimana kantor Anda saling berhubungan, apakah Anda memerlukan redundansi, dan apakah masuk akal memiliki server di setiap kantor atau tidak) atau hanya satu) akan dikenakan biaya $ 11.000 untuk server, $ 2.500 untuk lisensi server dan $ 2.500 untuk CAL dan 80 jam untuk membuat domain dan menggabungkan semua komputer ke domain; 80 jam x $ 15 / jam = $ 1.200 (lebih jika Anda melakukan outsourcing ke vendor lokal; highball adalah $ 120 / jam; jadi 80 jam x $ 120 / jam = $ 9.600). Total infrastruktur manajemen terpusat Anda dapat diberlakukan sekitar $ 17.200 hingga $ 25.600.

Patch Tuesday terjadi setiap Selasa ke-2 dan ke-4 setiap bulan. Jika bahkan ada 1 patch yang dirilis setiap Patch Selasa, yang membutuhkan antara 15 menit-30 menit untuk menginstal dan reboot, Anda menghabiskan setidaknya 1 jam setiap bulan menambal 1 komputer; atau 12 jam per tahun.

Sudah, Anda menghabiskan: 12 jam x $ 15 = $ 180 per tahun untuk manajemen patch untuk 1 komputer. Sekarang, gandakan dengan 50 komputer yang Anda miliki (karena ingat, Anda tidak dapat membiarkan sistem secara otomatis menambal, karena Anda tidak tahu apakah tambalan akan merusak semua aplikasi yang saat ini Anda instal). Ini berarti Anda menghabiskan lebih dekat ke $ 180 / tahun x 50 komputer = $ 9.000 untuk manajemen patch. Itu 28,85% dari upah Anda dan ...

  • 15 menit x 50 komputer = 750 menit atau 12,5 jam atau minimum 1,56 hari
  • 30 menit x 50 komputer = 1.500 menit atau 25 jam atau maksimum 3,13 hari

dihabiskan untuk tugas kasar yang dapat dikelola oleh infrastruktur manajemen terpusat; menguji tambalan disederhanakan sekarang, hanya berdasarkan pada jumlah "gambar" yang Anda miliki, di mana "gambar" adalah salinan dasar dari OS dan Aplikasi yang digunakan sekelompok sistem. Pada titik ini, Anda hanya menghabiskan 15-30 menit per gambar, dibandingkan 1,56-3,13 hari. Ini tidak termasuk waktu perjalanan jika itu diperlukan juga tidak termasuk pemborosan / menunggu orang untuk keluar dari komputer sehingga Anda dapat melakukan pekerjaan Anda.

Tunggu, $ 9.000 sepertinya tidak akan membenarkan permintaan saya. Mungkin, tetapi apakah Anda sudah mempertimbangkan memusatkan solusi keamanan titik akhir Anda (anti-virus, anti-malware, dll ...)? Oh Boy! Itu $ 9.000 lagi jika Anda menganggap pembaruan titik akhir terjadi setiap minggu! Plus, mampu mengidentifikasi sistem mana yang terinfeksi virus dan menunjuk komputer DAN orang adalah kemenangan BESAR; sekarang Anda tahu kelompok orang yang Anda butuhkan untuk mendidik tentang kesadaran keamanan informasi.

Tunggu! Anda mengatakan itu masih belum cukup? Oh Bagaimana sekarang bisa menerapkan Kebijakan Grup untuk mencegah orang melakukan hal-hal yang seharusnya tidak mereka lakukan? Itu harus bernilai satu sen yang cukup dalam pencegahan risiko. Oh man, maksudmu itu masih belum cukup? Bagaimana jika saya katakan sekarang Anda dapat gambar / format jarak jauh dan menginstal ulang sistem tanpa harus meninggalkan kantor !? Oh Boy! Bukankah itu bernilai sesuatu? Itu 2-4 jam per sistem yang Anda hemat; berpotensi 100-200 jam per periode penyegaran.

Jadi, apa yang saya maksudkan dengan info generik saya dari atas? Yah, berpotensi, Anda bisa menghemat $ 18.000 minimum dengan menerapkan sistem manajemen terpusat (Windows AD). Itu lebih dari 1/2 gaji seorang pria IT menghasilkan $ 15 / jam. $ 18.000 lebih dari biaya solusi (yah, solusi dasar saya; Anda harus mencari tahu nomor Anda sendiri yang sebenarnya), yang berarti solusi akan membayar sendiri dari waktu ke waktu; secara teknis, dalam waktu 12 bulan implementasi.

Angka-angka ini tidak memperhitungkan proyek apa pun yang mungkin memerlukan infrastruktur manajemen terpusat untuk memulai. Untuk setiap proyek yang Anda butuhkan sebagai Direktori Aktif, sekarang menjadi 50 kali seberapa banyak waktu yang Anda habiskan untuk mengimplementasikannya dengan sistem satu kali lipat upah per jam Anda.

Ini juga tidak memperhitungkan kemampuan sekarang menerapkan otentikasi pengguna yang tepat, penuaan kata sandi, persyaratan kompleksitas kata sandi, dan sejumlah praktik dan kebijakan manajemen risiko lainnya yang berpotensi menghemat banyak uang perusahaan jika terjadi pelanggaran / intrusi. atau kompromi.

Oh, ngomong-ngomong, Anda juga selalu bisa memenuhi persyaratan kepatuhan. Hanya untuk ukuran yang baik. Tidak mungkin perusahaan Anda mematuhi PCI jika orang-orang membagikan kata sandi.

Dapatkan idenya sekarang? Sekarang, lakukanlah.

CIA
sumber
1
Terima kasih CIA, Sangat detail dan benar-benar membuat saya berpikir. Saya suka perusahaan saya jadi saya pikir bagian terakhir tidak akan berlaku. Saya akan mencoba membuat analisis biaya / manfaat mengenai hal ini walaupun berdasarkan apa yang sedang terjadi sekarang, saya ragu sebenarnya ada manfaat biaya dari domain selain dari pandangan egois yang membuatnya lebih mudah untuk dikelola untuk saya. Saya hanya merasa khawatir bahwa sebuah perusahaan dengan 50 PC dan ukuran kita sedang berjalan pada Workgroup dengan sangat sedikit kata sandi atau keamanan jaringan.
Jeff
Ini mungkin terlihat egois, tetapi itu bisa dibenarkan. Lihat pembaruan saya di atas.
CIA
1

Anda mengatakan salah satu pekerjaan Anda adalah "kepala TI", tetapi bos Anda atas keputusan keputusan TI. Tanyakan pada diri sendiri dan bos Anda dengan cara apa Anda benar-benar "kepala TI"? Dia seharusnya memberi Anda anggaran TI dan membiarkan Anda memutuskan bagaimana membelanjakannya. Jika dia tidak melakukan jumlah delegasi itu, Anda bukan kepala apa pun.

Karena ini hanya salah satu dari peran Anda, pertimbangkan melepaskannya, dan menyerahkan tanggung jawabnya kepada atasan Anda. Jika dia bersikeras Anda bertanggung jawab, tetapi tidak memberi Anda anggaran atau alat untuk melakukan pekerjaan Anda, pergi dan (jika Anda tinggal di wilayah hukum yang beradab) bawa dia ke pengadilan ketenagakerjaan untuk pemecatan yang konstruktif.

Singkatnya, ini bukan pertanyaan IT, itu pertanyaan manajemen.

Raedwald
sumber
1

Sesuatu yang saya mulai mengerti selama beberapa tahun terakhir adalah bahwa manusia pada dasarnya adalah makhluk yang tidak rasional. Begitu kita membuat keputusan di suatu bidang, kita menjadi terikat secara emosional padanya dan jarang dibujuk oleh fakta atau data. Anda tidak dapat berdebat atau membuktikan bos Anda ke posisi yang lebih baik.

Dengan mengingat hal itu, strategi terbaik Anda adalah menunjukkan kepada atasan Anda bagaimana peralatan dan praktik yang lebih baik dapat meningkatkan keuntungannya dengan memotong biaya atau meningkatkan pendapatan dan efisiensi di tempat lain. Sudah terlambat untuk memainkan kartu mitigasi risiko.

Joel Coel
sumber