Я работаю в небольшой розничной компании, у которой есть полдюжины магазинов в центральных районах и веб-сайт.
Ситуация с ИТ в настоящее время находится в очень базовом состоянии. Поскольку должность "руководителя ИТ" является лишь небольшой частью моей должностной инструкции и последней в списке, я не смог уделить ей столько времени, сколько хотел бы.
В нашей сети около 50 компьютеров и 14 касс Windows (30 в главном офисе, 20 внешних магазинов, складов и ноутбуков). Все это построено на сети Workgroup, и все сайты соединены вместе через очень простую настройку VPN на уровне маршрутизатора с подсетями для каждого магазина.
Поэтому я не могу ничем управлять, проверять безопасность компьютеров, проводить аудит, обеспечивать установку обновлений, управлять Wi-Fi для гостевых устройств или что-либо проверять.
Я бы очень хотел домен, но после того, как я рассказал об этом своему боссу, он сказал, что это того не стоит, так как:
- Мы годами справлялись с рабочей группой без проблем
- Сотрудникам можно доверять
- Если бы я уехал или был бы недоступен, когда что-то сломалось, то никто бы не смог понять, как это работает.
- Расходы на установку нового оборудования и лицензирование домена очень высоки. (В настоящее время мы покупаем только готовые OEM-ПК с Windows, а затем отдельные розничные лицензии Office)
- Поскольку домены управляются централизованно, то в случае возникновения серьезной проблемы все компьютеры могут выйти из строя. (В отличие от рабочей группы, где если выходит из строя хотя бы один компьютер, то все остальные остаются в порядке и не влияют на работу других.)
Я не знаю, как подчеркнуть, насколько серьезны аспекты безопасности, если у нас нет домена. Любой может получить доступ к контенту, если подключится к нашему Wi-Fi, любой может получить доступ к контенту с любого ПК, поскольку у пользователей не установлены пароли, общие папки могут быть видны любому и удалены без журналов для показа или резервного копирования. Я не уверен, насколько мы соответствуем PCI или соответствуем ли мы аудиторам. Мне сказали игнорировать это и не беспокоиться.
Поскольку в моих должностных обязанностях указано «руководитель внутренней ИТ-инфраструктуры», я также не хочу нести ответственность в случае утечки данных или судебного иска против нас.
Как я могу показать, что что-то нужно менять и что мое время и дополнительные деньги должны быть потрачены на это? Для компании нашего размера, возможно, понадобится штатный сетевой администратор. Или я слишком много думаю и слишком эгоистичен в отношении того, чего я действительно хочу, и рабочая группа будет вполне хороша?
Обновление: Похоже, я, пожалуй, отложу идею домена на потом и просто попробую что-нибудь поменьше. Например, убедиться, что обновления, антивирусные проверки и брандмауэры включены, убедиться, что пароли включены на отдельных ПК, включить резервное копирование на каждой машине, физические замки в комнатах с серверами. Я не уверен, что делать с сетевым общим доступом к файлам и Wi-Fi, но это другой вопрос!
решение1
Это не будет ответом по теме ИТ, но, надеюсь, он будет полезен.
Исходя из многолетнего опыта, вы не сможете убедить своего начальника сделатьвсепо-другому. Основная причина этого в том, чтоонявляется начальником, а вы всего лишь его подчиненный. Вы не в том положении, чтобы продвигать фундаментальные изменения.
Можете ли вы жить с перспективойоченьПостепенные изменения с вечно слишком ограниченным бюджетом и проблемами, решаемыми за счет простого количества труда вместо четкого планирования и разумного использования инструментов? Это именно та перспектива, которую вы рассматриваете. Ваш босс управлял своим магазином таким образом в течение многих лет. Бизнес рос и процветал, так что стратегия сработала. Кто вы такой, чтобы подвергать сомнению его деловые решения и стратегии?
Если вы хотите внести изменения в организацию, организациядолжно быть, просят тебя сделать это. Любое изменение будет иметь свою цену, которую руководство должно считать стоящей того. Вам нужна поддержка руководства, чтобы преодолеть сопротивление и инерцию. Если вы сможете найти консультанта, к которому ваш босс будет прислушиваться, это может быть более перспективным путем, чем тратить свое (и вашего босса) время и энергию на то, чтобы убедить его сделать то, что он сказал вам, что не хочет делать.
Если бы я был на вашем месте, я бы, наверное, начал искать новую работу.
решение2
Вам нужно сосредоточиться на том, как это им поможет, а не на том, чего вы «хотите».
- мы справлялись годами без проблем
И вы не хотите начинать сейчас! В последнее время произошло несколько утечек данных, в том числеЦель,Хоум Депои многое другое. Home Depot потратил43 000 000 долларов СШАпо утечке данных только в одном квартале. Target заплатил10 000 000 долларов СШАв поселении. Исследование IBM показало, что средняя стоимость утечки данных составляет 3,8 миллиона долларов.. Быть обманутым — дорогое удовольствие.
- сотрудникам можно доверять
Это явно ложно. Кража сотрудников обходится компаниям примерно в 18 миллиардов долларов в год.
- если бы я ушел, то никто бы не смог понять, как это работает
Вот почему вы будете использовать стандартные, передовые методы вместо тех странных настроек, которые у вас есть сейчас.
- Расходы на установку нового оборудования и лицензирование высоки по сравнению с нынешней ценой в 0 долларов.
Расходы на установку нового оборудования и лицензирование ничтожно малы по сравнению с нарушениями безопасности.
Также, если "руководитель ИТ" — лишь малая часть вашей должностной инструкции, может быть полезно задокументировать, что вы тратите больше времени на ИТ, когда могли бы потратить его на другие обязанности. Это также стоит им денег.
Все, что я сказал: боюсь, что wabbit прав. Людей, которые не понимают ЭТОГО и считают, что это просто глупые расходы на вещи, которые им не нужны, довольно трудно убедить. Я не собираюсь советовать вам искать новую работу, потому что несколько месяцев назад на meta была ветка, в которой говорилось, что мы слишком преувеличиваем совет «найти новую работу», но я не оптимистичен в отношении вашей компании.
Я бы пошел по пошаговому пути — нашел бы что-то относительно простое в реализации, что очень поможет — и обосновал бы это. Вы можете двигаться оттуда.
решение3
Ответ на вопрос "насколько вы соответствуете PCI" - Не очень (отредактировано на основе комментария). Ваши терминалы CC могут быть в порядке, если сами кассы не содержат никаких данных.
Теперь перейдем к списку «того, что того не стоит»...
Мы справлялись годами без проблем
Это может быть правдой, но проблема в восприятии. Это будет вашим самым большим препятствием.
Сотрудникам можно доверять
Ну, нет. Они не могут. Для меня это иллюстрирует, что ваш босс находится в блаженном неведении относительно потерь в организации. Более того, это врозничная торговля, где потери, как правило, тщательно контролируются или, по крайней мере, осознаются.
Если бы я ушёл, то никто бы не смог понять, как это работает.
Это совершенно неверно. Никто не мог войти.сегодняи разобраться в том, что происходит, поскольку ничего не присоединено к домену и т. д. Администраторов, которые хотя бы имеют базовые знания об Active Directory и структурах OU, пруд пруди.
Расходы на установку нового оборудования и лицензирование высоки по сравнению с нынешними нулевыми затратами.
Откуда у них вообще взялось, что его расходы сейчас равны 0 долларов? Расходы никогда, никогда не бывают нулевыми в ИТ-организации. Очевидно, что дела идут не такприходилось, но это не значит, что затраты равны нулю.
Если ваш босс нуждается в убеждении, дайте ему список статей компаний, которые были взломаны за последний месяц. Вы можете поспорить, что любые крупные имена в этом списке на самом деле работали над решением этих проблем, но все равно были взломаны.
Похоже, что в этой ситуации руководитель более чем счастлив закрыть глаза на все проблемы (доверие сотрудников, безопасность, соответствие требованиям и т. д.), пока деньги продолжают поступать. С профессиональной точки зрения, это шаткая ситуация для всех в организации.
решение4
Вы говорите, что одна из ваших должностей — «руководитель ИТ», но ваш босс управляет решениями ИТ. Спросите себя и своего босса, в каком смысле вы на самом деле «руководитель ИТ»? Он должен давать вам бюджет ИТ и позволять вам решать, как его тратить. Если он не делегирует столько полномочий, вы не являетесь руководителем чего-либо.
Поскольку это всего лишь одна из ваших ролей, рассмотрите возможность отказаться от нее, передав ответственность за нее своему боссу. Если он настаивает на том, чтобы вы были ответственны, но не дает вам бюджета или инструментов для выполнения вашей работы, увольняйтесь и (если вы живете в цивилизованной юрисдикции) подайте на него в трудовой трибунал для конструктивного увольнения.
Короче говоря, это не совсем вопрос ИТ, это вопрос управления.