私は、大規模な商店が6ダースほどあり、ウェブサイトを持っている中小規模の小売店で働いています。
ITの状況は現在、非常に基本的な状態です。 「IT部門の責任者」であることは私の仕事の説明のほんの一部にすぎず、リストの最後にあるため、希望するほど多くの時間を費やすことができませんでした。
ネットワークには約50台のコンピューターと14台のウィンドウティルがあります(本社内に30台、外部店20台、倉庫、ラップトップ)。これはすべてワークグループネットワーク上に構築されており、すべてのサイトは非常に基本的なルーターレベルのVPNセットアップを介して相互に接続されており、各ストアのサブネットが設定されています。
したがって、私は何も管理できません。コンピュータが安全であることを確認し、監査を行い、アップデートがインストールされていることを確認し、ゲストデバイスのWi-Fiを管理するか、何かを確認します。
私は本当にドメインが欲しいのですが、上司に言った後、彼はそれは価値がないと言っています:
私たちにはドメインがないというセキュリティ面がどれほど深刻であるかを強調する方法がわかりません。ユーザーが私たちのWi-Fiに接続すれば、誰でもコンテンツにアクセスできます。ユーザーはパスワードをインストールしていないので、誰でもどのPCからでもコンテンツにアクセスできます。共有フォルダーは誰にでも表示され、表示またはバックアップするログなしで削除できます。私たちがどのくらいPCIに準拠しているか、または監査人が準拠しているかどうかはわかりません。私はこれを無視して心配しないように言われました。
「内部ITインフラストラクチャの責任者」は私の職務記述書に記載されているため、データ侵害や訴訟が発生した場合にも責任を問われたくありません。
物事を変える必要があり、これに時間と余分なお金を費やす必要があることをどのように示すことができますか?私たちの規模の企業では、おそらく専任のネットワーク管理者が必要になるでしょう。それとも私は物事を考えすぎて、私が本当に望んでいることに対して非常に利己的であり、ワークグループは大丈夫でしょうか?
更新:おそらく私はドメインの考えを裏付けにして、いくつかの小さなことを試してみるようです。たとえば、更新、ウイルススキャン、ファイアウォールがオンになっていること、個々のPCでパスワードが有効になっていること、すべてのマシンでバックアップを有効にしていること、サーバーが設置されている部屋の物理的なロックが有効であることを確認します。ネットワーク全体のファイル共有とWi-Fiについてどうすればよいかわからない-Fi、しかしそれは別の質問です!
これはIT技術の答えにはなりませんが、それでもなお役立つと思います。
長年の経験から言えば、上司にすべてを異なるように説得することはできません。これの主な理由は、heがボスであり、あなたが彼の部下であるということです。あなたは根本的な変化をプッシュするために間違った立場にいます。
very常に変化しがちな予算で徐々に変化し、膨大な量で解決される問題の見通しに耐えられますかツールの簡潔な計画とスマートな使用の代わりに労働?これはまさにあなたが見ている見通しです。あなたの上司はこの方法で何年も彼の店を経営してきました。ビジネスは成長し、繁栄したので、戦略はうまくいきました。彼のビジネス上の決定と戦略に誰に質問しますか?
組織に変更を加えたい場合、組織はあなたにそれを行うように求めています。いかなる変更も、管理者がそれに見合う価値があると見なさなければならない代償を伴います。関与する抵抗と慣性を克服するには、経営陣の支援が必要です。上司が耳を傾けるコンサルタントを見つけることができれば、それはあなた(と上司の)の時間とエネルギーを浪費して、彼がやりたくないと言ったものに彼を説得するよりも有望なルートかもしれません。
もし私があなたの立場にいるなら、おそらく新しい仕事を探し始めるでしょう。
あなたはそれが彼らがどのように役立つかではなく、あなたが「望んでいるもの」に焦点を当てる必要があります。
- 私たちは何年も問題なく対処してきました
そして、今すぐ始めたくありません!最近、 Target 、 Home Depot など、多くのデータ侵害が発生しています。ホームデポは、データ漏えいにたった1四半期で $ 43,000,0 を費やしました。目標支払い $ 10,000,0 和解。 IBMの調査によると、平均的なデータ侵害には380万ドルかかります 。捕らえられることは高価です。
- 従業員は信頼できる
これは明らかに誤りです。 従業員の盗難は企業に年間約180億ドルの費用がかかります 。
- 私が去った場合、誰もそれがどのように機能するか理解することができません
これが、現在の奇妙な設定の代わりに、標準的なベストプラクティスを使用する理由です。
- 新しいハードウェアとライセンスのセットアップコストは、現在の0ドルに比べて高くなっています。
新しいハードウェアとライセンスのセットアップコストは、セキュリティ違反に比べてはるかに安価です。
また、「IT部門の責任者」が職務記述のほんの一部にすぎない場合、他の職務に費やす可能性があるときに、ITにより多くの時間を費やしていることを文書化すると役立つ場合があります。それも彼らにお金をかけています。
言われたすべて:私はthe-bitが正しいことを恐れます。 ITを入手できず、それが必要のないものの単なる愚かな費用だと考える人は、納得するのがかなり困難です。数か月前、「新しい仕事を取得する」というアドバイスを少し厚くするつもりであるというメタのスレッドがあったので、新しい仕事を取得するようにあなたに話すのを手短に止めますが、私はあなたについて楽観的ではありません会社。
私はインクリメンタルなルートに進みます-かなり簡単に実装できる比較的簡単なものを見つけて、それを主張します。そこから行くことができます。
あなたが「どのようにPCIに準拠しているか」に対する答えはそれほどではありません(コメントに基づいて編集)。ティル自体がデータを保持していない場合、CC端末は問題ない可能性があります。
次に、「価値がない」リストを選択します...
これは本当かもしれませんが、問題は知覚です。これが最大のハードルになります。
うーん、ダメ。彼らがすることはできません。私にとって、これはあなたの上司が組織での損失を無知で無知であることを示しています。さらに、これはretailにあり、損失は通常、厳しく管理されているか、少なくとも理解されています。
これは完全に間違っています。ドメインには何も参加していないため、誰もtodayに入って何が起こっているのかを理解することはできません。少なくともActive DirectoryとOU構造の基本を理解している管理者は、十数人です。
いったいどこで、彼の費用は今では0ドルだという印象を彼らは持っていますか? IT組織のコストは決してゼロではありません。明らかに物事は説明されていませんが、これはコストがゼロであることを意味するものではありません。
上司が説得力を必要とする場合は、先月違反した企業の記事のリストを提供します。あなたは、そのリストのビッグネームが実際にDID=これらの問題に対処するために機能するが、それでも壊れてしまうことに疑いの余地はありません。
この状況では、上司は、お金が転がり続ける限り、すべての懸念(信頼する従業員、セキュリティ、コンプライアンスなど)を喜んで喜んでいるように見えます。専門的に言えば、これは、すべての人にとって不安定な状況です。組織。
ここに私の考えがあります:
経営陣がテクノロジーとそのビジネスにおける位置を理解することはほとんどありません。ほとんどの場合、経営者はテクノロジーとは何か、それがビジネスにどのように影響するかについて誤解を持っています。はい、テクノロジーの管理ミスが無駄な支出につながることが多いのは事実ですが、適切な管理によって生産性が劇的に向上します。廃棄物は一般的に、テクノロジーを間違っていると理解していると思う人に、間違った理由で発生します。
_Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for Ethics and compliance, but it means you don't have to invest any money in anything new.
_
_This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
_
_This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
_
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
この時点で、「ちょっと待ってください。あなたが言っていることのほとんどは、私が提案していることをしないという私の上司の立場に賛成です」と考えているかもしれません。さて、あなたは1/2右です。
技術的に言えば;ソリューションが標準化されていて、プラクティス/ポリシーが明らかに複雑で時間のかかるものでない限り、スタッフの入れ替えは、これらの標準の経験を持つ候補者を見つけるのと同じくらい簡単です。これは本当に議論のポイントではありません。
もう1つは、必要なテクノロジーを導入することのコスト/メリットも理解する必要があることです。それは可能であり、費用に見合う価値はありません。あなた自身の費用便益分析をまとめるのに時間を費やすことができなければ、あなたはわかりません。これを行うには、コストを考慮する必要があります(注:これらは、上司にアプローチする前に、自問すべき質問の始まりにすぎません)。
繰り返しますが、上記で提案した質問はすべてを網羅しているわけではありません。質問される可能性のある技術的な質問が他にもあり、それが他の質問などにつながります。これらの数値をすべて取得したら、以下を決定します。
適切なコスト/利益分析を作成できれば、根拠のない提案とは対照的に、適切なソリューションを使用して雇用者にアプローチすることができます。
私の経験に基づくと、集中管理インフラストラクチャを実装するコストとそのインフラストラクチャを継続的にサポートするコストは、IT部門に別の組織を雇うコストと同じです(環境の規模によって異なります)。少なくとも、内部ソリューションを実装することで。クラウドとSaaS現在利用可能なソリューションは、物理インフラストラクチャのコストを相殺していくらかお金を節約するかもしれませんが、それは実際には部門または会社のビジネスモデルとセキュリティ制約に依存します。
注:ソリューションを実装するコストが、ソリューションが解決することになっている問題に対処するためにフルタイムの人を雇うよりも高価である場合、(必要な問題の複雑さによっては)体を雇う方が一般にコスト効率が高くなります軽減、軽減、または軽減されます)。
TL; DR:派手なITアルファベットとは対照的に、ドルは金額になりますが、上司に関連するいくつかの時間を費やしてください。それはあなたの議論を助けるかもしれないし、しないかもしれませんが、何が起こっても、インフラストラクチャをより効率的に管理する方法についてさらに学ぶことになります。
最後に、会社がソリューションを必死に必要としており、それを買う余裕があるという結論が出た場合、上司は、合理的でない理由で交渉できない論理的理由のために、あなたが言うことを実行したくない場合は、物事を詰め込む時です。新しい雇用主を見つけます。平凡で大丈夫で、証拠が提示されても論理的な決定を行わない雇用主の種類は、あなたが固執したい雇用主のタイプではありません。彼らは悪い決断をし、周りの全員を倒す傾向があります。
更新:2015-10-11
時間のコストの計算
シナリオ:PCIへの対応の1つの側面DSSコンプライアンスには、エンドポイント/ POSコンピューターが最新のパッチである(またはパッチ管理プロセスが実施されている)ことが必要です。
たとえば、1時間あたり15ドルまたは1年あたり31,200ドルを作成し、パッチがシステムに影響を与えないようにするには、新しいパッチが出るたびにすべてのシステムに手動でパッチを適用する必要があります。わかりやすくするために、集中管理インフラストラクチャとも言います(注:これは単純化されたビューです。これは、オフィスの相互接続方法、冗長性が必要かどうか、すべてのオフィスにサーバーを配置することが理にかなっているかどうかによって異なります。または1つだけ)サーバーに11,000ドル、サーバーライセンスに2,500ドル、CALに2,500ドル、ドメインをセットアップしてすべてのコンピューターをドメインに参加させるのに80時間かかります。 80時間x $ 15 /時間= $ 1,200(ローカルベンダーにアウトソーシングしている場合はより多く、ハイボールは$ 120 /時間なので、80時間x $ 120 /時間= $ 9,600)。集中管理インフラストラクチャ全体を約$ 17,200から$ 25,600で導入できます。
パッチ火曜日は毎月第2および第4火曜日に発生します。毎週火曜日にパッチが1つでもリリースされ、インストールと再起動に15分から30分かかる場合、毎月1台のコンピューターにパッチを適用するために少なくとも1時間を費やしています。または年間12時間。
すでに、1台のコンピューターのパッチ管理に12時間x 15ドル=年間180ドル費やしています。さて、お持ちの50台のコンピューターの数に倍増してください(現在インストールされているアプリにパッチが適用されるかどうかわからないため、システムに自動的にパッチを適用することはできません)。これは、パッチ管理に年間180ドルx 50台のコンピューター= 9,000ドルを費やしていることを意味します。それはあなたの賃金の28.85%です...
集中管理インフラストラクチャで管理できる簡単なタスクに費やした。パッチのテストが簡略化されました。「イメージ」は、システムのグループが使用するOSとアプリのベースコピーです。この時点では、1.56-3.13日ではなく、画像あたり15〜30分しか費やしていません。これには、必要な場合の移動時間は含まれません。また、仕事をするためにコンピュータを降りるのに無駄な時間や待機時間も含まれません。
待って、9,000ドルは私の要求を正当化するようには思えない。多分、エンドポイントのセキュリティソリューション(ウイルス対策、マルウェア対策など)の一元化を検討しましたか?ああ少年!エンドポイントの更新が毎週行われると考えると、これはさらに$ 9,000です。さらに、どのシステムがウイルスに感染しているかを特定し、コンピュータと人を特定することは、大きな勝利です。これで、情報セキュリティの認識について教育する必要がある人々のグループがわかりました。
待つ!それはまだ十分ではないと言っていますか?ああ?グループポリシーを実装して、人々がすべきでないことをできないようにすることはどうでしょうか。これは、リスク防止にかなりの価値があるはずです。ああ、それでもまだ足りないって言ってるの?オフィスを離れることなく、リモートでシステムのイメージ/フォーマットおよび再インストールが可能だと私が言ったとしたら!?ああ少年!それは何か価値があると思いませんか?システムあたり2〜4時間節約できます。更新期間あたり100〜200時間の可能性があります。
それで、上からの私の一般的な情報は何を意味していますか?まあ、潜在的に、集中管理システム(Windows AD)を実装することで、最低18,000ドルを節約できます。それはIT担当者の給与の2分の1以上で、1時間あたり15ドルです。 18,000ドルは、ソリューションのコスト(まあ、私の基本的なソリューションです。実際の数値を把握する必要があります)を超えています。技術的には、実装から12か月以内。
これらの数値は、最初から集中管理インフラストラクチャを配置する必要があるプロジェクトを考慮していません。 Active Directoryが必要なすべてのプロジェクトで、1つのシステムで1時間に費やす時間の50倍の節約になります。
これには、適切なユーザー認証、パスワードの有効期限、パスワードの複雑さの要件、および侵害/侵入が発生した場合に会社に多額の費用を節約できる可能性のある他の多くのリスク管理手法とポリシーを実装する機能も考慮されていませんまたは妥協。
ところで、コンプライアンス要件を人にいつでも投げることができます。ちょうど良い尺度のために。ユーザーがパスワードを共有している場合、会社がPCIに準拠していることはありません。
今すぐアイデアを得ますか?今、それを取得します。
あなたの仕事の1つは「ITの責任者」であると言いますが、上司はITの決定を支配します。自分自身と上司に、あなたが本当に「ITの責任者」である方法を尋ねてください。彼はあなたにIT予算を与え、それをどのように使うかをあなたに決めさせるべきです。彼がその量の委任をしていない場合、あなたは何の責任者でもありません。
これはあなたの役割の1つに過ぎないため、放棄して上司に責任を渡すことを検討してください。彼があなたに責任があると主張しているが、あなたにあなたの仕事をするための予算やツールを与えていないなら、去り、そして(あなたが文明管轄に住んでいるなら)建設的な解雇のために雇用法廷に連れて行きます。
要するに、これは本当にITの問題ではなく、管理の問題です。
ここ数年で私が理解するようになったのは、人間は基本的に不合理な生き物だということです。ある領域で決定を下すと、その領域に感情的に執着し、事実やデータによって他の方法で説得されることはほとんどありません。上司がより良い立場にあると主張したり証明したりすることはできません。
そのことを念頭に置いて、最善の戦略は、コストを削減するか、他の場所で収益と効率を向上させることによって、より優れた機器とプラクティスが収益をどのように改善できるかを上司に示すことです。リスク軽減カードをプレイするには遅すぎます。