İşte düşüncelerim:
Yönetim, teknolojiyi ve işletmedeki yerini çok nadiren anlar. Çoğu zaman, yönetim teknolojinin ne olduğu ve işletmeyi nasıl etkilediği hakkında yanlış algılara sahiptir. Evet, teknolojinin yanlış yönetilmesinin genellikle israf harcamalarına yol açtığı doğrudur, ancak uygun yönetim verimliliği önemli ölçüde artırır. Atık, teknolojiyi anladıklarını düşündüğünüz insanların yanlış yaptıklarını veya yanlış sebeplerle yaptıklarını belirtir.
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
- çalışanlar güvenilir olabilir
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- Eğer ayrılsaydım, kimse nasıl çalıştığını anlayamazdı.
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- Yeni donanım ve lisanslama için kurulum maliyetleri, şimdiki 0 ABD Dolarına kıyasla yüksektir.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
Bu noktada, "Bekle bir dakika; söylediklerinin çoğu, patronumun önerdiğim şeyi yapmama konusundaki tutumunun lehine." 1/2 haklısın.
Gerçi, teknik olarak konuşursak; bir çözüm standartlaştırıldığı ve uygulamalar / politikalar açıkça karmaşık olmadığı sürece / zaman alıcı olduğu sürece, personelin değiştirilmesi, bu standartlarla ilgili deneyime sahip adaylar bulmak kadar basit. Bu gerçekten tartışma konusu değil.
Diğer 1/2 ise, istediğiniz teknolojiyi de yerine getirmenin maliyetini / avantajını anlamanız gerektiğidir. Olabilirdi ve masrafa değmezdi. Kendi maliyet / fayda analizinizi bir araya getirmek için zaman harcayamazsanız, bilemezsiniz. Bunu yapmak için maliyetleri göz önünde bulundurmanız gerekir (not: bunlar, patronunuza yaklaşımınızı tekrar getirmeden önce kendinize sormanız gereken soruların yalnızca başlangıcıdır):
- bir sunucu ne kadar
- kaç sunucuya ihtiyacım var?
- lisans ne kadar?
- kaç lisansa ihtiyacım var?
- ağım, bir yönetim ağından gelen trafik yoğunluğundan dolayı bant genişliği değişimini kaldırabilecek mi?
- altyapımı değiştirmem gerekiyor mu?
- etki alanı için minimum gereksinimi karşılamak için uç nokta sistemlerimi değiştirmem gerekir mi?
- alan adımı nasıl ayarlayacağımı biliyor muyum, yoksa benim için bir anahtar teslim çözüm bırakmak için üçüncü bir tarafa getirmem gerekiyor mu? ve eğer öyleyse, ne kadara mal olacak?
- Çevrede kaç tane sorun var ve bunlar üzerinde çalışmak için ne kadar zaman harcıyorum, önerdiğim çözümle hafifletilebilecek, hafifletilecek veya azaltılabilirim?
- önerdiğim çözümle hafifletilebilecek, hafifletilebilecek veya azaltılabilecek konular için ne kadar para harcanıyor?
Yine, yukarıda önerdiğim soruların her şey dahil olmadığını unutmayın. Sorulabilecek, başka sorulara ve benzerlerine yol açacak daha fazla teknik soru var. Tüm bu numaralara sahip olduğunuzda, aşağıdakileri belirleyin:
- Teknolojiyi uygulamak, tekrarlayan sorunlu meselelere harcanan zaman / para / efor miktarını gerçekten hafifletecek, rahatlatacak veya azaltabilecek mi?
- Teknolojiyi uygulamak başa çıkma / rahatlama maliyetini olumsuz yönde etkileyecek mi?
Uygun bir maliyet / fayda analizi geliştirdikten sonra, temelsiz bir öneri yerine, işvereninize uygun bir çözümle daha iyi yaklaşabilirsiniz.
Tecrübelerime dayanarak, merkezi bir yönetim altyapısı uygulama maliyeti ve söz konusu altyapının sürekli desteğinin maliyeti, BT departmanı için başka bir kurum işe alma maliyetine eşittir (ortamın büyüklüğüne bağlı olarak); en azından, dahili bir çözüm uygulayarak. Günümüzde mevcut olan Cloud ve SaaS çözümleri, fiziksel altyapının maliyetini karşılayabilir ve biraz para kazandırabilir, ancak bu gerçekten departmanın veya şirketin iş modeline ve güvenlik kısıtlamalarına bağlıdır.
Not: Bir çözümün uygulama maliyeti, çözümün çözmesi gereken konularla ilgilenmek için tam zamanlı bir kişiyi işe almaktan daha pahalıysa, bu durumu çözmek için gereken meselenin karmaşıklığına bağlı olarak, genellikle bedeni işe almak daha düşük maliyetlidir. hafifletilmesi, hafifletilmesi veya azaltılması).
TL; DR: Patronunuzla ilgili biraz zaman harcamanıza rağmen, süslü bir BT alfabesinin aksine dolar tutarı. Argümanınıza yardımcı olabilir veya olmayabilir, ancak ne olursa olsun, altyapınızı daha verimli bir şekilde nasıl yöneteceğiniz konusunda daha fazla şey öğrenirsiniz.
Son olarak, şirketiniz umutsuzca çözüme ihtiyaç duyuyorsa, bunu karşılayabilirse ve patronunuz hala mantıksız nedenlerle makul bir orta pazarlık yapamayacağınız bir şey yapmak istemiyorsa, sonucunuzu almak istemiyorsa, ve yeni bir işveren bul. Tamam, vasat olan ve delillerle sunulduğunda mantıklı kararlar vermeyen işverenlerin türü, bağlı kalmak istediğiniz işverenlerin türleri değildir; Kötü kararlar verme ve etraflarındaki herkesi alma eğilimindedirler.
Güncelleme: 2015-10-11
Zaman maliyetinin hesaplanması
Senaryo: PCI DSS uyumluluğunun karşılanmasının bir yönü, uç nokta / POS bilgisayarlarınızın yamalar ile güncel olmasını (veya bir yama yönetimi işlemini gerçekleştirmesini) gerektirir.
Diyelim ki 15 ABD Doları / saat USD veya 31,200 ABD Doları / yıl USD yaptığınız ve yamaların sistemlerinizi bozmadığından emin olmak için, her yeni yama geldiğinde tüm sistemlerinizi manuel olarak yamalamanız gerekir. Basitlik uğruna, merkezi bir yönetim altyapısı da diyelim (Not: bu sadece basitleştirilmiş bir görünüştür; gerçekten ofislerinizin birbirine nasıl bağlı olduğuna, fazlalık gerekip gerekmediğine ve her ofiste bir sunucuya sahip olup olmamaya bağlı olduğuna bağlıdır. veya sadece bir) bir sunucu için 11.000 $, sunucu lisansı için 2.500 $ ve CAL'ler için 2.500 $ ve bir etki alanı oluşturmak ve tüm bilgisayarları etki alanına katmak için 80 saat; 80 saat x 15 $ / saat = 1.200 $ (yerel bir satıcıya dış kaynak kullanıyorsanız daha fazla; highball 120 $ / saat; yani 80 saat x 120 $ / saat = 9.600 $). Kişisel toplam merkezi yönetim altyapısı olabilir kabaca 17.200 ila 25.600 dolar arasında bir yere koyulacak.
Yama Salı her ayın 2. ve 4. salı günü gerçekleşir. Salı günü her Yama yayınlanacak 1 yama bile varsa, kurulumu ve yeniden başlatılması için 15 dakika-30 dakika arasında bir yer gerektiren her ay en az 1 saat 1 bilgisayar harcıyorsunuzdur; veya yılda 12 saat.
Zaten, harcıyorsunuz: 1 saat için yama yönetimi için 12 saat x 15 $ = yıllık 180 $. Şimdi, sahip olduğunuz 50 bilgisayardan çok daha fazla (çünkü hatırlayın, sistemlerin otomatik olarak yama yapmasına izin veremezsiniz, çünkü yamaların o anda yüklediğiniz uygulamaları kırabileceklerini bilmiyorsunuz). Bu, yama yönetimi için 180 $ / yıl x 50 bilgisayar = 9,000 ABD Dolarına yakın harcama yaptığınız anlamına gelir. Bu maaşının% 28,85'i ve ...
- 15 dakika x 50 bilgisayar = 750 dakika veya 12,5 saat veya en az 1,56 gün
- 30dk x 50 bilgisayar = 1,500dk veya 25 saat veya maksimum 3,13 gün
merkezi bir yönetim altyapısı tarafından yönetilebilecek önemli bir görev için harcanan; Bir yamayı test etmek artık basitleştirilmiştir, yalnızca sahip olduğunuz "görüntülerin" sayısına dayalıdır; burada bir "görüntü" bir işletim sistemi ve bir grup sistemin kullandığı Uygulamaların temel kopyasıdır. Bu noktada, 1.56-3.13 gün yerine, görüntü başına yalnızca 15-30 dakika harcıyorsunuz. Bu gerekliyse seyahat süresini de içermez, insanların bilgisayardan çıkmalarını boşa harcamayı / beklemeyi de içerir, böylece işinizi yapabilirsiniz.
Bekle, 9.000 dolar isteğimi haklı çıkaracak gibi görünmüyor. Belki, ancak son nokta güvenlik çözümünüzü merkezileştirmeyi düşündünüz mü (virüsten koruma, kötü amaçlı yazılımdan koruma vb.)? Ah oğlum! Her hafta son nokta güncellemelerinin yapıldığını düşünüyorsanız, bu 9,000 dolar daha! Ayrıca, hangi sistemlere virüs bulaştığını belirleyebilme ve bilgisayarı VE kişiyi iterek işaret edebilmek büyük bir zaferdir; Artık bilgi güvenliği konusunda bilinçli olmak için hangi grup insanlara eğitim vermeniz gerektiğini biliyorsunuz.
Bekleyin! Hala yeterli olmadığını mı söylüyorsun? Ah? İnsanların yapmaması gereken şeyleri yapmalarını önlemek için Grup İlkesi uygulayabilmeye ne dersiniz? Risk önleme konusunda oldukça iyi bir kuruşa değer olmalı. Oh adamım, hala yeterli değil mi diyorsun? Peki ya size şimdi ofisinizden çıkmanıza gerek kalmadan bir sistemi uzaktan görüntüleyebilir / biçimlendirebilir ve yeniden kurabilirsiniz!? Ah oğlum! Bu bir şeye değmez mi? Tasarruf ettiğiniz sistem başına 2-4 saat; yenileme periyodu başına potansiyel olarak 100-200 saat.
Peki, yukarıdan genel bilgilerimle ne ima ediyorum? Peki, potansiyel olarak, merkezi bir yönetim sistemi (Windows AD) uygulayarak en az 18.000 $ tasarruf edebilirsiniz. Bu bir BT çalışanının maaşının 15 dolardan / saatin 1 / 2'sinden fazla. 18.000 $, çözümün maliyetinden daha fazla (temel çözümüm; kendi gerçek sayılarınızı bulmanız gerekecek), bu da çözümün zaman içinde kendini ödeyeceği anlamına gelir; teknik olarak, uygulamanın 12 ay içinde.
Bu sayılar, başlangıçta merkezi bir yönetim altyapısına sahip olmayı gerektirebilecek projeleri dikkate almamaktadır. Bir Active Directory'ye ihtiyaç duyduğunuz ileriye dönük her proje için, artık bir saatlik bir sistemde harcamak için harcadığınız zamanın 50 katı, saat başı tasarrufunuzun 50 katıdır.
Bu aynı zamanda uygun kullanıcı doğrulama, parola yaşlandırma, parola karmaşıklığı gereklilikleri ve şirket ihlali / ihlali durumunda çok fazla para kazandıracak potansiyel risk yönetimi uygulamaları ve politikaları uygulama kabiliyetini dikkate almamaktadır. veya uzlaşma.
Oh, bu arada, insanlara da her zaman uyumluluk gereksinimlerini atabilirsin. Sadece iyi önlem için. Kişiler parola paylaşıyorsa, şirketinizin PCI uyumlu olması mümkün değildir.
Şimdi anladın mı? Şimdi al.