Come posso convincere la mia azienda a investire in IT - domini, sicurezza, ecc.?


26

Lavoro per un rivenditore di piccole e medie dimensioni che ha una mezza dozzina di negozi di alta strada e un sito Web.

La situazione informatica è attualmente in uno stato molto semplice. Essendo "Responsabile IT" è solo una piccola parte della mia descrizione del lavoro e l'ultimo della lista non sono stato in grado di dedicare tutto il tempo che vorrei.

Abbiamo circa 50 computer e 14 casse di Windows sulla nostra rete (30 all'interno della sede centrale, 20 negozi esterni, magazzini e laptop). Tutto questo è costruito su una rete di gruppi di lavoro e tutti i siti sono collegati insieme su una configurazione VPN di base del router con sottoreti per ciascun negozio.

Pertanto non posso gestire nulla, controllare che i computer siano sicuri, fare qualsiasi controllo, accertarmi che siano installati aggiornamenti, gestire il Wi-Fi per i dispositivi guest o controllare qualsiasi cosa.

Vorrei davvero un dominio e, ma dopo averlo detto al mio capo, dice che non ne vale la pena come:

  • Abbiamo affrontato per anni un gruppo di lavoro senza problemi
  • I dipendenti possono essere fidati
  • Se me ne andassi o non fossi disponibile quando qualcosa si è rotto, nessuno sarebbe in grado di capire come funziona
  • I costi di installazione per il nuovo hardware e le licenze per un dominio sono molto elevati. (Al momento acquistiamo solo PC Windows OEM preconfigurati e poi le dispari licenze Office al dettaglio)
  • Poiché i domini sono gestiti centralmente, se si verifica un problema grave, è possibile che tutti i computer non funzionino. (A differenza di un gruppo di lavoro in cui se un solo computer muore, tutto il resto va bene e non influisce sul lavoro di qualcun altro.)

Non so come sottolineare quanto siano gravi gli aspetti della sicurezza che non abbiamo alcun dominio. Chiunque può accedere ai contenuti se si connettono al nostro Wi-Fi, chiunque può accedere ai contenuti da qualsiasi PC in quanto gli utenti non hanno password installate, le cartelle condivise possono essere visualizzate da chiunque ed eliminate senza registri da mostrare o eseguire il backup. Non sono sicuro di quanto siamo conformi PCI o se siamo conformi per i revisori. Mi è stato detto di ignorarlo e di non preoccuparmi.

Dato che "Responsabile dell'infrastruttura IT interna" è nella descrizione del mio lavoro, non voglio nemmeno essere ritenuto responsabile se riscontriamo una violazione dei dati o una causa legale ci viene contro.

Come posso dimostrare che le cose devono cambiare e che il mio tempo e denaro extra devono essere spesi per questo? Per un'azienda delle nostre dimensioni, forse sarebbe necessario un amministratore di rete a tempo pieno. O sto pensando troppo alle cose ed essendo molto egoista per quello che vorrei davvero e un gruppo di lavoro andrà bene?

Aggiornamento: sembra che forse io mantenga l'idea di un dominio su back burner e provo solo alcune cose più piccole. Ad esempio, assicurati che gli aggiornamenti, le scansioni antivirus e i firewall siano attivi, assicurati che le password siano abilitate sui singoli PC, abilita i backup su ogni macchina, i blocchi fisici nelle stanze con i server. Non sono sicuro di cosa fare per la condivisione di file su rete e Wi -Fi, ma questa è un'altra domanda!


14
Chiedi loro quanto sono disposti a spendere per risolvere una causa legale in caso di furto dei dati dei clienti e delle informazioni sulla carta di credito / pagamento. Chiedi loro se sono disposti a rischiare di perdere l'intero business in uno scenario del genere, perché potrebbe benissimo accadere.
joeqwerty,

2
Oh, anche il quarto elemento è falso, a meno che non siano in esecuzione su Warez. C'è anche il costo di gestione degli amministratori per far andare avanti questo casino.
tra il

4
Mostra loro come stanno i loro pantaloni invitando la gente della sicurezza del cappello bianco a metterti alla prova con i ragazzi. :)
Mike McMahon,

2
Tutte le risposte coprono la maggior parte di ciò che ti consiglierei sul perché non è corretto su più punti lì e che non cambierai idea durante la notte. Ho riscontrato un problema simile e il mio suggerimento è scrivere una proposta ben documentata. Perché gli attuali sistemi inaccettabili per sicurezza, gestibilità, ecc. Ti copre in qualche modo se c'è una violazione che hai avvisato in anticipo la gestione dei problemi e ti consente di esprimerlo attentamente per l'impatto per le preoccupazioni che hanno già comunicato e suggerire un movimento lento su cui porre rimedio. Mostra anche che puoi documentare i processi, punto 3 non valido
Piskie,

2
Ti è stato detto "ci si può fidare dei dipendenti"? Non riesco a pensare a nulla che vada più in contrasto con il ruolo dell'IT, e questo presuppone che tutti i vostri dipendenti / utenti abbiano buone intenzioni .
Eric McCormick,

Risposte:


28

Questa non sarà una risposta tecnologica IT, ma si spera comunque utile.

Parlando da anni di esperienza, non sarai in grado di convincere il tuo capo a fare tutto diversamente. La ragione principale di questo è che egli è il capo, mentre si è solo il suo subordinato. Sei nella posizione sbagliata per spingere cambiamenti fondamentali.

Riesci a vivere con la prospettiva di un cambiamento molto graduale con un budget sempre troppo limitato e problemi risolti da una mole di lavoro anziché da una pianificazione concisa e dall'uso intelligente degli strumenti? Questa è esattamente la prospettiva che stai guardando. Il tuo capo ha gestito il suo negozio in questo modo per anni. Il business è cresciuto e prosperato, quindi la strategia ha funzionato. Chi sei tu per mettere in discussione le sue decisioni e strategie aziendali?

Se vuoi apportare modifiche a un'organizzazione, l'organizzazione deve chiederti di farlo . Qualsiasi modifica avrà un costo che deve essere considerato degno dalla direzione. È necessario il supporto del management per superare la resistenza e l'inerzia coinvolte. Se riesci a trovare un consulente che il tuo capo ascolterà, potrebbe essere una strada più promettente rispetto allo spreco del tuo (e del tuo capo) tempo ed energia per convincerlo in qualcosa che ti ha detto che non vuole fare.

Se fossi nei tuoi panni, probabilmente inizierei a cercare un nuovo lavoro.


9
Vorrei quasi prendere in considerazione la creazione di un nuovo account solo in modo da poterlo votare di nuovo (se non fosse fortemente disapprovato). Questo non è un problema IT, ma piuttosto un problema di persone. Sei stato assunto per fare un lavoro, ma non ti è stata data la libertà, gli strumenti o le risorse per farlo in modo professionale. Comincerei a cercare anche altrove.
GregL

1
+1 per il componente crossover Workplace.SE. Purtroppo questo è qualcosa che i professionisti IT devono affrontare.
tra il

18

Devi concentrarti su come li aiuta, non su ciò che "vuoi".

  • abbiamo affrontato per anni senza problemi

E non vuoi iniziare ora! Recentemente ci sono state numerose violazioni dei dati, tra cui Target , Home Depot e altro. Home Depot ha speso $ 43.000.000 per la sua violazione dei dati in un solo trimestre. L'obiettivo ha pagato $ 10.000.000 in un insediamento. Uno studio IBM ha rilevato che la violazione media dei dati costa 3,8 milioni di dollari . Essere investiti è costoso.

  • i dipendenti possono essere fidati

Ciò è evidentemente falso. Il furto dei dipendenti costa alle aziende circa $ 18 miliardi all'anno .

  • se me ne andassi, nessuno sarebbe in grado di capire come funziona

Questo è il motivo per cui userete le migliori pratiche standard invece della strana configurazione che avete adesso.

  • I costi di installazione per il nuovo hardware e le licenze sono elevati rispetto ai $ 0 ora.

I costi di installazione per il nuovo hardware e le licenze sono molto economici rispetto alle violazioni della sicurezza.

Inoltre, se "Responsabile IT" è solo una piccola parte della descrizione del tuo lavoro, potrebbe essere utile documentare che stai impiegando più tempo nell'IT quando potresti spenderlo per altre tue mansioni. Anche questo costa loro soldi.

Detto questo: temo che il wabbit sia giusto. Le persone che non ottengono l'IT e pensano che sia solo una stupida spesa per cose di cui non hanno bisogno sono piuttosto difficili da convincere. Non smetterò di dirti di ottenere un nuovo lavoro perché alcuni mesi fa c'era un thread su meta che diceva che stavamo ponendo il consiglio "trova un nuovo lavoro" su un po 'di spessore, ma non sono ottimista sul tuo azienda.

Seguirei il percorso incrementale - troverei qualcosa di relativamente facile da implementare che possa aiutare molto - e farei un caso. Puoi andare da lì.


Grazie Katherine. Capisco perfettamente il tuo punto. Forse sono un po 'troppo egoista e sto solo cercando di fare quello che "avrei" se stessi conducendo l'azienda. Detto questo, proverò a mostrare quanto i miei compiti IT costano denaro adesso. Anche se può essere difficile stimare se ciò verrà ridotto con ulteriori infrastrutture
Jeff

1
Non penso che tu sia egoista. Penso che qualsiasi amministratore di sistema voglia migliorare la propria infrastruttura. Una migliore infrastruttura funziona meglio con meno sforzi. Non è sempre facile convincerlo a gestirlo.
Katherine Villyard,

9

La risposta a "quanto sei conforme PCI" non è molto (modificata in base a un commento). I tuoi terminali CC potrebbero andare bene se le casse stesse non contengono dati.

Ora per separare l'elenco "non ne vale la pena" ...

Abbiamo affrontato per anni senza problemi

Questo può essere vero, ma il problema è la percezione. Questo sarà il tuo più grande ostacolo.

I dipendenti possono essere fidati

Beh no. Loro non possono. Per me, questo dimostra che il tuo capo è beatamente ignaro delle perdite nell'organizzazione. Moreso, questo è nel commercio al dettaglio , dove le perdite sono generalmente strettamente gestite o almeno comprese.

Se me ne andassi, nessuno sarebbe in grado di capire come funziona

Questo è completamente errato. Nessuno potrebbe entrare oggi e dare un senso a ciò che sta accadendo, perché nulla è unito a un dominio, ecc. Gli amministratori che almeno hanno una conoscenza di base di Active Directory e le strutture OU sono una dozzina di dozzine.

I costi di installazione per il nuovo hardware e le licenze sono elevati rispetto a $ 0 ora.

Dove diavolo hanno l'impressione che i suoi costi siano $ 0 ora? I costi non sono mai e poi mai zero in un'organizzazione IT. Chiaramente le cose non vengono prese in considerazione , ma ciò non significa che i costi siano pari a zero.

Se il tuo capo ha bisogno di convincere, dai loro un elenco di articoli di aziende che sono state violate nell'ultimo mese. Puoi scommettere che qualsiasi grande nome in quella lista in realtà ha funzionato per risolvere questi problemi, ma è stato comunque suddiviso.

Sembrerebbe che il capo in questa situazione sia più che felice di ignorare tutte le preoccupazioni (fiducia dei dipendenti, sicurezza, conformità, ecc.) Fintanto che il denaro continua a circolare. Professionalmente parlando, questa è una situazione traballante per tutti i organizzazione.


Penso che sia questo il problema. Il nostro sito Web è conforme allo standard PCI a causa della posizione in cui sono archiviati i dati dei clienti e di come vengono elaborate le transazioni. Non so molto sui negozi. E cercando di convincere il tuo capo quando puoi ancora farti irrompere anche affrontando i problemi e non puoi mai essere sicuro al 100%.
Jeff,

2
Vorrei sottolineare che "conforme" non significa lo stesso di "sicuro". È solo questione di tempo prima che si verifichi una violazione.
HostBits

Ok, un altro proiettile mal scritto da parte mia. Quando dico $ 0, intendo altro che il nuovo PC strano qua e là (pensa uno ogni 3 mesi circa) e la copia dispari di Office, non ci sono altri costi hardware. Ovviamente ci sono soldi nei salari che impiegano il mio tempo a configurare ogni singolo PC e quindi a risolvere i problemi delle persone.
Jeff,

1
Esattamente. Ogni PC desktop che acquisti ha una durata. La linea guida generale è di 3 anni. Per dirlo in termini che il tuo capo può comprendere, dividi il costo individuale del PC o della licenza dell'ufficio, ecc. Per 36 e c'è il tuo costo mensile.
tra il

7

Ecco i miei pensieri:

La direzione capisce molto raramente la tecnologia e il suo ruolo nel mondo degli affari. La maggior parte delle volte, il management ha idee sbagliate su cosa sia la tecnologia e su come influisce sul business. Sì, è vero che la cattiva gestione della tecnologia spesso porta a spese dispendiose, ma una corretta gestione aumenta notevolmente la produttività. I rifiuti in genere si verificano quando si hanno persone che pensano di capire che la tecnologia lo fa nel modo sbagliato o per le ragioni sbagliate.

  • abbiamo affrontato per anni senza problemi

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

  • i dipendenti possono essere fidati

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

  • se me ne andassi, nessuno sarebbe in grado di capire come funziona

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

  • I costi di installazione per il nuovo hardware e le licenze sono elevati rispetto ai $ 0 ora.

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

A questo punto, potresti pensare: "Aspetta un minuto; la maggior parte di quello che stai dicendo è a favore della posizione del mio capo sul non fare quello che sto suggerendo." Bene, hai ragione 1/2.

Sebbene, tecnicamente parlando; purché una soluzione sia standardizzata e le pratiche / politiche non siano apertamente complesse / dispendiose in termini di tempo, sostituire il personale è semplice come trovare candidati che abbiano esperienza con tali standard. Questo non è davvero un punto di discussione.

L'altro 1/2 è che devi capire il costo / beneficio di mettere in atto anche la tecnologia che desideri. Potrebbe e non potrebbe valere la spesa. Non lo saprai se non puoi dedicare del tempo a mettere insieme la tua analisi costi / benefici. Per fare ciò, devi considerare i costi (nota: questi sono solo l'inizio delle domande che dovresti porti prima di ricominciare ad avvicinare il capo):

  • quanto costa un server?
  • di quanti server ho bisogno?
  • quanto costa la licenza?
  • quante licenze ho bisogno?
  • la mia rete sarà in grado di gestire il cambio di larghezza di banda dovuto all'aumento del traffico proveniente da una rete di gestione?
  • devo cambiare la mia infrastruttura?
  • devo modificare uno dei miei sistemi end-point per soddisfare un requisito minimo indispensabile per il mio dominio?
  • so come impostare il mio dominio o devo richiedere a terzi di rilasciare una soluzione chiavi in ​​mano per me? e se sì, quanto costeranno?
  • quanti problemi esistono nell'ambiente e quanto tempo dedico a lavorarci su che potrebbero essere mitigati, sollevati o ridotti con la soluzione che sto proponendo?
  • quanti soldi vengono spesi lavorando su questioni che potrebbero essere mitigate, alleviate o ridotte con la soluzione che sto proponendo (incluso il costo del mio tempo, il costo dei tempi di fermo dei dipendenti e il costo di perdite aziendali effettive o potenziali)?

Ancora una volta, tieni presente che le domande che ho proposto sopra non sono all-inclusive. Ci sono altre domande tecniche che potrebbero essere poste, che portano ad altre domande e così via, e così via. Una volta che hai tutti quei numeri, determina quanto segue:

  • L'implementazione della tecnologia mitigherà veramente, alleggerirà o ridurrà la quantità di tempo / denaro / sforzi spesi per problemi ricorrenti?
  • L'implementazione della tecnologia compenserà negativamente i costi di coping / compiacenza?

Una volta che sei in grado di sviluppare un'analisi costi / benefici adeguata, sarai in grado di affrontare meglio il tuo datore di lavoro con una soluzione adeguata, invece di un suggerimento infondato.

Sulla base della mia esperienza, il costo dell'implementazione di un'infrastruttura di gestione centralizzata e il costo del supporto continuo di detta infrastruttura sono equivalenti al costo dell'assunzione di un altro ente per il dipartimento IT (a seconda delle dimensioni dell'ambiente); almeno, con l'implementazione di una soluzione interna. Le soluzioni Cloud e SaaS disponibili oggi possono compensare il costo dell'infrastruttura fisica e risparmiare un po 'di denaro, ma in realtà dipende dal modello di business del dipartimento o dell'azienda e dai vincoli di sicurezza.

Nota: se il costo dell'implementazione di una soluzione è più costoso dell'assunzione di una persona a tempo pieno per affrontare i problemi che la soluzione dovrebbe risolvere, è generalmente più conveniente assumere il corpo (a seconda della complessità del problema che deve essere mitigato, alleviato o ridotto).

TL; DR: trascorri un po 'di tempo in relazione al tuo capo attraverso importi in dollari invece di un alfabeto IT di fantasia. Può o meno aiutare il tuo argomento, ma qualunque cosa accada, finirai per imparare di più su come gestire la tua infrastruttura in modo più efficiente.

Infine, se la tua conclusione è che la società ha un disperato bisogno della soluzione, se la può permettere, e il tuo capo non vuole ancora fare ciò che dici per ragioni illogiche che non puoi negoziare a medio termine, è tempo di preparare le tue cose e trova un nuovo datore di lavoro. Il tipo di datore di lavoro che è OK è mediocre e non prende decisioni logiche quando viene presentato con prove non è il tipo di datore di lavoro con cui vuoi rimanere; tendono a prendere decisioni sbagliate e abbattere tutti intorno a loro.

Aggiornamento: 2015-10-11

Calcolo del costo del tempo

Scenario: un aspetto del rispetto della conformità PCI DSS richiede che i computer end-point / POS siano aggiornati con le patch (o che sia in atto un processo di gestione delle patch).

Diciamo che guadagni $ 15 / ora USD o $ 31.200 / anno USD e per assicurarti che le patch non rompano i tuoi sistemi, devi patch manualmente tutti i tuoi sistemi ogni volta che esce una nuova patch. Per semplicità, diciamo anche un'infrastruttura di gestione centralizzata (Nota: questa è solo una visione semplificata; dipende davvero da come i tuoi uffici sono interconnessi, se hai bisogno di ridondanza e se ha senso avere o meno un server in ogni ufficio o solo uno) ti costerà $ 11.000 per un server, $ 2.500 per la licenza del server e $ 2.500 per le CAL e 80 ore per impostare un dominio e unire tutti i computer al dominio; 80 ore x $ 15 / ora = $ 1.200 (più se lo esternalizzi a un fornitore locale; highball è $ 120 / ora; quindi 80 ore x $ 120 / ora = $ 9.600). La tua infrastruttura di gestione centralizzata totale potrebbe essere messo in atto per circa $ 17.200 a $ 25.600.

Patch Tuesday si verifica ogni 2 ° e 4 ° martedì di ogni mese. Se ogni martedì viene rilasciata anche 1 patch, che richiede tra 15 minuti e 30 minuti per l'installazione e il riavvio, si impiega almeno 1 ora al mese a patchare 1 computer; o 12 ore all'anno.

Stai già spendendo: 12 ore x $ 15 = $ 180 all'anno per la gestione delle patch per 1 computer. Ora, moltiplicalo per i 50 computer che hai (perché ricorda, non puoi lasciare che i sistemi si patch automaticamente, perché non sai se le patch interromperanno le app che hai attualmente installato). Questo significa che stai spendendo più vicino a $ 180 / anno x 50 computer = $ 9.000 per la gestione delle patch. Questo è il 28,85% del tuo salario e ...

  • 15 minuti x 50 computer = 750 minuti o 12,5 ore o 1,56 giorni minimo
  • 30 minuti x 50 computer = 1.500 minuti o 25 ore o 3,13 giorni al massimo

speso in un compito umile che può essere gestito da un'infrastruttura di gestione centralizzata; il test di una patch è ora semplificato, solo in base al numero di "immagini" che hai, dove "immagine" è una copia di base del sistema operativo e delle app utilizzate da un gruppo di sistemi. A questo punto, stai spendendo solo 15-30 minuti per immagine, invece di 1,56-3,13 giorni. Ciò non include il tempo di viaggio, se necessario, né lo spreco / in attesa che le persone scendano dal computer in modo da poter svolgere il proprio lavoro.

Aspetta, $ 9.000 non sembrano giustificare la mia richiesta. Forse, ma hai preso in considerazione l'idea di centralizzare la tua soluzione di sicurezza end-point (antivirus, antimalware, ecc ...)? Oh ragazzo! Sono altri $ 9.000 se si considera che gli aggiornamenti degli endpoint avvengono ogni settimana! Inoltre, essere in grado di identificare quali sistemi sono infettati da virus e individuare il computer E la persona è una vittoria ENORME; ora sai quali gruppi di persone devi educare sulla consapevolezza della sicurezza delle informazioni.

Aspettare! Stai dicendo che non è ancora abbastanza? Oh? Che ne dici di essere ora in grado di implementare Criteri di gruppo per impedire alle persone di fare cose che non dovrebbero? Deve valere un bel soldo nella prevenzione del rischio. Oh amico, stai dicendo che non è ancora abbastanza? E se ti dicessi che ora puoi visualizzare / formattare in remoto e reinstallare un sistema senza dover uscire dall'ufficio !? Oh ragazzo! Non varrebbe la pena qualcosa? Sono 2-4 ore per sistema che stai salvando; potenzialmente 100-200 ore per periodo di aggiornamento.

Quindi, cosa intendo con le mie informazioni generiche dall'alto? Bene, potenzialmente, potresti risparmiare almeno $ 18.000 implementando un sistema di gestione centralizzato (Windows AD). Questo è più di 1/2 dello stipendio di un ragazzo IT che guadagna $ 15 / ora. $ 18.000 sono più del costo della soluzione (beh, la mia soluzione di base; dovrai capire i tuoi numeri reali), il che significa che la soluzione si ripagherà da sola nel tempo; tecnicamente, entro 12 mesi dall'implementazione.

Questi numeri non tengono conto di tutti i progetti che potrebbero richiedere una infrastruttura di gestione centralizzata all'inizio. Per ogni progetto per il quale avresti avuto bisogno di un Active Directory, ora è 50 volte più che mai speso per implementarlo su un sistema volte il tuo salario orario in risparmi.

Inoltre, ciò non tiene conto della capacità di implementare ora l'autenticazione dell'utente corretta, l'invecchiamento della password, i requisiti di complessità della password e una serie di altre pratiche e politiche di gestione dei rischi che potrebbero potenzialmente risparmiare all'azienda un sacco di soldi in caso di violazione / intrusione o compromesso.

Oh, a proposito, puoi sempre applicare anche requisiti di conformità alle persone. Solo per buona misura. Non è possibile che la tua azienda sia conforme a PCI se le persone condividono password.

Hai avuto l'idea adesso? Ora, arriva.


1
Grazie CIA, molto dettagliata e mi ha fatto davvero pensare. Mi piace la mia compagnia, quindi non credo che l'ultima parte sarà applicabile. Cercherò di creare un'analisi costi / benefici su questo, sebbene sulla base di ciò che sta accadendo ora, dubito che ci sia effettivamente un vantaggio in termini di costi di un dominio diverso da una visione forse egoistica di semplificare la gestione per me. Trovo preoccupante che un'azienda con 50 PC e le dimensioni che stiamo eseguendo sia in un gruppo di lavoro con pochissime password o sicurezza di rete.
Jeff,

Può sembrare egoistico, ma può essere giustificato. Vedi il mio aggiornamento sopra.
CIA,

1

Dici che uno dei tuoi lavori è "capo dell'IT", ma il tuo capo governa le decisioni IT. Chiedi a te stesso e al tuo capo in che modo sei veramente "capo dell'IT"? Dovrebbe darti un budget IT e lasciarti decidere come spenderlo. Se non sta facendo quella delega non sei il capo di nulla.

Dato che è solo uno dei tuoi ruoli, considera di abbandonarlo, affidandone la responsabilità al tuo capo. Se insiste affinché tu sia responsabile, ma non ti dia il budget o gli strumenti per svolgere il tuo lavoro, lascia e (se vivi in ​​una giurisdizione civile) portalo in un tribunale del lavoro per licenziamento costruttivo.

In breve, questa non è davvero una domanda IT, è una domanda di gestione.


1

Qualcosa che ho capito di più negli ultimi anni è che gli umani sono fondamentalmente creature irrazionali. Una volta che prendiamo una decisione in un'area, ci affezioniamo emotivamente ad essa e raramente siamo persuasi altrimenti da fatti o dati. Non puoi discutere o dimostrare al tuo capo una posizione migliore.

Con questo in mente, la tua migliore strategia è mostrare al tuo capo come attrezzature e pratiche migliori possono migliorare i suoi profitti riducendo i costi o aumentando le entrate e l'efficienza altrove. È troppo tardi per giocare la carta di mitigazione del rischio.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.