Ось мої думки:
Керівництво дуже рідко розуміє технологію та її місце в бізнесі. У більшості випадків керівництво має помилкові уявлення про те, що таке технологія та як вона впливає на бізнес. Так, це правда, що неправильне управління технологією часто призводить до марних витрат, але правильне управління значно підвищує продуктивність. Відходи зазвичай трапляються, коли у вас є люди, які думають, що вони розуміють, що технології роблять це неправильно або з неправильних причин.
- ми без проблем справлялися роками
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
- працівникам можна довіряти
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- якби я пішов, то ніхто не зміг би зрозуміти, як це працює
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- Витрати на налаштування нового обладнання та ліцензування високі порівняно з 0 доларами зараз.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
У цей момент ви можете подумати: "Почекайте хвилинку; більшість того, що ви говорите, підтримує позицію мого начальника щодо того, щоб не робити те, що я пропоную". Що ж, ти маєш 1/2 права.
Хоча, технічно кажучи; до тих пір, поки рішення не буде стандартизовано і практика / політика не є надмірно складними / трудомісткими, заміна персоналу така ж проста, як і пошук кандидатів, які мають досвід роботи з цими стандартами. Це насправді не сперечається.
Інша половина полягає в тому, що вам потрібно зрозуміти вартість / вигоду від встановлення потрібної вам технології. На це можна було і не варто. Ви не знатимете, якщо не зможете витратити час на складання власного аналізу витрат / вигод. Для цього вам потрібно врахувати витрати (зверніть увагу: це лише початок питань, які ви повинні задати собі, перш ніж знову донести свій підхід до начальника):
- скільки коштує сервер?
- скільки серверів мені потрібно?
- скільки коштує ліцензування?
- скільки ліцензій мені потрібно?
- чи зможе моя мережа впоратися зі зміною пропускної здатності через збільшення трафіку від мережі управління?
- мені потрібно змінити інфраструктуру?
- чи потрібно мені змінити будь-яку з моїх кінцевих систем, щоб відповідати мінімальній вимозі для мого домену?
- чи знаю я, як налаштувати власний домен чи мені потрібно залучити третьої сторони, щоб відмовитись від мене під ключ? і якщо так, то скільки вони коштуватимуть?
- скільки питань існує в навколишньому середовищі і скільки часу я витрачаю на роботу над ними, які можна було б пом'якшити, полегшити або зменшити за рішенням, який я пропоную?
- скільки грошей витрачається на роботу над питаннями, які можна пом'якшити, полегшити або зменшити за допомогою запропонованого нами рішення (включаючи вартість мого часу, вартість простою працівників та вартість фактичної чи потенційної втрати бізнесу)?
Ще раз майте на увазі, що питання, які я запропонував вище, не є всебічними. Є більше технічних питань, які можна задати, які призводять до інших питань і так далі, і так далі. Коли ви отримаєте всі ці цифри, визначте наступне:
- Чи справді впровадження технології пом'якшить, полегшить або зменшить час / гроші / зусилля, витрачені на повторювані проблемні питання?
- Чи буде впровадження технології негативно компенсувати витрати на подолання / поступливість?
Як тільки ви зможете розробити належний аналіз витрат / вигод, ви зможете краще звернутися до свого роботодавця з правильним рішенням, на відміну від необґрунтованої пропозиції.
Виходячи з мого досвіду, вартість впровадження інфраструктури централізованого управління та витрати на постійну підтримку зазначеної інфраструктури еквівалентні витратам на найм іншого органу для ІТ-департаменту (залежно від розміру середовища); принаймні, із впровадженням внутрішнього рішення. Доступні сьогодні рішення Cloud та SaaS можуть компенсувати витрати на фізичну інфраструктуру та заощадити гроші, але це дійсно залежить від бізнес-моделі відділу чи компанії та обмежень безпеки.
Примітка: якщо вартість впровадження рішення дорожча, ніж наймати штатну особу для вирішення питань, які має вирішити рішення, як правило, найвищою є економічна працевлаштування органу (залежно від складності питання, що потребує бути пом'якшеним, полегшеним або зменшеним).
TL; DR: витратьте деякий час, пов’язаний із вашим начальником, хоч суми в доларах на відміну від фантазійного алфавіту ІТ. Це може чи не допоможе вашому аргументу, але що б не трапилося, ви дізнаєтесь більше про те, як ефективніше керувати своєю інфраструктурою.
Нарешті, якщо ваш висновок полягає в тому, що компанія відчайдушно потребує рішення, може собі це дозволити, а ваш начальник все ще не хоче робити те, що ви говорите, з нелогічних причин, ви не можете домовитись про розумну середину, саме час упакувати свої речі і знайти нового роботодавця. Вид роботодавців, які в порядку є посередніми і не приймають логічних рішень, коли їх представляють, не є типом роботодавців, яких ви хочете дотримуватися; вони, як правило, приймають погані рішення і знімають усіх навколо себе.
Оновлення: 2015-10-11
Розрахунок вартості часу
Сценарій: Один з аспектів дотримання вимог відповідності PCI DSS вимагає, щоб комп'ютери кінцевих точок / POS були оновлені з патчами (або було встановлено процес управління патчем).
Скажімо, ви робите $ 15 / год USD або $ 31,200 / рік, і щоб переконатися, що патчі не зламають ваші системи, вам потрібно вручну латати всі ваші системи кожного разу, коли з'явиться новий патч. Для простоти скажімо також централізовану інфраструктуру управління (Примітка. Це просто спрощене уявлення; це насправді залежить від того, яким чином ваші офіси пов'язані між собою, чи потребуєте ви резервування, і чи має сенс мати сервер у кожному офісі або лише один) коштуватиме вам 11000 доларів за сервер, 2500 доларів за ліцензію на сервер та 2500 доларів за ліцензії на клієнтські ліцензії та 80 годин для налаштування домену та приєднання всіх комп’ютерів до домену; 80 годин х 15 доларів / год = 1200 доларів (більше, якщо ви передаєте їх на місцевого постачальника; хайбол - 120 доларів на годину; так 80 годин х 120 доларів / год = 9 600 доларів). Ваша загальна централізована інфраструктура управління могла б розмістити приблизно за 17 200 до 25 600 доларів.
Патч-вівторок відбувається кожного 2-го та 4-го вівторків кожного місяця. Якщо кожен патч-вівторок випускається навіть 1 патч, для встановлення та перезавантаження потрібно десь 15-15-30 хвилин, ви витрачаєте щомісяця щонайменше 1 годину на виправлення 1 комп’ютера; або 12 годин на рік.
Ви вже витрачаєте: 12 годин х 15 доларів = 180 доларів на рік на управління патчем для 1 комп’ютера. Тепер помножте це на 50 комп’ютерів, які у вас є (тому що пам’ятайте, ви не можете дозволити системам автоматично виправлятись, оскільки ви не знаєте, чи не виламуть патчі будь-які додатки, які ви встановили на даний момент). Це означає, що ви витрачаєте ближче до $ 180 / рік x 50 комп'ютерів = 9000 доларів на управління патчем. Це 28,85% вашої заробітної плати і ...
- 15 хв 50 комп'ютерів = 750 хв або 12,5 годин або мінімум 1,56 дня
- 30 хв 50 комп’ютерів = 1 500 хв або 25 год або 3,13 дня максимум
витрачено на найголовніше завдання, яке може управляти централізованою інфраструктурою управління; тестування виправлень тепер спрощено, лише виходячи з кількості наявних у вас зображень, де "зображення" є базовою копією ОС та додатків, якими користується група систем. На даний момент ви витрачаєте лише 15-30 хв на зображення, на відміну від 1,56-3,13 днів. Це не включає час подорожі, якщо цього потрібно, а також не включає впустування / очікування, коли люди вийдуть з комп'ютера, щоб ви могли виконувати свою роботу.
Зачекайте, 9000 доларів не здається, що це виправдає мій запит. Можливо, але ви думали про централізацію рішення щодо захисту кінцевих точок (антивірус, анти-шкідливе програмне забезпечення тощо)? О, малюк! Це ще $ 9000, якщо ви вважаєте, що оновлення в кінцевій точці відбуваються щотижня! Крім того, можливість визначити, які системи заражені вірусами, і вказувати на комп'ютер та людину - це ОГРОМНА перемога; тепер ви знаєте, яких груп людей вам потрібно просвітити щодо інформаційної безпеки.
Зачекайте! Ти кажеш, що все одно недостатньо? Ой? Як щодо того, щоб тепер мати можливість реалізовувати групову політику, щоб запобігти людям робити те, чого вони не повинні? Це повинно коштувати досить копійки в запобіганні ризику. О людино, ти кажеш, що ще недостатньо? Що робити, якщо я сказав вам, що тепер ви можете віддалено зображення / форматування та перевстановити систему, не виходячи з офісу !? О, малюк! Хіба це не вартувало чогось? Це 2–4 години на систему, яку ви економите; потенційно 100-200 годин за період оновлення.
Отже, що я маю на увазі зі своєю загальною інформацією згори? Ну, потенційно, ви могли б заощадити мінімум 18 000 доларів, впровадивши централізовану систему управління (Windows AD). Це понад 1/2 зарплати ІТ-хлопця, який складає 15 доларів / год. $ 18 000 - це більше, ніж вартість рішення (ну, моє основне рішення; вам потрібно буде з'ясувати власні фактичні цифри), а це означає, що рішення окупить себе з часом; технічно протягом 12 місяців після впровадження.
Ці цифри не враховують жодних проектів, для яких може знадобитися створення централізованої інфраструктури управління. Для кожного проекту, який рухався вперед, для якого вам потрібен Active Directory, тепер у 50 разів більше, ніж багато-багато часу ви витратили-реалізуєте-реалізуєте-на-одну, в системі, ніж у вашу заробітну плату за годину.
Це також не враховує можливості тепер впровадити належну автентифікацію користувача, старіння пароля, вимоги щодо складності пароля, а також низку інших практик та політик щодо управління ризиками, які потенційно могли б заощадити компанії багато грошей у разі порушення / вторгнення або йти на компроміс.
О, до речі, ви завжди можете кидати вимоги відповідності і людям. Просто на добру міру. Ні в якому разі ваша компанія не сумісна з PCI, якщо люди діляться паролями.
Зробити ідею зараз? Тепер, перейдіть до цього.