Làm cách nào để thuyết phục công ty của tôi đầu tư vào CNTT - tên miền, bảo mật, v.v.?

Tôi làm việc cho một nhà bán lẻ cỡ vừa có nửa tá cửa hàng trên phố và một trang web.

Tình hình CNTT hiện đang ở trạng thái rất cơ bản. Vì là "Trưởng phòng CNTT" chỉ là một phần nhỏ trong bản mô tả công việc của tôi và là phần cuối cùng trong danh sách, tôi không thể dành nhiều thời gian cho nó như tôi muốn.

Chúng tôi có khoảng 50 máy tính và 14 máy tính Windows trên mạng của chúng tôi (30 bên trong trụ sở chính, 20 cửa hàng bên ngoài, kho bãi và máy tính xách tay). Đây là tất cả được xây dựng trên mạng Workgroup và tất cả các trang web được kết nối với nhau qua thiết lập VPN cấp bộ định tuyến rất cơ bản với các mạng con cho mỗi cửa hàng.

Do đó, tôi không thể quản lý mọi thứ, kiểm tra máy tính có an toàn không, thực hiện kiểm toán, đảm bảo các bản cập nhật được cài đặt, quản lý Wi-Fi cho các thiết bị của khách hoặc kiểm tra mọi thứ.

Tôi thực sự muốn một tên miền và, nhưng sau khi nói với sếp của mình, anh ta nói rằng nó không xứng đáng như:

• Chúng tôi đã đối phó trong nhiều năm với một nhóm làm việc mà không có vấn đề gì
• Nhân viên có thể được tin tưởng
• Nếu tôi rời đi hoặc không có sẵn khi một cái gì đó bị phá vỡ, thì không ai có thể hiểu làm thế nào nó hoạt động
• Chi phí thiết lập cho phần cứng mới và cấp phép cho một tên miền là rất cao. (Hiện tại chúng tôi chỉ mua OEM Windows PC dựng sẵn và sau đó là giấy phép Office bán lẻ lẻ)
• Vì các miền được quản lý tập trung, nếu xảy ra sự cố lớn, nó có thể ngăn tất cả các máy tính hoạt động. (Không giống như một nhóm làm việc trong đó nếu chỉ một máy tính chết thì mọi thứ khác đều ổn và không ảnh hưởng đến công việc của người khác.)

Tôi không biết làm thế nào để nhấn mạnh các khía cạnh bảo mật nghiêm trọng đến mức chúng tôi không có tên miền. Bất cứ ai cũng có thể truy cập nội dung nếu họ kết nối với Wi-Fi của chúng tôi, bất kỳ ai cũng có thể truy cập nội dung từ bất kỳ PC nào vì người dùng không cài đặt mật khẩu, mọi người có thể xem các thư mục chung và xóa mà không có nhật ký để hiển thị hoặc sao lưu. Tôi không chắc chúng tôi tuân thủ PCI như thế nào hoặc nếu chúng tôi tuân thủ kiểm toán viên. Tôi đã nói để bỏ qua điều này và không phải lo lắng.

Vì "Trưởng phòng Cơ sở hạ tầng CNTT nội bộ" nằm trong bản mô tả công việc của tôi, tôi cũng không muốn phải chịu trách nhiệm nếu chúng tôi vi phạm dữ liệu hoặc một vụ kiện pháp lý chống lại chúng tôi.

Làm thế nào tôi có thể chỉ ra rằng mọi thứ cần phải thay đổi và thời gian và tiền bạc của tôi cần phải được dành cho việc này? Đối với một công ty có quy mô của chúng tôi, có lẽ sẽ cần một quản trị viên mạng toàn thời gian. Hay tôi đang lật đổ mọi thứ và rất ích kỷ cho những gì tôi thực sự muốn và một nhóm làm việc sẽ ổn thôi?

Cập nhật: Có vẻ như tôi có thể giữ ý tưởng về một tên miền trên ổ ghi lại và chỉ thử một số thứ nhỏ hơn. Ví dụ: đảm bảo cập nhật, quét vi-rút và tường lửa được bật, đảm bảo mật khẩu được bật trên từng PC, bật sao lưu trên mọi máy, khóa vật lý trên các phòng có máy chủ. Tôi không biết phải làm gì về chia sẻ tệp trên toàn mạng và Wi -Fi, nhưng đó là một câu hỏi khác!

Đây sẽ không phải là một câu trả lời công nghệ CNTT, nhưng hy vọng dù sao cũng hữu ích.

Nói từ nhiều năm kinh nghiệm, bạn sẽ không thể thuyết phục sếp làm mọi thứ khác đi. Lý do chính cho việc này là anh ta là ông chủ trong khi bạn chỉ là cấp dưới của anh ta. Bạn đang ở sai vị trí để đẩy những thay đổi cơ bản.

Bạn có thể sống với viễn cảnh rất thay đổi dần với ngân sách luôn quá chặt chẽ và các vấn đề giải quyết bằng số lượng tuyệt đối của lao động thay vì kế hoạch súc tích và sử dụng thông minh các công cụ? Đây chính xác là viễn cảnh bạn đang nhìn. Sếp của bạn đã điều hành cửa hàng của mình theo cách này trong nhiều năm. Các doanh nghiệp đã phát triển và phát triển mạnh, vì vậy chiến lược đã được thực hiện. Bạn là ai để đặt câu hỏi về quyết định và chiến lược kinh doanh của anh ấy?

Nếu bạn muốn mang lại sự thay đổi cho một tổ chức, tổ chức đó phải yêu cầu bạn thực hiện nó . Mọi thay đổi sẽ đến với chi phí phải được ban quản lý xem là xứng đáng. Bạn cần sự hỗ trợ của ban quản lý để vượt qua sự kháng cự và quán tính liên quan. Nếu bạn có thể tìm một chuyên gia tư vấn mà sếp của bạn sẽ lắng nghe, đó có thể là một con đường hứa hẹn hơn là lãng phí thời gian và sức lực của bạn (và của sếp) để thuyết phục anh ấy vào điều mà anh ấy nói với bạn rằng anh ấy không muốn làm.

Nếu tôi ở trong đôi giày của bạn, có lẽ tôi sẽ bắt đầu tìm kiếm một công việc mới.

Bạn cần tập trung vào cách nó giúp họ, chứ không phải vào những gì bạn "muốn".

• chúng tôi đã đối phó trong nhiều năm mà không có vấn đề gì

Và bạn không muốn bắt đầu ngay bây giờ! Gần đây đã có một số vi phạm dữ liệu, bao gồm Target , Home Depot , v.v. Home Depot đã chi 43.000.000 đô la cho việc vi phạm dữ liệu chỉ trong một quý. Mục tiêu đã trả 10.000.000 đô la trong một khu định cư. Một nghiên cứu của IBM cho thấy vi phạm dữ liệu trung bình có giá 3,8 triệu đô la . Bắt pwned là đắt tiền.

• nhân viên có thể được tin tưởng

Điều này là sai lầm. Nhân viên trộm cắp chi phí khoảng 18 tỷ đô la một năm .

• nếu tôi rời đi thì không ai có thể hiểu nó hoạt động như thế nào

Đây là lý do tại sao bạn sẽ sử dụng các thực tiễn tốt nhất, tiêu chuẩn thay vì các thiết lập kỳ lạ mà bạn có bây giờ.

• Chi phí thiết lập cho phần cứng và cấp phép mới cao so với $ 0 bây giờ.

Chi phí thiết lập cho phần cứng và cấp phép mới rất rẻ so với các vi phạm bảo mật.

Ngoài ra, nếu "Trưởng phòng CNTT" chỉ là một phần nhỏ trong bản mô tả công việc của bạn, thì có thể giúp chứng minh rằng bạn dành nhiều thời gian hơn cho CNTT khi bạn có thể dành nó cho các nhiệm vụ khác của mình. Điều đó cũng làm họ mất tiền.

Tất cả những gì đã nói: Tôi sợ-wợi là đúng. Những người không nhận được CNTT và nghĩ rằng đó chỉ là một chi phí ngu ngốc cho những thứ họ không cần là rất khó để thuyết phục. Tôi sẽ dừng việc nói với bạn rằng hãy kiếm một công việc mới bởi vì vài tháng trước có một chủ đề trên meta nói rằng chúng tôi đang đưa ra lời khuyên "nhận một công việc mới" trên một chút dày, nhưng tôi không lạc quan về bạn Công ty.

Tôi sẽ đi theo con đường gia tăng - tìm một thứ tương đối dễ thực hiện sẽ giúp ích rất nhiều - và tạo ra một trường hợp cho nó. Bạn có thể đi từ đó.

Câu trả lời cho "bạn tuân thủ PCI" như thế nào là Không Rất (được chỉnh sửa dựa trên nhận xét). Thiết bị đầu cuối CC của bạn có thể ổn nếu bản thân họ không giữ bất kỳ dữ liệu nào.

Bây giờ để chọn ra danh sách "không đáng" ...

Chúng tôi đã đối phó trong nhiều năm mà không có vấn đề gì

Điều này cũng có thể đúng, nhưng vấn đề là nhận thức. Đây sẽ là trở ngại lớn nhất của bạn.

Nhân viên có thể được tin tưởng

Ồ không. Họ không thể. Đối với tôi, điều này minh họa rằng ông chủ của bạn đang thờ ơ với những mất mát trong tổ chức. Moreso, đây là bán lẻ , nơi tổn thất thường được quản lý chặt chẽ, hoặc ít nhất là được hiểu.

Nếu tôi rời đi, thì không ai có thể hiểu nó hoạt động như thế nào

Điều này là hoàn toàn không chính xác. Không ai có thể đến hôm nay và hiểu được chuyện gì đang xảy ra, bởi vì không có gì được tham gia vào một miền, v.v. Quản trị viên ít nhất có hiểu biết cơ bản về cấu trúc Active Directory và OU là rất nhiều.

Chi phí thiết lập cho phần cứng và cấp phép mới cao so với $ 0 bây giờ.

Ở đâu trên trái đất họ có ấn tượng rằng chi phí của anh ta là $ 0 bây giờ? Chi phí không bao giờ, không bao giờ bằng không trong một tổ chức CNTT. Rõ ràng mọi thứ không được tính , nhưng điều này không có nghĩa là chi phí bằng không.

Nếu sếp của bạn cần thuyết phục, hãy đưa cho họ một danh sách các bài báo của các công ty đã bị vi phạm trong tháng trước. Bạn có thể đặt cược rằng bất kỳ tên tuổi lớn nào trong danh sách đó thực sự DID đều hoạt động để giải quyết những vấn đề này, nhưng vẫn bị xâm nhập.

Có vẻ như ông chủ trong tình huống này rất vui mừng khi phủ bóng lên tất cả các mối quan tâm (tin tưởng nhân viên, bảo mật, tuân thủ, v.v.) miễn là tiền vẫn tiếp tục. Nói một cách chuyên nghiệp, đây là một tình huống run rẩy cơ quan.

Đây là suy nghĩ của tôi:

Quản lý rất hiếm khi hiểu công nghệ và vị trí của nó trong kinh doanh. Hầu hết các lần, quản lý có quan niệm sai lầm về công nghệ là gì và nó ảnh hưởng đến kinh doanh như thế nào. Đúng, đúng là việc quản lý sai công nghệ thường dẫn đến chi tiêu lãng phí, nhưng quản lý đúng cách làm tăng năng suất đáng kể. Lãng phí thường xảy ra khi bạn có những người nghĩ rằng họ hiểu công nghệ làm sai hoặc vì những lý do sai.

• chúng tôi đã đối phó trong nhiều năm mà không có vấn đề gì

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

• nhân viên có thể được tin tưởng

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

• nếu tôi rời đi thì không ai có thể hiểu nó hoạt động như thế nào

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

• Chi phí thiết lập cho phần cứng và cấp phép mới cao so với $ 0 bây giờ.

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

Tại thời điểm này, bạn có thể nghĩ, "Đợi một chút; hầu hết những gì bạn nói là có lợi cho lập trường của sếp tôi về việc không làm những gì tôi đề nghị." Chà, bạn đúng 1/2.

Mặc dù, về mặt kỹ thuật; miễn là một giải pháp được chuẩn hóa và các thông lệ / chính sách không quá phức tạp / tốn thời gian, việc thay thế nhân viên cũng đơn giản như tìm kiếm các ứng viên có kinh nghiệm với các tiêu chuẩn đó. Đây thực sự không phải là một điểm tranh cãi.

1/2 còn lại là bạn cần phải hiểu chi phí / lợi ích của việc đưa công nghệ bạn muốn vào vị trí. Nó có thể và nó không thể có giá trị chi phí. Bạn sẽ không biết trừ khi bạn có thể dành thời gian tập hợp phân tích chi phí / lợi ích của riêng bạn. Để làm điều này, bạn cần xem xét các chi phí (lưu ý: đây chỉ là khởi đầu của những câu hỏi bạn nên tự hỏi mình trước khi bạn tiếp cận lại với sếp của bạn):

• Máy chủ giá bao nhiêu?
• Tôi cần bao nhiêu máy chủ?
• Cấp phép bao nhiêu?
• Tôi cần bao nhiêu giấy phép?
• mạng của tôi có thể xử lý thay đổi băng thông do lưu lượng truy cập tăng từ mạng quản lý không?
• Tôi có cần thay đổi cơ sở hạ tầng của mình không?
• Tôi có cần thay đổi bất kỳ hệ thống đầu cuối nào để đáp ứng yêu cầu tối thiểu cho miền của mình không?
• Tôi có biết cách thiết lập tên miền của riêng mình không hoặc tôi có cần mang đến bên thứ 3 để bỏ giải pháp chìa khóa trao tay cho tôi không? và nếu vậy, họ sẽ có giá bao nhiêu?
• có bao nhiêu vấn đề tồn tại trong môi trường và tôi dành bao nhiêu thời gian để xử lý chúng có thể được giảm thiểu, giải tỏa hoặc giảm bớt với giải pháp tôi đang đề xuất?
• Bao nhiêu tiền đang được sử dụng cho các vấn đề có thể được giảm thiểu, giảm bớt hoặc giảm bớt với giải pháp mà tôi đề xuất (bao gồm chi phí thời gian của tôi, chi phí ngừng hoạt động của nhân viên và chi phí tổn thất kinh doanh thực tế hoặc tiềm năng)?

Một lần nữa, hãy nhớ rằng các câu hỏi tôi đề xuất ở trên không bao gồm tất cả. Có nhiều câu hỏi kỹ thuật có thể được hỏi, dẫn đến các câu hỏi khác và vv. Khi bạn có tất cả các số đó, hãy xác định các mục sau:

• Liệu việc thực hiện công nghệ có thực sự giảm thiểu, giảm bớt hoặc giảm lượng thời gian / tiền bạc / công sức dành cho các vấn đề có vấn đề tái diễn không?
• Sẽ thực hiện công nghệ bù đắp chi phí đối phó / tự mãn?

Khi bạn có thể phát triển một phân tích chi phí / lợi ích phù hợp, bạn sẽ có thể tiếp cận tốt hơn với chủ nhân của mình bằng một giải pháp phù hợp, trái ngược với một đề xuất vô căn cứ.

Dựa trên kinh nghiệm của tôi, chi phí thực hiện cơ sở hạ tầng quản lý tập trung và chi phí tiếp tục hỗ trợ cơ sở hạ tầng nói trên tương đương với chi phí thuê một cơ quan khác cho bộ phận CNTT (tùy thuộc vào quy mô môi trường); ít nhất, với việc thực hiện một giải pháp nội bộ. Các giải pháp đám mây và SaaS hiện có có thể bù đắp chi phí cho cơ sở hạ tầng vật lý và tiết kiệm một số tiền, nhưng nó thực sự phụ thuộc vào mô hình kinh doanh của bộ phận hoặc công ty và các ràng buộc bảo mật.

Lưu ý: nếu chi phí thực hiện giải pháp tốn kém hơn so với việc thuê một người làm việc toàn thời gian để giải quyết các vấn đề mà giải pháp được cho là phải giải quyết, thì việc thuê cơ thể sẽ hiệu quả hơn về chi phí (tùy thuộc vào mức độ phức tạp của vấn đề cần được giảm nhẹ, giảm bớt hoặc giảm bớt).

TL; DR: dành một chút thời gian liên quan đến sếp của bạn mặc dù số tiền đô la trái ngược với bảng chữ cái CNTT ưa thích. Nó có thể hoặc không thể giúp bạn tranh luận, nhưng bất cứ điều gì xảy ra, cuối cùng bạn cũng học được nhiều hơn về cách quản lý cơ sở hạ tầng của mình hiệu quả hơn.

Cuối cùng, nếu kết luận của bạn là công ty rất cần giải pháp, có thể chi trả được và sếp vẫn không muốn làm những gì bạn nói vì những lý do phi logic, bạn không thể thương lượng hợp lý, đã đến lúc đóng gói đồ đạc của bạn và tìm một chủ nhân mới. Loại nhà tuyển dụng ổn, tầm thường và không đưa ra quyết định hợp lý khi đưa ra bằng chứng không phải là loại nhà tuyển dụng mà bạn muốn gắn bó; họ có xu hướng đưa ra quyết định tồi và đưa mọi người xung quanh xuống.

Cập nhật: 2015-10-11

Tính chi phí thời gian

Kịch bản: Một khía cạnh của việc đáp ứng tuân thủ PCI DSS yêu cầu máy tính điểm cuối / POS của bạn phải cập nhật với các bản vá (hoặc có quy trình quản lý bản vá).

Giả sử bạn kiếm được $ 15 / giờ USD hoặc $ 31,200 / năm USD và để đảm bảo các bản vá không phá vỡ hệ thống của bạn, bạn phải tự vá tất cả các hệ thống của mình mỗi khi bản vá mới xuất hiện. Để đơn giản, hãy giả sử một cơ sở hạ tầng quản lý tập trung (Lưu ý: đây chỉ là một chế độ xem đơn giản; nó thực sự phụ thuộc vào cách các văn phòng của bạn được kết nối với nhau, bạn có cần dự phòng hay không và có hợp lý không khi có máy chủ trong mỗi văn phòng hoặc chỉ một) sẽ tiêu tốn của bạn 11.000 đô la cho một máy chủ, 2.500 đô la cho giấy phép máy chủ và 2.500 đô la cho CAL và 80 giờ để thiết lập một tên miền và tham gia tất cả các máy tính vào miền; 80 giờ x $ 15 / giờ = $ 1.200 (nhiều hơn nếu bạn thuê ngoài cho nhà cung cấp địa phương; highball là $ 120 / giờ; vì vậy 80 giờ x $ 120 / giờ = $ 9.600). Tổng số cơ sở hạ tầng quản lý tập trung của bạn có thể được đặt ở vị trí khoảng $ 17,200 đến $ 25,600.

Patch thứ ba xảy ra vào mỗi thứ 2 và thứ 4 hàng tháng. Nếu thậm chí có 1 bản vá được phát hành vào mỗi Thứ ba Bản vá, yêu cầu bất kỳ nơi nào trong khoảng từ 15 phút đến 30 phút để cài đặt và khởi động lại, bạn sẽ dành ít nhất 1 giờ mỗi tháng để vá 1 máy tính; hoặc 12 giờ mỗi năm.

Bạn đã chi tiêu: 12 giờ x $ 15 = $ 180 mỗi năm cho việc quản lý bản vá cho 1 máy tính. Bây giờ, nhân với 50 máy tính bạn có (vì hãy nhớ rằng, bạn không thể để hệ thống tự động vá, vì bạn không biết liệu các bản vá sẽ phá vỡ bất kỳ ứng dụng nào bạn đã cài đặt hay không). Điều này có nghĩa là bạn chi tiêu gần 180 đô la / năm x 50 máy tính = 9.000 đô la cho việc quản lý bản vá. Đó là 28,85% tiền lương của bạn và ...

• 15 phút x 50 máy tính = 750 phút hoặc 12,5 giờ hoặc tối thiểu 1,56 ngày
• 30 phút x 50 máy tính = 1.500 phút hoặc 25 giờ hoặc tối đa 3,13 ngày

chi cho một nhiệm vụ cấp cao có thể được quản lý bởi cơ sở hạ tầng quản lý tập trung; việc kiểm tra các bản vá giờ đã được đơn giản hóa, chỉ dựa trên số "hình ảnh" bạn có, trong đó "hình ảnh" là bản sao cơ bản của HĐH và Ứng dụng mà một nhóm hệ thống sử dụng. Tại thời điểm này, bạn chỉ dành 15-30 phút cho mỗi hình ảnh, trái ngược với 1,56-3,13 ngày. Điều này không bao gồm thời gian di chuyển nếu điều đó là bắt buộc và cũng không bao gồm lãng phí / chờ đợi mọi người rời khỏi máy tính để bạn có thể thực hiện công việc của mình.

Đợi đã, $ 9.000 dường như không thể biện minh cho yêu cầu của tôi. Có thể, nhưng bạn đã xem xét việc tập trung hóa giải pháp bảo mật điểm cuối của mình (chống vi-rút, chống phần mềm độc hại, v.v ...) chưa? Oh Boy! Đó là 9.000 đô la khác nếu bạn xem xét cập nhật điểm cuối xảy ra mỗi tuần! Thêm vào đó, việc có thể xác định hệ thống nào bị nhiễm vi-rút và xác định chính xác máy tính VÀ người là một chiến thắng lớn; bây giờ bạn biết những nhóm người bạn cần giáo dục về nhận thức bảo mật thông tin.

Chờ đợi! Bạn đang nói rằng vẫn chưa đủ? Oh? Làm thế nào về việc bây giờ có thể thực hiện Chính sách nhóm để ngăn mọi người thực hiện những việc họ không nên làm? Đó phải là một đồng xu đáng giá trong phòng ngừa rủi ro. Ôi trời, bạn đang nói thế vẫn chưa đủ? Điều gì sẽ xảy ra nếu tôi nói với bạn rằng bây giờ bạn có thể từ xa hình ảnh / định dạng và cài đặt lại một hệ thống mà không cần phải rời khỏi văn phòng!? Oh Boy! Điều đó có đáng không? Đó là 2-4 giờ cho mỗi hệ thống mà bạn đang tiết kiệm; có khả năng 100-200 giờ mỗi lần làm mới.

Vì vậy, những gì tôi đang ngụ ý với thông tin chung của tôi từ trên? Chà, có khả năng, bạn có thể tiết kiệm tối thiểu 18.000 đô la bằng cách triển khai hệ thống quản lý tập trung (Windows AD). Đó là hơn 1/2 mức lương của một anh chàng IT kiếm được 15 đô la / giờ. 18.000 đô la nhiều hơn chi phí cho giải pháp (tốt, giải pháp cơ bản của tôi; bạn sẽ cần phải tìm ra con số thực tế của chính mình), điều đó có nghĩa là giải pháp sẽ tự trả theo thời gian; về mặt kỹ thuật, trong vòng 12 tháng thực hiện.

Những con số này không tính đến bất kỳ dự án nào có thể yêu cầu phải có cơ sở hạ tầng quản lý tập trung để bắt đầu. Đối với mọi dự án đang tiến về phía trước mà bạn cần một Active Directory cho, giờ đây nó sẽ gấp 50 lần bao nhiêu lần bạn đã sử dụng để thực hiện nó trên hệ thống nhân với số tiền tiết kiệm hàng giờ của bạn.

Điều này cũng không tính đến khả năng thực hiện xác thực người dùng phù hợp, lão hóa mật khẩu, yêu cầu phức tạp về mật khẩu và hàng loạt các chính sách và thực tiễn quản lý rủi ro khác có khả năng tiết kiệm cho công ty rất nhiều tiền trong trường hợp vi phạm / xâm nhập hoặc thỏa hiệp.

Ồ, nhân tiện, bạn luôn có thể ném yêu cầu tuân thủ vào mọi người. Chỉ cho biện pháp tốt. Không có cách nào công ty của bạn tuân thủ PCI nếu mọi người đang chia sẻ mật khẩu.

Lấy ý tưởng bây giờ? Bây giờ, có được nó.

Bạn nói rằng một trong những công việc của bạn là "người đứng đầu CNTT", nhưng ông chủ của bạn vượt qua các quyết định về CNTT. Hãy tự hỏi bản thân và sếp của bạn theo cách bạn thực sự là "người đứng đầu CNTT"? Anh ấy nên cho bạn một ngân sách CNTT và để bạn quyết định sử dụng nó như thế nào. Nếu anh ta không làm số lượng ủy nhiệm đó, bạn không phải là người đứng đầu của bất cứ điều gì.

Vì đó chỉ là một trong những vai trò của bạn, hãy xem xét từ bỏ nó, giao trách nhiệm cho ông chủ của bạn. Nếu anh ta khăng khăng bắt bạn phải chịu trách nhiệm, nhưng không cung cấp cho bạn ngân sách hoặc công cụ để thực hiện công việc của bạn, hãy rời đi và (nếu bạn sống trong một khu vực tài phán văn minh) sẽ đưa anh ta tới tòa án tuyển dụng để sa thải có tính xây dựng.

Nói tóm lại, đây không thực sự là một câu hỏi về CNTT, nó là một câu hỏi quản lý.

Một điều mà tôi đã hiểu nhiều hơn trong vài năm qua là con người về cơ bản là những sinh vật phi lý. Một khi chúng ta đưa ra quyết định trong một lĩnh vực, chúng ta trở nên gắn bó về mặt cảm xúc và hiếm khi bị thuyết phục bởi các sự kiện hoặc dữ liệu. Bạn không thể tranh luận hoặc chứng minh ông chủ của bạn vào một vị trí tốt hơn.

Với ý nghĩ đó, chiến lược tốt nhất của bạn là cho sếp thấy cách thiết bị và thực hành tốt hơn có thể cải thiện lợi nhuận của mình bằng cách cắt giảm chi phí hoặc tăng doanh thu và hiệu quả ở nơi khác. Đã quá muộn để chơi thẻ giảm thiểu rủi ro.