Ecco i miei pensieri:
La direzione capisce molto raramente la tecnologia e il suo ruolo nel mondo degli affari. La maggior parte delle volte, il management ha idee sbagliate su cosa sia la tecnologia e su come influisce sul business. Sì, è vero che la cattiva gestione della tecnologia spesso porta a spese dispendiose, ma una corretta gestione aumenta notevolmente la produttività. I rifiuti in genere si verificano quando si hanno persone che pensano di capire che la tecnologia lo fa nel modo sbagliato o per le ragioni sbagliate.
- abbiamo affrontato per anni senza problemi
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
- i dipendenti possono essere fidati
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- se me ne andassi, nessuno sarebbe in grado di capire come funziona
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- I costi di installazione per il nuovo hardware e le licenze sono elevati rispetto ai $ 0 ora.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
A questo punto, potresti pensare: "Aspetta un minuto; la maggior parte di quello che stai dicendo è a favore della posizione del mio capo sul non fare quello che sto suggerendo." Bene, hai ragione 1/2.
Sebbene, tecnicamente parlando; purché una soluzione sia standardizzata e le pratiche / politiche non siano apertamente complesse / dispendiose in termini di tempo, sostituire il personale è semplice come trovare candidati che abbiano esperienza con tali standard. Questo non è davvero un punto di discussione.
L'altro 1/2 è che devi capire il costo / beneficio di mettere in atto anche la tecnologia che desideri. Potrebbe e non potrebbe valere la spesa. Non lo saprai se non puoi dedicare del tempo a mettere insieme la tua analisi costi / benefici. Per fare ciò, devi considerare i costi (nota: questi sono solo l'inizio delle domande che dovresti porti prima di ricominciare ad avvicinare il capo):
- quanto costa un server?
- di quanti server ho bisogno?
- quanto costa la licenza?
- quante licenze ho bisogno?
- la mia rete sarà in grado di gestire il cambio di larghezza di banda dovuto all'aumento del traffico proveniente da una rete di gestione?
- devo cambiare la mia infrastruttura?
- devo modificare uno dei miei sistemi end-point per soddisfare un requisito minimo indispensabile per il mio dominio?
- so come impostare il mio dominio o devo richiedere a terzi di rilasciare una soluzione chiavi in mano per me? e se sì, quanto costeranno?
- quanti problemi esistono nell'ambiente e quanto tempo dedico a lavorarci su che potrebbero essere mitigati, sollevati o ridotti con la soluzione che sto proponendo?
- quanti soldi vengono spesi lavorando su questioni che potrebbero essere mitigate, alleviate o ridotte con la soluzione che sto proponendo (incluso il costo del mio tempo, il costo dei tempi di fermo dei dipendenti e il costo di perdite aziendali effettive o potenziali)?
Ancora una volta, tieni presente che le domande che ho proposto sopra non sono all-inclusive. Ci sono altre domande tecniche che potrebbero essere poste, che portano ad altre domande e così via, e così via. Una volta che hai tutti quei numeri, determina quanto segue:
- L'implementazione della tecnologia mitigherà veramente, alleggerirà o ridurrà la quantità di tempo / denaro / sforzi spesi per problemi ricorrenti?
- L'implementazione della tecnologia compenserà negativamente i costi di coping / compiacenza?
Una volta che sei in grado di sviluppare un'analisi costi / benefici adeguata, sarai in grado di affrontare meglio il tuo datore di lavoro con una soluzione adeguata, invece di un suggerimento infondato.
Sulla base della mia esperienza, il costo dell'implementazione di un'infrastruttura di gestione centralizzata e il costo del supporto continuo di detta infrastruttura sono equivalenti al costo dell'assunzione di un altro ente per il dipartimento IT (a seconda delle dimensioni dell'ambiente); almeno, con l'implementazione di una soluzione interna. Le soluzioni Cloud e SaaS disponibili oggi possono compensare il costo dell'infrastruttura fisica e risparmiare un po 'di denaro, ma in realtà dipende dal modello di business del dipartimento o dell'azienda e dai vincoli di sicurezza.
Nota: se il costo dell'implementazione di una soluzione è più costoso dell'assunzione di una persona a tempo pieno per affrontare i problemi che la soluzione dovrebbe risolvere, è generalmente più conveniente assumere il corpo (a seconda della complessità del problema che deve essere mitigato, alleviato o ridotto).
TL; DR: trascorri un po 'di tempo in relazione al tuo capo attraverso importi in dollari invece di un alfabeto IT di fantasia. Può o meno aiutare il tuo argomento, ma qualunque cosa accada, finirai per imparare di più su come gestire la tua infrastruttura in modo più efficiente.
Infine, se la tua conclusione è che la società ha un disperato bisogno della soluzione, se la può permettere, e il tuo capo non vuole ancora fare ciò che dici per ragioni illogiche che non puoi negoziare a medio termine, è tempo di preparare le tue cose e trova un nuovo datore di lavoro. Il tipo di datore di lavoro che è OK è mediocre e non prende decisioni logiche quando viene presentato con prove non è il tipo di datore di lavoro con cui vuoi rimanere; tendono a prendere decisioni sbagliate e abbattere tutti intorno a loro.
Aggiornamento: 2015-10-11
Calcolo del costo del tempo
Scenario: un aspetto del rispetto della conformità PCI DSS richiede che i computer end-point / POS siano aggiornati con le patch (o che sia in atto un processo di gestione delle patch).
Diciamo che guadagni $ 15 / ora USD o $ 31.200 / anno USD e per assicurarti che le patch non rompano i tuoi sistemi, devi patch manualmente tutti i tuoi sistemi ogni volta che esce una nuova patch. Per semplicità, diciamo anche un'infrastruttura di gestione centralizzata (Nota: questa è solo una visione semplificata; dipende davvero da come i tuoi uffici sono interconnessi, se hai bisogno di ridondanza e se ha senso avere o meno un server in ogni ufficio o solo uno) ti costerà $ 11.000 per un server, $ 2.500 per la licenza del server e $ 2.500 per le CAL e 80 ore per impostare un dominio e unire tutti i computer al dominio; 80 ore x $ 15 / ora = $ 1.200 (più se lo esternalizzi a un fornitore locale; highball è $ 120 / ora; quindi 80 ore x $ 120 / ora = $ 9.600). La tua infrastruttura di gestione centralizzata totale potrebbe essere messo in atto per circa $ 17.200 a $ 25.600.
Patch Tuesday si verifica ogni 2 ° e 4 ° martedì di ogni mese. Se ogni martedì viene rilasciata anche 1 patch, che richiede tra 15 minuti e 30 minuti per l'installazione e il riavvio, si impiega almeno 1 ora al mese a patchare 1 computer; o 12 ore all'anno.
Stai già spendendo: 12 ore x $ 15 = $ 180 all'anno per la gestione delle patch per 1 computer. Ora, moltiplicalo per i 50 computer che hai (perché ricorda, non puoi lasciare che i sistemi si patch automaticamente, perché non sai se le patch interromperanno le app che hai attualmente installato). Questo significa che stai spendendo più vicino a $ 180 / anno x 50 computer = $ 9.000 per la gestione delle patch. Questo è il 28,85% del tuo salario e ...
- 15 minuti x 50 computer = 750 minuti o 12,5 ore o 1,56 giorni minimo
- 30 minuti x 50 computer = 1.500 minuti o 25 ore o 3,13 giorni al massimo
speso in un compito umile che può essere gestito da un'infrastruttura di gestione centralizzata; il test di una patch è ora semplificato, solo in base al numero di "immagini" che hai, dove "immagine" è una copia di base del sistema operativo e delle app utilizzate da un gruppo di sistemi. A questo punto, stai spendendo solo 15-30 minuti per immagine, invece di 1,56-3,13 giorni. Ciò non include il tempo di viaggio, se necessario, né lo spreco / in attesa che le persone scendano dal computer in modo da poter svolgere il proprio lavoro.
Aspetta, $ 9.000 non sembrano giustificare la mia richiesta. Forse, ma hai preso in considerazione l'idea di centralizzare la tua soluzione di sicurezza end-point (antivirus, antimalware, ecc ...)? Oh ragazzo! Sono altri $ 9.000 se si considera che gli aggiornamenti degli endpoint avvengono ogni settimana! Inoltre, essere in grado di identificare quali sistemi sono infettati da virus e individuare il computer E la persona è una vittoria ENORME; ora sai quali gruppi di persone devi educare sulla consapevolezza della sicurezza delle informazioni.
Aspettare! Stai dicendo che non è ancora abbastanza? Oh? Che ne dici di essere ora in grado di implementare Criteri di gruppo per impedire alle persone di fare cose che non dovrebbero? Deve valere un bel soldo nella prevenzione del rischio. Oh amico, stai dicendo che non è ancora abbastanza? E se ti dicessi che ora puoi visualizzare / formattare in remoto e reinstallare un sistema senza dover uscire dall'ufficio !? Oh ragazzo! Non varrebbe la pena qualcosa? Sono 2-4 ore per sistema che stai salvando; potenzialmente 100-200 ore per periodo di aggiornamento.
Quindi, cosa intendo con le mie informazioni generiche dall'alto? Bene, potenzialmente, potresti risparmiare almeno $ 18.000 implementando un sistema di gestione centralizzato (Windows AD). Questo è più di 1/2 dello stipendio di un ragazzo IT che guadagna $ 15 / ora. $ 18.000 sono più del costo della soluzione (beh, la mia soluzione di base; dovrai capire i tuoi numeri reali), il che significa che la soluzione si ripagherà da sola nel tempo; tecnicamente, entro 12 mesi dall'implementazione.
Questi numeri non tengono conto di tutti i progetti che potrebbero richiedere una infrastruttura di gestione centralizzata all'inizio. Per ogni progetto per il quale avresti avuto bisogno di un Active Directory, ora è 50 volte più che mai speso per implementarlo su un sistema volte il tuo salario orario in risparmi.
Inoltre, ciò non tiene conto della capacità di implementare ora l'autenticazione dell'utente corretta, l'invecchiamento della password, i requisiti di complessità della password e una serie di altre pratiche e politiche di gestione dei rischi che potrebbero potenzialmente risparmiare all'azienda un sacco di soldi in caso di violazione / intrusione o compromesso.
Oh, a proposito, puoi sempre applicare anche requisiti di conformità alle persone. Solo per buona misura. Non è possibile che la tua azienda sia conforme a PCI se le persone condividono password.
Hai avuto l'idea adesso? Ora, arriva.