我如何说服我的公司投资IT领域,安全等?

我为一家拥有六家高档商店和一家网站的中小型零售商工作。

IT情况目前处于非常基本的状态。 作为“IT主pipe”只是我职位描述中的一小部分,而最后一个名单上我没有能够尽我所能地投入太多时间。

我们的networking上有大约50台计算机和14台Windows(总部30个,外部商店20个,仓库和笔记本电脑)。 这全部build立在工作组networking上,所有站点通过非常基本的路由器级别的VPN设置连接在一起,每个商店都有子网。

因此,我无法pipe理任何东西,检查计算机是否安全,是否进行审计,确保安装更新,为访客设备pipe理Wi-Fi或查看任何内容。

我真的很喜欢一个名,但在告诉我的老板之后,他说这不值得:

  • 我们已经应付了一个没有问题的工作组多年
  • 员工可以信任
  • 如果我离开或者有什么东西坏了,那么没有人能够理解它是如何工作的
  • 新域名的硬件和授权的安装成本非常高。 (我们目前只是购买预制的OEM Windows PC,然后是零售店的零售许可证)
  • 由于域是集中pipe理的,如果发生重大问题,可能会阻止所有计算机的运行。 (不像一个工作组,如果只有一台电脑死了,那么其他一切都很好,不会影响其他人的工作。)

我不知道如何强调安全方面有多严重,我们没有任何领域。 任何人都可以访问内容,如果他们连接到我们的Wi-Fi,任何人都可以从任何PC访问内容,因为用户没有安装密码,共享文件夹可以被任何人看到,并删除没有日志显示或备份。 我不确定我们是如何遵守PCI的,或者我们是否符合审计师的要求。 我被告知忽略这一点,不用担心。

作为“内部IT基础设施负责人”是在我的工作描述上,如果我们遇到数据泄露或法律诉讼违背我们,我也不想被追究责任。

我怎么能表明事情需要改变,我的时间和额外的钱需要花费在这个? 对于我们这样规模的公司,可能需要一个全职的networkingpipe理员。 或者,我是否过度了自己的想法,对自己真正想要的东西非常自私,一个工作组会很好?

更新:这听起来像我也许保留在后燃烧器域的想法,只是尝试一些小的东西。 例如,确保更新,病毒扫描和防火墙处于打开状态,确保在个人电脑上启用密码,在每台计算机上启用备份,在服务器上进行实体locking。我不确定如何处理networking文件共享和Wi -Fi,但这是另一个问题!

这不是一个IT技术的答案,但希望有用的。

从多年的经验来看,你将无法说服你的老板做一切事情 。 主要原因是是老板,而你只是他的下属。 你在推动根本性改变方面处于错误的位置。

你是否可以忍受预算总是过于紧张的变化,以及如何用大量的劳动来解决问题,而不是简明的计划和巧妙的使用工具? 这正是你正在看的前景。 你的老板多年来一直以这种方式经营他的店铺。 业务发展壮大,战略得以实现。 你是谁来质疑他的商业决策和策略?

如果你想给组织带来改变,组织必须要求你去做 。 任何改变都会以pipe理层认为值得的价格出现。 您需要pipe理层的支持来克服所涉及的阻力和惯性。 如果你能find一位你的老板会听的顾问,这可能是一个更有前途的途径,而不是浪费你(和你的老板)的时间和精力来说服他,他告诉你他不想做的事情。

如果我在你的鞋子里,我可能会开始寻找新的工作。

你需要把重点放在如何帮助他们,而不是你想要什么。

  • 我们已经应付了多年没有问题

而你现在不想开始! 最近出现了一些数据泄露事件,包括Target , Home Depot等等。 家得宝仅在四分之一的时间里就斥资4300万美元用于数据泄露事件。 目标支付$ 10,000,000结算。 IBM的一项研究发现,平均数据泄露成本为380万美元 。 获得pwned是昂贵的。

  • 员工可以信任

这显然是错误的。 员工盗窃每年要花费180亿美元 。

  • 如果我离开,那么没有人能够理解它是如何工作的

这就是为什么你要使用标准的,最佳的做法,而不是你现在有奇怪的设置。

  • 与现在的$ 0相比,新硬件和许可的安装成本很高。

与安全漏洞相比,新硬件和许可证的安装成本便宜得多。

另外,如果“IT主pipe”只是您工作描述的一小部分,那么可能会有助于您logging下在IT上花费更多时间,以便将其用于其他职责上。 那也是花钱的

所有这一切说:我担心这个wabbit是对的。 那些没有得到IT的人认为这对他们不需要的东西来说只是一个愚蠢的代价,很难说服。 我几乎不会告诉你找份新工作,因为几个月前有一个关于meta的post,说我们有点厚,但是我对你的工作并不乐观公司。

我会走增量路线 – find一些相对容易实施,这将有助于很多 – 并为此做一个案例。 你可以从那里去。

“如何符合PCI”的答案是不是非常(基于评论编辑)。 如果收银台本身不包含任何数据,您的CCterminal可能没问题。

现在挑选“不值得”的名单…

我们已经应付了多年,没有问题

这很可能是真的,但问题是感知。 这将是你最大的障碍。

员工可以信任

那么,不。 他们不可以。 对我来说,这说明你的老板对组织中的损失非常无知。 此外,这是零售业 ,亏损通常是严格pipe理的,至less可以理解。

如果我离开了,那么没有人能够理解它是如何工作的

这是完全错误的。 今天没有人能够进入,理解到底发生了什么事情,因为没有任何东西join到域中等。至less对Active Directory和OU结构有基本的了解的pipe理员是十几个。

新硬件和许可的安装成本比现在的$ 0高。

他们到底在哪里得到他现在的成本是$ 0的印象? 在IT组织中,成本永远不会是零。 显然事情没有被解释 ,但这并不意味着成本是零。

如果你的老板需要说服力,给他们上个月被违反的公司的文章清单。 你可以打赌,这个名单上的任何大牌实际上都是为了解决这些问题而努力工作的,但是还是陷入了困境。

看起来这种情况下的老板,只要资金不断滚滚,就会乐于掩饰所有的顾虑(相信员工,安全,合规等)。从专业的angular度来说,这对于所有人组织。

这是我的想法:

pipe理人员很less了解技术及其在商业中的地位。 大多数时候,pipe理层对于技术是什么以及它如何影响业务都存在误解。 是的,技术pipe理不善往往会导致浪费,但适当的pipe理可以大大提高生产力。 当有人认为自己理解技术错误或错误原因时,通常会发生废品。

  • 我们已经应付了多年没有问题

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

  • 员工可以信任

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

  • 如果我离开,那么没有人能够理解它是如何工作的

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

  • 与现在的$ 0相比,新硬件和许可的安装成本很高。

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

在这一点上,你可能会想:“等一下,你说的大部分都是赞成老板的立场,而不是做我的build议。 那么,你是对的。

虽然从技术上讲, 只要一个解决scheme是标准化的,而且这个实践/政策不是非常复杂/耗时的,那么replace员工就像find那些具有这些标准经验的候选人一样简单。 这实在不是一个争论点。

另一半是你需要了解把你想要的技术放在哪里的成本/收益。 它可以,也不值得花费。 除非你花时间把自己的成本/收益分析放在一起,否则你不会知道。 要做到这一点,你需要考虑成本(注意:这些只是在你将自己的方法带回老板之前你应该问自己的问题的开始):

  • 多less钱一台服务器?
  • 我需要多less个服务器?
  • 许可证有多less?
  • 我需要多less许可证?
  • 我的networking是否能够处理由于pipe理networkingstream量增加而导致的带宽变化?
  • 我需要改变我的基础设施吗?
  • 是否需要更改我的任何terminal系统以满足我的域名的最低要求?
  • 我知道如何build立自己的域名,还是需要引入第三方来为我提供一个交钥匙解决scheme? 如果是的话,他们要花多less钱?
  • 环境中存在多less问题,以及我花了多less时间在他们上面工作,可以通过我提出的解决scheme来减轻,缓解或减less这些问题?
  • 用我提出的解决scheme(包括我的时间成本,员工停机时间成本,实际或潜在的商业损失成本)来解决可以减轻,减轻或减less的问题,花费了多less钱?

再次请记住,我上面提出的问题并不是全面的。 还有更多的技术问题可以被问到,这导致了其他问题等等。 一旦你有所有这些数字,确定如下:

  • 实施该技术是否真正减轻,减轻或减less花费在经常出现的问题上的时间/金钱/精力?
  • 实施该技术会不利于抵消应付/自满的成本?

一旦您能够开发出适当的成本/收益分析,您将能够更好地向您的雇主提供适当的解决scheme,而不是没有根据的build议。

根据我的经验,实施集中pipe理基础设施的成本和继续支持这些基础设施的成本相当于为IT部门聘用另一个机构(取决于环境的规模)的成本; 至less,实施内部解决scheme。 今天提供的云和SaaS解决scheme可能会抵消物理基础设施的成本,并节省一些资金,但这取决于部门或公司的业务模式和安全限制。

注意:如果实施解决scheme的成本比雇用专职人员处理解决scheme应该解决的问题要昂贵,那么聘用人员通常更具成本效益(取决于需要解决的问题的复杂性减轻,减轻或减轻)。

TL; DR:花费一些时间与你的老板相关,而不是花哨的IT字母。 它可能会也可能不会帮助你的论点,但无论发生什么,你最终都会更多地学习如何更有效地pipe理你的基础设施。

最后,如果你的结论是公司迫切需要解决scheme,能够负担得起,而你的老板仍然不愿意为了不合逻辑的理由而做出你所说的话,那么你就不能谈判合理的中间立场,现在是时候收拾东西了并find一个新的雇主。 那些可以说是平庸的,在提供证据时不会做出合乎逻辑的决定的雇主不是那种你想坚持的雇主; 他们倾向于做出不好的决定,并把周围的人都带走。

更新:2015-10-11

计算时间成本

情景:满足PCI DSS合规性的一个方面是要求您的terminal/ POS计算机具有最新的补丁(或具有补丁pipe理stream程)。

比方说,你花15美元/小时美元或者31200美元/年美元,为了确保补丁不会破坏你的系统,每当有新的补丁出现时,你必须手动补丁你所有的系统。 为了简单起见,我们还要说一个集中的pipe理基础设施(注意:这只是一个简化的视图;这取决于你的办公室如何相互连接,是否需要冗余,每个办公室是否有服务器是否合理或者只有一个)将花费$ 11,000为服务器,$ 2,500服务器许可和$ 2,500为CAL和80个小时设置一个域并且join所有计算机到域; 80小时x15美元/小时= 1200美元(如果你把它外包给当地的供应商,高球是120美元/小时,80小时x 120美元/小时= 9,600美元)。 您的总中央pipe理基础设施可以落实到17,200美元到25,600美元左右。

星期二发生每个月的第二个星期二和第四个星期二。 如果每个星期二都有一个补丁发布,那么需要15分钟到30分钟之间的任何时间来安装和重新启动,每个月至less要花费1个小时来修补1台计算机。 或每年12小时。

你已经花了12小时x $ 15 = 180美元每年补丁pipe理1台计算机。 现在,你有50台计算机的多个(因为记住,你不能让系统自动补丁,因为你不知道补丁是否会打破你目前安装的任何应用程序)。 这意味着你的补丁pipe理费用接近180美元/年x 50台电脑= 9000美元。 这是你工资的28.85%

  • 15分钟×50台电脑= 750分钟或12.5小时或1.56天以上
  • 30分钟×50台电脑= 1,500分钟或25小时或最多3.13天

花在一个可以由集中pipe理基础设施pipe理的低劣任务上; testing补丁程序现在已经简化了,仅基于您拥有的“图像”数量,其中“图像”是一组系统使用的操作系统和应用程序的基本副本。 在这一点上,你只花费15-30分钟,而不是1.56-3.13天。 这不包括旅行时间,如果这是必要的,也不包括浪费/等待人下车,所以你可以做你的工作。

等等,9000美元似乎不会certificate我的要求。 也许,但你有没有考虑集中你的端点安全解决scheme(防病毒,反恶意软件等)? 好家伙! 如果您考虑每周都会有terminal更新,那还有9,000美元! 此外,能够识别哪些系统感染了病毒,并指出计算机和人是一个巨大的胜利; 现在你知道哪些人需要对信息安全意识进行教育。

等待! 你说这还不够? 哦? 现在如何实施集体政策,防止人们做不该做的事情呢? 这在风险防范上应该是值得的。 哦,你说这还不够? 如果我告诉你,现在可以远程镜像/格式化和重新安装系统,而无需离开办公室! 好家伙! 这不值得吗? 每个系统要保存2-4小时, 每个更新周期可能有100-200小时。

那么,我从上面的我的通用信息是什么意思? 那么有可能通过实施一个集中pipe理系统(Windows AD)可以节省$ 18,000。 这是一个IT员工15美元/小时的工资的1/2以上。 18,000美元的成本比解决scheme的成本要高(我的基本解决scheme,你需要弄清楚自己的实际数字),这意味着解决scheme会随着时间的推移为自己付出代价。 在技​​术上,在实施12个月内。

这些数字没有考虑任何可能需要集中pipe理基础设施的项目。 对于每个需要Active Directory的项目来说,现在这个时间花费了大约50倍的时间实施一对一的系统,从而节省了您的小时工资。

这也没有考虑到现在实施适当的用户authentication,密码老化,密码复杂度要求以及其他一些风险pipe理实践和策略的能力,这些风险pipe理实践和策略可能在发生违规/入侵时为公司节省大量资金或妥协。

哦,顺便说一下,你总是可以向人们抛出合规要求。 只是为了好的措施。 如果人们共享密码,那么您的公司就不符合PCI标准。

现在明白了吗? 现在,开始吧。

你说你的工作之一是“IT主pipe”,但是你的老板总是决定IT的决定。 问你自己和你的老板你是真正的“IT主pipe”? 他应该给你一个IT预算,让你决定如何使用它。 如果他没有做这么多的任务,那么你不是任何人的头。

因为这只是你的一个angular色,考虑放弃它,把责任交给你的老板。 如果他坚持要你负责任,但不给你预算或工具来做你的工作,那么请假(如果你住在一个文明的司法pipe辖区)带他到一个就业法庭进行build设性的解雇。

总之,这不是一个真正的IT问题,这是一个pipe理问题。

在过去的几年中,我已经了解了更多的东西,那就是人类基本上是非理性的生物。 一旦我们在某个领域作出决定,我们就会情绪化地附着在这个领域上,很less有人通过事实或数据来说服其他人。 你不能争辩或certificate你的老板更好的位置。

考虑到这一点,您最好的策略是向老板展示更好的设备和实践如何通过降低成本或提高其他地方的收入和效率来改善其底线。 发挥风险缓解卡已经太晚了。