Как убедить мою компанию инвестировать в ИТ - домены, безопасность и т. Д.?

26

Я работаю в небольшом магазине, у которого есть полдюжины магазинов и веб-сайт.

Ситуация с ИТ в настоящее время находится в очень простом состоянии. Поскольку я являюсь «руководителем отдела информационных технологий», это лишь небольшая часть моего описания работы и последняя в списке, я не смог уделить ему столько времени, сколько хотел бы.

В нашей сети около 50 компьютеров и 14 окон Windows (30 в головном офисе, 20 внешних магазинов, складские помещения и ноутбуки). Все это построено в сети рабочей группы, и все сайты связаны друг с другом через базовую настройку VPN на уровне маршрутизатора с подсетями для каждого магазина.

Поэтому я не могу ничего контролировать, проверять компьютеры на безопасность, проводить аудит, проверять наличие обновлений, управлять Wi-Fi для гостевых устройств или проверять что-либо.

Я бы очень хотел домен и, но после того, как сказал своему боссу, он сказал, что это того не стоит:

  • Мы годами справились с рабочей группой без проблем
  • Сотрудникам можно доверять
  • Если бы я ушел или был недоступен, когда что-то сломалось, то никто не смог бы понять, как это работает
  • Затраты на установку нового оборудования и лицензирование для домена очень высоки. (В настоящее время мы просто покупаем готовые OEM-ПК с ОС Windows, а затем приобретаем дополнительные лицензии Office)
  • Поскольку домены управляются централизованно, если возникнет серьезная проблема, это может помешать работе всех компьютеров. (В отличие от рабочей группы, в которой умирает только один компьютер, все остальное в порядке и не влияет на чужую работу.)

Я не знаю, как подчеркнуть, насколько серьезными являются аспекты безопасности, что у нас нет домена. Любой может получить доступ к контенту, если он подключится к нашему Wi-Fi, любой может получить доступ к контенту с любого ПК, поскольку у пользователей нет установленных паролей, общие папки могут быть просмотрены любым пользователем и удалены без журналов для отображения или резервного копирования. Я не уверен, насколько мы совместимы с PCI или совместимы ли мы с аудиторами. Мне сказали игнорировать это и не беспокоиться.

Поскольку в моей должностной инструкции есть «Глава внутренней ИТ-инфраструктуры», я также не хочу привлекать к ответственности, если мы получим нарушение данных или судебный иск против нас.

Как я могу показать, что все должно измениться, и на это нужно потратить мое время и дополнительные деньги? Для компании нашего размера, возможно, потребуется полный сетевой администратор. Или я слишком много думаю о себе и очень эгоистичен в отношении того, чего я действительно хочу, и с рабочей группой все будет в порядке?

Обновление: Похоже, я, возможно, оставлю идею домена на заднем плане и просто попробую кое-что поменьше. Например, убедитесь, что обновления, антивирусное сканирование и брандмауэры включены, пароли включены на отдельных компьютерах, разрешено резервное копирование на каждом компьютере, физические блокировки в помещениях с серверами. Я не уверен, что делать с общим доступом к файлам и Wi-Fi. -Фи, но это другой вопрос!

Джефф
источник
14
Спросите их, сколько они готовы потратить, чтобы урегулировать групповой иск, если будут украдены данные клиента и данные кредитной карты / платежа. Спросите их, готовы ли они рискнуть потерять весь бизнес в таком сценарии, потому что это вполне может произойти.
Joeqwerty
2
О, четвертый пункт тоже не соответствует действительности, если только он не работает на варезе. Есть также эксплуатационные расходы времени администраторов, чтобы поддерживать этот беспорядок.
Blaughw
4
Покажите им, насколько у них плохие штаны, пригласив сотрудников службы безопасности из белой шляпы проверить вас, ребята. :)
Майк МакМэхон
2
Все ответы охватывают большую часть того, что я бы посоветовал вам о том, почему он не прав по нескольким пунктам и что вы не передумали за одну ночь. Я столкнулся с подобной проблемой, и мое предложение - написать хорошо документированное предложение. Почему нынешние системы неприемлемы для безопасности, управляемости и т. Д. В некоторой степени предупреждает вас, если есть нарушение, о котором вы заранее предупредили руководство о проблемах, и позволяет вам осторожно заявить об этом для воздействия на проблемы, о которых они уже сообщали, и предлагает медленное движение для исправления. Также покажите, что вы можете задокументировать процессы, пункт 3 недействителен
Писки
2
Вам сказали, что "сотрудникам можно доверять"? Я не могу думать ни о чем, что противоречило бы роли ИТ, и при этом предполагается, что у всех ваших сотрудников / пользователей есть благие намерения .
Эрик Маккормик

Ответы:

28

Это не будет техническим решением, но, тем не менее, полезно.

Если говорить о многолетнем опыте, вы не сможете убедить своего босса сделать все по- другому. Основная причина этого в том, что он - начальник, а вы - только его подчиненный. Вы находитесь в неправильном положении, чтобы подтолкнуть фундаментальные изменения.

Можете ли вы жить с перспективой очень постепенных изменений при всегда слишком узком бюджете и проблемах, решаемых простым количеством труда вместо краткого планирования и умного использования инструментов? Это именно та перспектива, на которую вы смотрите. Ваш начальник управлял своим магазином в течение многих лет. Бизнес вырос и процветал, поэтому стратегия сработала. Кто ты такой, чтобы подвергать сомнению его деловые решения и стратегии?

Если вы хотите внести изменения в организацию, организация должна попросить вас сделать это . Любые изменения будут связаны с затратами, которые руководство считает целесообразными. Вам нужна поддержка руководства, чтобы преодолеть сопротивление и инерцию. Если вы сможете найти консультанта, которого будет слушать ваш начальник, это может быть более многообещающим путем, чем напрасная трата времени (и вашего начальника) на то, чтобы убедить его в том, что он сказал вам, что не хочет этого делать.

Если бы я был на твоем месте, я бы, наверное, начал искать новую работу.

заместитель Wabbit
источник
9
Я бы почти подумал о создании новой учетной записи, чтобы я мог снова проголосовать за нее (если это не вызвало особого недовольства). Это не проблема ИТ, а проблема людей. Вы были наняты для выполнения работы, но вам не дали свободу, инструменты или ресурсы делают это профессионально. Я бы тоже начал искать в другом месте.
Грегл
1
+1 для компонента кроссовера Workplace.SE. К сожалению, это то, с чем приходится сталкиваться ИТ-специалистам.
Blaughw
18

Вы должны сосредоточиться на том, как это помогает им, а не на том, что вы «хотите».

  • мы годами справились без проблем

И вы не хотите начинать сейчас! В последнее время произошел ряд утечек данных, включая Target , Home Depot и другие. Home Depot потратила 43 000 000 долларов на утечку данных всего за один квартал. Цель выплатила 10 000 000 долларов США в поселении. Исследование IBM показало, что средняя утечка данных стоит 3,8 миллиона долларов . Получение pwned это дорого.

  • сотрудникам можно доверять

Это явно ложно. Кража сотрудников обходится компаниям в 18 миллиардов долларов в год .

  • если я уйду, то никто не сможет понять, как это работает

Вот почему вы собираетесь использовать стандартные, лучшие практики вместо странных настроек, которые у вас есть сейчас.

  • Затраты на установку нового оборудования и лицензирование высоки по сравнению с $ 0 сейчас.

Затраты на установку нового оборудования и лицензирование очень дешевы по сравнению с нарушениями безопасности.

Кроме того, если «Глава ИТ» - это лишь небольшая часть описания вашей работы, это может помочь документально подтвердить, что вы тратите больше времени на ИТ, чем могли бы потратить его на другие свои обязанности. Это тоже стоит им денег.

Все, что сказал: я боюсь, что ваббит прав. Людям, которые не понимают ИТ и думают, что это просто глупые расходы на вещи, которые им не нужны, довольно сложно убедить. Я не собираюсь говорить вам, чтобы вы получили новую работу, потому что несколько месяцев назад на мета-ветке говорилось, что мы выкладываем совет «получить новую работу», но я не очень оптимистичен в отношении вашей работы. Компания.

Я бы пошел по инкрементному пути - нашел бы что-то относительно простое для реализации, которое очень поможет - и обосновал бы это. Вы можете пойти оттуда.

Кэтрин Вилляр
источник
Спасибо Кэтрин. Я полностью понимаю вашу точку зрения. Возможно, я слишком эгоистичен и только пытаюсь сделать то, что "я бы имел", если бы я управлял бизнесом. Сказав это, я постараюсь показать, сколько сейчас стоят мои ИТ-обязанности. Хотя может быть трудно оценить, уменьшится ли это с помощью дополнительной инфаструктуры
Джефф
1
Я не думаю, что вы эгоистичны. Я думаю, что любой системный администратор хочет улучшить свою инфраструктуру. Лучшая инфраструктура работает лучше с меньшими усилиями. Просто не всегда легко убедить руководство в этом.
Кэтрин Вилльярд
9

Ответ на вопрос «насколько PCI-совместим» вы не очень (отредактировано на основе комментария). Ваши терминалы CC могут быть в порядке, если сами кассы не содержат никаких данных.

Теперь, чтобы разобрать список "не стоит" ...

Мы годами справились без проблем

Это вполне может быть правдой, но проблема в восприятии. Это будет вашим самым большим препятствием.

Сотрудникам можно доверять

Ну нет. Они не могут. Для меня это показывает, что ваш начальник блаженно не знает о потерях в организации. Более того, это в розничной торговле , где потери обычно жестко управляются или, по крайней мере, понимаются.

Если бы я ушел, то никто не смог бы понять, как это работает

Это совершенно неверно. Никто не может прийти сегодня и понять, что происходит, потому что ничего не присоединено к домену и т. Д. Администраторы, которые, по крайней мере, имеют базовое понимание структур Active Directory и OU, составляют десятки десятков.

Затраты на установку нового оборудования и лицензирование высоки по сравнению с $ 0 сейчас.

Откуда у них такое впечатление, что его стоимость сейчас составляет 0 долларов? Затраты никогда, никогда не равны нулю в ИТ-организации. Очевидно, что вещи не учитываются , но это не означает, что затраты равны нулю.

Если ваш начальник нуждается в убеждении, дайте ему список статей компаний, которые были нарушены в прошлом месяце. Вы можете поспорить, что любые громкие имена в этом списке на самом деле работали для решения этих проблем, но все же были взломаны.

Казалось бы, начальник в этой ситуации более чем рад скрыть все проблемы (доверие сотрудников, безопасность, соблюдение и т. Д.), Пока деньги продолжают поступать. С профессиональной точки зрения, это непростая ситуация для всех в организация.

blaughw
источник
Я думаю, что это проблема. Наш веб-сайт совместим с PCI благодаря тому, где хранятся данные клиентов и как обрабатываются транзакции. Я не знаю так много о магазинах. И пытаться убедить своего босса, когда вы все еще можете взломать даже решение проблем и никогда не сможете быть на 100% в безопасности.
Джефф
2
Я хотел бы подчеркнуть, что «совместимый» не означает то же самое, что «безопасный». Это только вопрос времени, пока не произойдет нарушение.
HostBits
Хорошо, еще одна плохо сформулированная пуля с моей стороны. Когда я говорю «0 долларов», я имею в виду не только нечетный новый ПК здесь и там (подумайте один раз в 3 месяца или около того) и нечетную копию Office, другие затраты на оборудование отсутствуют. Очевидно, что в заработной плате есть деньги, которые занимают мое время на настройку каждого отдельного ПК, а затем разбираются с проблемами людей.
Джефф
1
В точку. Каждый приобретенный вами настольный ПК имеет срок службы. Общее руководство - 3 года. Чтобы выразить это в терминах, которые может понять ваш начальник, разделите индивидуальную стоимость лицензии на ПК или офисную лицензию и т. Д. На 36, и это будет ваша ежемесячная стоимость.
Blaughw
7

Вот мои мысли:

Менеджмент очень редко понимает технологию и ее место в бизнесе. В большинстве случаев у руководства возникают неправильные представления о том, что такое технология и как она влияет на бизнес. Да, это правда, что неправильное управление технологиями часто приводит к расточительным расходам, но правильное управление значительно повышает производительность. Обычно отходы случаются, когда люди, которые думают, что понимают технологии, делают это неправильно или по неправильным причинам.

  • мы годами справились без проблем

Coping doesn't essentially mean doing things the right way or the most effective way. Coping often leads to complacency, which sets a shaky foundation for ethics and compliance, but it means you don't have to invest any money in anything new.

  • сотрудникам можно доверять

This is a double-edged sword. I'm fond of the phrase, "trust, but verify". Yes, all people **should** be "innocent until proven guilty", but experience in information security will tell you that 70% of intrusions occur from an inside/trusted source. Yes, retail waste can be controlled at the transaction and properly developed practices and policies limit these risks, but no industry is ever safe from insider threats. However pretending like there aren't any problems is an easy way to avoid spending money.

  • если я уйду, то никто не сможет понять, как это работает

This phrase only extrapolates on how misunderstood technology is. A company that doesn't shape it's practices, policies, and technology on standards is more likely to experience a devastating disaster if/when their technology staff parts ways. The amount of time it takes to train an employee on systems particular to a business is on average 3-6 months, depending on complexity, intricacy, diversity and volume. Following a standard means less time wasted attempting to find the "right" candidate. Not following a standard means finding people with a broad enough skillset to survive 3-6 months, while drowning in a lake of fire. But, convincing one's self of this is easier than spending money on employing expensive IT staff.

  • Затраты на установку нового оборудования и лицензирование высоки по сравнению с $ 0 сейчас.

This isn't completely accurate. In almost all industries (other than technology), the IT department is a cost center (meaning, the department does not derive any profits). Buying/replacing computers, routers, switches, cables, plugs, etc... In regards to setting up a centralized management infrastructure (a "domain" as you put it), yes, it would cost money to buy servers and time to engineer a solution to put the right things in place to manage things. Depending on the size of the environment, it can take 4 hours or 400 hours to do properly, and it will continue to cost money to maintain throughout it's life-span. It can get pretty expensive, pretty quickly.

В этот момент вы можете подумать: «Подождите минутку; большинство из того, что вы говорите, поддерживает позицию моего босса о том, что я не делаю то, что я предлагаю». Ну, ты наполовину прав.

Хотя, технически говоря; до тех пор, пока решение стандартизировано и практика / политика не являются чрезмерно сложными / трудоемкими, замена персонала так же проста, как и поиск кандидатов, имеющих опыт работы с этими стандартами. Это действительно не спорный момент.

Другая половина заключается в том, что вам необходимо понимать цену / выгоду от внедрения нужной вам технологии. Это могло и не могло стоить затрат. Вы не узнаете, если не потратите время на составление собственного анализа затрат / выгод. Для этого вам необходимо учесть затраты (обратите внимание: это только начало вопросов, которые вы должны задать себе, прежде чем снова довести свой подход к своему боссу):

  • сколько стоит сервер?
  • сколько серверов мне нужно?
  • сколько стоит лицензирование?
  • сколько лицензий мне нужно?
  • моя сеть сможет обрабатывать изменения пропускной способности из-за увеличения трафика из сети управления?
  • мне нужно изменить свою инфраструктуру?
  • мне нужно изменить какую-либо из моих оконечных систем, чтобы соответствовать минимальным требованиям для моего домена?
  • я знаю, как настроить свой собственный домен, или мне нужно привлечь стороннего разработчика для сдачи решения под ключ? и если так, сколько они будут стоить?
  • сколько проблем существует в среде и сколько времени я трачу на работу над ними, которые можно было бы смягчить, уменьшить или уменьшить с помощью предлагаемого мной решения?
  • сколько денег тратится на работу над проблемами, которые могут быть смягчены, уменьшены или уменьшены с помощью предлагаемого мною решения (включая стоимость моего времени, стоимость простоя сотрудника и стоимость фактической или потенциальной потери бизнеса)?

Опять же, имейте в виду, что вопросы, которые я предложил выше, не являются всеобъемлющими. Есть больше технических вопросов, которые можно задать, которые приводят к другим вопросам и так далее, и так далее. Когда у вас есть все эти числа, определите следующее:

  • Будет ли внедрение технологии действительно уменьшать, уменьшать или уменьшать количество времени / денег / усилий, затрачиваемых на повторяющиеся проблемные вопросы?
  • Будет ли внедрение технологии негативно влиять на стоимость преодоления / самоуспокоенности?

Как только вы сможете разработать надлежащий анализ затрат / выгод, вы сможете лучше обратиться к своему работодателю с правильным решением, а не безосновательным предложением.

Исходя из моего опыта, стоимость внедрения инфраструктуры централизованного управления и стоимость постоянной поддержки этой инфраструктуры эквивалентна стоимости найма другого органа для ИТ-отдела (в зависимости от размера среды); по крайней мере, с внедрением внутреннего решения. Доступные сегодня облачные и SaaS-решения могут компенсировать стоимость физической инфраструктуры и сэкономить немного денег, но на самом деле это зависит от бизнес-модели департамента или компании и ограничений безопасности.

Примечание: если стоимость внедрения решения обходится дороже, чем нанимать штатного сотрудника для решения проблем, которые должно решить решение, как правило, более выгодно нанимать тело (в зависимости от сложности проблемы, требующей решения). быть смягченным, уменьшенным или уменьшенным).

TL; DR: потратьте некоторое время на отношения с вашим боссом, хотя в долларах это не так, как на фантастический алфавит ИТ. Это может или не может помочь вашему аргументу, но что бы ни случилось, вы в конечном итоге узнаете больше о том, как более эффективно управлять своей инфраструктурой.

И наконец, если вы пришли к выводу, что компании крайне необходимо решение, она может себе это позволить, а ваш начальник по-прежнему не хочет делать то, что вы говорите, по нелогичным причинам, по которым вы не можете договориться о разумном промежуточном положении, пора собирать вещи и найти нового работодателя. Тип работодателей, которые в порядке, будучи посредственными и не принимают логических решений при представлении доказательств, не относится к типу работодателей, которых вы хотите придерживаться; они склонны принимать плохие решения и подавлять всех вокруг.

Обновление: 2015-10-11

Расчет стоимости времени

Сценарий. Один из аспектов соответствия PCI DSS требует, чтобы ваши компьютеры конечных точек / POS были обновлены с исправлениями (или имелся процесс управления исправлениями).

Допустим, вы зарабатываете 15 долларов США в час или 31 200 долларов США в год, и чтобы убедиться, что исправления не сломают ваши системы, вы должны вручную исправлять все свои системы каждый раз, когда выходит новое исправление. Для простоты, скажем, также централизованная инфраструктура управления (Примечание: это просто упрощенное представление; оно действительно зависит от того, как ваши офисы взаимосвязаны, нужна ли вам избыточность, и имеет ли смысл иметь сервер в каждом офисе или только один) обойдется вам в 11000 долларов за сервер, 2500 долларов за серверную лицензию и 2500 долларов за клиентские лицензии и 80 часов на настройку домена и присоединение всех компьютеров к домену; 80 часов x 15 долларов США / час = 1200 долларов США (больше, если вы передаете его на аутсорсинг местному поставщику; хайбол составляет 120 долларов США в час; таким образом, 80 часов x 120 долларов США / час = 9600 долларов США). Ваша общая централизованная инфраструктура управления может быть на месте примерно от 17 200 до 25 600 долларов.

Патч вторник происходит каждый 2-й и 4-й вторник каждого месяца. Если каждый вторник выпускает хотя бы один патч, для установки и перезагрузки которого требуется от 15 минут до 30 минут, вы тратите не менее 1 часа каждый месяц на исправление 1 компьютера; или 12 часов в год.

Уже сейчас вы тратите: 12 часов x 15 = 180 долларов в год на управление исправлениями для 1 компьютера. Теперь умножьте это на 50 компьютеров, которые у вас есть (потому что помните, что вы не можете позволить системам автоматически устанавливать исправления, потому что вы не знаете, будут ли исправления нарушать какие-либо приложения, которые вы установили в настоящее время). Это означает, что вы тратите ближе к $ 180 / год x 50 компьютеров = $ 9000 на управление исправлениями. Это 28,85% вашей зарплаты и ...

  • 15 минут x 50 компьютеров = 750 минут или 12,5 часов или 1,56 дня минимум
  • 30 минут x 50 компьютеров = 1500 минут или 25 часов или максимум 3,13 дня

потрачены на выполнение черных задач, которыми может управлять централизованная инфраструктура управления; тестирование патчей теперь упрощено, только на основе количества имеющихся у вас «образов», где «образ» - это базовая копия ОС и приложений, используемых группой систем. На данный момент вы тратите только 15-30 минут на изображение, а не 1,56-3,13 дня. Это не включает время в пути, если это требуется, и не включает в себя трату / ожидание, когда люди выходят из компьютера, чтобы вы могли выполнять свою работу.

Подожди, 9000 долларов не оправдывают мою просьбу. Возможно, но рассматривали ли вы вопрос о централизации своего решения для обеспечения безопасности конечных точек (антивирус, антивирус и т. Д.)? О, парень! Это еще $ 9 000, если учесть, что обновления конечных точек происходят каждую неделю! Кроме того, возможность определить, какие системы заражены вирусами и точно определить компьютер и человека, - ОГРОМНАЯ победа; теперь вы знаете, какие группы людей вам необходимо обучать вопросам информационной безопасности.

Подождите! Ты говоришь, что этого все еще недостаточно? Ой? Как насчет того, чтобы теперь иметь возможность реализовывать групповую политику, чтобы люди не могли делать то, что им не следует делать? Это должно стоить довольно копейки в предотвращении риска. О, чувак, ты говоришь, что этого все еще недостаточно? Что если я скажу вам, что теперь вы можете удаленно создавать образы / форматировать и переустанавливать систему, не покидая офиса !? О, парень! Разве это не стоило бы чего-то? Это 2-4 часа на систему, которую вы экономите; потенциально 100-200 часов за период обновления.

Итак, что я подразумеваю под моей общей информацией сверху? Что ж, потенциально вы могли бы сэкономить минимум 18 000 долларов, внедрив централизованную систему управления (Windows AD). Это больше, чем половина зарплаты айтишника, составляющего 15 долларов в час. 18 000 долл. США - это больше, чем стоимость решения (ну, мое основное решение; вам нужно будет определить свои собственные фактические цифры), что означает, что решение окупит себя со временем; технически, в течение 12 месяцев после внедрения.

Эти цифры не учитывают какие-либо проекты, для начала которых может потребоваться наличие централизованной инфраструктуры управления. Для каждого проекта, для которого вам нужен Active Directory, теперь в 50 раз больше, чем вы потратили на внедрение системы в одной системе, вашей почасовой заработной платы в виде экономии.

Это также не учитывает возможность реализации надлежащей аутентификации пользователя, устаревания пароля, требований к сложности пароля и множества других методов и политик управления рисками, которые потенциально могут сэкономить компании много денег в случае нарушения / вторжения. или компромисс.

О, кстати, вы всегда можете бросить требования соблюдения и на людей тоже. Просто для хорошей меры. Ваша компания не будет соответствовать требованиям PCI, если люди обмениваются паролями.

Получите идею сейчас? Теперь доберитесь до этого.

ЦРУ
источник
1
Спасибо ЦРУ, очень подробно и действительно заставило меня задуматься. Мне нравится моя компания, поэтому я не думаю, что последняя часть будет применима. Я постараюсь провести анализ затрат и выгод, хотя, основываясь на том, что происходит сейчас, я сомневаюсь, что на самом деле есть какая-то экономическая выгода для домена, кроме, возможно, эгоистичного взгляда на то, чтобы мне было легче управлять. Меня просто беспокоит то, что компания с 50 компьютерами и размером с нас работает в рабочей группе с очень небольшим количеством паролей или сетевой безопасностью.
Джефф
Это может показаться эгоистичным, но это может быть оправдано. Смотрите мое обновление выше.
ЦРУ
1

Вы говорите, что одна из ваших работ - «глава ИТ», но ваш босс руководит решениями ИТ. Спросите себя и своего босса, каким образом вы на самом деле «глава ИТ»? Он должен дать вам ИТ-бюджет и позволить вам решить, как его потратить. Если он не делает такое количество делегаций, вы не являетесь главой.

Поскольку это только одна из ваших ролей, подумайте о том, чтобы отказаться от нее и передать ответственность за нее своему боссу. Если он настаивает на том, что вы несете ответственность, но не предоставляет вам бюджет или инструменты для выполнения вашей работы, оставьте его и (если вы живете в цивилизованной юрисдикции) доставьте его в суд по трудовым делам для конструктивного увольнения.

Короче говоря, это не вопрос ИТ, это вопрос управления.

Raedwald
источник
1

За последние несколько лет я понял, что люди - это в основном иррациональные существа. Как только мы принимаем решение в какой-либо области, мы эмоционально привязываемся к ней, и нас редко убеждают факты или данные. Вы не можете спорить или доказывать, что ваш босс находится в лучшем положении.

Имея это в виду, ваша лучшая стратегия - показать вашему боссу, как более совершенное оборудование и методы могут улучшить его итоговые показатели за счет сокращения расходов или увеличения доходов и эффективности в других местах. Слишком поздно разыгрывать карту снижения рисков.

Джоэл Коэль
источник