Aqui estão os meus pensamentos:
A administração raramente entende a tecnologia e seu lugar nos negócios. Na maioria das vezes, a gerência tem conceitos errados sobre o que é a tecnologia e como ela afeta os negócios. Sim, é verdade que o mau gerenciamento da tecnologia geralmente leva a gastos desnecessários, mas o gerenciamento adequado aumenta drasticamente a produtividade. O desperdício geralmente acontece quando há pessoas que acham que entendem a tecnologia que fazem errado ou pelas razões erradas.
- lidamos há anos sem problemas
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
- funcionários podem ser confiáveis
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- se eu fosse embora, ninguém seria capaz de entender como isso funciona
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- Os custos de instalação para novo hardware e licenciamento são altos em comparação aos US $ 0 agora.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
Nesse ponto, você deve estar pensando: "Espere um pouco; a maior parte do que você está dizendo é a favor da posição do meu chefe de não fazer o que estou sugerindo". Bem, você está meio certo.
Embora, tecnicamente falando; contanto que uma solução seja padronizada e as práticas / políticas não sejam abertamente complexas / demoradas, substituir a equipe é tão simples quanto encontrar candidatos com experiência nesses padrões. Este realmente não é um ponto de discussão.
O outro 1/2 é que você precisa entender o custo / benefício de colocar também a tecnologia que deseja. Poderia e não valeria a pena a despesa. Você não saberá, a menos que possa gastar tempo montando sua própria análise de custo / benefício. Para fazer isso, é necessário considerar os custos (nota: estas são apenas o começo das perguntas que você deve fazer antes de apresentar sua abordagem ao seu chefe novamente):
- quanto custa um servidor?
- de quantos servidores eu preciso?
- quanto custa o licenciamento?
- de quantas licenças eu preciso?
- minha rede poderá lidar com a alteração da largura de banda devido ao aumento do tráfego de uma rede de gerenciamento?
- preciso alterar minha infraestrutura?
- preciso alterar algum dos meus sistemas de terminal para atender a um requisito mínimo para o meu domínio?
- sei como configurar meu próprio domínio ou preciso contratar um terceiro para descartar uma solução pronta para mim? e se sim, quanto eles custarão?
- quantos problemas existem no ambiente e quanto tempo gasto trabalhando neles que podem ser mitigados, aliviados ou reduzidos com a solução que estou propondo?
- quanto dinheiro está sendo gasto trabalhando em questões que podem ser mitigadas, aliviadas ou reduzidas com a solução que estou propondo (incluindo custo do meu tempo, custo do tempo de inatividade do funcionário e custo de perda de negócios real ou potencial)?
Novamente, lembre-se de que as perguntas que propus acima não são completas. Há mais perguntas técnicas que podem ser feitas, o que leva a outras perguntas e assim por diante. Depois de ter todos esses números, determine o seguinte:
- A implementação da tecnologia realmente mitigará, aliviará ou reduzirá a quantidade de tempo / dinheiro / esforço gasto em questões problemáticas recorrentes?
- A implementação da tecnologia compensará adversamente o custo de enfrentamento / complacência?
Depois de desenvolver uma análise de custo / benefício adequada, você poderá abordar melhor seu empregador com uma solução adequada, em oposição a uma sugestão infundada.
Com base na minha experiência, o custo da implementação de uma infraestrutura de gerenciamento centralizado e o custo do suporte contínuo dessa infraestrutura são equivalentes ao custo da contratação de outro órgão para o departamento de TI (dependendo do tamanho do ambiente); pelo menos, com a implementação de uma solução interna. As soluções de nuvem e SaaS disponíveis hoje podem compensar o custo da infraestrutura física e economizar algum dinheiro, mas isso realmente depende do modelo de negócios do departamento ou da empresa e das restrições de segurança.
Nota: se o custo de implementação de uma solução for mais caro do que contratar uma pessoa em período integral para lidar com os problemas que a solução deve resolver, geralmente será mais econômico contratar o corpo (dependendo da complexidade do problema que precisa ser resolvido) mitigados, aliviados ou reduzidos).
TL; DR: dedique algum tempo ao seu chefe, embora o valor em dólar seja diferente do alfabeto sofisticado de TI. Isso pode ou não ajudar seu argumento, mas aconteça o que acontecer, você acaba aprendendo mais sobre como gerenciar sua infraestrutura com mais eficiência.
Por fim, se sua conclusão é que a empresa precisa desesperadamente da solução, pode pagá-la, e seu chefe ainda não quer fazer o que você diz por razões ilógicas, não é possível negociar um meio termo razoável, é hora de arrumar suas coisas e encontre um novo empregador. O tipo de empregador que está bem sendo medíocre e não toma decisões lógicas quando apresentado com evidência não é o tipo de empregador que você deseja manter; eles tendem a tomar más decisões e derrubar todos ao seu redor.
Atualização: 11-10-2015
Cálculo do custo de tempo
Cenário: Um aspecto da conformidade com o PCI DSS exige que os computadores dos terminais / POS estejam atualizados com as correções (ou que tenham um processo de gerenciamento de correções).
Digamos que você ganhe US $ 15 / hora ou US $ 31.200 / ano e, para garantir que os patches não danifiquem seus sistemas, você deve corrigir manualmente todos os seus sistemas sempre que um novo patch for lançado. Por uma questão de simplicidade, digamos também uma infraestrutura de gerenciamento centralizada (Nota: essa é apenas uma visão simplificada; depende realmente de como seus escritórios estão interconectados, se você precisa de redundância e se faz sentido ter um servidor em todos os escritórios) ou apenas um) custará US $ 11.000 para um servidor, US $ 2.500 para a licença do servidor e US $ 2.500 para CALs e 80 horas para configurar um domínio e associar todos os computadores ao domínio; 80 horas x US $ 15 / hora = US $ 1.200 (mais se você estiver terceirizando para um fornecedor local; highball é US $ 120 / hora; portanto, 80 horas x US $ 120 / hora = US $ 9.600). Sua infraestrutura total de gerenciamento centralizado pode ser implementado por aproximadamente US $ 17.200 a US $ 25.600.
A terça-feira de atualização ocorre toda segunda e quarta terça-feira de cada mês. Se houver até 1 patch lançado a cada terça-feira de patch, que requer algo entre 15 minutos e 30 minutos para instalar e reiniciar, você estará gastando pelo menos 1 hora por mês corrigindo 1 computador; ou 12 horas por ano.
Você já está gastando: 12 horas x US $ 15 = US $ 180 por ano em gerenciamento de patches para 1 computador. Agora, multiplique isso pelos 50 computadores que você possui (porque lembre-se, você não pode deixar os sistemas fazerem patches automaticamente, porque você não sabe se os patches quebrarão os aplicativos que você instalou atualmente). Isso significa que você gasta mais perto de US $ 180 / ano x 50 computadores = US $ 9.000 em gerenciamento de patches. Isso representa 28,85% do seu salário e ...
- 15min x 50 computadores = 750min ou 12,5hrs ou 1,56 dias no mínimo
- 30min x 50 computadores = 1.500min ou 25hrs ou 3,13 dias no máximo
gasto em uma tarefa servil que pode ser gerenciada por uma infraestrutura de gerenciamento centralizada; Agora, o teste de patches é simplificado, apenas com base no número de "imagens" que você possui, onde uma "imagem" é uma cópia básica do SO e dos aplicativos que um grupo de sistemas usa. Nesse momento, você está gastando apenas 15 a 30 minutos por imagem, em vez de 1,56 a 3,13 dias. Isso não inclui o tempo de viagem, se necessário, nem desperdiça / espera que as pessoas saiam do computador para que você possa fazer seu trabalho.
Espere, US $ 9.000 não parecem justificar minha solicitação. Talvez, mas você já pensou em centralizar sua solução de segurança de ponto final (antivírus, anti-malware, etc ...)? Oh garoto! Isso significa mais US $ 9.000 se você considerar que as atualizações do ponto final acontecem toda semana! Além disso, ser capaz de identificar quais sistemas estão infectados com vírus e apontar o computador E a pessoa é uma enorme vitória; agora você sabe quais grupos de pessoas você precisa educar sobre conscientização sobre segurança da informação.
Esperar! Você está dizendo que ainda não é suficiente? Oh? Que tal agora poder implementar a Diretiva de Grupo para impedir que as pessoas façam coisas que não deveriam? Isso deve valer um centavo na prevenção de riscos. Oh cara, você está dizendo que ainda não é suficiente? E se eu lhe disser que agora você pode remotamente criar uma imagem / formatar e reinstalar um sistema sem precisar sair do escritório !? Oh garoto! Isso não valeria alguma coisa? São de 2 a 4 horas por sistema que você está economizando; potencialmente 100-200 horas por período de atualização.
Então, o que estou implicando com minhas informações genéricas de cima? Bem, potencialmente, você pode economizar no mínimo US $ 18.000 implementando um sistema de gerenciamento centralizado (Windows AD). Isso equivale a mais da metade do salário de um profissional de TI que ganha US $ 15 / hora. $ 18.000 é mais do que o custo da solução (bem, minha solução básica; você precisará descobrir seus próprios números reais), o que significa que a solução se pagará ao longo do tempo; tecnicamente, dentro de 12 meses após a implementação.
Esses números não levam em consideração nenhum projeto que possa exigir a instalação de uma infraestrutura de gerenciamento centralizada. Para cada projeto em que você precisava de um Active Directory, agora é 50 vezes o tempo gasto na implementação do sistema em um sistema vezes o seu salário por hora em economia.
Isso também não leva em consideração a capacidade de implementar agora a autenticação adequada do usuário, o envelhecimento da senha, os requisitos de complexidade da senha e uma série de outras práticas e políticas de gerenciamento de risco que poderiam potencialmente economizar muito dinheiro para a empresa em caso de violação / invasão ou comprometer.
Ah, a propósito, você também pode sempre aplicar requisitos de conformidade às pessoas. Apenas por uma boa medida. Sua empresa não é compatível com PCI se as pessoas estiverem compartilhando senhas.
Obtenha a ideia agora? Agora, consiga.