我在一家中小型零售商工作,该店拥有六家高街商店和一个网站。
IT 状况目前处于非常基础的状态。由于“IT 主管”只是我工作职责的一小部分,而且排在最后,所以我无法像自己希望的那样投入大量时间。
我们的网络上有大约 50 台计算机和 14 台 Windows 收银机(总部内有 30 台,外部商店、仓库和笔记本电脑有 20 台)。所有这些都建立在工作组网络上,所有站点都通过非常基本的路由器级 VPN 设置连接在一起,每个商店都有子网。
因此我无法管理任何事情,无法检查计算机是否安全、无法进行任何审核、无法确保安装了更新、无法管理访客设备的 Wi-Fi 或无法检查任何事情。
我真的很想要一个域名,但是告诉我的老板后,他说这不值得,因为:
- 我们已经与工作组合作多年,没有任何问题
- 员工值得信赖
- 如果出现问题时我离开了或者不在,那么就没有人能够理解它是如何工作的
- 新硬件的安装成本和域许可成本非常高。(我们目前只购买预装的 OEM Windows PC 和零星的零售 Office 许可证)
- 由于域是集中管理的,如果发生重大问题,可能会导致所有计算机停止工作。(与工作组不同,如果只有一台计算机死机,其他一切都会正常,不会影响其他人的工作。)
我不知道如何强调我们没有域名,安全问题有多么严重。只要连接到我们的 Wi-Fi,任何人都可以访问内容,任何人都可以从任何 PC 访问内容,因为用户没有安装密码,任何人都可以查看共享文件夹,并且可以删除共享文件夹,而无需显示或备份任何日志。我不确定我们的 PCI 合规性如何,或者我们是否符合审计师的要求。有人告诉我不要理会这个,不用担心。
由于我的职位描述是“内部 IT 基础设施主管”,所以如果我们发生数据泄露或遇到法律诉讼,我也不想被追究责任。
我如何表明事情需要改变,我需要为此花费时间和额外的金钱?对于我们这样规模的公司,也许需要一名全职网络管理员。还是我太想太多了,太自私了,我真正想要的是什么,一个工作组就足够了?
更新:听起来我可能暂时搁置域名的想法,只尝试一些小事情。例如,确保更新、病毒扫描和防火墙已打开,确保个人电脑上启用密码,在每台机器上启用备份,在有服务器的房间上安装物理锁。我不确定如何处理网络范围内的文件共享和 Wi-Fi,但这是另一个问题!
答案1
这不是一个 IT 技术的答案,但希望仍然有用。
从多年的经验来看,你无法说服你的老板做一切不同。主要原因是他他是老板,而你只是他的下属。你不适合推动根本性变革。
你能接受非常预算总是过于紧张,问题不是通过简明的规划和巧妙使用工具来解决,而是通过大量劳动力来解决?这正是您所期待的前景。您的老板多年来一直以这种方式经营他的商店。业务不断发展壮大,因此该策略奏效了。您是谁,竟敢质疑他的商业决策和策略?
如果你想给一个组织带来改变,这个组织必须要求你这样做任何改变都会付出代价,管理层必须认为这是值得的。你需要管理层的支持来克服阻力和惰性。如果你能找到一位老板愿意听取的顾问,这可能是一条更有希望的路,而不是浪费你(和你老板)的时间和精力去说服他做他告诉你他不想做的事情。
如果我处于你的位置,我可能会开始寻找一份新工作。
答案2
你需要关注它如何帮助他们,而不是你“想要”什么。
- 我们已经应对多年了,没有出现任何问题
你现在不想开始!最近发生了多起数据泄露事件,包括目标,家得宝等等。家得宝花费4300万美元仅在一个季度内就解决了数据泄露问题。Target 已支付1000万美元在一个定居点。 IBM 的一项研究发现,数据泄露的平均成本为 380 万美元. 被攻击的代价是昂贵的。
- 员工值得信赖
这显然是错误的。 员工盗窃每年给公司造成约 180 亿美元的损失。
- 如果我离开了,就没有人能理解它是如何运作的
这就是为什么您要使用标准的最佳实践而不是现在的奇怪设置。
- 与现在的 0 美元相比,新硬件和许可的安装成本很高。
与安全漏洞相比,新硬件和许可的安装成本非常便宜。
此外,如果“IT 主管”只是您工作职责的一小部分,那么记录您在 IT 上花费的时间可能对您有帮助,而您本可以将这些时间花在其他职责上。这也会让他们损失金钱。
尽管如此,我担心 the-wabbit 是对的。那些不懂 IT 并认为 IT 只是一项愚蠢的开支,用于他们不需要的东西的人很难被说服。我不会告诉你去找份新工作,因为几个月前 meta 上有一篇帖子说我们过于强调“找份新工作”的建议,但我对贵公司并不乐观。
我会采取渐进的方式——找到一些相对容易实现且大有帮助的方法,并提出理由。你可以从那里开始。
答案3
对于“您符合 PCI 标准的程度”,答案是“不太符合”(根据评论编辑)。如果收银机本身不保存任何数据,您的 CC 终端可能没问题。
现在来分析一下“不值得”的列表……
我们已经应对多年,没有出现任何问题
这也许是真的,但问题在于观念。这将是你最大的障碍。
员工值得信赖
嗯,不。他们不能。对我来说,这表明你的老板对组织中的损失一无所知。更重要的是,这是零售其中损失通常得到严格管理,或至少可以理解。
如果我离开,就没人能理解它是如何运作的
这完全是错误的。没有人可以进来今天并弄清楚发生了什么,因为没有任何东西加入到域中,等等。至少对 Active Directory 和 OU 结构有基本了解的管理员比比皆是。
与现在的 0 美元相比,新硬件和许可的安装成本很高。
他们究竟从哪里得到这样的印象:他的成本现在为 0 美元?IT 组织的成本永远不是零。显然事情并非如此占,但这并不意味着成本为零。
如果你的老板需要说服,就给他们一份上个月被入侵的公司清单。你可以打赌,名单上的任何大公司确实努力解决这些问题,但仍然被入侵。
在这种情况下,老板似乎很乐意掩盖所有担忧(信任员工、安全、合规等),只要钱源源不断。从专业角度来说,这对组织中的每个人来说都是一个不稳定的局面。
答案4
你说你的工作之一是“IT 主管”,但你的老板却对 IT 决策指手画脚。问问你自己和你的老板,你在哪些方面才是真正的“IT 主管”?他应该给你一个 IT 预算,让你决定如何使用它。如果他没有授权,你就什么都不是。
由于这只是你的职责之一,你可以考虑放弃它,将责任交给你的老板。如果他坚持要求你负责,但没有给你预算或工具来完成你的工作,那么就离开,并(如果你生活在一个文明的司法管辖区)将他告上就业法庭,要求他进行建设性解雇。
简而言之,这实际上不是一个IT问题,而是一个管理问题。