Jef*_*eff 26 security domain user-management
我为一家中小型零售商工作,该零售商拥有六家高街商店和一个网站。
IT 形势目前处于非常基本的状态。因为“IT 主管”只是我工作描述的一小部分,而且是名单上的最后一个,所以我没有像我希望的那样投入太多时间。
我们的网络上有大约 50 台计算机和 14 台 Windows 收银机(总公司内部有 30 台,外部商店有 20 台,仓库和笔记本电脑)。这一切都建立在工作组网络上,所有站点都通过非常基本的路由器级 VPN 设置连接在一起,每个商店都有子网。
因此,我无法管理任何东西,检查计算机是否安全,进行任何审核,确保安装了更新,管理访客设备的 Wi-Fi 或检查任何东西。
我真的很想要一个域名,但在告诉我的老板后,他说这不值得,因为:
我不知道如何强调安全方面的严重性,因为我们没有域。任何人只要连接到我们的 Wi-Fi 就可以访问内容,任何人都可以从任何 PC 访问内容,因为用户没有安装密码,共享文件夹可以被任何人看到并删除,无需显示或备份日志。我不确定我们是否符合 PCI 标准,或者我们是否符合审计师的要求。我被告知忽略这一点,不要担心。
由于“内部 IT 基础设施主管”在我的工作描述中,如果我们遇到数据泄露或法律诉讼,我也不希望被追究责任。
我如何证明事情需要改变,我的时间和额外的钱需要花在这上面?对于我们这样规模的公司,可能需要一名全职网络管理员。或者我是否想得太多了,对我真正想要的东西非常自私,一个工作组就可以了?
更新:听起来我可能会保留域的想法,而只是尝试一些较小的事情。例如,确保打开更新、病毒扫描和防火墙,确保在个人 PC 上启用密码,在每台机器上启用备份,在有服务器的房间上物理锁。我不知道如何处理网络范围的文件共享和 Wi -Fi,但这是另一个问题!
the*_*bit 28
这不会是 IT 技术的答案,但希望还是有用的。
从多年的经验来看,你无法说服你的老板以不同的方式做每件事。主要原因是他是老板,而你只是他的下属。您在推动根本性变革方面处于错误的位置。
你能忍受的前景非常渐变与总是太紧张的预算和问题通过劳动的绝对数量,而不是简洁的规划和智能工具的使用解决了吗?这正是您所看到的前景。你的老板多年来一直以这种方式经营他的商店。业务不断发展壮大,因此该战略得以实施。你有什么资格质疑他的商业决策和战略?
如果您想为组织带来变革,则该组织必须要求您这样做。任何改变都将付出代价,管理层必须认为这是值得的。您需要管理层的支持来克服阻力和惯性。如果你能找到一个你的老板愿意倾听的顾问,这可能是一条更有希望的途径,而不是浪费你(和你老板)的时间和精力来说服他去做他告诉你他不想做的事情。
如果我是你的话,我可能会开始找新工作。
Kat*_*ard 18
您需要关注它如何帮助他们,而不是您“想要”什么。
- 我们已经应对了多年没有问题
而你现在不想开始!最近发生了许多数据泄露事件,包括Target、Home Depot等。Home Depot仅在一个季度内就在数据泄露方面花费了 43,000,000 美元。Target在和解中支付了 10,000,000 美元。 IBM 的一项研究发现,数据泄露的平均成本为 380 万美元。被掠夺是昂贵的。
- 员工值得信赖
这显然是错误的。 员工盗窃每年给公司造成约 180 亿美元的损失。
- 如果我离开那么没有人能够理解它是如何工作的
这就是为什么您要使用标准的最佳实践而不是您现在拥有的奇怪设置的原因。
- 与现在的 0 美元相比,新硬件和许可的设置成本较高。
与安全漏洞相比,新硬件和许可的安装成本非常便宜。
此外,如果“IT 主管”只是您工作描述的一小部分,那么记录下您在 IT 上花费的时间更多,而您本可以将其花在其他职责上可能会有所帮助。这也让他们花钱。
所有这一切都说:我担心 wabbit 是对的。那些不了解 IT 并认为这只是他们不需要的东西的愚蠢开支的人很难说服。我不会告诉你找一份新工作,因为几个月前有一个关于元的帖子说我们把“找一份新工作”的建议放在了一点点上,但我对你的看法并不乐观公司。
我会走增量路线——找到一些相对容易实现的东西,这将有很大帮助——并为此提出一个案例。你可以从那里去。
您对“PCI 合规性如何”的回答不是很好(根据评论进行编辑)。如果收银台本身不保存任何数据,您的 CC 终端可能没问题。
现在来挑选“不值得”的清单......
这很可能是正确的,但问题在于感知。这将是你最大的障碍。
嗯,不。他们不可以。对我来说,这说明你的老板对组织中的损失一无所知。此外,这是在零售业,损失通常得到严格管理,或者至少是理解的。
这是完全不正确的。今天没有人能进来了解正在发生的事情,因为没有任何东西加入域等。至少对 Active Directory 和 OU 结构有基本了解的管理员是一毛钱。
他们到底从哪里得到的印象是他的成本现在是 0 美元?在 IT 组织中,成本永远不会为零。显然,事情没有被考虑在内,但这并不意味着成本为零。
如果您的老板需要说服力,请给他们一份上个月违规的公司文章清单。您可以打赌,该列表中的任何知名人士实际上确实致力于解决这些问题,但仍然被闯入。
在这种情况下,只要钱不断涌入,老板似乎很乐意掩饰所有顾虑(信任员工、安全、合规等)。组织。
以下是我的想法:
管理层很少了解技术及其在业务中的地位。大多数时候,管理层对什么是技术以及它如何影响业务存在误解。是的,技术管理不善确实经常导致浪费开支,但适当的管理可以显着提高生产力。当您认为自己了解技术的人做错了或出于错误的原因时,通常会发生浪费。
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
此时,您可能会想,“等一下;您所说的大部分内容都支持我老板不按我的建议行事的立场。” 好吧,你说对了 1/2。
虽然,从技术上讲;只要解决方案是标准化的并且做法/政策不是过于复杂/耗时,更换工作人员就像寻找具有这些标准经验的候选人一样简单。这真的不是一个争论点。
另一个 1/2 是您还需要了解将所需技术部署到位的成本/收益。它可以也不能值得花费。除非您能花时间整理自己的成本/收益分析,否则您不会知道。为此,您需要考虑成本(注意:这些只是您在再次向老板提出您的方法之前应该问自己的问题的开始):
同样,请记住,我上面提出的问题并非包罗万象。可以问更多的技术问题,这会导致其他问题等等。获得所有这些数字后,请确定以下内容:
一旦您能够进行适当的成本/收益分析,您将能够更好地向您的雇主提出适当的解决方案,而不是毫无根据的建议。
根据我的经验,实施集中管理基础设施的成本和继续支持该基础设施的成本相当于为 IT 部门雇用另一个机构的成本(取决于环境的大小);至少,通过实施内部解决方案。目前可用的云和 SaaS 解决方案可能会抵消物理基础设施的成本并节省一些资金,但这实际上取决于部门或公司的业务模式和安全限制。
注意:如果实施解决方案的成本比雇用全职人员来处理解决方案应该解决的问题的成本更高,那么雇用该机构通常更具成本效益(取决于需要解决的问题的复杂性)减轻、减轻或减少)。
TL;DR:花一些时间与你的老板联系,尽管美元数额而不是花哨的 IT 字母表。它可能对您的论点有所帮助,也可能无济于事,但无论发生什么,您最终都会更多地了解如何更有效地管理您的基础设施。
最后,如果您的结论是公司迫切需要解决方案,并且负担得起,而您的老板出于不合逻辑的原因仍然不想按照您说的去做,您无法协商合理的中间立场,那么是时候收拾您的东西了并找到新雇主。那种平庸且在出示证据时不做出合乎逻辑的决定的雇主不是您想要坚持的雇主类型;他们往往会做出错误的决定并让周围的每个人失望。
更新:2015-10-11
计算时间成本
场景:满足 PCI DSS 合规性的一个方面要求您的端点/POS 计算机更新补丁(或具有适当的补丁管理流程)。
假设您的收入为 15 美元/小时美元或 31,200 美元/年美元,并且为确保补丁不会破坏您的系统,您必须在每次新补丁发布时手动修补所有系统。为简单起见,我们还说一个集中式管理基础设施(注意:这只是一个简化的视图;这实际上取决于您的办公室如何互连,您是否需要冗余,以及是否每个办公室都有一台服务器有意义或仅一个)将花费您 11,000 美元的服务器、2,500 美元的服务器许可证和 2,500 美元的 CAL 以及 80 小时来设置域并将所有计算机加入域;80 小时 x 15 美元/小时 = 1,200 美元(如果您将其外包给当地供应商则更多;highball 是 120 美元/小时;所以 80 小时 x 120 美元/小时 = 9,600 美元)。您的总体集中管理基础架构可以 以大约 17,200 美元至 25,600 美元的价格实施。
补丁星期二发生在每个月的第二个和第四个星期二。如果每个补丁星期二发布 1 个补丁,安装和重启需要 15 分钟到 30 分钟之间的任何时间,那么您每个月至少要花 1 小时修补一台计算机;或每年 12 小时。
您已经花费: 12 小时 x 15 美元 = 每年 180 美元用于 1 台计算机的补丁管理。现在,是您拥有的 50 台计算机的倍数(因为请记住,您不能让系统自动打补丁,因为您不知道这些补丁是否会破坏您当前安装的任何应用程序)。这意味着您在补丁管理上的花费接近 180 美元/年 x 50 台计算机 = 9,000 美元。那是你工资的 28.85%,而且……
花在可由集中管理基础设施管理的琐碎任务上;现在简化了补丁测试,仅基于您拥有的“图像”数量,其中“图像”是一组系统使用的操作系统和应用程序的基本副本。此时,您只需花费 15-30 分钟每张图像,而不是 1.56-3.13 天。这不包括需要的旅行时间,也不包括浪费/等待人们离开计算机以便您可以完成工作的时间。
等等,9,000 美元似乎不足以证明我的要求是合理的。也许吧,但您是否考虑过集中您的端点安全解决方案(防病毒、反恶意软件等)?好家伙!如果您考虑每周都会进行端点更新,那又是 9,000 美元!另外,能够识别哪些系统感染了病毒并精确定位计算机和人员是一个巨大的胜利;现在您知道需要对哪些人群进行信息安全意识教育了。
等待!你说这还不够?哦?现在能够实施组策略来防止人们做他们不应该做的事情怎么样?这在风险预防方面值得一分钱。哦,伙计,你是说这还不够?如果我告诉您现在无需离开办公室就可以远程映像/格式化并重新安装系统怎么办!?好家伙!难道这不值得吗?这就是您要节省的每个系统 2-4 小时;每个更新周期可能需要 100-200 小时。
那么,我上面的通用信息是什么意思?好吧,通过实施集中管理系统 (Windows AD),您可能至少可以节省 18,000 美元。这是每小时 15 美元的 IT 人员工资的 1/2 以上。18,000 美元超过了解决方案的成本(好吧,我的基本解决方案;你需要计算出你自己的实际数字),这意味着随着时间的推移,解决方案将收回成本;从技术上讲,在实施后的 12 个月内。
这些数字没有考虑任何可能需要在开始时就拥有集中管理基础设施的项目。对于需要 Active Directory 进行的每个项目的推进,现在节省的时间是在一个系统上实施它所花费的时间的 50 倍。
这也没有考虑到现在实施正确的用户身份验证、密码老化、密码复杂性要求以及一系列其他风险管理实践和政策的能力,这些实践和政策可能会在发生违规/入侵时为公司节省大量资金或妥协。
哦,顺便说一句,您也可以随时向人们提出合规要求。只是为了好的衡量。如果人们共享密码,您的公司就不可能符合 PCI 标准。
现在明白了吗?现在,开始吧。
| 归档时间: |
|
| 查看次数: |
3005 次 |
| 最近记录: |