Comment convaincre mon entreprise d'investir dans l'informatique - domaines, sécurité, etc.?

Je travaille pour un petit ou moyen détaillant qui possède une demi-douzaine de magasins et un site Internet.

La situation informatique est actuellement dans un état très basique. En tant que «chef de l'informatique», ce n'est qu'une petite partie de ma description de poste et la dernière de la liste, je n'ai pas pu y consacrer autant de temps que je le souhaiterais.

Nous avons environ 50 ordinateurs et 14 caisses Windows sur notre réseau (30 à l'intérieur du siège social, 20 magasins externes, entrepôts et ordinateurs portables). Tout cela est construit sur un réseau de groupe de travail et tous les sites sont connectés ensemble via une configuration VPN de niveau de routeur très basique avec des sous-réseaux pour chaque magasin.

Par conséquent, je ne peux rien gérer, vérifier que les ordinateurs sont sécurisés, faire des audits, m'assurer que les mises à jour sont installées, gérer le Wi-Fi pour les appareils invités ou vérifier quoi que ce soit.

J'aimerais vraiment un domaine et, mais après avoir dit à mon patron, il dit que ça ne vaut pas le coup:

• Nous avons fait face pendant des années à un groupe de travail sans problème
• On peut faire confiance aux employés
• Si je partais ou n'était pas disponible quand quelque chose se cassait, alors personne ne pourrait comprendre comment cela fonctionne
• Les coûts d'installation du nouveau matériel et des licences pour un domaine sont très élevés. (Nous achetons actuellement des PC Windows OEM pré-construits, puis les licences Office de vente au détail impaires)
• Comme les domaines sont gérés de manière centralisée, si un problème majeur se produisait, cela pourrait empêcher tous les ordinateurs de fonctionner. (Contrairement à un groupe de travail où si un seul ordinateur meurt, tout le reste va bien et n'affecte pas le travail de quelqu'un d'autre.)

Je ne sais pas comment souligner la gravité des aspects de sécurité que nous n'avons pas de domaine. Tout le monde peut accéder au contenu s'il se connecte à notre réseau Wi-Fi, tout le monde peut accéder au contenu à partir de n'importe quel PC car les utilisateurs n'ont pas de mot de passe installé, les dossiers partagés peuvent être vus par tout le monde et supprimés sans journaux à afficher ou à sauvegarder. Je ne sais pas dans quelle mesure nous sommes conformes PCI ou si nous sommes conformes pour les auditeurs. On m'a dit d'ignorer cela et de ne pas vous inquiéter.

Étant donné que le «chef de l'infrastructure informatique interne» figure sur ma description de poste, je ne veux pas non plus être tenu responsable si nous obtenons une violation de données ou si une action en justice est intentée contre nous.

Comment puis-je montrer que les choses doivent changer et que mon temps et mon argent supplémentaire doivent être dépensés pour cela? Pour une entreprise de notre taille, un administrateur réseau à temps plein serait peut-être nécessaire. Ou suis-je en train de trop réfléchir et d'être très égoïste pour ce que je voudrais vraiment et un groupe de travail ira très bien?

Mise à jour: Il semble que je garde peut-être l'idée d'un domaine sur les brûleurs arrière et que j'essaye simplement des choses plus petites. Par exemple, assurez-vous que les mises à jour, les analyses antivirus et les pare-feu sont activés, assurez-vous que les mots de passe sont activés sur les PC individuels, activez les sauvegardes sur chaque machine, verrouille physiquement les salles avec des serveurs. Je ne sais pas quoi faire au sujet du partage de fichiers à l'échelle du réseau et du Wi -Fi, mais c'est une autre question!

Ce ne sera pas une réponse informatique, mais nous espérons néanmoins utile.

Parlant d'années d'expérience, vous ne pourrez pas convaincre votre patron de tout faire différemment. La principale raison en est qu'il est le patron alors que vous n'êtes que son subordonné. Vous n'êtes pas dans la bonne position pour pousser des changements fondamentaux.

Pouvez-vous vivre avec la perspective d' un changement très progressif avec un budget toujours trop serré et des problèmes résolus par la quantité de travail au lieu d'une planification concise et d'une utilisation intelligente des outils? C'est exactement la perspective que vous envisagez. Votre patron gère sa boutique de cette façon depuis des années. L'entreprise a grandi et prospéré, alors la stratégie a fonctionné. Qui êtes-vous pour remettre en question ses décisions et stratégies commerciales?

Si vous souhaitez apporter des changements à une organisation, l'organisation doit vous demander de le faire . Tout changement aura un coût qui doit être considéré comme valable par la direction. Vous avez besoin du soutien de la direction pour surmonter la résistance et l'inertie impliquées. Si vous pouvez trouver un consultant que votre patron écoutera, ce pourrait être une voie plus prometteuse que de gaspiller votre (et votre patron) temps et énergie pour le persuader de quelque chose qu'il vous a dit qu'il ne voulait pas faire.

Si j'étais à votre place, je commencerais probablement à chercher un nouvel emploi.

Vous devez vous concentrer sur la façon dont cela les aide, pas sur ce que vous "voulez".

• nous avons fait face pendant des années sans problème

Et vous ne voulez pas commencer maintenant! Il y a eu un certain nombre de violations de données récemment, notamment Target , Home Depot , et plus encore. Home Depot a dépensé 43 000 000 $ pour sa violation de données en seulement un trimestre. Target a payé 10 000 000 $ dans le cadre d'un règlement. Une étude IBM a révélé que la violation de données moyenne coûte 3,8 millions de dollars . Se faire pwner coûte cher.

• on peut faire confiance aux employés

C'est manifestement faux. Le vol d'employés coûte aux entreprises environ 18 milliards de dollars par an .

• si je partais, personne ne pourrait comprendre comment cela fonctionne

C'est pourquoi vous allez utiliser les meilleures pratiques standard au lieu de la configuration bizarre que vous avez maintenant.

• Les coûts d'installation du nouveau matériel et des licences sont élevés par rapport au 0 $ actuellement.

Les coûts d'installation du nouveau matériel et des licences sont très bon marché par rapport aux failles de sécurité.

De plus, si le «chef de l'informatique» n'est qu'une petite partie de votre description de poste, il peut être utile de documenter que vous passez plus de temps sur l'informatique que sur vos autres tâches. Cela leur coûte aussi de l'argent.

Cela dit: je crains que le-wabbit ait raison. Les gens qui ne reçoivent pas l'informatique et pensent que c'est juste une dépense stupide pour des choses dont ils n'ont pas besoin sont assez difficiles à convaincre. Je vais m'arrêter de vous dire de trouver un nouvel emploi, car il y a quelques mois, il y avait un fil sur la méta disant que nous posions le conseil "obtenir un nouvel emploi" un peu épais, mais je ne suis pas optimiste quant à votre entreprise.

J'irais par la voie incrémentale - trouver quelque chose de relativement facile à mettre en œuvre qui aiderait beaucoup - et plaiderais en sa faveur. Vous pouvez partir de là.

La réponse à "comment PCI conforme" vous êtes n'est pas très (édité basé sur un commentaire). Vos terminaux CC peuvent être corrects si les caisses elles-mêmes ne contiennent aucune donnée.

Maintenant, pour séparer la liste des "pas la peine" ...

Nous avons fait face pendant des années sans problème

C'est peut-être vrai, mais le problème est la perception. Ce sera votre plus gros obstacle.

On peut faire confiance aux employés

Et bien non. Ils ne peuvent pas. Pour moi, cela illustre que votre patron est parfaitement ignorant des pertes dans l'organisation. Moreso, c'est dans le commerce de détail , où les pertes sont généralement bien gérées, ou du moins comprises.

Si je partais, personne ne pourrait comprendre comment cela fonctionne

C'est complètement incorrect. Personne ne pourrait entrer aujourd'hui et donner un sens à ce qui se passe, car rien n'est joint à un domaine, etc.

Les coûts d'installation pour le nouveau matériel et les licences sont élevés par rapport à 0 $ maintenant.

Où diable ont-ils l'impression que ses coûts sont maintenant de 0 $? Les coûts ne sont jamais, jamais nulles dans une organisation informatique. De toute évidence, les choses ne sont pas prises en compte , mais cela ne signifie pas que les coûts sont nuls.

Si votre patron a besoin de convaincre, donnez-lui une liste d'articles d'entreprises qui ont été violés au cours du dernier mois. Vous pouvez parier que tous les grands noms de cette liste ont réellement travaillé pour résoudre ces problèmes, mais ont quand même été cambriolés.

Il semblerait que le patron dans cette situation soit plus qu'heureux de passer sous silence toutes les préoccupations (faire confiance aux employés, sécurité, conformité, etc.) tant que l'argent continue d'affluer. Professionnellement parlant, la situation est fragile pour tout le monde organisation.

Voici mes pensées:

La direction comprend très rarement la technologie et sa place dans l'entreprise. La plupart du temps, la direction a des idées fausses sur ce qu'est la technologie et comment elle affecte les entreprises. Oui, il est vrai que la mauvaise gestion de la technologie entraîne souvent des dépenses inutiles, mais une bonne gestion augmente considérablement la productivité. Le gaspillage se produit généralement lorsque des personnes qui pensent comprendre la technologie le font mal ou pour de mauvaises raisons.

• nous avons fait face pendant des années sans problème

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

• on peut faire confiance aux employés

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

• si je partais, personne ne pourrait comprendre comment cela fonctionne

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

• Les coûts d'installation du nouveau matériel et des licences sont élevés par rapport au 0 $ actuellement.

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

À ce stade, vous pensez peut-être: "Attendez une minute; la plupart de ce que vous dites est en faveur de la position de mon patron de ne pas faire ce que je suggère." Eh bien, vous avez 1/2 raison.

Bien que, techniquement parlant; tant qu'une solution est normalisée et que les pratiques / politiques ne sont pas trop complexes / prennent trop de temps, le remplacement du personnel est aussi simple que de trouver des candidats qui ont de l'expérience avec ces normes. Ce n'est vraiment pas un argument.

L'autre 1/2 est que vous devez également comprendre le coût / avantage de la mise en place de la technologie que vous souhaitez. Cela pouvait et ne pouvait pas valoir la peine. Vous ne le saurez que si vous pouvez passer du temps à préparer votre propre analyse coûts / avantages. Pour ce faire, vous devez considérer les coûts (remarque: ce ne sont que le début des questions que vous devez vous poser avant de présenter à nouveau votre approche à votre patron):

• combien coûte un serveur?
• de combien de serveurs ai-je besoin?
• combien coûte la licence?
• de combien de licences ai-je besoin?
• mon réseau pourra-t-il gérer le changement de bande passante en raison de l'augmentation du trafic provenant d'un réseau de gestion?
• dois-je changer mon infrastructure?
• dois-je changer l'un de mes systèmes d'extrémité pour répondre à une exigence minimale pour mon domaine?
• puis-je savoir comment configurer mon propre domaine ou dois-je faire appel à un tiers pour déposer une solution clé en main pour moi? et si oui, combien coûteront-ils?
• combien de problèmes existent dans l'environnement et combien de temps est-ce que je passe à travailler sur eux qui pourraient être atténués, soulagés ou réduits avec la solution que je propose?
• combien d'argent est dépensé pour travailler sur des problèmes qui pourraient être atténués, soulagés ou réduits avec la solution que je propose (y compris le coût de mon temps, le coût des temps d'arrêt des employés et le coût de la perte d'entreprise réelle ou potentielle)?

Encore une fois, gardez à l'esprit que les questions que j'ai proposées ci-dessus ne sont pas exhaustives. Il y a des questions plus techniques qui pourraient être posées, qui mènent à d'autres questions et ainsi de suite, etc. Une fois que vous avez tous ces numéros, déterminez ce qui suit:

• La mise en œuvre de la technologie atténuera-t-elle, soulagera-t-elle ou réduira-t-elle vraiment le temps / argent / effort consacré à des problèmes récurrents?
• La mise en œuvre de la technologie compensera-t-elle négativement le coût de l'adaptation / la complaisance?

Une fois que vous êtes en mesure de développer une analyse coûts / avantages appropriée, vous serez mieux en mesure d'approcher votre employeur avec une solution appropriée, par opposition à une suggestion non fondée.

Sur la base de mon expérience, le coût de mise en œuvre d'une infrastructure de gestion centralisée et le coût du support continu de ladite infrastructure sont équivalents au coût d'embauche d'un autre organisme pour le service informatique (en fonction de la taille de l'environnement); au moins, avec la mise en œuvre d'une solution interne. Les solutions cloud et SaaS disponibles aujourd'hui peuvent compenser le coût de l'infrastructure physique et économiser de l'argent, mais cela dépend vraiment du modèle commercial du département ou de l'entreprise et des contraintes de sécurité.

Remarque: si le coût de mise en œuvre d'une solution est plus cher que l'embauche d'une personne à temps plein pour traiter les problèmes que la solution est censée résoudre, il est généralement plus rentable d'embaucher le corps (selon la complexité du problème à résoudre). atténuée, soulagée ou réduite).

TL; DR: passez du temps avec votre patron à travers des montants en dollars par opposition à un alphabet informatique sophistiqué. Cela peut ou non aider votre argument, mais quoi qu'il arrive, vous finissez par en apprendre davantage sur la façon de gérer votre infrastructure plus efficacement.

Enfin, si votre conclusion est que l'entreprise a désespérément besoin de la solution, qu'elle peut se le permettre et que votre patron ne veut toujours pas faire ce que vous dites pour des raisons illogiques, vous ne pouvez pas négocier un compromis raisonnable, il est temps de préparer vos affaires et trouver un nouvel employeur. Le type d'employeurs qui sont OK étant médiocres et ne prennent pas de décisions logiques lorsqu'ils sont présentés avec des preuves ne sont pas le type d'employeurs avec lequel vous voulez rester; ils ont tendance à prendre de mauvaises décisions et à abattre tout le monde autour d'eux.

Mise à jour: 2015-10-11

Calcul du coût du temps

Scénario: Un aspect de la conformité PCI DSS nécessite que vos ordinateurs d'extrémité / POS soient à jour avec les correctifs (ou aient un processus de gestion des correctifs en place).

Disons que vous gagnez 15 $ / h USD ou 31 200 USD / an USD, et pour vous assurer que les correctifs ne cassent pas vos systèmes, vous devez corriger manuellement tous vos systèmes chaque fois qu'un nouveau correctif sort. Par souci de simplicité, disons également une infrastructure de gestion centralisée (Remarque: il s'agit simplement d'une vue simplifiée; cela dépend vraiment de la façon dont vos bureaux sont interconnectés, si vous avez besoin de redondance, et s'il est logique ou non d'avoir un serveur dans chaque bureau ou un seul) vous coûtera 11 000 $ pour un serveur, 2 500 $ pour la licence serveur et 2 500 $ pour les licences d'accès client et 80 heures pour configurer un domaine et joindre tous les ordinateurs au domaine; 80 heures x 15 $ / heure = 1200 $ (plus si vous l'externalisez chez un fournisseur local; le highball est de 120 $ / heure; donc 80 heures x 120 $ / heure = 9600 $). Votre infrastructure de gestion centralisée totale pourrait être mis en place pour environ 17 200 $ à 25 600 $.

Patch Tuesday se produit tous les 2e et 4e mardi de chaque mois. S'il y a même 1 patch publié chaque Patch Tuesday, qui nécessite entre 15 min et 30 min pour installer et redémarrer, vous passez au moins 1 heure par mois à patcher 1 ordinateur; ou 12 heures par an.

Déjà, vous dépensez: 12 heures x 15 $ = 180 $ par an sur la gestion des correctifs pour 1 ordinateur. Maintenant, multipliez cela par les 50 ordinateurs que vous avez (car rappelez-vous, vous ne pouvez pas laisser les systèmes patcher automatiquement, car vous ne savez pas si les correctifs vont casser les applications que vous avez actuellement installées). Cela signifie que vous dépensez près de 180 $ / an x ​​50 ordinateurs = 9 000 $ pour la gestion des correctifs. C'est 28,85% de votre salaire et ...

• 15min x 50 ordinateurs = 750min ou 12,5 heures ou 1,56 jours minimum
• 30 min x 50 ordinateurs = 1 500 min ou 25 h ou 3,13 jours maximum

consacré à une tâche subalterne qui peut être gérée par une infrastructure de gestion centralisée; tester un correctif est maintenant simplifié, uniquement en fonction du nombre "d'images" que vous avez, où une "image" est une copie de base du système d'exploitation et des applications qu'un groupe de systèmes utilise. À ce stade, vous ne dépensez que 15 à 30 minutes par image, contre 1,56 à 3,13 jours. Cela n'inclut pas le temps de déplacement si cela est nécessaire, ni le gaspillage / l'attente de la descente de l'ordinateur pour que vous puissiez faire votre travail.

Attendez, 9 000 $ ne semblent pas justifier ma demande. Peut-être, mais avez-vous envisagé de centraliser votre solution de sécurité des terminaux (anti-virus, anti-malware, etc ...)? Oh mec! Cela représente 9 000 $ supplémentaires si vous pensez que les mises à jour finales ont lieu chaque semaine! De plus, être en mesure d'identifier les systèmes infectés par des virus et de localiser l'ordinateur ET la personne est une énorme victoire; vous savez maintenant quels groupes de personnes vous devez éduquer sur la sensibilisation à la sécurité de l'information.

Attendez! Vous dites que ce n'est toujours pas suffisant? Oh? Que diriez-vous maintenant de pouvoir mettre en œuvre la stratégie de groupe pour empêcher les gens de faire des choses qu'ils ne devraient pas faire? Ça doit valoir un sou pour la prévention des risques. Oh mec, tu dis que ce n'est toujours pas suffisant? Et si je vous disais que vous pouvez maintenant l'image / formatage à distance et réinstaller un système sans jamais avoir à quitter le bureau!? Oh mec! Cela ne vaudrait-il pas quelque chose? Cela représente 2 à 4 heures par système que vous économisez; potentiellement 100-200 heures par période de rafraîchissement.

Alors, qu'est-ce que j'implique avec mes informations génériques d'en haut? Eh bien, vous pourriez potentiellement économiser 18 000 $ minimum en implémentant un système de gestion centralisé (Windows AD). C'est plus de la moitié du salaire d'un informaticien qui gagne 15 $ / heure. 18 000 $, c'est plus que le coût de la solution (enfin, ma solution de base; vous devrez déterminer vos propres chiffres réels), ce qui signifie que la solution sera rentabilisée au fil du temps; techniquement, dans les 12 mois suivant la mise en œuvre.

Ces chiffres ne prennent pas en compte les projets qui pourraient nécessiter au départ une infrastructure de gestion centralisée. Pour chaque projet en cours pour lequel vous aviez besoin d'un Active Directory, il s'agit désormais d'un système 50 fois plus long que vous avez passé à mettre en œuvre un système it-on-one multiplié par votre salaire horaire en économies.

Cela ne prend pas non plus en compte la capacité de mettre en œuvre maintenant une authentification appropriée des utilisateurs, le vieillissement des mots de passe, les exigences de complexité des mots de passe et une multitude d'autres pratiques et politiques de gestion des risques qui pourraient potentiellement faire économiser beaucoup d'argent à l'entreprise en cas de violation / intrusion. ou compromis.

Oh, au fait, vous pouvez également toujours imposer des exigences de conformité aux gens. Juste pour faire bonne mesure. Il n'y a aucun moyen que votre entreprise soit conforme PCI si les gens partagent des mots de passe.

Vous avez l'idée maintenant? Maintenant, allez-y.

Vous dites que l'un de vos emplois est «chef de l'informatique», mais votre patron contrôle les décisions informatiques. Demandez-vous à vous-même et à votre patron de quelle manière vous êtes vraiment "chef de l'informatique"? Il devrait vous donner un budget informatique et vous laisser décider comment le dépenser. S'il ne fait pas autant de délégation, vous n'êtes à la tête de rien.

Comme il ne s'agit que de l'un de vos rôles, envisagez d'y renoncer et d'en confier la responsabilité à votre patron. S'il insiste pour que vous soyez responsable, mais ne vous donne pas le budget ou les outils pour faire votre travail, quittez-le et (si vous vivez dans une juridiction civilisée) amenez-le devant un tribunal du travail pour licenciement déguisé.

Bref, ce n'est pas vraiment une question informatique, c'est une question de gestion.

Ce que j'ai appris à mieux comprendre au cours des dernières années, c'est que les humains sont fondamentalement des créatures irrationnelles. Une fois que nous prenons une décision dans un domaine, nous nous y attachons émotionnellement et nous sommes rarement persuadés du contraire par des faits ou des données. Vous ne pouvez pas discuter ou prouver à votre patron une meilleure position.

Dans cet esprit, votre meilleure stratégie consiste à montrer à votre patron comment de meilleurs équipements et pratiques peuvent améliorer ses résultats en réduisant les coûts ou en augmentant les revenus et l'efficacité ailleurs. Il est trop tard pour jouer la carte d'atténuation des risques.