Voici mes pensées:
La direction comprend très rarement la technologie et sa place dans l'entreprise. La plupart du temps, la direction a des idées fausses sur ce qu'est la technologie et comment elle affecte les entreprises. Oui, il est vrai que la mauvaise gestion de la technologie entraîne souvent des dépenses inutiles, mais une bonne gestion augmente considérablement la productivité. Le gaspillage se produit généralement lorsque des personnes qui pensent comprendre la technologie le font mal ou pour de mauvaises raisons.
- nous avons fait face pendant des années sans problème
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
- on peut faire confiance aux employés
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- si je partais, personne ne pourrait comprendre comment cela fonctionne
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- Les coûts d'installation du nouveau matériel et des licences sont élevés par rapport au 0 $ actuellement.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
À ce stade, vous pensez peut-être: "Attendez une minute; la plupart de ce que vous dites est en faveur de la position de mon patron de ne pas faire ce que je suggère." Eh bien, vous avez 1/2 raison.
Bien que, techniquement parlant; tant qu'une solution est normalisée et que les pratiques / politiques ne sont pas trop complexes / prennent trop de temps, le remplacement du personnel est aussi simple que de trouver des candidats qui ont de l'expérience avec ces normes. Ce n'est vraiment pas un argument.
L'autre 1/2 est que vous devez également comprendre le coût / avantage de la mise en place de la technologie que vous souhaitez. Cela pouvait et ne pouvait pas valoir la peine. Vous ne le saurez que si vous pouvez passer du temps à préparer votre propre analyse coûts / avantages. Pour ce faire, vous devez considérer les coûts (remarque: ce ne sont que le début des questions que vous devez vous poser avant de présenter à nouveau votre approche à votre patron):
- combien coûte un serveur?
- de combien de serveurs ai-je besoin?
- combien coûte la licence?
- de combien de licences ai-je besoin?
- mon réseau pourra-t-il gérer le changement de bande passante en raison de l'augmentation du trafic provenant d'un réseau de gestion?
- dois-je changer mon infrastructure?
- dois-je changer l'un de mes systèmes d'extrémité pour répondre à une exigence minimale pour mon domaine?
- puis-je savoir comment configurer mon propre domaine ou dois-je faire appel à un tiers pour déposer une solution clé en main pour moi? et si oui, combien coûteront-ils?
- combien de problèmes existent dans l'environnement et combien de temps est-ce que je passe à travailler sur eux qui pourraient être atténués, soulagés ou réduits avec la solution que je propose?
- combien d'argent est dépensé pour travailler sur des problèmes qui pourraient être atténués, soulagés ou réduits avec la solution que je propose (y compris le coût de mon temps, le coût des temps d'arrêt des employés et le coût de la perte d'entreprise réelle ou potentielle)?
Encore une fois, gardez à l'esprit que les questions que j'ai proposées ci-dessus ne sont pas exhaustives. Il y a des questions plus techniques qui pourraient être posées, qui mènent à d'autres questions et ainsi de suite, etc. Une fois que vous avez tous ces numéros, déterminez ce qui suit:
- La mise en œuvre de la technologie atténuera-t-elle, soulagera-t-elle ou réduira-t-elle vraiment le temps / argent / effort consacré à des problèmes récurrents?
- La mise en œuvre de la technologie compensera-t-elle négativement le coût de l'adaptation / la complaisance?
Une fois que vous êtes en mesure de développer une analyse coûts / avantages appropriée, vous serez mieux en mesure d'approcher votre employeur avec une solution appropriée, par opposition à une suggestion non fondée.
Sur la base de mon expérience, le coût de mise en œuvre d'une infrastructure de gestion centralisée et le coût du support continu de ladite infrastructure sont équivalents au coût d'embauche d'un autre organisme pour le service informatique (en fonction de la taille de l'environnement); au moins, avec la mise en œuvre d'une solution interne. Les solutions cloud et SaaS disponibles aujourd'hui peuvent compenser le coût de l'infrastructure physique et économiser de l'argent, mais cela dépend vraiment du modèle commercial du département ou de l'entreprise et des contraintes de sécurité.
Remarque: si le coût de mise en œuvre d'une solution est plus cher que l'embauche d'une personne à temps plein pour traiter les problèmes que la solution est censée résoudre, il est généralement plus rentable d'embaucher le corps (selon la complexité du problème à résoudre). atténuée, soulagée ou réduite).
TL; DR: passez du temps avec votre patron à travers des montants en dollars par opposition à un alphabet informatique sophistiqué. Cela peut ou non aider votre argument, mais quoi qu'il arrive, vous finissez par en apprendre davantage sur la façon de gérer votre infrastructure plus efficacement.
Enfin, si votre conclusion est que l'entreprise a désespérément besoin de la solution, qu'elle peut se le permettre et que votre patron ne veut toujours pas faire ce que vous dites pour des raisons illogiques, vous ne pouvez pas négocier un compromis raisonnable, il est temps de préparer vos affaires et trouver un nouvel employeur. Le type d'employeurs qui sont OK étant médiocres et ne prennent pas de décisions logiques lorsqu'ils sont présentés avec des preuves ne sont pas le type d'employeurs avec lequel vous voulez rester; ils ont tendance à prendre de mauvaises décisions et à abattre tout le monde autour d'eux.
Mise à jour: 2015-10-11
Calcul du coût du temps
Scénario: Un aspect de la conformité PCI DSS nécessite que vos ordinateurs d'extrémité / POS soient à jour avec les correctifs (ou aient un processus de gestion des correctifs en place).
Disons que vous gagnez 15 $ / h USD ou 31 200 USD / an USD, et pour vous assurer que les correctifs ne cassent pas vos systèmes, vous devez corriger manuellement tous vos systèmes chaque fois qu'un nouveau correctif sort. Par souci de simplicité, disons également une infrastructure de gestion centralisée (Remarque: il s'agit simplement d'une vue simplifiée; cela dépend vraiment de la façon dont vos bureaux sont interconnectés, si vous avez besoin de redondance, et s'il est logique ou non d'avoir un serveur dans chaque bureau ou un seul) vous coûtera 11 000 $ pour un serveur, 2 500 $ pour la licence serveur et 2 500 $ pour les licences d'accès client et 80 heures pour configurer un domaine et joindre tous les ordinateurs au domaine; 80 heures x 15 $ / heure = 1200 $ (plus si vous l'externalisez chez un fournisseur local; le highball est de 120 $ / heure; donc 80 heures x 120 $ / heure = 9600 $). Votre infrastructure de gestion centralisée totale pourrait être mis en place pour environ 17 200 $ à 25 600 $.
Patch Tuesday se produit tous les 2e et 4e mardi de chaque mois. S'il y a même 1 patch publié chaque Patch Tuesday, qui nécessite entre 15 min et 30 min pour installer et redémarrer, vous passez au moins 1 heure par mois à patcher 1 ordinateur; ou 12 heures par an.
Déjà, vous dépensez: 12 heures x 15 $ = 180 $ par an sur la gestion des correctifs pour 1 ordinateur. Maintenant, multipliez cela par les 50 ordinateurs que vous avez (car rappelez-vous, vous ne pouvez pas laisser les systèmes patcher automatiquement, car vous ne savez pas si les correctifs vont casser les applications que vous avez actuellement installées). Cela signifie que vous dépensez près de 180 $ / an x 50 ordinateurs = 9 000 $ pour la gestion des correctifs. C'est 28,85% de votre salaire et ...
- 15min x 50 ordinateurs = 750min ou 12,5 heures ou 1,56 jours minimum
- 30 min x 50 ordinateurs = 1 500 min ou 25 h ou 3,13 jours maximum
consacré à une tâche subalterne qui peut être gérée par une infrastructure de gestion centralisée; tester un correctif est maintenant simplifié, uniquement en fonction du nombre "d'images" que vous avez, où une "image" est une copie de base du système d'exploitation et des applications qu'un groupe de systèmes utilise. À ce stade, vous ne dépensez que 15 à 30 minutes par image, contre 1,56 à 3,13 jours. Cela n'inclut pas le temps de déplacement si cela est nécessaire, ni le gaspillage / l'attente de la descente de l'ordinateur pour que vous puissiez faire votre travail.
Attendez, 9 000 $ ne semblent pas justifier ma demande. Peut-être, mais avez-vous envisagé de centraliser votre solution de sécurité des terminaux (anti-virus, anti-malware, etc ...)? Oh mec! Cela représente 9 000 $ supplémentaires si vous pensez que les mises à jour finales ont lieu chaque semaine! De plus, être en mesure d'identifier les systèmes infectés par des virus et de localiser l'ordinateur ET la personne est une énorme victoire; vous savez maintenant quels groupes de personnes vous devez éduquer sur la sensibilisation à la sécurité de l'information.
Attendez! Vous dites que ce n'est toujours pas suffisant? Oh? Que diriez-vous maintenant de pouvoir mettre en œuvre la stratégie de groupe pour empêcher les gens de faire des choses qu'ils ne devraient pas faire? Ça doit valoir un sou pour la prévention des risques. Oh mec, tu dis que ce n'est toujours pas suffisant? Et si je vous disais que vous pouvez maintenant l'image / formatage à distance et réinstaller un système sans jamais avoir à quitter le bureau!? Oh mec! Cela ne vaudrait-il pas quelque chose? Cela représente 2 à 4 heures par système que vous économisez; potentiellement 100-200 heures par période de rafraîchissement.
Alors, qu'est-ce que j'implique avec mes informations génériques d'en haut? Eh bien, vous pourriez potentiellement économiser 18 000 $ minimum en implémentant un système de gestion centralisé (Windows AD). C'est plus de la moitié du salaire d'un informaticien qui gagne 15 $ / heure. 18 000 $, c'est plus que le coût de la solution (enfin, ma solution de base; vous devrez déterminer vos propres chiffres réels), ce qui signifie que la solution sera rentabilisée au fil du temps; techniquement, dans les 12 mois suivant la mise en œuvre.
Ces chiffres ne prennent pas en compte les projets qui pourraient nécessiter au départ une infrastructure de gestion centralisée. Pour chaque projet en cours pour lequel vous aviez besoin d'un Active Directory, il s'agit désormais d'un système 50 fois plus long que vous avez passé à mettre en œuvre un système it-on-one multiplié par votre salaire horaire en économies.
Cela ne prend pas non plus en compte la capacité de mettre en œuvre maintenant une authentification appropriée des utilisateurs, le vieillissement des mots de passe, les exigences de complexité des mots de passe et une multitude d'autres pratiques et politiques de gestion des risques qui pourraient potentiellement faire économiser beaucoup d'argent à l'entreprise en cas de violation / intrusion. ou compromis.
Oh, au fait, vous pouvez également toujours imposer des exigences de conformité aux gens. Juste pour faire bonne mesure. Il n'y a aucun moyen que votre entreprise soit conforme PCI si les gens partagent des mots de passe.
Vous avez l'idée maintenant? Maintenant, allez-y.