私は、6 軒の繁華街の店舗と Web サイトを持つ中小規模の小売業者に勤務しています。
IT の状況は現在、非常に基本的な状態にあります。「IT 責任者」であることは私の職務内容のほんの一部であり、リストの最後であるため、私が望むほど多くの時間を割くことができていません。
当社のネットワークには約 50 台のコンピューターと 14 台の Windows レジがあります (本社内に 30 台、外部の店舗、倉庫、ラップトップに 20 台)。これらはすべてワークグループ ネットワーク上に構築されており、すべてのサイトは、店舗ごとにサブネットが設定された非常に基本的なルーター レベルの VPN 設定を介して相互に接続されています。
したがって、何も管理できず、コンピューターが安全であるかどうかを確認したり、監査を実行したり、更新プログラムがインストールされていることを確認したり、ゲスト デバイスの Wi-Fi を管理したり、何かを確認したりすることはできません。
私は本当にドメインが欲しいのですが、上司に伝えたところ、次のような理由で価値がないと言われました。
- 私たちは何年も問題なくワークグループに対処してきました
- 従業員は信頼できる
- 何かが壊れたときに私がいなくなったり、対応できなかったりすると、誰もそれがどのように機能するのか理解できなくなります。
- 新しいハードウェアのセットアップ コストとドメインのライセンスは非常に高額です。(現在は、プレビルドの OEM Windows PC と、少量の小売 Office ライセンスを購入しています)
- ドメインは集中管理されているため、重大な問題が発生した場合、すべてのコンピューターが動作しなくなる可能性があります。(ワークグループとは異なり、1 台のコンピューターが故障しても、他のコンピューターはすべて正常で、他のユーザーの作業には影響しません。)
ドメインがないことによるセキュリティ面の深刻さをどう強調していいのかわかりません。Wi-Fi に接続すれば誰でもコンテンツにアクセスできます。ユーザーにパスワードが設定されていないため、どの PC からでも誰でもコンテンツにアクセスできます。共有フォルダーは誰でも表示および削除できますが、表示やバックアップのログはありません。PCI 準拠がどの程度か、監査人に対して準拠しているかどうかはわかりません。これは無視して心配しないようにと言われました。
私の職務内容には「社内 IT インフラストラクチャの責任者」と記載されているため、データ漏洩が発生したり、訴訟を起こされたりした場合にも、責任を負わされたくありません。
状況を変える必要があり、それに時間と余分なお金を費やす必要があることを、どのように示せばいいのでしょうか? 私たちのような規模の会社では、フルタイムのネットワーク管理者が必要になるかもしれません。それとも、私は物事を考えすぎていて、本当に欲しいものに対して非常に利己的になっているのでしょうか。ワークグループで十分でしょうか?
更新: ドメインのアイデアは後回しにして、小さなことだけを試してみることにします。たとえば、更新、ウイルス スキャン、ファイアウォールがオンになっていることを確認し、個々の PC でパスワードが有効になっていることを確認し、すべてのマシンでバックアップを有効にし、サーバーのある部屋に物理的なロックをかけます。ネットワーク全体のファイル共有と Wi-Fi についてはどうすればよいかわかりませんが、それは別の問題です。
答え1
これは IT 技術的な回答ではありませんが、それでも役立つと思います。
長年の経験から言えば、上司を説得してすべて異なる。その主な理由は彼彼は上司で、あなたは彼の部下にすぎません。根本的な変化を推進するには、あなたは間違った立場にいるのです。
あなたは、とても常に厳しい予算で段階的な変化を遂げ、簡潔な計画やツールの賢い使用ではなく、膨大な労働力で問題を解決することを望んでいますか? これはまさにあなたが見ている見通しです。あなたの上司は何年もこのようにして自分の店を経営してきました。ビジネスは成長し、繁栄したので、戦略はうまくいきました。彼のビジネス上の決定や戦略に疑問を抱くのはあなたではありませんか?
組織に変化をもたらしたいなら、組織はあなたにそれをするように頼んでいるに違いないいかなる変化にもコストが伴い、経営陣がその価値があると判断する必要があります。抵抗や慣性を克服するには、経営陣の支援が必要です。上司が耳を傾けてくれるコンサルタントを見つけることができれば、上司がやりたくないと言ったことを説得するために、あなた (および上司) の時間とエネルギーを無駄にするよりも、より有望な方法となるかもしれません。
もし私があなたの立場だったら、おそらく新しい仕事を探し始めるでしょう。
答え2
あなたが「何を望んでいるか」ではなく、それがどのように彼らを助けるかに焦点を当てる必要があります。
- 私たちは何年も問題なく対処してきました
今から始めるのはやめましょう!最近、次のようなデータ侵害が相次いでいます。目標、ホームデポなど。ホームデポは43,000,000ドルターゲットは、わずか1四半期でデータ侵害に対処した。10,000,000ドル和解において。 IBMの調査によると、データ侵害による平均的な損害は380万ドルである。. pwned されると高くつきます。
- 従業員は信頼できる
これは明らかに誤りです。 従業員による窃盗は企業に年間約180億ドルの損害を与える。
- 私が辞めたら誰もそれがどう機能するのか理解できなくなる
これが、現在の奇妙な設定ではなく、標準のベスト プラクティスを使用する理由です。
- 新しいハードウェアとライセンスのセットアップ コストは、現在の 0 ドルと比較すると高くなります。
新しいハードウェアとライセンスのセットアップコストは、セキュリティ侵害と比較すると非常に安価です。
また、「IT 部門長」が職務内容のほんの一部に過ぎない場合、他の職務に費やすことができる時間を IT に費やしていることを文書化すると役立つかもしれません。これもまた、IT 部門にとってコストのかかることです。
とはいえ、私は the-wabbit が正しいのではないかと心配しています。IT を理解しておらず、IT は必要のないものにかける愚かな出費だと考えている人を説得するのはかなり困難です。数か月前にメタで「新しい仕事を見つけなさい」というアドバイスが少し強引すぎるというスレッドがあったので、新しい仕事を見つけるように言うのは止めておきますが、あなたの会社については楽観的ではありません。
私なら、段階的な方法を選びます。つまり、比較的簡単に実装できて、大いに役立つものを見つけて、それを主張します。そこから進めてください。
答え3
「PCI 準拠度」に対する答えは、「あまり準拠していない」です (コメントに基づいて編集)。レジ自体にデータが保存されていない場合は、クレジットカード端末は問題ないかもしれません。
さて、「価値がない」リストを分解してみましょう...
私たちは何年も問題なく対処してきました
確かにそれは真実かもしれませんが、問題は認識です。これが最大のハードルとなるでしょう。
従業員は信頼できる
いや、それは無理です。これは、上司が組織内の損失についてまったく知らないことを示していると私は思います。さらに、これは小売り損失は通常、厳密に管理されているか、少なくとも理解されています。
私が辞めたら誰もそれがどう機能するのか理解できなくなる
これは完全に間違いです。誰も入ることができませんでした今日ドメインなどに何も参加していないため、何が起こっているのか理解できません。Active Directory と OU 構造について少なくとも基本的な知識を持っている管理者はたくさんいます。
新しいハードウェアとライセンスのセットアップ コストは、現在の 0 ドルと比べて高くなります。
いったいどこから、彼のコストが今やゼロだという印象を受けるのでしょうか?IT組織ではコストがゼロになることは決してありません。明らかに物事はうまくいっていないのです。説明したただし、コストがゼロになるわけではありません。
上司を説得する必要がある場合は、先月侵害を受けた企業の記事のリストを渡してください。そのリストに載っている有名企業は、実際にこれらの問題に対処するために努力したにもかかわらず、侵入されたことは間違いありません。
このような状況では、上司はお金が入り続ける限り、すべての懸念事項(従業員の信頼、セキュリティ、コンプライアンスなど)を無視することに何の抵抗も感じないようです。専門的に言えば、これは組織内の全員にとって不安定な状況です。
答え4
あなたの仕事の 1 つが「IT 責任者」だと言っていますが、上司が IT に関する決定権を握っています。自分自身と上司に、あなたが本当に「IT 責任者」であるのはどのような点か尋ねてみてください。上司はあなたに IT 予算を与え、その使い道を決めさせるべきです。上司がその程度の権限委譲を行っていないのであれば、あなたは何の責任者でもありません。
これはあなたの役割の 1 つに過ぎないので、それを放棄して、責任を上司に委ねることを検討してください。上司があなたに責任を負わせることを主張しながらも、仕事をするための予算やツールを与えない場合は、辞職し、(文明的な管轄区域に住んでいる場合は)解雇を求めて雇用審判所に訴えてください。
つまり、これは実際には IT の問題ではなく、管理の問題です。