Aquí están mis pensamientos:
La gerencia rara vez comprende la tecnología y su lugar en los negocios. La mayoría de las veces, la administración tiene ideas erróneas sobre qué es la tecnología y cómo afecta a los negocios. Sí, es cierto que la mala gestión de la tecnología a menudo conduce a un gasto innecesario, pero una gestión adecuada aumenta drásticamente la productividad. El desperdicio generalmente ocurre cuando hay personas que piensan que entienden que la tecnología lo hace mal o por razones equivocadas.
- nos hemos enfrentado durante años sin problemas
Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.
- se puede confiar en los empleados
This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.
- si me fuera, nadie podría entender cómo funciona
This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.
- Los costos de instalación para el nuevo hardware y las licencias son altos en comparación con los $ 0 ahora.
This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.
En este punto, podría estar pensando: "Espere un minuto; la mayor parte de lo que está diciendo está a favor de la postura de mi jefe de no hacer lo que sugiero". Bueno, tienes 1/2 razón.
Aunque, técnicamente hablando; Mientras una solución esté estandarizada y las prácticas / políticas no sean abiertamente complejas / que consuman mucho tiempo, reemplazar al personal es tan simple como encontrar candidatos que tengan experiencia con esos estándares. Esto realmente no es un punto de discusión.
La otra mitad es que también necesita comprender el costo / beneficio de implementar la tecnología que desea. Podría y no podría valer la pena el gasto. No lo sabrá a menos que pueda pasar tiempo armando su propio análisis de costo / beneficio. Para hacer esto, debe considerar los costos (nota: estos son solo el comienzo de las preguntas que debe hacerse antes de acercarse nuevamente a su jefe):
- ¿Cuánto cuesta un servidor?
- ¿Cuántos servidores necesito?
- ¿Cuánto cuestan las licencias?
- ¿Cuántas licencias necesito?
- ¿podrá mi red manejar el cambio de ancho de banda debido al aumento del tráfico de una red de administración?
- ¿Necesito cambiar mi infraestructura?
- ¿Necesito cambiar alguno de mis sistemas de punto final para cumplir con un requisito mínimo para mi dominio?
- ¿sé cómo configurar mi propio dominio o necesito traer a un tercero para que me deje una solución llave en mano? y si es así, ¿cuánto costarán?
- ¿Cuántos problemas existen en el entorno y cuánto tiempo paso trabajando en ellos que podrían mitigarse, aliviarse o reducirse con la solución que propongo?
- ¿cuánto dinero se gasta trabajando en problemas que podrían mitigarse, aliviarse o reducirse con la solución que propongo (incluido el costo de mi tiempo, el costo del tiempo de inactividad de los empleados y el costo de la pérdida comercial real o potencial)?
Nuevamente, tenga en cuenta que las preguntas que propuse anteriormente no son exhaustivas. Hay más preguntas técnicas que podrían hacerse, que conducen a otras preguntas y así sucesivamente. Una vez que tenga todos esos números, determine lo siguiente:
- ¿La implementación de la tecnología realmente mitigará, aliviará o reducirá la cantidad de tiempo / dinero / esfuerzo dedicado a problemas recurrentes y problemáticos?
- ¿La implementación de la tecnología compensará negativamente el costo de afrontamiento / complacencia?
Una vez que pueda desarrollar un análisis de costo / beneficio adecuado, podrá acercarse mejor a su empleador con una solución adecuada, en lugar de una sugerencia infundada.
Según mi experiencia, el costo de implementar una infraestructura de administración centralizada y el costo del soporte continuo de dicha infraestructura es equivalente al costo de contratar a otro organismo para el departamento de TI (dependiendo del tamaño del entorno); al menos, con la implementación de una solución interna. Las soluciones en la nube y SaaS disponibles en la actualidad pueden compensar el costo de la infraestructura física y ahorrar algo de dinero, pero realmente depende del modelo comercial del departamento o de la empresa y las restricciones de seguridad.
Nota: si el costo de implementar una solución es más costoso que contratar a una persona a tiempo completo para que se ocupe de los problemas que se supone que debe resolver la solución, generalmente es más rentable contratar al organismo (dependiendo de la complejidad del problema que necesite ser mitigado, aliviado o reducido).
TL; DR: pase algún tiempo en relación con su jefe, aunque las cantidades en dólares en lugar de un elegante alfabeto de TI. Puede o no ayudar a su argumento, pero pase lo que pase, terminará aprendiendo más sobre cómo administrar su infraestructura de manera más eficiente.
Por último, si su conclusión es que la compañía necesita desesperadamente la solución, puede permitírsela y su jefe todavía no quiere hacer lo que usted dice por razones ilógicas por las que no puede negociar un término medio razonable, es hora de empacar sus cosas y encontrar un nuevo empleador. El tipo de empleadores que están de acuerdo en ser mediocres y no toman decisiones lógicas cuando se les presenta evidencia no es el tipo de empleadores con el que quieren quedarse; tienden a tomar malas decisiones y derribar a todos los que les rodean.
Actualización: 2015-10-11
Cálculo del costo del tiempo
Escenario: Un aspecto de cumplir con el cumplimiento de PCI DSS requiere que sus computadoras de punto final / POS estén actualizadas con parches (o que tengan un proceso de administración de parches).
Supongamos que gana $ 15 / hr USD o $ 31.200 / año USD, y para asegurarse de que los parches no rompan sus sistemas, debe parchear manualmente todos sus sistemas cada vez que salga un nuevo parche. Por simplicidad, digamos también una infraestructura de administración centralizada (Nota: esta es solo una vista simplificada; realmente depende de cómo estén interconectadas sus oficinas, si necesita redundancia y si tiene sentido tener un servidor en cada oficina o solo uno) le costará $ 11,000 por un servidor, $ 2,500 por la licencia del servidor y $ 2,500 por CAL y 80 horas para configurar un dominio y unir todas las computadoras al dominio; 80 hrs x $ 15 / hr = $ 1,200 (más si lo subcontratas a un proveedor local; highball es $ 120 / hr; entonces 80 hrs x $ 120 / hr = $ 9,600). Su infraestructura de gestión centralizada total podría se implementará por aproximadamente $ 17,200 a $ 25,600.
El martes parche ocurre cada 2do y 4to martes de cada mes. Si incluso se lanza un parche cada martes de parches, que requiere entre 15 minutos y 30 minutos para instalar y reiniciar, pasará al menos 1 hora cada mes parcheando 1 computadora; o 12 horas por año.
Ya está gastando: 12 horas x $ 15 = $ 180 por año en administración de parches para 1 computadora. Ahora, multiplique eso por las 50 computadoras que tiene (porque recuerde, no puede permitir que los sistemas se apliquen parches automáticamente, porque no sabe si los parches romperán las aplicaciones que tenga instaladas actualmente). Esto significa que está gastando más cerca de $ 180 / año x 50 computadoras = $ 9,000 en administración de parches. Eso es 28.85% de su salario y ...
- 15min x 50 computadoras = 750min o 12.5hrs o 1.56 días mínimo
- 30min x 50 computadoras = 1,500min o 25hrs o 3.13 días máximo
gastado en una tarea de baja categoría que puede ser gestionada por una infraestructura de gestión centralizada; probar un parche ahora se simplifica, solo en función del número de "imágenes" que tiene, donde una "imagen" es una copia base del sistema operativo y las aplicaciones que utiliza un grupo de sistemas. En este punto, solo está gastando 15-30 minutos por imagen, en lugar de 1,56-3,13 días. Esto no incluye el tiempo de viaje si es necesario ni incluye el desperdicio / espera de que la gente se baje de la computadora para que pueda hacer su trabajo.
Espera, $ 9,000 no parece justificar mi solicitud. Quizás, pero ¿ha considerado centralizar su solución de seguridad de punto final (antivirus, antimalware, etc.)? ¡Oh chico! ¡Eso es otros $ 9,000 si considera que las actualizaciones de punto final ocurren cada semana! Además, poder identificar qué sistemas están infectados con virus y señalar la computadora Y la persona es una GRAN victoria; ahora sabe qué grupos de personas necesita educar sobre la conciencia de seguridad de la información.
¡Espere! ¿Estás diciendo que todavía no es suficiente? ¿Oh? ¿Qué tal si ahora podemos implementar la Política de grupo para evitar que las personas hagan cosas que no deberían hacer? Eso debe valer un centavo en prevención de riesgos. Oh hombre, ¿estás diciendo que todavía no es suficiente? ¿Qué pasaría si le dijera que ahora puede formatear / formatear una imagen de forma remota y reinstalar un sistema sin tener que abandonar la oficina? ¡Oh chico! ¿No valdría eso algo? Eso es de 2 a 4 horas por sistema que está ahorrando; potencialmente 100-200 horas por período de actualización.
Entonces, ¿qué estoy implicando con mi información genérica de arriba? Bueno, potencialmente, podría ahorrar un mínimo de $ 18,000 al implementar un sistema de administración centralizado (Windows AD). Eso es más de la mitad del salario de un chico de TI que gana $ 15 / hora. $ 18,000 es más que el costo de la solución (bueno, mi solución básica; necesitará averiguar sus propios números reales), lo que significa que la solución se pagará sola con el tiempo; técnicamente, dentro de los 12 meses posteriores a la implementación.
Para empezar, estos números no tienen en cuenta ningún proyecto que pueda requerir tener una infraestructura de gestión centralizada. Para cada proyecto en el que necesitaba un Active Directory, ahora es 50 veces el tiempo que invirtió en implementarlo en un sistema multiplicado por su salario por hora en ahorros.
Esto tampoco tiene en cuenta la capacidad de implementar ahora la autenticación de usuario adecuada, el envejecimiento de la contraseña, los requisitos de complejidad de la contraseña y una serie de otras prácticas y políticas de gestión de riesgos que podrían ahorrarle mucho dinero a la empresa en caso de incumplimiento / intrusión o compromiso.
Ah, por cierto, siempre puedes lanzar requisitos de cumplimiento a las personas también. Solo por si acaso. No hay forma de que su empresa cumpla con PCI si las personas comparten contraseñas.
¿Tienes la idea ahora? Ahora, adelante.