Вот мои мысли:
Менеджмент очень редко понимает технологию и ее место в бизнесе. В большинстве случаев у руководства возникают неправильные представления о том, что такое технология и как она влияет на бизнес. Да, это правда, что неправильное управление технологиями часто приводит к расточительным расходам, но правильное управление значительно повышает производительность. Обычно отходы случаются, когда люди, которые думают, что понимают технологии, делают это неправильно или по неправильным причинам.
- мы годами справились без проблем
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
- сотрудникам можно доверять
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- если я уйду, то никто не сможет понять, как это работает
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- Затраты на установку нового оборудования и лицензирование высоки по сравнению с $ 0 сейчас.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
В этот момент вы можете подумать: «Подождите минутку; большинство из того, что вы говорите, поддерживает позицию моего босса о том, что я не делаю то, что я предлагаю». Ну, ты наполовину прав.
Хотя, технически говоря; до тех пор, пока решение стандартизировано и практика / политика не являются чрезмерно сложными / трудоемкими, замена персонала так же проста, как и поиск кандидатов, имеющих опыт работы с этими стандартами. Это действительно не спорный момент.
Другая половина заключается в том, что вам необходимо понимать цену / выгоду от внедрения нужной вам технологии. Это могло и не могло стоить затрат. Вы не узнаете, если не потратите время на составление собственного анализа затрат / выгод. Для этого вам необходимо учесть затраты (обратите внимание: это только начало вопросов, которые вы должны задать себе, прежде чем снова довести свой подход к своему боссу):
- сколько стоит сервер?
- сколько серверов мне нужно?
- сколько стоит лицензирование?
- сколько лицензий мне нужно?
- моя сеть сможет обрабатывать изменения пропускной способности из-за увеличения трафика из сети управления?
- мне нужно изменить свою инфраструктуру?
- мне нужно изменить какую-либо из моих оконечных систем, чтобы соответствовать минимальным требованиям для моего домена?
- я знаю, как настроить свой собственный домен, или мне нужно привлечь стороннего разработчика для сдачи решения под ключ? и если так, сколько они будут стоить?
- сколько проблем существует в среде и сколько времени я трачу на работу над ними, которые можно было бы смягчить, уменьшить или уменьшить с помощью предлагаемого мной решения?
- сколько денег тратится на работу над проблемами, которые могут быть смягчены, уменьшены или уменьшены с помощью предлагаемого мною решения (включая стоимость моего времени, стоимость простоя сотрудника и стоимость фактической или потенциальной потери бизнеса)?
Опять же, имейте в виду, что вопросы, которые я предложил выше, не являются всеобъемлющими. Есть больше технических вопросов, которые можно задать, которые приводят к другим вопросам и так далее, и так далее. Когда у вас есть все эти числа, определите следующее:
- Будет ли внедрение технологии действительно уменьшать, уменьшать или уменьшать количество времени / денег / усилий, затрачиваемых на повторяющиеся проблемные вопросы?
- Будет ли внедрение технологии негативно влиять на стоимость преодоления / самоуспокоенности?
Как только вы сможете разработать надлежащий анализ затрат / выгод, вы сможете лучше обратиться к своему работодателю с правильным решением, а не безосновательным предложением.
Исходя из моего опыта, стоимость внедрения инфраструктуры централизованного управления и стоимость постоянной поддержки этой инфраструктуры эквивалентна стоимости найма другого органа для ИТ-отдела (в зависимости от размера среды); по крайней мере, с внедрением внутреннего решения. Доступные сегодня облачные и SaaS-решения могут компенсировать стоимость физической инфраструктуры и сэкономить немного денег, но на самом деле это зависит от бизнес-модели департамента или компании и ограничений безопасности.
Примечание: если стоимость внедрения решения обходится дороже, чем нанимать штатного сотрудника для решения проблем, которые должно решить решение, как правило, более выгодно нанимать тело (в зависимости от сложности проблемы, требующей решения). быть смягченным, уменьшенным или уменьшенным).
TL; DR: потратьте некоторое время на отношения с вашим боссом, хотя в долларах это не так, как на фантастический алфавит ИТ. Это может или не может помочь вашему аргументу, но что бы ни случилось, вы в конечном итоге узнаете больше о том, как более эффективно управлять своей инфраструктурой.
И наконец, если вы пришли к выводу, что компании крайне необходимо решение, она может себе это позволить, а ваш начальник по-прежнему не хочет делать то, что вы говорите, по нелогичным причинам, по которым вы не можете договориться о разумном промежуточном положении, пора собирать вещи и найти нового работодателя. Тип работодателей, которые в порядке, будучи посредственными и не принимают логических решений при представлении доказательств, не относится к типу работодателей, которых вы хотите придерживаться; они склонны принимать плохие решения и подавлять всех вокруг.
Обновление: 2015-10-11
Расчет стоимости времени
Сценарий. Один из аспектов соответствия PCI DSS требует, чтобы ваши компьютеры конечных точек / POS были обновлены с исправлениями (или имелся процесс управления исправлениями).
Допустим, вы зарабатываете 15 долларов США в час или 31 200 долларов США в год, и чтобы убедиться, что исправления не сломают ваши системы, вы должны вручную исправлять все свои системы каждый раз, когда выходит новое исправление. Для простоты, скажем, также централизованная инфраструктура управления (Примечание: это просто упрощенное представление; оно действительно зависит от того, как ваши офисы взаимосвязаны, нужна ли вам избыточность, и имеет ли смысл иметь сервер в каждом офисе или только один) обойдется вам в 11000 долларов за сервер, 2500 долларов за серверную лицензию и 2500 долларов за клиентские лицензии и 80 часов на настройку домена и присоединение всех компьютеров к домену; 80 часов x 15 долларов США / час = 1200 долларов США (больше, если вы передаете его на аутсорсинг местному поставщику; хайбол составляет 120 долларов США в час; таким образом, 80 часов x 120 долларов США / час = 9600 долларов США). Ваша общая централизованная инфраструктура управления может быть на месте примерно от 17 200 до 25 600 долларов.
Патч вторник происходит каждый 2-й и 4-й вторник каждого месяца. Если каждый вторник выпускает хотя бы один патч, для установки и перезагрузки которого требуется от 15 минут до 30 минут, вы тратите не менее 1 часа каждый месяц на исправление 1 компьютера; или 12 часов в год.
Уже сейчас вы тратите: 12 часов x 15 = 180 долларов в год на управление исправлениями для 1 компьютера. Теперь умножьте это на 50 компьютеров, которые у вас есть (потому что помните, что вы не можете позволить системам автоматически устанавливать исправления, потому что вы не знаете, будут ли исправления нарушать какие-либо приложения, которые вы установили в настоящее время). Это означает, что вы тратите ближе к $ 180 / год x 50 компьютеров = $ 9000 на управление исправлениями. Это 28,85% вашей зарплаты и ...
- 15 минут x 50 компьютеров = 750 минут или 12,5 часов или 1,56 дня минимум
- 30 минут x 50 компьютеров = 1500 минут или 25 часов или максимум 3,13 дня
потрачены на выполнение черных задач, которыми может управлять централизованная инфраструктура управления; тестирование патчей теперь упрощено, только на основе количества имеющихся у вас «образов», где «образ» - это базовая копия ОС и приложений, используемых группой систем. На данный момент вы тратите только 15-30 минут на изображение, а не 1,56-3,13 дня. Это не включает время в пути, если это требуется, и не включает в себя трату / ожидание, когда люди выходят из компьютера, чтобы вы могли выполнять свою работу.
Подожди, 9000 долларов не оправдывают мою просьбу. Возможно, но рассматривали ли вы вопрос о централизации своего решения для обеспечения безопасности конечных точек (антивирус, антивирус и т. Д.)? О, парень! Это еще $ 9 000, если учесть, что обновления конечных точек происходят каждую неделю! Кроме того, возможность определить, какие системы заражены вирусами и точно определить компьютер и человека, - ОГРОМНАЯ победа; теперь вы знаете, какие группы людей вам необходимо обучать вопросам информационной безопасности.
Подождите! Ты говоришь, что этого все еще недостаточно? Ой? Как насчет того, чтобы теперь иметь возможность реализовывать групповую политику, чтобы люди не могли делать то, что им не следует делать? Это должно стоить довольно копейки в предотвращении риска. О, чувак, ты говоришь, что этого все еще недостаточно? Что если я скажу вам, что теперь вы можете удаленно создавать образы / форматировать и переустанавливать систему, не покидая офиса !? О, парень! Разве это не стоило бы чего-то? Это 2-4 часа на систему, которую вы экономите; потенциально 100-200 часов за период обновления.
Итак, что я подразумеваю под моей общей информацией сверху? Что ж, потенциально вы могли бы сэкономить минимум 18 000 долларов, внедрив централизованную систему управления (Windows AD). Это больше, чем половина зарплаты айтишника, составляющего 15 долларов в час. 18 000 долл. США - это больше, чем стоимость решения (ну, мое основное решение; вам нужно будет определить свои собственные фактические цифры), что означает, что решение окупит себя со временем; технически, в течение 12 месяцев после внедрения.
Эти цифры не учитывают какие-либо проекты, для начала которых может потребоваться наличие централизованной инфраструктуры управления. Для каждого проекта, для которого вам нужен Active Directory, теперь в 50 раз больше, чем вы потратили на внедрение системы в одной системе, вашей почасовой заработной платы в виде экономии.
Это также не учитывает возможность реализации надлежащей аутентификации пользователя, устаревания пароля, требований к сложности пароля и множества других методов и политик управления рисками, которые потенциально могут сэкономить компании много денег в случае нарушения / вторжения. или компромисс.
О, кстати, вы всегда можете бросить требования соблюдения и на людей тоже. Просто для хорошей меры. Ваша компания не будет соответствовать требованиям PCI, если люди обмениваются паролями.
Получите идею сейчас? Теперь доберитесь до этого.