Oto moje przemyślenia:
Zarządzanie bardzo rzadko rozumie technologię i jej miejsce w biznesie. W większości przypadków kierownictwo ma błędne wyobrażenia o tym, czym jest technologia i jak wpływa na biznes. Tak, to prawda, że niewłaściwe zarządzanie technologią często prowadzi do marnotrawstwa wydatków, ale właściwe zarządzanie drastycznie zwiększa produktywność. Odpady na ogół zdarzają się, gdy ludzie, którzy myślą, że rozumieją technologię, robią to źle lub z niewłaściwych powodów.
- radziliśmy sobie od lat bez problemu
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- gdybym odszedł, nikt nie byłby w stanie zrozumieć, jak to działa
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- Koszty instalacji nowego sprzętu i licencji są wysokie w porównaniu z 0 USD teraz.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
W tym momencie możesz pomyśleć: „Zaczekaj chwilę; większość tego, co mówisz, jest przychylna postawie mojego szefa, by nie robić tego, co sugeruję”. Masz rację 1/2.
Chociaż technicznie rzecz biorąc; tak długo, jak rozwiązanie jest znormalizowane, a praktyki / zasady nie są zbyt skomplikowane / czasochłonne, zastępowanie pracowników jest tak proste, jak znalezienie kandydatów, którzy mają doświadczenie z tymi standardami. To naprawdę nie jest argument.
Druga połowa to to, że musisz zrozumieć koszt / korzyść z wprowadzenia odpowiedniej technologii. Mógłby i nie mógł być tego wart. Nie będziesz wiedział, chyba że będziesz mógł poświęcić czas na przygotowanie własnej analizy kosztów i korzyści. Aby to zrobić, musisz wziąć pod uwagę koszty (uwaga: to tylko początek pytań, które powinieneś sobie zadać, zanim ponownie przedstawisz swoje podejście szefowi):
- ile kosztuje serwer?
- ile serwerów potrzebuję?
- ile kosztuje licencja?
- ile licencji potrzebuję?
- czy moja sieć będzie w stanie obsłużyć zmianę przepustowości z powodu zwiększonego ruchu z sieci zarządzania?
- czy muszę zmienić infrastrukturę?
- czy muszę zmienić którykolwiek z moich systemów końcowych, aby spełnić minimalne wymagania dotyczące mojej domeny?
- czy wiem, jak założyć własną domenę, czy też muszę przyprowadzić firmę zewnętrzną, aby porzucić dla mnie rozwiązanie „pod klucz”? a jeśli tak, to ile będą kosztować?
- ile problemów występuje w środowisku i ile czasu poświęcam na pracę nad nimi, które można złagodzić, złagodzić lub zredukować za pomocą proponowanego przeze mnie rozwiązania?
- ile pieniędzy wydaje się na rozwiązywanie problemów, które można złagodzić, ulżyć lub zmniejszyć dzięki proponowanemu przeze mnie rozwiązaniu (w tym koszt mojego czasu, koszt przestoju pracownika oraz koszt faktycznej lub potencjalnej straty biznesowej)?
Ponownie pamiętaj, że pytania, które zaproponowałem powyżej, nie obejmują wszystkich kwestii. Można zadać bardziej techniczne pytania, które prowadzą do innych pytań i tak dalej, i tak dalej. Po uzyskaniu wszystkich tych liczb określ następujące elementy:
- Czy wdrożenie technologii naprawdę złagodzi, zmniejszy lub zmniejszy ilość czasu / pieniędzy / wysiłku poświęconego powtarzającym się problematycznym problemom?
- Czy wdrożenie technologii niekorzystnie zrównoważy koszty radzenia sobie / samozadowolenia?
Gdy będziesz w stanie opracować odpowiednią analizę kosztów i korzyści, będziesz w stanie lepiej zwrócić się do pracodawcy z właściwym rozwiązaniem, w przeciwieństwie do nieuzasadnionej sugestii.
Z mojego doświadczenia wynika, że koszt wdrożenia scentralizowanej infrastruktury zarządzania i koszt ciągłego wsparcia tej infrastruktury jest równoważny kosztowi wynajmu innego organu dla działu IT (w zależności od wielkości środowiska); przynajmniej z wdrożeniem rozwiązania wewnętrznego. Dostępne dziś rozwiązania chmurowe i SaaS mogą zrównoważyć koszty infrastruktury fizycznej i zaoszczędzić trochę pieniędzy, ale tak naprawdę zależy to od modelu biznesowego działu lub firmy oraz ograniczeń bezpieczeństwa.
Uwaga: jeśli koszt wdrożenia rozwiązania jest droższy niż zatrudnienie osoby zatrudnionej w pełnym wymiarze czasu w celu rozwiązania problemów, które rozwiązanie ma rozwiązać, generalnie bardziej opłacalne jest zatrudnienie organu (w zależności od złożoności problemu wymagającego zostać złagodzone, zwolnione lub zmniejszone).
TL; DR: spędzaj trochę czasu na relacjach z szefem, chociaż kwoty w dolarach, w przeciwieństwie do fantazyjnego alfabetu IT. Może to pomóc lub nie, ale cokolwiek się stanie, w końcu dowiesz się więcej o tym, jak efektywniej zarządzać infrastrukturą.
Na koniec, jeśli twój wniosek jest taki, że firma rozpaczliwie potrzebuje rozwiązania, może sobie na to pozwolić, a twój szef nadal nie chce robić tego, co mówisz z nielogicznych powodów, że nie możesz negocjować rozsądnego pośrednictwa, czas spakować swoje rzeczy i znajdź nowego pracodawcę. Pracodawcy, którzy są OK, są mierni i nie podejmują logicznych decyzji, gdy przedstawi się im dowody, nie są typem pracodawców, z którymi chcesz się trzymać; często podejmują złe decyzje i zabierają wszystkich wokół siebie.
Aktualizacja: 11.10.2015
Obliczanie kosztu czasu
Scenariusz: jeden aspekt spełnienia wymagań PCI DSS wymaga, aby komputery końcowe / POS były na bieżąco z poprawkami (lub miały wdrożony proces zarządzania poprawkami).
Załóżmy, że zarabiasz 15 USD / godz. USD lub 31.200 USD rocznie. Aby mieć pewność, że łatki nie uszkodzą systemów, musisz ręcznie załatać wszystkie systemy za każdym razem, gdy pojawi się nowa łatka. Dla uproszczenia powiedzmy również, że scentralizowana infrastruktura zarządzania (uwaga: jest to tylko uproszczony widok; to naprawdę zależy od tego, w jaki sposób biura są połączone, czy potrzebujesz redundancji, i czy warto mieć serwer w każdym biurze lub tylko jeden) będzie kosztować 11 000 USD za serwer, 2 500 USD za licencję na serwer i 2 500 USD za licencje CAL oraz 80 godzin na skonfigurowanie domeny i dołączenie do niej wszystkich komputerów; 80 godzin x 15 USD / godz. = 1200 USD (więcej, jeśli zlecasz to lokalnemu dostawcy; highball to 120 USD / godz .; więc 80 godzin x 120 USD / godz. = 9600 USD). Twoja całkowita scentralizowana infrastruktura zarządzania mogłaby zostanie wprowadzony za około 17 200 USD do 25 600 USD.
Wtorek we wtorek odbywa się co 2 i 4 wtorek każdego miesiąca. Jeśli w każdy wtorek jest wydawana choćby jedna łata, która wymaga instalacji między 15 a 30 minutami, konieczne jest co najmniej 1 godzina każdego miesiąca na łatanie 1 komputera; lub 12 godzin rocznie.
Już wydajesz: 12 godzin x 15 USD = 180 USD rocznie na zarządzanie poprawkami dla 1 komputera. Teraz pomnóż to przez 50 posiadanych komputerów (pamiętaj, że nie możesz pozwolić, aby systemy automatycznie się załatały, ponieważ nie wiesz, czy łaty zepsują wszystkie zainstalowane aplikacje). Oznacza to, że wydajesz blisko 180 USD rocznie na 50 komputerów = 9000 USD na zarządzanie poprawkami. To 28,85% twojej płacy i ...
- 15 minut x 50 komputerów = 750 minut lub 12,5 godziny lub minimum 1,56 dni
- 30 minut x 50 komputerów = 1500 minut lub 25 godzin lub maksymalnie 3,13 dni
spędzić na służebnym zadaniu, którym może zarządzać scentralizowana infrastruktura zarządzania; testowanie poprawek jest teraz uproszczone, tylko na podstawie liczby posiadanych „obrazów”, przy czym „obraz” jest podstawową kopią systemu operacyjnego i aplikacji używanych przez grupę systemów. W tym momencie wydajesz tylko 15-30 minut na zdjęcie, w przeciwieństwie do 1,56-3,13 dni. Nie obejmuje to czasu podróży, jeśli jest to wymagane, ani nie obejmuje marnowania / czekania, aż ludzie wysiądą z komputera, abyś mógł wykonać swoją pracę.
Poczekaj, 9 000 $ nie wydaje się uzasadniać mojej prośby. Być może, ale czy zastanawiałeś się nad scentralizowaniem swojego rozwiązania bezpieczeństwa punktu końcowego (antywirus, anty-malware itp.)? O chłopie! To kolejne 9 000 $, jeśli weźmiesz pod uwagę, że aktualizacje punktów końcowych będą się pojawiać co tydzień! Ponadto możliwość zidentyfikowania systemów zainfekowanych wirusami i precyzyjnego wskazania komputera ORAZ osoba to OGROMNE zwycięstwo; teraz wiesz, jakie grupy ludzi musisz edukować na temat świadomości bezpieczeństwa informacji.
Czekać! Mówisz, że to wciąż za mało? O? Co powiesz na to, by móc teraz wdrażać zasady grupy, aby uniemożliwić ludziom robienie rzeczy, których nie powinni? To musi być warte dość grosza w zapobieganiu ryzyku. O rany, mówisz, że to wciąż za mało? Co jeśli powiem ci, że możesz teraz zdalnie obraz / format i ponownie zainstalować system bez wychodzenia z biura !? O chłopie! Czy to nie byłoby coś warte? To oszczędzasz 2-4 godziny na system; potencjalnie 100-200 godzin na okres odświeżania.
Więc co sugeruję z moich ogólnych informacji z góry? Cóż, potencjalnie możesz zaoszczędzić minimum 18 000 USD, wdrażając scentralizowany system zarządzania (Windows AD). To ponad 1/2 pensji informatyka zarabiającego 15 USD / godz. 18 000 USD to więcej niż koszt rozwiązania (cóż, moje podstawowe rozwiązanie; musisz obliczyć własne rzeczywiste liczby), co oznacza, że rozwiązanie zwróci się z czasem; technicznie w ciągu 12 miesięcy od wdrożenia.
Liczby te nie uwzględniają żadnych projektów, które na początku mogą wymagać scentralizowanej infrastruktury zarządzania. W przypadku każdego projektu, do którego potrzebna była usługa Active Directory, jest to 50-krotny czas poświęcony na wdrażanie go w jednym systemie w porównaniu z godzinową pensją oszczędności.
Nie uwzględnia to również możliwości wdrożenia odpowiedniego uwierzytelnienia użytkownika, starzenia się hasła, wymagań dotyczących złożoności haseł oraz mnóstwa innych praktyk i zasad zarządzania ryzykiem, które mogłyby potencjalnie zaoszczędzić firmie dużo pieniędzy w przypadku naruszenia / włamania lub kompromis.
Aha, nawiasem mówiąc, zawsze możesz rzucić wymagania dotyczące zgodności także ludziom. Na wszelki wypadek. Nie ma możliwości, aby Twoja firma była zgodna z PCI, jeśli ludzie dzielą się hasłami.
Masz pomysł teraz? A teraz przejdź do tego.