Каковы некоторые лучшие практики при переходе на ИТ в новой компании? [закрыто]

9

Я думал, что это послужит хорошей темой с некоторыми интересными предложениями.

Какими первыми вещами вы бы занялись, когда переняли ИТ в новой организации?

Какие красные флаги вы бы искали сразу?

Что у вас ДОЛЖНО быть для отдела (в зависимости от размера организации)?

security best-practices Роберт Суишер
источник
2
Хотя мне нравится ваш вопрос, он близок к дубликату. Это тема, которая была рассмотрена на разных уровнях. См .: serverfault.com/questions/152707/…
Уорнер
Даже если он не будет закрыт как дубликат, такой вопрос должен быть вики. Если ничего другого, это очень субъективно.
Джон Гарденье

Ответы:

17

Честно говоря ... ничего, ни черта. Я бездельничаю и изучаю работу, поскольку это делается СЕЙЧАС людьми, которые там. Через некоторое время и когда вы будете уверены, что хорошо разбираетесь в том, как все работает сейчас (не только в техническом, но и в политическом плане, а также в личном плане), вы можете начать составлять списки того, что, по вашему мнению, следует изменить.

Если вы не понимаете, где вы сейчас находитесь, ваши идеи о том, где вы должны быть, могут и, скорее всего, будут дико отличаться от реальности.

Что касается красных флагов:

  • Много много ручных процессов
  • Без изменений
  • Нет документации или хуже неправильной документации
  • Уровни VP / C, которые СЕЙЧАС слишком вовлечены в повседневную работу (например, сброс серверов, когда вы не находитесь в чрезвычайной ситуации, и никто другой не может это сделать)
  • Везде дешевое оборудование, но компания утверждает, что зарабатывает XXX (миллион / миллиард) в год
  • Несчастные работники
  • Постоянное пожаротушение
  • Нет или плохая система мониторинга
  • «Вам нужно поговорить с« Джо »» - это ответ на каждый вопрос, который вы задаете
    • и Джо не в ИТ

Что касается необходимости иметь ... Я думаю, что это зависит от того, что вы делаете и как вы делаете вещи ... как я должен подключить сервер терминалов Digi к модему с выделенной линией в качестве крайней меры, если я не могу получить на мои голосовые маршрутизаторы ... но вам это может не понадобиться. Еще раз, откиньтесь на спинку кресла и потратьте некоторое время, чтобы выяснить, как обстоят дела и какие жалобы людей в первую очередь, прежде чем напасть и захотеть все изменить.

Zypher
источник
+1, особенно «Нет документации или, что еще хуже, неправильная документация» - это та лодка, на которой я оказался несколько лет назад, когда пошел обновлять документацию (старый материал был совершенно неверным, отсутствующая информация, крайне устаревшая).
Крис С
@Chris: Это текущая проблема для меня ... много перенапряжения, когда я пытаюсь обновить документацию :)
Zypher
+1 Если он работает, оставь его и сконцентрируйся на изучении. Немногие вещи в жизни являются такими, какими они на первый взгляд кажутся, включая унаследованные системы.
Джон Гарденье
+1 за попытку понять политический и межличностный климат, прежде чем что-то менять. Чтобы большие изменения работали, вам нужен бай-ин, и это сложно заработать, если вы никому не нравитесь.
gMale
8

Это все вещи высокого уровня:

Безопасность:

  1. Аудит, кто такие админы. Убедитесь, что они должны быть администраторами.
  2. Определите, какие элементы ИТ-контроля установлены, и когда они в последний раз проверялись.
  3. Проверьте уровни исправлений / ОС и обновления приложений.
  4. Выполните хотя бы минимальное сканирование уязвимостей с помощью доступных инструментов.
  5. Проверьте физическую безопасность на серверах и основном сетевом оборудовании.

Окружающая среда / Производительность:

  1. Определите, какие болевые точки существуют в вашем центре данных.
  2. Узнайте, какие у вас SLA и OLA, и убедитесь, что они являются разумно удаленными.
  3. Добавьте хотя бы поверхностный мониторинг производительности в системы, чтобы ни одна из них не была перегружена.
  4. Понимать, как развернуты ключевые активы, и физически проверить, что они находятся там, где все говорят, что они есть, и они настроены так, как должны.

Персонал:

  1. Встретьтесь с ИТ-персоналом один на один или в небольших группах за пределами рабочего места (например, на обед), чтобы узнать, как каждый из них как личность.
  2. Поговорите с людьми, которые больше всего взаимодействуют с вашим ИТ-персоналом, чтобы определить, кто из них трудолюбив, кто обладает хорошими человеческими навыками, кто блестящий, но социально ответственный и т. Д., Чтобы вы могли убедиться, что они находятся в подходящих местах для выполнения работы.
  3. Определите, где ваши болевые точки от безопасности и производительности и позвоните, если это текущие люди, которые работают, нехватка людей, нехватка инструментов или какой-либо комбинации.
К. Брайан Келли
источник
Что касается безопасности, я бы добавил поиск письменных политик относительно приемлемого использования и доступа к данным. Также политики относительно определенных областей соответствия, таких как SOX, HIPPA, PCI DSS. Если это поглощение происходит посредством приобретения, я бы, вероятно, посмотрел на ИТ-проекты и оценил, следует ли приостановить какой-либо из этих проектов, пока не будет определено, как они вписываются в общий ИТ-портфель.
JL.
0

Отличные ответы.

1 - Проанализируйте текущие процессы и системы, чтобы понять их лучше, чем ваш предшественник. Даже если это глупая причина в ваших глазах, что-то, вероятно, не было настроено так, как без причины.

2 - Концентрируйтесь на эффективности, а не на росте. Вы хотите делать больше с меньшими затратами, а затем расти оттуда. В будущем все должно быть чрезвычайно хорошо задокументировано, надежно, но самое главное, масштабируемо.

MisterITGuy
источник
1
Я обнаружил, что «что-то, вероятно, не было настроено так, как без причины», верно только в ~ 75% случаев.
Крис С