Yeni bir şirkette BT'yi ele geçirirken en iyi uygulamalar nelerdir? [kapalı]

9

Bunun bazı ilginç önerilerle iyi bir konuyu yaratacağını düşündüm.

Yeni bir organizasyonda BT'yi ele geçirirken ilk yapacağınız şeyler nelerdir?

Hemen arayabileceğiniz kırmızı bayraklar nelerdir?

Bir departman için sahip olmanız gereken ZORUNLAR nelerdir (kuruluşun büyüklüğüne bağlı olarak)?

security  best-practices 
Robert Swisher
kaynak
2
Sorunuzu beğenmeme rağmen, yinelenen bir soruya yakın. Bu, farklı düzeylerde ele alınan bir konudur. Bakınız: serverfault.com/questions/152707/…
Warner
Yinelenen bir şekilde kapatılmasa bile bu tür bir soru wiki olmalıdır. Başka bir şey yoksa, çok özneldir.
John Gardeniers

Yanıtlar:

17

Dürüst olmak gerekirse ... hiçbir şey, lanet bir şey değil. Arkanıza yaslanıp işi orada olan insanlar tarafından ŞİMDİ yapıldığı gibi öğreniyorum. Bir süre sonra ve işlerin şu anda nasıl çalıştığına (sadece teknik olarak değil, aynı zamanda politik olarak ve kişisel olarak da) iyi bir şekilde baktığınızdan emin olduğunuzda, değiştirilmesi gerektiğini düşündüğünüz şeylerin listelerini formüle etmeye başlayabilirsiniz.

Şu anda nerede olduğunuzu anlamıyorsanız, nerede olmanız gerektiğine dair fikirleriniz büyük olasılıkla gerçeklikten uzak olacaktır.

Kırmızı bayraklara gelince:

  • Birçok manuel işlem
  • Değişiklik Kontrolü Yok
  • Dokümantasyon veya daha kötü yanlış dokümantasyon yok
  • Günlük operasyonlara çok fazla dahil olan VP / C seviyeleri (bir acil durumun ortasında olmadığınızda sunucuları sıfırlamak ve başka hiç kimse bunu yapamaz)
  • Her yerde ucuz ekipman ama şirket yılda XXX (milyon / milyar) ürettiğini iddia ediyor
  • Mutsuz çalışanlar
  • Sürekli yangınla mücadele
  • İzleme sistemi yok veya zayıf
  • "'Joe' ile konuşmalısın" sorduğunuz her sorunun cevabı
    • ve joe BT'de değil

Gelmesi gerekenler ... Sanırım ne yaptığınıza ve nasıl yaptığınıza bağlı ... sanki alamıyorsam, son çare olarak özel bir hatla modeme bağlı bir digi terminal sunucusuna sahip olmalıyım. Sesli Yönlendiricilerime ... ama buna ihtiyacınız olmayabilir. Bir kez daha, arkanıza yaslanın ve her şeyi değiştirmek ve her şeyi değiştirmek istemeden önce şeylerin nasıl olduğunu ve insanların şikayetlerinin ne olduğunu anlamak için biraz zaman ayırın.

Zypher
kaynak
+1, Özellikle "Belgeler Yok veya daha kötü yanlış belgeler" - Belgeleri güncellemeye gittiğim birkaç yıl önce bulduğum tekne (eski şeyler yanlış, eksik bilgi, son derece güncel değil).
Chris S
@Chris: Bu benim için güncel bir acı noktası ... belgeleri güncellemeye çalışırken çok fazla yüz bakımı :)
Zypher
+1 Çalışıyorsa, bırakın ve öğrenmeye konsantre olun. Kalıtsal sistemler de dahil olmak üzere hayattaki az şey ilk göründükleri şeydir.
John Gardeniers
Bir şeyleri değiştirmeden önce politik ve kişiler arası iklimi anlamaya çalışmak için +1. Büyük değişikliklerin işe yaraması için buy-in'e ihtiyacınız var ve kimse sizi beğenmezse kazanmak zor.
gMale
8

Bunların hepsi üst düzey şeyler:

Güvenlik:

  1. Yöneticilerin kim olduğunu denetleyin. Yönetici olmaları gerektiğini doğrulayın.
  2. BT kontrollerinin ne olduğunu ve en son ne zaman doğrulandıklarını belirleyin.
  3. Yama seviyelerini / işletim sistemini ve uygulama güncellemelerini doğrulayın.
  4. Hazır araçları kullanarak en az minimum güvenlik açığı taraması yapın.
  5. Sunuculardaki ve çekirdek ağ ekipmanlarındaki fiziksel güvenliği kontrol edin.

Çevre / Performans:

  1. Veri merkezinizde hangi ağrı noktalarının bulunduğunu belirleyin.
  2. SLA'larınızın ve OLA'larınızın ne olduğunu öğrenin ve uzaktan makul olduklarını doğrulayın.
  3. Hiçbirinin aşırı yüklenmemesini sağlamak için sistemlere en azından üstünkörü performans izleme uygulayın.
  4. Önemli varlıkların nasıl konuşlandırıldığını anlayın ve herkesin söylediği yerde olduklarını ve olması gerektiği gibi yapılandırıldıklarını fiziksel olarak doğrulayın.

Personel:

  1. Her birinin kişi olarak nasıl olduğunu öğrenmek için BT personeliyle bire bir veya iş ortamının dışındaki küçük gruplar halinde (örneğin öğle yemeği) buluşma.
  2. BT çalışanlarınızla en çok etkileşime giren kişilerle konuşun, çalışkanların kim olduğunu, iyi insan becerilerine sahip, parlak ama sosyal olarak zor olan vb.
  3. Ağrı noktalarınızın güvenlik ve performanstan nerede olduğunu belirleyin ve şu anda çalışan kişi, insan eksikliği, araç eksikliği veya bir kombinasyon varsa arayın.
Brian Kelley
kaynak
Güvenlikle ilgili olarak, kabul edilebilir kullanım ve veri erişimi ile ilgili yazılı politikalar aramaya katkıda bulunacağım. Ayrıca SOX, HIPPA, PCI DSS gibi belirli uyumluluk alanlarına ilişkin politikalar. Bu devralma bir edinme yoluyla gerçekleşirse, BT projelerine ve bu projelerin herhangi birinin toplam BT portföyüne nasıl uyacaklarını belirleyene kadar beklemeye alınıp alınmayacağını değerlendiririm.
jl.
0

Harika cevaplar.

1 - Mevcut süreçleri ve sistemleri, öncekinden daha iyi anlamak için analiz edin. Gözlerinizde aptalca bir neden olsa bile, muhtemelen hiçbir şey olduğu gibi yapılandırılmadı.

2 - Büyümeye değil verime odaklanın. Daha azla daha fazlasını yapmak, sonra oradan büyümek istersiniz. İleride, işler son derece iyi belgelenmiş, güvenli, ancak en önemlisi ölçeklenebilir olmalıdır.

MisterITGuy
kaynak
1
Ben "bir şey muhtemelen hiçbir nedenle olduğu gibi yapılandırılmadı" sadece ~% 75 zamanın doğru olduğunu buldum.
Chris S
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.