¿Cuáles son algunas de las mejores prácticas cuando se hace cargo de TI en una nueva empresa? [cerrado]

9

Pensé que esto sería un buen tema con algunas sugerencias interesantes.

¿Cuáles son las primeras cosas que haría al hacerse cargo de TI en una nueva organización?

¿Cuáles son algunas banderas rojas que buscarías de inmediato?

¿Qué debe tener para un departamento (dependiendo del tamaño de la organización)?

security best-practices Robert Swisher
fuente
2
Si bien me gusta su pregunta, está cerca de un duplicado. Este es un tema que se ha cubierto en diferentes niveles. Ver: serverfault.com/questions/152707/…
Warner
Incluso si no se cierra como un duplicado, este tipo de pregunta debería ser wiki. Si nada más, es muy subjetivo.
John Gardeniers

Respuestas:

17

Honestamente ... nada, no es una maldita cosa. Me siento y aprendo el trabajo como lo hacen AHORA las personas que están allí. Después de un tiempo y cuando esté seguro de tener un buen manejo de cómo funcionan las cosas ahora (no solo técnicamente, sino también políticamente e interpersonalmente) puede comenzar a formular listas de lo que cree que debería cambiarse.

Si no comprende dónde se encuentra en este momento, sus ideas sobre dónde debería estar podrían y muy probablemente estarán muy alejadas de la realidad.

En cuanto a las banderas rojas:

  • Muchos procesos manuales
  • Sin control de cambios
  • Sin documentación o peor documentación incorrecta
  • Niveles de VP / C que están MUY involucrados en las operaciones del día a día (como restablecer servidores cuando no está en medio de una emergencia y nadie más puede hacerlo)
  • Equipo barato en todas partes, pero la compañía afirma hacer XXX (millones / billones) al año
  • Empleados infelices
  • Lucha contra incendios constante
  • Sistema de monitoreo nulo o deficiente
  • "Necesitas hablar con 'Joe'" es la respuesta a cada pregunta que haces
    • y Joe no está en TI

En cuanto a must haves ... Creo que eso depende de lo que hagas y de cómo hagas las cosas ... como que debo tener un servidor de terminal digi conectado a un módem con una línea dedicada como último recurso si no puedo obtener a mis enrutadores de voz ... pero es posible que no necesites eso. Una vez más, siéntese y tómese un tiempo para descubrir cómo son las cosas y cuáles son las quejas de las personas antes de precipitarse y querer cambiar todo.

Zypher
fuente
+1, Especialmente "Sin documentación o peor documentación incorrecta": ese es el barco en el que me encontré hace unos años cuando fui a actualizar la documentación (las cosas viejas estaban completamente equivocadas, faltaba información, estaban muy desactualizadas).
Chris S
@Chris: Es un punto de dolor actual para mí ... muchas facepalming mientras trato de actualizar la documentación :)
Zypher
+1 Si se está ejecutando, déjalo en paz y concéntrate en aprenderlo. Pocas cosas en la vida son lo que parecen ser, incluidos los sistemas heredados.
John Gardeniers
+1 por intentar comprender el clima político e interpersonal antes de cambiar las cosas. Para que los grandes cambios funcionen, necesitas un buy-in y eso es difícil de ganar si a nadie le gustas.
gMale
8

Todo esto es de alto nivel:

Seguridad:

  1. Auditar quiénes son los administradores. Verifique que deberían ser administradores.
  2. Determine cuáles son los controles de TI y la última vez que se verificaron.
  3. Verifique los niveles de parches / SO y las actualizaciones de la aplicación.
  4. Realice al menos un escaneo mínimo de vulnerabilidades utilizando herramientas fácilmente disponibles.
  5. Verifique la seguridad física en los servidores y equipos de red centrales.

Medio ambiente / rendimiento:

  1. Determine qué puntos débiles existen en su centro de datos.
  2. Descubra cuáles son sus SLA y OLA y verifique que sean remotamente razonables.
  3. Ponga al menos un monitoreo de rendimiento superficial en los sistemas para asegurarse de que ninguno de ellos esté sobrecargado.
  4. Comprenda cómo se implementan los activos clave y verifique físicamente que están donde todos dicen que están y que están configurados como se supone que deben estar.

Personal:

  1. Reúnase con el personal de TI individualmente o en pequeños grupos fuera del entorno de trabajo (almuerzo, por ejemplo) para conocer cómo es cada persona como persona.
  2. Hable con las personas que interactúan más con su personal de TI para determinar quiénes son los que trabajan duro, quienes tienen buenas habilidades con las personas, quienes son brillantes pero socialmente desafiados, etc., para asegurarse de que estén en los lugares adecuados para hacer el trabajo.
  3. Determine de dónde provienen sus puntos débiles de la seguridad y el rendimiento y haga una llamada si son las personas actuales las que están empleadas, la falta de personas, la falta de herramientas o alguna combinación.
K. Brian Kelley
fuente
Con respecto a la seguridad, agregaría buscar políticas escritas sobre el uso aceptable y el acceso a los datos. También políticas relativas a áreas de cumplimiento específicas como SOX, HIPPA, PCI DSS. Si esta adquisición se realiza a través de una adquisición, probablemente analizaría los proyectos de TI y evaluaría si alguno de esos proyectos debería quedar en espera o no hasta que se pueda determinar cómo encajan en la cartera total de TI.
jl.
0

Grandes respuestas

1 - Analice los procesos y sistemas actuales para que los entienda mejor que su predecesor. Incluso si es una razón estúpida en tus ojos, algo probablemente no se configuró de la manera en que es, sin ninguna razón.

2 - Concéntrate en la eficiencia, no en el crecimiento. Desea hacer más con menos, luego crecer a partir de ahí. En el futuro, las cosas deben estar extremadamente bien documentadas, seguras, pero lo más importante de todo, escalables.

MisterITGuy
fuente
1
Descubrí que el "algo probablemente no se configuró de la forma en que es, sin razón alguna" solo es cierto ~ 75% del tiempo.
Chris S