这是我的想法:
管理层很少了解技术及其在商业中的地位。大多数时候,管理层对什么是技术及其如何影响业务存在误解。是的,确实,对技术的管理不善通常会导致浪费的支出,但是适当的管理会大大提高生产率。通常,当您有一些认为他们理解技术做错了或出于错误原因的人时,就会发生浪费。
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
在这一点上,您可能会想:“请稍等;您所说的大部分内容都支持我老板的立场,即不按照我的建议去做。” 好吧,你是1/2对。
虽然,从技术上讲;只要解决方案是标准化的,并且实践/策略不会过于复杂/耗时,更换人员就像找到具有这些标准经验的候选人一样简单。这确实不是一个争论点。
其他1/2则是您还需要了解将所需技术应用于适当位置的成本/收益。它可以而且不值得花费。除非您可以花费时间进行自己的成本/收益分析,否则您将不会知道。为此,您需要考虑成本(注意:这些只是在再次向老板提出建议之前应该问自己的问题的起点):
- 一台服务器多少钱?
- 我需要多少台服务器?
- 许可多少钱?
- 我需要多少个许可证?
- 由于管理网络的流量增加,我的网络将能够处理带宽变化吗?
- 我需要改变基础设施吗?
- 我是否需要更改任何端点系统以满足我的域的最低要求?
- 我知道如何设置自己的域,还是需要引入第三方来为我提供交钥匙解决方案?如果是这样,它们将花费多少?
- 环境中存在多少问题,我花了多少时间来解决这些问题,这些问题可以通过我提出的解决方案来缓解,缓解或减少?
- 我打算提出的解决方案可用于缓解,缓解或减少的问题上花了多少钱(包括我的时间成本,员工停机成本以及实际或潜在的业务损失成本)?
同样,请记住,我上面提出的问题并不包含所有问题。还有更多的技术问题,可能会导致其他问题等等。拥有所有这些数字后,确定以下各项:
- 实施该技术是否会真正减轻,减轻或减少在重复出现的问题上花费的时间/金钱/精力?
- 实施该技术是否会抵消应付/补偿的成本?
一旦能够进行适当的成本/收益分析,就可以更好地通过适当的解决方案与您的雇主取得联系,而不是提出毫无根据的建议。
根据我的经验,实施集中式管理基础架构的成本和对该基础架构的持续支持的成本,等于为IT部门雇用另一个机构的成本(取决于环境的规模);至少是实施内部解决方案。当前可用的云和SaaS解决方案可以抵消物理基础架构的成本并节省一些钱,但这实际上取决于部门或公司的业务模型和安全性约束。
注意:如果实施解决方案的成本比雇用专职人员解决解决方案应解决的问题的成本高,则雇用机构通常更具成本效益(取决于需要解决的问题的复杂性)减轻,减轻或减少)。
TL; DR:花一些时间与您的老板联系,尽管金额与花哨的IT字母相反。它可能会或可能不会帮助您的论点,但是无论发生什么情况,您最终都会学到更多有关如何更有效地管理基础结构的知识。
最后,如果您的结论是公司迫切需要解决方案,并且负担得起,而您的老板仍然出于不合逻辑的理由而不想按照您所说的去做,无法就合理的中间立场进行谈判,那么该打包一下东西了并找到新的雇主。那种平庸而又没有证据的情况下做出合理决定的雇主,并不是您要坚持的那种雇主。他们往往会做出错误的决定,并使周围的所有人失望。
更新时间:2015-10-11
计算时间成本
方案:满足PCI DSS要求的一方面要求您的端点/ POS计算机具有最新的补丁程序(或具有适当的补丁程序管理过程)。
假设您赚了$ 15 /小时的美元或$ 31,200 /年的美元,并且为了确保补丁不会破坏您的系统,您必须在每次发布新补丁时手动对所有系统进行补丁。为了简单起见,我们还说一个集中式管理基础结构(注:这只是一个简化的视图;它实际上取决于办公室之间的互连方式,是否需要冗余以及在每个办公室中都配备一台服务器是否有意义或仅一个),一台服务器的费用为11,000美元,一台服务器的许可证为2500美元,CAL的费用为2500美元,建立域并将所有计算机加入域的费用为80小时;80小时x $ 15 /小时= $ 1,200(如果您将其外包给本地供应商,则价格会更高;高球费是$ 120 /小时;所以80小时x $ 120 /小时= $ 9,600)。您的总体集中管理基础架构可以 售价约为$ 17,200至$ 25,600。
补丁星期二发生在每个月的第二个和第四个星期二。如果在每个星期二的补丁中甚至发布了1个补丁,则安装和重新启动需要15分钟至30分钟之间的任何时间,那么您每月就要花费至少1个小时来为1台计算机打补丁。或每年12个小时。
您已经在花钱:12小时x 15美元=每年180美元(用于一台计算机的补丁程序管理)。现在,将其乘以您拥有的50台计算机的数量(因为请记住,您不能让系统自动打补丁,因为您不知道补丁是否会破坏您当前安装的任何应用程序)。这意味着您每年在补丁管理上的支出接近$ 180 x x 50台计算机= $ 9,000。那是你工资的28.85%...
- 15分钟x 50台计算机= 750分钟或12.5小时或至少1.56天
- 30分钟x 50台计算机= 1,500分钟或25小时或3.13天(最长)
花在可以由集中管理基础结构管理的琐碎任务上;现在仅根据您拥有的“图像”的数量简化了测试补丁的过程,其中“图像”是一组系统使用的OS和Apps的基本副本。此时,您每张图片仅花费15-30分钟,而不是1.56-3.13天。这不包括旅行时间(如果需要),也不包括浪费/等待人们下车以便您可以完成工作。
等等,9,000美元似乎并不能证明我的要求。也许可以,但是您是否考虑过集中化端点安全解决方案(防病毒,防恶意软件等)?好家伙!如果您认为端点更新每周发生一次,那又是9,000美元!另外,能够识别出哪些系统感染了病毒并指出计算机和人是巨大的胜利;现在您知道了需要对哪些人群进行信息安全意识教育。
等待!您是说还不够吗?哦?现在如何能够实施组策略来防止人们从事不应做的事情呢?在风险预防方面,这绝对值得一分钱。哦,老兄,您是说还不够?如果我告诉您现在可以远程映像/格式化并重新安装系统,而不必离开办公室怎么办!?好家伙!那不值得吗?每个系统要节省2-4个小时;每个刷新周期可能需要100-200小时。
那么,我在上面暗示我的一般信息是什么?嗯,有可能,通过实施集中管理系统(Windows AD),您可以节省至少$ 18,000。这是IT工作者每小时赚15美元的薪水的1/2倍。$ 18,000超出解决方案的成本(嗯,我的基本解决方案;您需要计算自己的实际数字),这意味着解决方案将随着时间的流逝而收回成本;从技术上讲,在实施后的12个月内。
这些数字未考虑任何可能需要首先建立集中式管理基础结构的项目。对于每个需要Active Directory进行的项目,现在的成本是您在一个系统上实施的时间所花费的时间乘以每小时节省的费用的50倍。
这也没有考虑到现在实现适当的用户身份验证,密码时效,密码复杂性要求以及大量其他风险管理实践和策略的功能,这些功能可能在发生违反/入侵事件时为公司节省大量资金或妥协。
哦,顺便说一句,您也总是可以向人们提出合规性要求。只是为了好措施。如果人们共享密码,则您的公司完全不符合PCI标准。
现在知道吗?现在,开始吧。