회사가 도메인, 보안 등에 IT에 투자하도록 어떻게 확신 시키나요?

저는 15 개 거리의 상점과 웹 사이트가있는 중소 소매점에서 일합니다.

IT 상황은 현재 매우 기본적인 상태입니다. "IT 책임자"는 내 직업 설명의 일부일 뿐이며 목록의 마지막 부분은 원하는만큼 많은 시간을 할애 할 수 없었습니다.

네트워크에는 약 50 대의 컴퓨터와 14 대의 Windows 틸트가 있습니다 (본사 내부 30 개, 외부 상점 20 개, 창고 및 랩톱). 이것은 모두 작업 그룹 네트워크에 구축되며 모든 사이트는 각 저장소의 서브넷이있는 매우 기본적인 라우터 수준 VPN 설정을 통해 함께 연결됩니다.

따라서 어떤 것도 관리 할 수없고 컴퓨터의 보안 상태를 점검하고 감사를 수행하며 업데이트가 설치되어 있는지 확인하고 게스트 장치의 Wi-Fi를 관리하거나 무엇이든 확인할 수 없습니다.

나는 도메인을 정말로 원하지만 상사에게 말한 후에는 가치가 없다고 말합니다.

• 우리는 문제없이 몇 년 동안 작업 그룹에 대처했습니다.
• 직원은 신뢰할 수 있습니다
• 문제가 생겼을 때 나가거나 사용할 수 없으면 아무도 그것이 어떻게 작동하는지 이해할 수 없습니다.
• 새 하드웨어 설치 및 도메인 라이센스 비용이 매우 높습니다. (우리는 현재 사전 구축 된 OEM Windows PC를 구입 한 다음 홀수 소매점 라이센스를 구입합니다)
• 도메인이 중앙에서 관리되므로 주요 문제가 발생하면 모든 컴퓨터가 작동하지 않을 수 있습니다. (한 대의 컴퓨터 만 죽으면 다른 모든 작업은 괜찮고 다른 사람의 작업에는 영향을 미치지 않는 작업 그룹과 달리)

도메인이 없다는 보안 측면이 얼마나 심각한 지 강조하는 방법을 모르겠습니다. 사용자가 Wi-Fi에 연결하면 누구나 컨텐츠에 액세스 할 수 있으며, 사용자가 비밀번호를 설치하지 않은 경우 누구나 PC에서 컨텐츠에 액세스 할 수 있으며, 공유 폴더는 누구나 볼 수 있으며 로그를 표시하지 않고 삭제하여 표시하거나 백업 할 수 있습니다. 우리가 PCI를 얼마나 준수하는지 또는 감사자를 준수하는지 잘 모르겠습니다. 나는 이것을 무시하고 걱정하지 말라고 들었다.

"내부 IT 인프라 책임자 (Head of Internal IT Infrastructure)"가 내 직무 설명에 나와 있기 때문에 데이터 위반이 발생하거나 법적 소송이 제기 될 경우 책임을 묻고 싶지 않습니다.

일이 바뀌어야하고 내 시간과 돈이 더 필요하다는 것을 어떻게 알 수 있습니까? 규모가 큰 회사의 경우 정규직 네트워크 관리자가 필요할 수 있습니다. 아니면 내가 정말로 원하는 것에 대해 생각하고 지나치게 이기적인 일을하고 있습니까?

업데이트 : 아마도 도메인 버너에 대한 아이디어를 계속 유지하고 더 작은 것을 시도하는 것처럼 들립니다. 예를 들어, 업데이트, 바이러스 검사 및 방화벽이 켜져 있는지 확인하고, 개인 PC에서 암호를 활성화하고, 모든 컴퓨터에서 백업을 활성화하고, 서버가있는 회의실에서 물리적 잠금을 활성화하십시오. 네트워크 전체 파일 공유 및 Wi에 대해 어떻게해야할지 모르겠습니다. -Fi, 그러나 그것은 또 다른 질문입니다!

이것은 IT 기술 답변이 아니지만 그럼에도 불구하고 유용합니다.

수년간의 경험에서 말하면, 상사가 모든 것을 다르게 수행하도록 설득 할 수는 없습니다 . 이것의 주된 이유는 당신이 그의 부하 인 동안 그는 보스 이기 때문입니다 . 근본적인 변화를 추진하기에는 잘못된 입장에 있습니다.

간결한 계획과 도구를 현명하게 사용하는 대신 엄청난 양의 노동력으로 해결되는 항상 예산과 예산 으로 매우 점진적인 변화를 예상 할 수 있습니까 ? 이것이 바로 당신이보고있는 전망입니다. 당신의 상사는 수년간 이런 식으로 가게를 운영해 왔습니다. 사업은 성장하고 번성하여 전략이 발전했습니다. 그의 사업 결정과 전략에 누가 의문을 제기합니까?

조직을 변경하려면 조직에서 요청해야합니다 . 모든 변경은 경영진에 의해 가치가 고려되어야하는 비용으로 이루어질 것입니다. 저항과 관성을 극복하기 위해서는 경영진의 지원이 필요합니다. 상사가들을 수있는 컨설턴트를 찾을 수 있다면, 자신이하고 싶지 않은 일에 그를 설득하는 데 시간과 에너지를 낭비하는 것보다 더 유망한 경로 일 수 있습니다.

내가 당신의 신발에 있다면 아마도 새로운 일자리를 찾기 시작할 것입니다.

"원하는 것"이 ​​아니라 어떻게 도움이되는지에 집중해야합니다.

• 우리는 문제없이 몇 년 동안 대처했습니다

그리고 지금 시작하고 싶지 않습니다! 최근에는 Target , Home Depot 등을 포함한 많은 데이터 유출이 발생했습니다 . Home Depot은 단 4 분 만에 데이터 유출에 $ 43,000,000 를 소비 했습니다. 목표 는 화해로 $ 10,000,000 를 지불했습니다 . IBM의 조사에 따르면 평균 데이터 유출 비용은 380 만 달러 입니다. pwned하는 것은 비싸다.

• 직원은 신뢰할 수 있습니다

이것은 명백히 거짓입니다. 직원 도난은 회사에 연간 약 180 억 달러가 소요 됩니다.

• 내가 떠나면 아무도 그것이 어떻게 작동하는지 이해할 수 없을 것입니다.

이것이 지금의 이상한 설정 대신 표준 모범 사례를 사용하는 이유입니다.

• 새 하드웨어 및 라이센스의 설치 비용은 현재 $ 0에 비해 높습니다.

새로운 하드웨어 및 라이센스의 설치 비용은 보안 위반에 비해 훨씬 저렴합니다.

또한 "IT 책임자"가 직무 설명의 일부에 불과한 경우 다른 업무를 수행 할 때 IT에 더 많은 시간을 소비하고 있음을 문서화하는 것이 도움이 될 수 있습니다. 그것은 그들에게도 돈이 든다.

모든 말 : 나는 wabbit가 옳다는 것을 두려워합니다. IT를 얻지 못하고 그것이 필요하지 않은 것에 대한 바보 같은 비용이라고 생각하는 사람들은 확신하기가 매우 어렵습니다. 몇 달 전에 메타에 쓰레드가있어서 "새로운 일자리를 얻자"라는 조언을 조금 두껍게했다고 말하고 싶지만, 나는 너에게 낙관적이지 않다. 회사.

나는 점진적인 경로로 가고있다-상대적으로 구현하기 쉬운 것을 찾아서 많은 도움이 될 것이다. 거기에서 갈 수 있습니다.

"PCI 호환 방법"에 대한 답변은 그리 많지 않습니다 (주석에 따라 편집 됨). 틸트 자체에 데이터가 없으면 CC 터미널이 정상일 수 있습니다.

이제 "가치가없는"목록을 선택하십시오.

우리는 문제없이 몇 년 동안 대처했습니다

이것은 사실 일 수도 있지만 문제는 인식입니다. 이것이 가장 큰 장애물이 될 것입니다.

직원은 신뢰할 수 있습니다

음 ... 아니. 그들은 할 수 없어. 나에게 이것은 상사가 조직의 손실을 행복하게 무지하고 있음을 보여줍니다. 더구나, 이것은 소매점에 있으며, 손실은 일반적으로 엄격하게 관리되거나 최소한 이해됩니다.

내가 떠난다면 아무도 그것이 어떻게 작동하는지 이해할 수 없을 것입니다

이것은 완전히 잘못되었습니다. 현재 도메인에 참여하는 사람이 없기 때문에 현재 어떤 사람도 참여할 수 없습니다. Active Directory 및 OU 구조에 대한 기본 지식을 가진 관리자는 수십 명에 달합니다.

새 하드웨어 및 라이센스의 설치 비용은 현재 $ 0에 비해 높습니다.

지구상 어디에서 그의 비용이 $ 0이라는 인상을 받습니까? IT 조직의 비용은 결코 제로가 아닙니다. 분명히 상황이 설명 되지 않았지만 비용이 0이 아님을 의미하지는 않습니다.

상사가 설득력이 필요한 경우 지난 달에 위반 한 회사의 기사 목록을 제공하십시오. 이 목록의 큰 이름은 실제로 이러한 문제를 해결하기 위해 DID가 작동했지만 여전히 침입했다고 내기 할 수 있습니다.

이 상황의 보스는 돈이 계속해서 들어오는 한 모든 우려 (직원, 보안, 규정 준수 등)에 대해 광택을내는 것이 더 행복 할 것 같습니다. 전문적으로 말하면, 이것은 조직.

내 생각은 다음과 같습니다.

경영진은 기술과 비즈니스에서의 위치를 ​​거의 이해하지 못합니다. 대부분의 경우 경영진은 기술이 무엇이며 비즈니스에 어떤 영향을 미치는지에 대해 오해하고 있습니다. 그렇습니다. 기술을 잘못 관리하면 지출이 낭비되는 경우가 많지만 적절한 관리를하면 생산성이 크게 향상됩니다. 폐기물은 일반적으로 기술을 이해한다고 생각하는 사람들이 잘못하거나 다른 이유로 생각하는 경우에 발생합니다.

• 우리는 문제없이 몇 년 동안 대처했습니다

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

• 직원은 신뢰할 수 있습니다

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

• 내가 떠나면 아무도 그것이 어떻게 작동하는지 이해할 수 없을 것입니다.

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

• 새 하드웨어 및 라이센스의 설치 비용은 현재 $ 0에 비해 높습니다.

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

이 시점에서, 당신은 "잠시만 기다리세요. 당신이 말하는 대부분은 내가 제안한 것을하지 않는 것에 대한 상사의 입장을 선호합니다." 글쎄, 당신은 1/2 맞아.

기술적으로 말하면; 솔루션이 표준화되고 관행 / 정책이 지나치게 복잡하거나 시간이 많이 걸리지 않는 한 직원 교체는 해당 표준에 대한 경험이있는 후보자를 찾는 것만 큼 간단합니다. 이것은 실제로 논쟁의 여지가 없습니다.

다른 1/2은 원하는 기술을 적용 할 때의 비용 / 혜택을 이해해야한다는 것입니다. 그것은 비용이들 수도 있고 가치도 없습니다. 자체 비용 / 이익 분석을 구성하는 데 시간을 할애하지 않으면 알 수 없습니다. 이렇게하려면 비용을 고려해야합니다 (참고 : 상사에게 다시 접근하기 전에 스스로에게 물어봐야 할 질문의 시작 일뿐입니다).

• 서버는 얼마입니까?
• 몇 대의 서버가 필요합니까?
• 라이센스는 얼마입니까?
• 몇 개의 라이센스가 필요합니까?
• 관리 네트워크의 트래픽 증가로 인해 네트워크에서 대역폭 변경을 처리 할 수 ​​있습니까?
• 인프라를 변경해야합니까?
• 도메인의 최소 요구 사항을 충족하기 위해 엔드 포인트 시스템을 변경해야합니까?
• 내 도메인을 설정하는 방법을 알고 있습니까? 아니면 제 3자를 가져와 턴키 솔루션을 삭제해야합니까? 그렇다면 비용이 얼마나 듭니까?
• 환경에 몇 가지 문제가 있으며 제안하는 솔루션으로 완화, 완화 또는 줄일 수있는 작업에 얼마나 많은 시간을 소비합니까?
• 내가 제안한 솔루션 (내 시간 비용, 직원 가동 중지 시간 비용 및 실제 또는 잠재적 비즈니스 손실 비용 포함)을 통해 완화, 완화 또는 줄일 수있는 문제를 해결하는 데 얼마나 많은 돈이 소비됩니까?

위에서 제안한 질문이 모든 것을 포함한 것이 아니라는 점을 다시 한 번 명심하십시오. 다른 질문 등으로 이어질 수있는 더 많은 기술적 질문이 있습니다. 해당 번호가 모두 있으면 다음을 결정하십시오.

• 이 기술을 구현하면 반복적으로 문제가되는 문제에 소요되는 시간 / 돈 / 노력을 완화, 완화 또는 줄일 수 있습니까?
• 기술을 구현하면 대처 / 복합 비용을 상쇄 할 수 있습니까?

적절한 비용 / 혜택 분석을 개발할 수 있다면 근거없는 제안이 아닌 적절한 솔루션으로 고용주에게 더 ​​잘 접근 할 수 있습니다.

내 경험에 따르면 중앙 집중식 관리 인프라를 구현하는 비용과 해당 인프라를 지속적으로 지원하는 비용은 IT 부서의 다른 기관을 고용하는 비용 (환경 규모에 따라 다름)과 같습니다. 적어도 내부 솔루션을 구현합니다. 오늘날 사용 가능한 클라우드 및 SaaS 솔루션은 물리적 인프라 비용을 상쇄하고 비용을 절약 할 수 있지만 실제로는 부서 또는 회사의 비즈니스 모델 및 보안 제약 조건에 따라 다릅니다.

참고 : 솔루션 구현 비용이 풀 타임 직원을 고용하여 솔루션이 해결해야하는 문제를 해결하는 것보다 비용이 많이 드는 경우, 일반적으로 시스템을 고용하는 것이 비용이 더 많이 든다 (필요한 문제의 복잡성에 따라 다름) 완화, 완화 또는 감소).

TL; DR : 멋진 IT 알파벳과 달리 달러 금액이지만 상사와 관련된 시간을 보내십시오. 인수에 도움이 될 수도 있고 아닐 수도 있지만, 어떤 일이 발생하더라도 인프라를보다 효율적으로 관리하는 방법에 대해 더 많이 배우게됩니다.

마지막으로, 회사가 솔루션을 절실히 필요로하고, 그것을 감당할 수 있고, 상사가 합리적인 중간 단계를 협상 할 수없는 비논리적 인 이유로 여전히 당신이 말하는 것을 원하지 않는다면 결론을 내릴 시간입니다. 새로운 고용주를 찾으십시오. 평범하고 괜찮은 증거를 제시 할 때 논리적으로 결정을 내리지 않는 고용주의 종류는 당신이 고집하려는 고용주의 유형이 아닙니다. 그들은 나쁜 결정을 내리고 주변 사람들을 모두 무너 뜨리는 경향이 있습니다.

업데이트 : 2015-10-11

시간 비용 계산

시나리오 : PCI DSS 준수를 충족하기 위해서는 엔드 포인트 / POS 컴퓨터가 패치를 최신 상태로 유지해야합니다 (또는 패치 관리 프로세스를 갖추고 있어야 함).

$ 15 / hr USD 또는 $ 31,200 / yr USD를 만들고 패치가 시스템을 손상시키지 않도록하려면 새 패치가 나올 때마다 모든 시스템을 수동으로 패치해야합니다. 간단히하기 위해 중앙 집중식 관리 인프라 (참고 : 단순화 된보기 일뿐입니다. 실제로는 사무실의 상호 연결 방식, 중복 필요 여부 및 모든 사무실에 서버가 있는지 여부에 따라 달라집니다) 또는 단 하나의 비용) 서버의 경우 11,000 달러, 서버 라이센스의 경우 2,500 달러, CAL의 경우 2,500 달러, 도메인을 설정하고 모든 컴퓨터를 도메인에 가입시키는 데 80 시간이 소요됩니다. 80 시간 x $ 15 / 시간 = $ 1,200 (지역 공급 업체에 아웃소싱하는 경우 더 많음; 하이볼은 시간당 $ 120; 80 시간 x $ 120 / 시간 = $ 9,600). 전체 중앙 관리 인프라 가 약 $ 17,200 ~ $ 25,600에 제자리에 놓아야합니다.

패치 화요일은 매월 둘째, 넷째 화요일마다 발생합니다. 화요일 패치마다 패치가 1 개 릴리스되어 설치 및 재부팅하는 데 15 분 ~ 30 분이 걸리는 경우 매월 1 시간마다 1 대의 컴퓨터에 패치를 적용합니다. 또는 연간 12 시간.

이미 1 대의 컴퓨터에 대한 패치 관리에 12 시간 x 15 달러 = 180 달러를 지출하고 있습니다. 이제 50 대의 컴퓨터가 여러 대 (여러분이 현재 설치 한 앱이 패치를 깨뜨릴 지 알 수 없기 때문에 시스템이 자동으로 패치하도록 할 수 없기 때문에)의 배수입니다. 이는 패치 관리에 $ 180 / 년 x 50 대의 컴퓨터 = 9,000 달러에 더 가까이 지출한다는 의미입니다. 임금의 28.85 %이고 ...

• 15 분 x 50 대의 컴퓨터 = 750 분 또는 12.5 시간 또는 1.56 일 최소
• 30 분 x 50 대의 컴퓨터 = 1,500 분 또는 25 시간 또는 최대 3.13 일

중앙 집중식 관리 인프라로 관리 할 수있는 정신적 인 작업에 소비했습니다. "이미지"는 시스템 그룹에서 사용하는 OS 및 앱의 기본 복사 본인 "이미지"수에 따라 패치 테스트가 간단 해졌습니다. 이 시점에서 1.56-3.13 일이 아니라 이미지 당 15-30 분만 소비합니다. 여행 시간이 필요하거나 사람들이 컴퓨터에서 내릴 때 낭비 / 대기하는 것도 포함하여 작업 시간을 포함하지 않습니다.

잠깐만, 9,000 달러는 내 요청을 정당화하는 것처럼 보이지 않습니다. 아마도 엔드 포인트 보안 솔루션 (바이러스 백신, 맬웨어 방지 등)의 중앙 집중화를 고려한 적이 있습니까? 오 소년! 매주 엔드 포인트 업데이트가 발생한다고 생각하면 9,000 달러입니다! 또한 어떤 시스템이 바이러스에 감염되었는지 식별하고 컴퓨터와 사람을 정확히 찾아내는 것이 큰 승리입니다. 이제 정보 보안 인식에 대해 교육해야하는 사람들 그룹을 알았습니다.

기다림! 아직도 충분하지 않다는 말입니까? 오? 사람들이하지 말아야 할 일을하지 못하도록 그룹 정책을 구현할 수 있습니까? 위험 예방에있어 가치가 있습니다. 오, 아직 충분하지 않다는 말입니까? 사무실을 떠나지 않고도 원격으로 이미지를 만들고 형식을 지정하고 시스템을 다시 설치할 수 있다면 어떻게해야합니까? 오 소년! 그만한 가치가 없습니까? 저장하는 시스템 당 2-4 시간입니다. 새로 고침주기 당 100 ~ 200 시간이 소요될 수 있습니다.

그렇다면 위의 일반 정보로 무엇을 의미합니까? 잠재적으로 중앙 집중식 관리 시스템 (Windows AD)을 구현하여 최소 18,000 달러를 절약 할 수 있습니다. 그것은 시간당 15 달러를 벌고있는 IT 직원의 급여의 1/2 이상입니다. $ 18,000은 솔루션 비용보다 더 비싸다 (물론 내 기본 솔루션; 실제 숫자를 알아 내야한다)는 솔루션이 시간이 지남에 따라 비용을 지불한다는 것을 의미한다. 기술적으로 구현 후 12 개월 이내에.

이 수치는 중앙 집중식 관리 인프라가 필요한 프로젝트를 고려하지 않습니다. 앞으로 Active Directory가 필요했던 모든 프로젝트에 대해 이제는 시간을 절약하는 데 소요되는 시간을 시스템 구현 시간의 50 배로 줄였습니다.

또한 적절한 사용자 인증, 암호 만료, 암호 복잡성 요구 사항 및 위반 / 침입시 회사에 많은 돈을 절약 할 수있는 수많은 위험 관리 관행 및 정책을 구현하는 기능도 고려하지 않습니다. 또는 타협.

어쨌든 항상 규정 준수 요구 사항을 사람들에게 던질 수 있습니다. 좋은 측정을 위해. 사람들이 암호를 공유하는 경우 회사가 PCI를 준수하는 방법이 없습니다.

지금 아이디어를 얻으시겠습니까? 이제 해

당신은 직업 중 하나가 "IT 책임자"라고 말하지만, 상사는 IT 결정을 지배합니다. "IT 책임자"란 어떤 방식으로 자신과 상사에게 물어보십시오. 그는 IT 예산을 제공하고 지출 방법을 결정할 수 있도록해야합니다. 그가 그 정도의 위임을하고 있지 않다면 당신은 아무것도 아닙니다.

그것은 당신의 역할 중 하나이기 때문에 책임을 물러서 상사에게 건네주는 것을 고려하십시오. 그가 당신에게 책임을 주장하지만, 당신에게 당신의 일을 할 수있는 예산이나 도구를 제공하지 않는다면, (당신이 문명 관할에 살고 있다면) 그를 건설적인 해고를 위해 고용 재판소로 데려가십시오.

요컨대 이것은 실제로 IT 질문이 아니라 관리 질문입니다.

지난 몇 년 동안 제가 이해하게 된 것은 인간이 기본적으로 비이성적 인 생물이라는 것입니다. 우리가 한 지역에서 결정을 내린 후에는 감정적으로 그에 붙어서 사실이나 데이터에 의해 설득되지 않습니다. 당신은 더 나은 위치에 보스를 주장하거나 증명할 수 없습니다.

이를 염두에두고 최선의 전략은 비용을 줄이거 나 다른 곳에서 수익과 효율성을 향상시켜 더 나은 장비와 관행이 어떻게 수익을 향상시킬 수 있는지 상사에게 보여주는 것입니다. 위험 완화 카드를 사용하기에는 너무 늦었습니다.