Como convencer minha empresa a investir em TI – domínios, segurança, etc.?

Como convencer minha empresa a investir em TI – domínios, segurança, etc.?

Eu trabalho para um varejista de pequeno e médio porte que tem meia dúzia de lojas de rua e um site.

A situação da TI está atualmente em um estado muito básico. Como ser "Chefe de TI" é apenas uma pequena parte da descrição do meu trabalho e o último da lista, não consegui dedicar tanto tempo quanto gostaria.

Contamos com cerca de 50 computadores e 14 caixas Windows em nossa rede (30 dentro da sede, 20 lojas externas, almoxarifados e notebooks). Tudo isso é construído em uma rede de grupo de trabalho e todos os sites são conectados por meio de uma configuração VPN de nível de roteador muito básica com sub-redes para cada loja.

Portanto, não posso gerenciar nada, verificar se os computadores estão seguros, fazer qualquer auditoria, garantir que as atualizações estejam instaladas, gerenciar o Wi-Fi para dispositivos convidados ou verificar qualquer coisa.

Eu gostaria muito de um domínio e, mas depois de contar ao meu chefe, ele diz que não vale a pena pois:

  • Há anos lidamos com um grupo de trabalho sem problemas
  • Os funcionários podem ser confiáveis
  • Se eu saísse ou não estivesse disponível quando algo quebrasse, ninguém seria capaz de entender como funciona
  • Os custos de configuração de novo hardware e licenciamento de um domínio são muito altos. (Atualmente, compramos apenas PCs OEM com Windows pré-construídos e, em seguida, algumas licenças de varejo do Office)
  • Como os domínios são gerenciados centralmente, se ocorrer um problema grave, isso poderá impedir o funcionamento de todos os computadores. (Ao contrário de um grupo de trabalho onde, se apenas um computador morrer, todo o resto ficará bem e não afetará o trabalho de ninguém.)

Não sei como enfatizar a gravidade dos aspectos de segurança por não termos domínio. Qualquer pessoa pode acessar o conteúdo se estiver conectada ao nosso Wi-Fi, qualquer pessoa pode acessar o conteúdo de qualquer PC, pois os usuários não têm senhas instaladas, as pastas compartilhadas podem ser vistas por qualquer pessoa e excluídas sem registros para mostrar ou fazer backup. Não tenho certeza de até que ponto estamos em conformidade com o PCI ou se estamos em conformidade com os auditores. Disseram-me para ignorar isso e não me preocupar.

Como “Chefe de Infraestrutura Interna de TI” está na descrição do meu trabalho, também não quero ser considerado responsável se ocorrer uma violação de dados ou se um processo legal for movido contra nós.

Como posso mostrar que as coisas precisam mudar e que meu tempo e dinheiro extra precisam ser gastos nisso? Para uma empresa do nosso porte, talvez seja necessário um administrador de rede em tempo integral. Ou estou pensando demais e sendo muito egoísta em relação ao que realmente quero e um grupo de trabalho ficará bem?

Atualização: parece que talvez eu mantenha a ideia de um domínio em segundo plano e apenas tente algumas coisas menores. Por exemplo, garantir que as atualizações, verificações de vírus e firewalls estejam ativados, garantir que as senhas estejam ativadas em PCs individuais, ativar backups em todas as máquinas, bloqueios físicos em salas com servidores. -Fi, mas isso é outra questão!

Responder1

Esta não será uma resposta de tecnologia de TI, mas espero que seja útil mesmo assim.

Falando com anos de experiência, você não conseguirá convencer seu chefe a fazertudodiferentemente. A principal razão para isso é queeleé o chefe enquanto você é apenas seu subordinado. Você está na posição errada para promover mudanças fundamentais.

Você consegue viver com a perspectiva demuitomudança gradual com um orçamento sempre muito apertado e problemas resolvidos pela enorme quantidade de trabalho em vez de um planejamento conciso e uso inteligente de ferramentas? Este é exatamente o cliente potencial que você está procurando. Seu chefe administra sua loja dessa maneira há anos. O negócio cresceu e prosperou, então a estratégia deu certo. Quem é você para questionar suas decisões e estratégias de negócios?

Se você quiser trazer mudanças para uma organização, a organizaçãodeve estar pedindo para você fazer isso. Qualquer mudança terá um custo que deve ser considerado válido pela administração. Você precisa do apoio da administração para superar a resistência e a inércia envolvidas. Se você conseguir encontrar um consultor que seu chefe irá ouvir, pode ser um caminho mais promissor do que desperdiçar seu tempo e energia (e do seu chefe) para persuadi-lo a fazer algo que ele disse que não quer fazer.

Se eu estivesse no seu lugar, provavelmente começaria a procurar um novo emprego.

Responder2

Você precisa se concentrar em como isso os ajuda, e não no que você “quer”.

  • lidamos com isso por anos sem problemas

E você não quer começar agora! Houve uma série de violações de dados ultimamente, incluindoAlvo,HomeDepot, e mais. Home Depot gastoUS$ 43 milhõessobre sua violação de dados em apenas um trimestre. Meta pagaUS$ 10.000.000em um assentamento. Um estudo da IBM descobriu que a violação média de dados custa US$ 3,8 milhões. Ser pego é caro.

  • os funcionários podem ser confiáveis

Isto é comprovadamente falso. Roubo de funcionários custa às empresas cerca de US$ 18 bilhões por ano.

  • se eu saísse, ninguém seria capaz de entender como funciona

É por isso que você usará as melhores práticas padrão em vez da configuração estranha que você tem agora.

  • Os custos de configuração para novo hardware e licenciamento são altos em comparação com os US$ 0 atuais.

Os custos de configuração de novo hardware e licenciamento são muito baratos em comparação com violações de segurança.

Além disso, se “Chefe de TI” for apenas uma pequena parte da descrição de seu cargo, pode ser útil documentar que você está gastando mais tempo em TI, quando poderia gastá-lo em outras funções. Isso também está custando dinheiro a eles.

Tudo isso dito: temo que o wabbit esteja certo. Pessoas que não entendem de TI e pensam que é apenas uma despesa estúpida com coisas de que não precisam são muito difíceis de convencer. Vou parar de dizer para você conseguir um novo emprego, porque alguns meses atrás houve um tópico no meta dizendo que estávamos dando um conselho um pouco grosso sobre "conseguir um novo emprego", mas não estou otimista sobre o seu empresa.

Eu seguiria o caminho incremental - encontraria algo relativamente fácil de implementar que ajudaria muito - e defenderia isso. Você pode ir a partir daí.

Responder3

A resposta para "quão compatível com PCI" você é Não muito (editado com base em um comentário). Seus terminais CC podem funcionar bem se as próprias caixas registradoras não contiverem nenhum dado.

Agora, vamos separar a lista de "não vale a pena"...

Nós lidamos com isso por anos sem problemas

Isso pode muito bem ser verdade, mas o problema é a percepção. Este será o seu maior obstáculo.

Os funcionários podem ser confiáveis

Bem não. Eles não podem. Para mim, isso ilustra que seu chefe ignora totalmente as perdas na organização. Mais ainda, isso está emvarejo, onde as perdas são normalmente geridas de forma rigorosa, ou pelo menos compreendidas.

Se eu saísse, ninguém seria capaz de entender como funciona

Isto está completamente incorreto. Ninguém poderia entrarhojee entender o que está acontecendo, porque nada está associado a um domínio, etc. Os administradores que têm pelo menos um conhecimento básico do Active Directory e das estruturas da UO custam um centavo a dúzia.

Os custos de configuração para novo hardware e licenciamento são altos em comparação com US$ 0 atualmente.

Onde diabos eles têm a impressão de que seus custos são de US$ 0 agora? Os custos nunca são zero em uma organização de TI. É evidente que as coisas não estão sendocontabilizado, mas isso não significa que os custos sejam zero.

Se seu chefe precisar ser convencido, forneça a ele uma lista de artigos de empresas que foram violadas no último mês. Você pode apostar que todos os grandes nomes dessa lista realmente trabalharam para resolver esses problemas, mas ainda assim foram invadidos.

Parece que o chefe nesta situação fica mais do que feliz em encobrir todas as preocupações (confiança nos funcionários, segurança, conformidade, etc.), desde que o dinheiro continue entrando. organização.

Responder4

Você diz que um de seus empregos é "chefe de TI", mas seu chefe controla as decisões de TI. Pergunte a si mesmo e ao seu chefe de que forma você é realmente o “chefe de TI”? Ele deveria fornecer um orçamento de TI e permitir que você decida como gastá-lo. Se ele não está fazendo tanta delegação, você não é o chefe de nada.

Como é apenas uma de suas funções, considere renunciar a ela, transferindo a responsabilidade para seu chefe. Se ele insistir que você seja responsável, mas não lhe der o orçamento ou as ferramentas para fazer o seu trabalho, saia e (se você mora em uma jurisdição civilizada) leve-o a um tribunal de trabalho para demissão construtiva.

Em suma, esta não é realmente uma questão de TI, é uma questão de gestão.

informação relacionada