Trabajo para un minorista de tamaño pequeño y mediano que tiene media docena de tiendas de la calle y un sitio web.
La situación de TI se encuentra actualmente en un estado muy básico. Como ser "Jefe de TI" es solo una pequeña parte de la descripción de mi trabajo y el último en la lista, no he podido dedicarle todo el tiempo que quisiera.
Tenemos alrededor de 50 computadoras y 14 cajas de Windows en nuestra red (30 dentro de la oficina central, 20 tiendas externas, almacenamiento y computadoras portátiles). Todo esto se basa en una red de grupo de trabajo y todos los sitios están conectados entre sí a través de una configuración VPN de nivel de enrutador muy básica con subredes para cada tienda.
Por lo tanto, no puedo administrar nada, verificar que las computadoras estén seguras, hacer auditorías, asegurar que las actualizaciones estén instaladas, administrar el Wi-Fi para dispositivos invitados o verificar cualquier cosa.
Realmente me gustaría un dominio y, pero después de decirle a mi jefe, él dice que no vale la pena ya que:
- Nos hemos enfrentado durante años con un grupo de trabajo sin problemas.
- Se puede confiar en los empleados
- Si me fui o no estaba disponible cuando algo se rompió, entonces nadie podría entender cómo funciona
- Los costos de instalación para el nuevo hardware y las licencias para un dominio son muy altos. (Actualmente solo compramos PC con Windows OEM precompiladas y luego las licencias de Office minoristas impares)
- Como los dominios se gestionan de forma centralizada, si se produce un problema importante, podría impedir que todas las computadoras funcionen. (A diferencia de un grupo de trabajo donde si solo una computadora muere, entonces todo lo demás está bien y no afecta el trabajo de nadie más).
No sé cómo enfatizar cuán serios son los aspectos de seguridad de que no tenemos dominio. Cualquiera puede acceder al contenido si se conecta a nuestro Wi-Fi, cualquiera puede acceder al contenido desde cualquier PC, ya que los usuarios no tienen contraseñas instaladas, cualquiera puede ver las carpetas compartidas y eliminarlas sin registros para mostrar o respaldar. No estoy seguro de cuán compatibles con PCI somos o si cumplimos con los auditores. Me han dicho que ignore esto y que no me preocupe.
Como el "Jefe de Infraestructura de TI Interna" está en la descripción de mi trabajo, tampoco quiero que se me haga responsable si tenemos una violación de datos o una demanda legal se presenta contra nosotros.
¿Cómo puedo demostrar que las cosas deben cambiar y que debo gastar mi tiempo y dinero extra en esto? Para una empresa de nuestro tamaño, tal vez sea necesario un administrador de red a tiempo completo. ¿O estoy pensando demasiado y siendo muy egoísta para lo que realmente quiero y un grupo de trabajo estará bien?
Actualización: Parece que tal vez mantengo la idea de un dominio en segundo plano y solo intento algunas cosas más pequeñas. Por ejemplo, asegúrese de que las actualizaciones, los análisis de virus y los firewalls estén activados, asegúrese de que las contraseñas estén habilitadas en las PC individuales, habilite las copias de seguridad en cada máquina, las cerraduras físicas en las habitaciones con servidores. No estoy seguro de qué hacer con el uso compartido de archivos en toda la red y Wi -Fi, pero esa es otra pregunta!
Respuestas:
Esta no será una respuesta tecnológica de TI, pero espero que sea útil de todos modos.
Hablando de años de experiencia, no podrá convencer a su jefe para que haga todo de manera diferente. La razón principal de esto es que él es el jefe mientras que usted es solo su subordinado. Estás en la posición incorrecta para impulsar cambios fundamentales.
¿Puede vivir con la perspectiva de un cambio muy gradual con un presupuesto siempre demasiado ajustado y problemas resueltos por una gran cantidad de trabajo en lugar de una planificación concisa y un uso inteligente de las herramientas? Esta es exactamente la perspectiva que estás viendo. Su jefe ha dirigido su tienda de esta manera durante años. El negocio ha crecido y prosperado, por lo que la estrategia funcionó. ¿Quién es usted para cuestionar sus decisiones y estrategias comerciales?
Si desea traer cambios a una organización, la organización debe estar pidiéndole que lo haga . Cualquier cambio tendrá un costo que la gerencia debe considerar que vale la pena. Necesita el respaldo de la gerencia para superar la resistencia y la inercia involucrada. Si puede encontrar un consultor que su jefe escuche, podría ser una ruta más prometedora que perder su tiempo (y el de su jefe) y energía para convencerlo de algo que le dijo que no quiere hacer.
Si estuviera en tus zapatos, probablemente comenzaría a buscar un nuevo trabajo.
fuente
Debe concentrarse en cómo les ayuda, no en lo que "quiere".
¡Y no quieres comenzar ahora! Recientemente ha habido una serie de violaciones de datos, incluidos Target , Home Depot y más. Home Depot gastó $ 43,000,000 en su violación de datos en solo un trimestre. Target pagó $ 10,000,000 en un acuerdo. Un estudio de IBM encontró que la violación de datos promedio cuesta $ 3.8 millones . Ser pwned es costoso.
Esto es demostrablemente falso. El robo de empleados le cuesta a las empresas alrededor de $ 18 mil millones al año .
Es por eso que utilizará las mejores prácticas estándar en lugar de la configuración extraña que tiene ahora.
Los costos de instalación para el nuevo hardware y las licencias son muy baratos en comparación con las infracciones de seguridad.
Además, si "Jefe de TI" es solo una pequeña parte de la descripción de su trabajo, podría ser útil documentar que está pasando más tiempo en TI cuando podría estarlo gastando en sus otras tareas. Eso también les está costando dinero.
Todo lo dicho: me temo que el wabbit tiene razón. Las personas que no obtienen TI y piensan que es solo un gasto estúpido por cosas que no necesitan son bastante difíciles de convencer. Voy a dejar de decirle que obtenga un nuevo trabajo porque hace unos meses hubo un hilo en meta diciendo que estábamos dando el consejo de "conseguir un nuevo trabajo" en un poco grueso, pero no estoy optimista sobre su empresa.
Yo iría por la ruta incremental, encontraría algo relativamente fácil de implementar que me ayudaría mucho, y lo defendería. Puedes ir desde allí.
fuente
La respuesta a "cuán compatible con PCI" es no muy (editado en base a un comentario). Sus terminales CC podrían estar bien si las cajas no contienen ningún dato.
Ahora para separar la lista de "no vale la pena" ...
Nos hemos enfrentado durante años sin problemas
Esto bien puede ser cierto, pero el problema es la percepción. Este será tu mayor obstáculo.
Se puede confiar en los empleados
Bueno no. Ellos no pueden. Para mí, esto ilustra que su jefe es felizmente ignorante de las pérdidas en la organización. Más aún, esto es en el comercio minorista , donde las pérdidas generalmente se manejan estrictamente, o al menos se entienden.
Si me fuera, nadie podría entender cómo funciona
Esto es completamente incorrecto. Nadie podría venir hoy y dar sentido a lo que está sucediendo, porque nada está unido a un dominio, etc. Los administradores que al menos tienen una comprensión básica de Active Directory y las estructuras de OU son una moneda de diez centavos.
Los costos de instalación para nuevo hardware y licencias son altos en comparación con $ 0 ahora.
¿Dónde demonios tienen la impresión de que sus costos son de $ 0 ahora? Los costos nunca son cero en una organización de TI. Claramente, las cosas no se tienen en cuenta , pero esto no significa que los costos sean cero.
Si su jefe necesita ser convincente, entréguele una lista de artículos de compañías que han sido violadas en el último mes. Puedes apostar a que cualquier nombre importante en esa lista realmente funcionó para abordar estos problemas, pero aún así fue forzado.
Parece que el jefe en esta situación está más que feliz de pasar por alto todas las preocupaciones (confiar en los empleados, seguridad, cumplimiento, etc.) siempre y cuando el dinero siga llegando. Hablando profesionalmente, esta es una situación inestable para todos en el organización.
fuente
Aquí están mis pensamientos:
La gerencia rara vez comprende la tecnología y su lugar en los negocios. La mayoría de las veces, la administración tiene ideas erróneas sobre qué es la tecnología y cómo afecta a los negocios. Sí, es cierto que la mala gestión de la tecnología a menudo conduce a un gasto innecesario, pero una gestión adecuada aumenta drásticamente la productividad. El desperdicio generalmente ocurre cuando hay personas que piensan que entienden que la tecnología lo hace mal o por razones equivocadas.
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
En este punto, podría estar pensando: "Espere un minuto; la mayor parte de lo que está diciendo está a favor de la postura de mi jefe de no hacer lo que sugiero". Bueno, tienes 1/2 razón.
Aunque, técnicamente hablando; Mientras una solución esté estandarizada y las prácticas / políticas no sean abiertamente complejas / que consuman mucho tiempo, reemplazar al personal es tan simple como encontrar candidatos que tengan experiencia con esos estándares. Esto realmente no es un punto de discusión.
La otra mitad es que también necesita comprender el costo / beneficio de implementar la tecnología que desea. Podría y no podría valer la pena el gasto. No lo sabrá a menos que pueda pasar tiempo armando su propio análisis de costo / beneficio. Para hacer esto, debe considerar los costos (nota: estos son solo el comienzo de las preguntas que debe hacerse antes de acercarse nuevamente a su jefe):
Nuevamente, tenga en cuenta que las preguntas que propuse anteriormente no son exhaustivas. Hay más preguntas técnicas que podrían hacerse, que conducen a otras preguntas y así sucesivamente. Una vez que tenga todos esos números, determine lo siguiente:
Una vez que pueda desarrollar un análisis de costo / beneficio adecuado, podrá acercarse mejor a su empleador con una solución adecuada, en lugar de una sugerencia infundada.
Según mi experiencia, el costo de implementar una infraestructura de administración centralizada y el costo del soporte continuo de dicha infraestructura es equivalente al costo de contratar a otro organismo para el departamento de TI (dependiendo del tamaño del entorno); al menos, con la implementación de una solución interna. Las soluciones en la nube y SaaS disponibles en la actualidad pueden compensar el costo de la infraestructura física y ahorrar algo de dinero, pero realmente depende del modelo comercial del departamento o de la empresa y las restricciones de seguridad.
Nota: si el costo de implementar una solución es más costoso que contratar a una persona a tiempo completo para que se ocupe de los problemas que se supone que debe resolver la solución, generalmente es más rentable contratar al organismo (dependiendo de la complejidad del problema que necesite ser mitigado, aliviado o reducido).
TL; DR: pase algún tiempo en relación con su jefe, aunque las cantidades en dólares en lugar de un elegante alfabeto de TI. Puede o no ayudar a su argumento, pero pase lo que pase, terminará aprendiendo más sobre cómo administrar su infraestructura de manera más eficiente.
Por último, si su conclusión es que la compañía necesita desesperadamente la solución, puede permitírsela y su jefe todavía no quiere hacer lo que usted dice por razones ilógicas por las que no puede negociar un término medio razonable, es hora de empacar sus cosas y encontrar un nuevo empleador. El tipo de empleadores que están de acuerdo en ser mediocres y no toman decisiones lógicas cuando se les presenta evidencia no es el tipo de empleadores con el que quieren quedarse; tienden a tomar malas decisiones y derribar a todos los que les rodean.
Actualización: 2015-10-11
Cálculo del costo del tiempo
Escenario: Un aspecto de cumplir con el cumplimiento de PCI DSS requiere que sus computadoras de punto final / POS estén actualizadas con parches (o que tengan un proceso de administración de parches).
Supongamos que gana $ 15 / hr USD o $ 31.200 / año USD, y para asegurarse de que los parches no rompan sus sistemas, debe parchear manualmente todos sus sistemas cada vez que salga un nuevo parche. Por simplicidad, digamos también una infraestructura de administración centralizada (Nota: esta es solo una vista simplificada; realmente depende de cómo estén interconectadas sus oficinas, si necesita redundancia y si tiene sentido tener un servidor en cada oficina o solo uno) le costará $ 11,000 por un servidor, $ 2,500 por la licencia del servidor y $ 2,500 por CAL y 80 horas para configurar un dominio y unir todas las computadoras al dominio; 80 hrs x $ 15 / hr = $ 1,200 (más si lo subcontratas a un proveedor local; highball es $ 120 / hr; entonces 80 hrs x $ 120 / hr = $ 9,600). Su infraestructura de gestión centralizada total podría se implementará por aproximadamente $ 17,200 a $ 25,600.
El martes parche ocurre cada 2do y 4to martes de cada mes. Si incluso se lanza un parche cada martes de parches, que requiere entre 15 minutos y 30 minutos para instalar y reiniciar, pasará al menos 1 hora cada mes parcheando 1 computadora; o 12 horas por año.
Ya está gastando: 12 horas x $ 15 = $ 180 por año en administración de parches para 1 computadora. Ahora, multiplique eso por las 50 computadoras que tiene (porque recuerde, no puede permitir que los sistemas se apliquen parches automáticamente, porque no sabe si los parches romperán las aplicaciones que tenga instaladas actualmente). Esto significa que está gastando más cerca de $ 180 / año x 50 computadoras = $ 9,000 en administración de parches. Eso es 28.85% de su salario y ...
gastado en una tarea de baja categoría que puede ser gestionada por una infraestructura de gestión centralizada; probar un parche ahora se simplifica, solo en función del número de "imágenes" que tiene, donde una "imagen" es una copia base del sistema operativo y las aplicaciones que utiliza un grupo de sistemas. En este punto, solo está gastando 15-30 minutos por imagen, en lugar de 1,56-3,13 días. Esto no incluye el tiempo de viaje si es necesario ni incluye el desperdicio / espera de que la gente se baje de la computadora para que pueda hacer su trabajo.
Espera, $ 9,000 no parece justificar mi solicitud. Quizás, pero ¿ha considerado centralizar su solución de seguridad de punto final (antivirus, antimalware, etc.)? ¡Oh chico! ¡Eso es otros $ 9,000 si considera que las actualizaciones de punto final ocurren cada semana! Además, poder identificar qué sistemas están infectados con virus y señalar la computadora Y la persona es una GRAN victoria; ahora sabe qué grupos de personas necesita educar sobre la conciencia de seguridad de la información.
¡Espere! ¿Estás diciendo que todavía no es suficiente? ¿Oh? ¿Qué tal si ahora podemos implementar la Política de grupo para evitar que las personas hagan cosas que no deberían hacer? Eso debe valer un centavo en prevención de riesgos. Oh hombre, ¿estás diciendo que todavía no es suficiente? ¿Qué pasaría si le dijera que ahora puede formatear / formatear una imagen de forma remota y reinstalar un sistema sin tener que abandonar la oficina? ¡Oh chico! ¿No valdría eso algo? Eso es de 2 a 4 horas por sistema que está ahorrando; potencialmente 100-200 horas por período de actualización.
Entonces, ¿qué estoy implicando con mi información genérica de arriba? Bueno, potencialmente, podría ahorrar un mínimo de $ 18,000 al implementar un sistema de administración centralizado (Windows AD). Eso es más de la mitad del salario de un chico de TI que gana $ 15 / hora. $ 18,000 es más que el costo de la solución (bueno, mi solución básica; necesitará averiguar sus propios números reales), lo que significa que la solución se pagará sola con el tiempo; técnicamente, dentro de los 12 meses posteriores a la implementación.
Para empezar, estos números no tienen en cuenta ningún proyecto que pueda requerir tener una infraestructura de gestión centralizada. Para cada proyecto en el que necesitaba un Active Directory, ahora es 50 veces el tiempo que invirtió en implementarlo en un sistema multiplicado por su salario por hora en ahorros.
Esto tampoco tiene en cuenta la capacidad de implementar ahora la autenticación de usuario adecuada, el envejecimiento de la contraseña, los requisitos de complejidad de la contraseña y una serie de otras prácticas y políticas de gestión de riesgos que podrían ahorrarle mucho dinero a la empresa en caso de incumplimiento / intrusión o compromiso.
Ah, por cierto, siempre puedes lanzar requisitos de cumplimiento a las personas también. Solo por si acaso. No hay forma de que su empresa cumpla con PCI si las personas comparten contraseñas.
¿Tienes la idea ahora? Ahora, adelante.
fuente
Usted dice que uno de sus trabajos es "jefe de TI", pero su jefe controla las decisiones de TI. Pregúntate a ti mismo y a tu jefe de qué manera eres realmente "jefe de TI". Debería darte un presupuesto de TI y dejarte decidir cómo gastarlo. Si él no está haciendo esa cantidad de delegación, no eres el jefe de nada.
Como es solo uno de sus roles, considere renunciar a él, entregándole la responsabilidad a su jefe. Si él insiste en que usted sea responsable, pero no le da el presupuesto o las herramientas para hacer su trabajo, retírese y (si vive en una jurisdicción civilizada) llévelo a un tribunal de empleo por despido constructivo.
En resumen, esta no es realmente una pregunta de TI, es una pregunta de administración.
fuente
Algo que he llegado a comprender más en los últimos años es que los humanos son básicamente criaturas irracionales. Una vez que tomamos una decisión en un área, nos apegamos emocionalmente a ella y rara vez somos persuadidos de otra manera por hechos o datos. No puedes discutir o demostrar que tu jefe está en una mejor posición.
Con eso en mente, su mejor estrategia es mostrarle a su jefe cómo un mejor equipo y prácticas pueden mejorar sus resultados al reducir costos o aumentar los ingresos y la eficiencia en otros lugares. Es demasiado tarde para jugar la carta de mitigación de riesgos.
fuente