题 我如何说服我的公司投资IT - 域名,安全性等?


我在一家中小型零售商工作,该零售商有六家高街商店和一个网站。

IT情况目前处于非常基本的状态。由于作为“IT主管”只是我工作描述的一小部分而且列表中的最后一部分我没有能够像我希望的那样花费太多时间。

我们的网络上有大约50台计算机和14台Windows计算机(总部30个,外部商店20个,仓库和笔记本电脑)。这些都建立在工作组网络上,并且所有站点通过非常基本的路由器级VPN设置连接在一起,每个商店都有子网。

因此,我无法管理任何内容,检查计算机是否安全,执行任何审核,确保安装更新,管理访客设备的Wi-Fi或检查任何内容。

我真的很喜欢一个域名,但在告诉我的老板后,他说这不值得:

  • 我们已经与一个没有问题的工作组一起应对了多年
  • 员工可以信任
  • 如果我在事情发生时离开或者不可用,那么没有人能够理解它是如何工作的
  • 新硬件的设置成本和域的许可非常高。 (我们目前只购买预制的OEM Windows PC,然后购买奇怪的零售办公室许可证)
  • 由于域是集中管理的,如果发生重大问题,它可能会阻止所有计算机工作。 (与工作组不同,如果只有一台计算机死亡,那么其他一切都很好,不会影响其他人的工作。)

我不知道如何强调我们没有域的安全方面有多严重。任何人都可以访问内容,如果他们连接到我们的Wi-Fi,任何人都可以从任何PC访问内容,因为用户没有安装密码,任何人都可以看到共享文件夹,删除没有要显示或备份的日志。我不确定我们是否符合PCI标准,或者我们是否符合审核员的要求。我被告知要忽略这一点,不要担心。

由于“内部IT基础架构负责人”在我的工作描述中,如果我们收到数据泄露或法律诉讼对我们不利,我也不想被追究责任。

我怎样才能证明事情需要改变,我需要花费时间和额外的钱?对于我们这样规模的公司,可能需要一名全职网络管理员。或者我是否因为我真正想要的东西而过度思考并且非常自私,工作组会很好吗?

更新:听起来我可能会在后置刻录机上保留域名的想法,只是尝试一些较小的东西。例如,确保更新,病毒扫描和防火墙处于打开状态,确保在个人PC上启用密码,在每台计算机上启用备份,在有服务器的房间内进行物理锁定。我不知道如何处理网络范围的文件共享和Wi -Fi,但这是另一个问题!


26
2017-10-09 15:03




询问他们,如果客户数据和信用卡/支付信息被盗,他们愿意花多少钱来解决集体诉讼。询问他们是否愿意冒险在这种情况下失去整个业务,因为这很可能会发生。 - joeqwerty
哦,第四项也是不真实的,除非它们在warez上运行。还有管理员的时间来保持这种混乱的运行成本。 - blaughw
通过邀请白帽安全人员来测试你们,向他们展示他们的裤子是多么下降。 :) - Mike McMahon
所有答案都涵盖了我建议你解释为什么他在那里的多个点上不正确以及你不会在一夜之间改变主意的大部分内容。我遇到了类似的问题,我的建议是写一份记录完善的提案。为什么当前系统对安全性,可管理性等不可接受。如果您事先向管理层提醒问题,并且让您仔细说出它们已经传达的问题的影响,并建议缓慢的规模运动来补救,那么请稍微介绍一下。还显示您可以记录进程,第3点无效 - Piskie
你被告知“员工可以信任”?我想不出任何与IT角色更加不一致的事情,那就是假设所有员工/用户 有良好的愿望。 - Eric McCormick


答案:


这不是IT技术的答案,但仍然有用。

从多年的经验来看,你无法说服你的老板去做 一切 不同。主要原因是  当你只是他的下属时,是老板。你处于错误的位置,无法推动根本性的改变。

你能忍受的前景吗? 非常 随着预算总是过于紧张而逐渐变化,问题通过大量劳动而不是简洁的规划和智能使用工具来解决?这正是您所关注的前景。你的老板多年来一直以这种方式开店。这项业务已经成长并蓬勃发展,因此该战略得以实现。你是谁来质疑他的商业决策和战略?

如果要将更改带给组织,组织 必须要求你这样做。任何变更都需要付出代价,管理层必须考虑这一变化。您需要管理层的支持来克服所涉及的阻力和惯性。如果你能找到一位老板会听的顾问,那么浪费你(以及你老板)的时间和精力来说服他告诉你他不想做的事情可能是一条更有希望的途径。

如果我在你的鞋子里,我可能会开始寻找新的工作。


28
2017-10-09 17:48



我几乎会考虑创建一个新帐户,这样我就可以再次投票(如果它不是非常不受欢迎)。这不是IT问题,而是人员问题。你已经被雇用去做一份工作,但没有获得自由,工具或资源以专业的方式做到这一点。我也开始在别处寻找。 - GregL
适用于Workplace.SE交叉组件的+1。不幸的是,这是IT专业人员必须处理的事情。 - blaughw


你需要关注它如何帮助他们,而不是你想要的东西。

  • 我们已经应对了多年没有问题

你现在不想开始!最近有一些数据泄露,包括 目标家得宝, 和更多。家得宝花了 $ 43,000,000 其数据泄露仅在四分之一。目标付费 $ 10,000,000 在一个解决方案。 IBM的一项研究发现,平均数据泄露成本为380万美元。获得成功是昂贵的。

  • 员工可以信任

这显然是错误的。 员工盗窃使公司每年损失约180亿美元

  • 如果我离开那么没有人能够理解它是如何工作的

这就是为什么你要使用标准的最佳实践而不是现在的奇怪设置。

  • 与现在的0美元相比,新硬件和许可的设置成本很高。

与安全漏洞相比,新硬件和许可的设置成本非常便宜。

此外,如果“IT主管”只是您工作描述的一小部分,那么当您将其用于其他职责时,可能有助于记录您在IT上花费的时间更多。这也是他们花钱的原因。

所有这一切:我担心 - wabbit是对的。那些没有得到IT并且认为这只是他们不需要的东西的愚蠢费用的人很难说服他们。我不打算告诉你找一份新工作,因为几个月前有一个关于meta的帖子说我们正在铺设“找到一份新工作”的建议有点厚,但我对你并不乐观公司。

我将采用增量路线 - 找到一些相对容易实现的东西,这将有很大帮助 - 并为此提供理由。你可以从那里去。


18
2017-10-09 20:02



谢谢凯瑟琳。我完全理解你的观点。也许我有点过于自私,只是在我经营这家公司时,只想做出“我会拥有的”。说这话,我会试着说明我的IT职责现在花了多少钱。虽然可能很难估计是否会因额外的基础设施而减少 - Jeff
我不认为你是自私的。我认为任何系统管理员都希望改善他们的基础设施。更好的基础设施可以更轻松地工作。说服管理层并不总是那么容易。 - Katherine Villyard


“你是如何符合PCI”的答案是非常(根据评论进行编辑)。如果Tills本身没有任何数据,您的CC终端可能没问题。

现在挑选“不值得”的名单......

我们已经应对了多年没有问题

这可能是真的,但问题是感知。这将是你最大的障碍。

员工可以信任

好吧,不。他们不能。对我而言,这说明你的老板对组织中的损失一无所知。莫索,这是在 零售,通常严格管理损失,或至少理解损失。

如果我离开,那么没有人能够理解它是如何工作的

这完全是错误的。没有人可以进来 今天 并了解正在发生的事情,因为没有任何东西加入域等。至少对Active Directory和OU结构有基本了解的管理员只需要一打。

与现在的0美元相比,新硬件和许可的设置成本很高。

他们到底在哪里得到他现在的成本为0美元的印象? IT组织的成本永远不会为零。显然事情并非存在 占了,但这并不意味着成本为零。

如果您的老板需要说服力,请向他们提供上个月违规公司的文章清单。你可以打赌,该列表上的任何大牌实际上都可以解决这些问题,但仍然可以解决。

在这种情况下,老板似乎非常乐意掩盖所有问题(信任员工,安全,合规等),只要钱不断涌入。从专业角度讲,这对于每个人来说都是一个不稳定的情况。组织。


9
2017-10-09 15:29



我认为这就是问题所在。我们的网站符合PCI标准,因为客户数据存储在何处以及如何处理交易。我对商店不太了解。并试图说服你的老板,你甚至可以解决问题,但永远不会100%安全。 - Jeff
我要强调,“合规”并不意味着“安全”。发生违规行为只是时间问题。 - HostBits
好吧,我的另一个措辞严厉的子弹。当我说$ 0时,我的意思是除了奇怪的新PC以外(每3个月左右思考一次)和Office的奇怪副本,没有其他硬件成本。显然,工资上有钱需要我花时间设置每台个人电脑,然后排除人们的问题。 - Jeff
究竟。您购买的每台台式电脑都具有使用寿命。一般准则为3年。根据您的老板可以掌握的条件,将PC或办公室许可证等的个人成本除以36,并且每月有成本。 - blaughw


以下是我的想法:

管理层很少了解技术及其在业务中的地位。大多数时候,管理层对什么是技术以及它如何影响业务存在误解。是的,技术管理不善通常会导致浪费,但适当的管理会大大提高生产力。当你有人认为他们理解技术错误或错误的原因时,通常会发生浪费。

  • 我们已经应对了多年没有问题

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

  • 员工可以信任

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

  • 如果我离开那么没有人能够理解它是如何工作的

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

  • 与现在的0美元相比,新硬件和许可的设置成本很高。

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

在这一点上,你可能会想,“等一下;你所说的大部分内容都支持我老板对不按照我的建议行事的立场。”好吧,你是对的。

虽然从技术上说;只要解决方案标准化并且实践/政策不是过于复杂/耗时,替换员工就像找到具有这些标准经验的候选人一样简单。这真的不是一个争论点。

另外1/2是您需要了解将您想要的技术投入使用的成本/收益。它可能并且不值得花费。除非您花时间整理自己的成本/收益分析,否则您将不会知道。要做到这一点,你需要考虑成本(注意:这些只是在你再次向老板提出方法之前应该问自己的问题的开头):

  • 服务器多少钱?
  • 我需要多少台服务器?
  • 许可多少钱?
  • 我需要多少许可证?
  • 由于来自管理网络的流量增加,我的网络能够处理带宽变化吗?
  • 我需要更改我的基础架构吗?
  • 我是否需要更改任何终端系统才能满足我的域名的最低要求?
  • 我是否知道如何设置自己的域名?或者我是否需要引入第三方为我提供交钥匙解决方案?如果是这样,他们会花多少钱?
  • 环境中存在多少问题,以及我花多少时间处理这些问题可以通过我提议的解决方案来缓解,减轻或减少?
  • 使用我提出的解决方案(包括我的时间成本,员工停工成本,以及实际或潜在商业损失的成本),可以减少,减轻或减少的问题花费了多少钱?

同样,请记住,我上面提出的问题并非包罗万象。可以提出更多技术问题,这些问题会导致其他问题,等等。获得所有这些数字后,请确定以下内容:

  • 实施该技术是否会真正减轻,减轻或减少因重复出现问题而花费的时间/金钱/精力?
  • 实施该技术是否会不利地抵消应对/自满的成本?

一旦您能够开发出适当的成本/收益分析,您就能更好地与雇主联系并提供适当的解决方案,而不是毫无根据的建议。

根据我的经验,实施集中管理基础设施的成本和持续支持所述基础设施的成本相当于为IT部门雇用另一个机构的成本(取决于环境的大小);至少,实施内部解决方案。目前可用的云和SaaS解决方案可以抵消物理基础设施的成本并节省一些资金,但这实际上取决于部门或公司的业务模式和安全限制。

注意:如果实施解决方案的成本比聘请全职人员处理解决方案应该解决的问题更昂贵,那么雇用机构通常更具成本效益(取决于需要解决的问题的复杂性)减轻,减轻或减少)。

TL; DR:花一些时间与你的老板有关,虽然是金额而不是花哨的IT字母。它可能会或可能不会帮助您的论点,但无论发生什么,您最终都会更多地了解如何更有效地管理您的基础架构。

最后,如果您的结论是公司迫切需要解决方案,可以负担得起,而且您的老板仍然不想因为不合逻辑的原因而无法按照合理的中间立场进行谈判,那么是时候收拾东西了。并找到一个新的雇主。那些可以平庸并且在提供证据时不做出合理决定的雇主并不是你想要坚持的雇主类型;他们倾向于做出错误的决定,并让周围的每个人都失望。

更新:2015-10-11

计算时间成本

场景:满足PCI DSS合规性的一个方面要求您的终端/ POS计算机与补丁保持同步(或者具有补丁管理流程)。

假设你每小时15美元或者美元31,200美元,并且为了确保补丁不会破坏你的系统,你必须在每次新补丁发布时手动修补所有系统。为简单起见,我们还要说集中管理基础架构(注意:这只是一个简化的视图;它实际上取决于您的办公室如何互连,是否需要冗余,以及是否在每个办公室都有服务器是有意义的或者只是一个)服务器将花费11,000美元,服务器许可证需要2,500美元,CAL需要2,500美元,设置域名并将所有计算机加入域名需要80小时; 80小时x 15美元/小时= 1,200美元(如果您将其外包给当地供应商则更多;高球价格为120美元/小时;因此80小时x 120美元/小时= 9,600美元)。您的集中管理基础架构 可以 大约需要花费17,200美元到25,600美元。

补丁周二发生在每个月的第2和第4个星期二。如果每个补丁星期二甚至有1个补丁发布,那么需要在15分钟到30分钟之间安装和重新启动,你每个月至少花1个小时修补一台电脑;或每年12小时。

您已经花费了12小时x 15美元=每年180美元用于1台计算机的补丁管理。现在,您拥有的50台计算机的多个(因为记住,您不能让系统自动修补,因为您不知道这些修补程序是否会破坏您当前安装的任何应用程序)。这意味着你在补丁管理上的花费接近180美元/年×50台计算机= 9,000美元。这是你工资的28.85%......

  • 15分钟x 50台计算机=最少750分钟或12.5小时或1.56天
  • 30分钟x 50台计算机= 1,500分钟或25小时或最多3.13天

花在一项可以由集中管理基础设施管理的琐碎任务上;现在简化测试补丁,仅基于您拥有的“图像”数量,其中“图像”是操作系统的基本副本和一组系统使用的应用程序。此时,每张图片仅花费15-30分钟,而不是1.56-3.13天。这不包括旅行时间,如果需要,也不包括浪费/等待人们下车,这样你就可以完成工作。

等等,9,000美元似乎不能证明我的要求是合理的。也许,但您是否考虑过集中您的终端安全解决方案(防病毒,反恶意软件等)?好家伙!如果您认为每周都会发生终点更新,那么另外9,000美元!此外,能够识别哪些系统感染了病毒并且指向计算机和人,这是一个巨大的胜利;现在,您知道需要哪些人群来教育信息安全意识。

等待!你说这还不够吗?哦?现在如何能够实施组策略来阻止人们做他们不应该做的事情?这在风险预防方面值得一分钱。哦,伙计,你说这仍然不够?如果我告诉你你现在可以远程成像/格式化并重新安装系统而不必离开办公室怎么办?好家伙!这不值得吗?你节省的每个系统2-4个小时;每个刷新期可能需要100-200小时。

那么,我用上面的通用信息暗示了什么?好吧,通过实施集中管理系统(Windows AD),您可以节省18,000美元。这超过了每小时15美元的IT人员的工资的1/2。 18,000美元不仅仅是解决方案的成本(嗯,我的基本解决方案;你需要弄清楚自己的实际数字),这意味着解决方案会随着时间的推移而收回成本;从技术上讲,在实施后的12个月内。

这些数字没有考虑任何可能需要开始使用集中管理基础设施的项目。对于你需要一个Active Directory的每个项目,你现在已经花费了50倍的时间 - 你花在实施一个系统上的时间来节省你的小时工资。

这也没有考虑到现在实现正确的用户身份验证,密码老化,密码复杂性要求以及一系列其他风险管理实践和策略的能力,这些实践和策略可能会在发生破坏/入侵时为公司节省大量资金妥协。

哦,顺便说一句,你也总是可以向人们提出合规要求。只是为了好的措施。如果人们共享密码,则您的公司无法与PCI兼容。

现在就明白了吗?现在,去吧。


7
2017-10-09 18:58



谢谢CIA,非常详细,真的让我思考。我喜欢我的公司所以我认为最后一部分不适用。我将尝试在此基础上创建一个成本/收益分析,虽然基于现在的情况,我怀疑除了可能让我更容易管理的自私观点之外,域名实际上有任何成本效益。我发现令人担心的是,拥有50台PC和我们大小的公司正在一个只有很少密码或网络安全的工作组上运行。 - Jeff
这看似自私,但可能是合理的。请参阅上面的更新。 - CIA


你说你的一个工作是“IT主管”,但是你的老板在制定IT决策时。问你自己和你的老板你是什么方式真的是“IT主管”?他应该给你一个IT预算,并让你决定如何花钱。如果他没有做那么多的代表团,你就不是任何事情的头脑。

因为它只是你的一个角色,所以考虑放弃它,将责任交给你的老板。如果他坚持要你负责,但没有给你预算或工具来完成你的工作,请离开并(如果你住在文明的司法管辖区)将他带到就业法庭进行建设性解雇。

简而言之,这不是一个IT问题,而是一个管理问题。


1
2017-10-28 09:39





在过去的几年里,我越来越了解的是,人类基本上是非理性的生物。一旦我们在一个区域做出决定,我们就会情绪化地依附于它,并且很少被事实或数据说服。你不能争辩或证明你的老板处于更好的位置。

考虑到这一点,您最好的策略是向您的老板展示如何通过降低成本或增加其他地方的收入和效率来提高设备和实践的效率。现在玩风险缓解卡已经太晚了。


1
2017-10-09 20:20