mboost-dp1
newz.dk
#1
Hvorfra?
#topic
En ting er jo at ansætte it-sikkerhedschef.
En anden er at ansætte en kompetent person, at lytte til ham og endnu vigtigere, at følge de retningslinier han lægger ud.
Jeg kan nemt forestille mig det er de færreste der når helt i mål på alle de punkter. Enten ansætter de en klaphat, eller også er han en person der ligesom bare bliver "glemt". Han er der, ja, men også kun fordi nogen med mere magt har sagt han skal være der.
Hvorfra?
#topic
En ting er jo at ansætte it-sikkerhedschef.
En anden er at ansætte en kompetent person, at lytte til ham og endnu vigtigere, at følge de retningslinier han lægger ud.
Jeg kan nemt forestille mig det er de færreste der når helt i mål på alle de punkter. Enten ansætter de en klaphat, eller også er han en person der ligesom bare bliver "glemt". Han er der, ja, men også kun fordi nogen med mere magt har sagt han skal være der.
bnm (1) skrev:De virksomheder som har en it-sikkerhedschef er i snit større end dem som ikke har. Derfor har de samme virksomheder også stordriftsfordele som de mindre ikke har.
Statistik :|
Beklager men jeg kan ikke lige følge dig i hvad det har med statistik at gøre? :)
luuuuu (2) skrev:#1
En ting er jo at ansætte it-sikkerhedschef.
En anden er at ansætte en kompetent person, at lytte til ham og endnu vigtigere, at følge de retningslinier han lægger ud.
Jeg kan nemt forestille mig det er de færreste der når helt i mål på alle de punkter. Enten ansætter de en klaphat, eller også er han en person der ligesom bare bliver "glemt". Han er der, ja, men også kun fordi nogen med mere magt har sagt han skal være der.
Jeg har siddet i en sikkerhedsfunktion. Dog ikke på chef niveau men som den eneste der havde viden om området i firmaet. Og jeg fik ret hurtigt fornemmelsen af at man havde en sikkerhedsfunktion for syns skyld. Alt hvad jeg påpegede blev skubbet til side så man kunne bruge alt sin energi på at implementere et nyt erp system. Hvilket i sig selv er ganske fornuftigt men overordnet set bør man have sikkerheden med i overvejelserne.
Jeg har siden hen brugt en del tid på at analysere mig frem til hvor jeg gik galt i byen og efter at have gennemgået et kursus i it-sikkerhed må jeg nok indrømme at det var mig der fejlede. Jeg påpegede blot at der var nogle ting der skulle laves om men kom ikke med en business case eller et worst case senarie.
Hubert (4) skrev:
... Jeg påpegede blot at der var nogle ting der skulle laves om men kom ikke med en business case eller et worst case senarie.
Præcis! Jeg ved ikke lige hvad sammenhæng det har til dit kursus, men kernen i alle former for kommunikation, som kommer fra en ekspert til ledelsen, er netop at eksperten skal have en løsning parat. Det nytter ikke noget blot at påpege en fejl. Der er ikke nogen fornuftig ledelse der vil udbetale løn for at høre på brok.
Ledelsen kan netop ikke selv rette en teknisk fejl eller igangsætte en løsningsplan. Ledelsen kan (og skal) udelukkende tage stilling til om et løsningsforslag er omkostningen værd.
Det går rigtig galt hvis ledelsen selv prøver at løse noget, som de ikke har evner til...
Som ekspert bliver du derfor også nødt til at se fremad og komme med løsningen. Det er ligegyldig for ledelsen, hvordan, hvorfor, eller hvem der er skyld i problemet. Det eneste, som er interessant, er at få det fjernet. (så billigt eller hurtigt som muligt.)
[quote=1000tusind (6)
Præcis! Jeg ved ikke lige hvad sammenhæng det har til dit kursus, men kernen i alle former for kommunikation, som kommer fra en ekspert til ledelsen, er netop at eksperten skal have en løsning parat. Det nytter ikke noget blot at påpege en fejl. Der er ikke nogen fornuftig ledelse der vil udbetale løn for at høre på brok.
Ledelsen kan netop ikke selv rette en teknisk fejl eller igangsætte en løsningsplan. Ledelsen kan (og skal) udelukkende tage stilling til om et løsningsforslag er omkostningen værd.
Det går rigtig galt hvis ledelsen selv prøver at løse noget, som de ikke har evner til...
Som ekspert bliver du derfor også nødt til at se fremad og komme med løsningen. Det er ligegyldig for ledelsen, hvordan, hvorfor, eller hvem der er skyld i problemet. Det eneste, som er interessant, er at få det fjernet. (så billigt eller hurtigt som muligt.) [/quote]
Det var en del af det at lave policies. Jeg fik nogle gode tips til hvordan man kunne vise ROI på sikkerhedsinvesteringer og deslige foruden en ide om hvordan man kan fremlægge forslag til ændringer uden at det lyder som brok.
Præcis! Jeg ved ikke lige hvad sammenhæng det har til dit kursus, men kernen i alle former for kommunikation, som kommer fra en ekspert til ledelsen, er netop at eksperten skal have en løsning parat. Det nytter ikke noget blot at påpege en fejl. Der er ikke nogen fornuftig ledelse der vil udbetale løn for at høre på brok.
Ledelsen kan netop ikke selv rette en teknisk fejl eller igangsætte en løsningsplan. Ledelsen kan (og skal) udelukkende tage stilling til om et løsningsforslag er omkostningen værd.
Det går rigtig galt hvis ledelsen selv prøver at løse noget, som de ikke har evner til...
Som ekspert bliver du derfor også nødt til at se fremad og komme med løsningen. Det er ligegyldig for ledelsen, hvordan, hvorfor, eller hvem der er skyld i problemet. Det eneste, som er interessant, er at få det fjernet. (så billigt eller hurtigt som muligt.) [/quote]
Det var en del af det at lave policies. Jeg fik nogle gode tips til hvordan man kunne vise ROI på sikkerhedsinvesteringer og deslige foruden en ide om hvordan man kan fremlægge forslag til ændringer uden at det lyder som brok.
#IT-sikkerhedschef
En sådan skal betragtes som en rolle på lige fod med revisionen.
Vedkommende skal ikke ansættes og rapportere til dem han skal kontrollere.
Vedkommende skal rapportere til en meget højt oppe.
Gerne økonomi direktør / administrerende direktør / bestyrelses formand.
Så er der en reel kontrol funktion i forhold til IT afdelingen og IT chefen.
En sådan skal betragtes som en rolle på lige fod med revisionen.
Vedkommende skal ikke ansættes og rapportere til dem han skal kontrollere.
Vedkommende skal rapportere til en meget højt oppe.
Gerne økonomi direktør / administrerende direktør / bestyrelses formand.
Så er der en reel kontrol funktion i forhold til IT afdelingen og IT chefen.
arne_v (10) skrev:#IT-sikkerhedschef
En sådan skal betragtes som en rolle på lige fod med revisionen.
Vedkommende skal ikke ansættes og rapportere til dem han skal kontrollere.
Vedkommende skal rapportere til en meget højt oppe.
Gerne økonomi direktør / administrerende direktør / bestyrelses formand.
Så er der en reel kontrol funktion i forhold til IT afdelingen og IT chefen.
Det er best practice men langt fra måden det typisk foregår på ude i særligt de små virksomheder. Det hjælper så ikke at der er en del mindre konsulent virksomheder der slår sig op på at kunne levere sikkerhed til deres kunder og det de så faktisk leverer er en firewall, et antivirus produkt og muligvis lidt rådgivning på designet af løsningen men min erfaring siger mig at det ikke er en optimal rådgivning de får.
#11
Det fedeste eksempel paa konsulenter og "sikkerhed" er:
"Hej! vi vil gerne saelge dig IP-sikkerhed!" ...
Det var saa foerst en 4-5 minutter inde i samtalen at det gik op for mig at han snakkede om port scanning og ikke "Intellectual Property" ...... :D
#10
Mit problem med en loesning af den type, er kompetence.
Som jeg ser det idag, ( med de virksomheder jeg arbejder sammen med, partnere, etc ) er det utroligt svingende med det niveau man rent faktisk faar for sine penge.
Sikkerhed boer ikke referere til CFO'en imo, det skal helst vaere direkte til direktoeren eller i hvert fald branch-lederen ( hvis det er en stoerre virksomhed ).
Jo mindre virksomheden er, jo flere funktioner bliver lagt ind i selve 'it-chefen', hvorfor kompetence kravet saa stiger eksponentielt, samtidig med at den pris man oensker at betale, falder.
Dertil kommer saa ogsaa eksemplet hvor 'sikkerhedsgutten' udelukkende fokuserer paa brandspecifikke produkter, og naegter at koebe andet, fx. ( Cisco, MS, etc )
I et spoergsmaal om sikkerhed vil det, ironisk nok, vaere at foretraekke med en 3. part, som ikke har nogen tilknytning til hverken CFO eller firma, men virkeligheden viser bare at det er en utroligt blandet landhandel idag :(
#Topic
Ikke helt saa brugbar artikel, men det er altid fedt med debat om IT-struktur i en virksomhed, specielt mht. sikkerhed :)
Det fedeste eksempel paa konsulenter og "sikkerhed" er:
"Hej! vi vil gerne saelge dig IP-sikkerhed!" ...
Det var saa foerst en 4-5 minutter inde i samtalen at det gik op for mig at han snakkede om port scanning og ikke "Intellectual Property" ...... :D
#10
Mit problem med en loesning af den type, er kompetence.
Som jeg ser det idag, ( med de virksomheder jeg arbejder sammen med, partnere, etc ) er det utroligt svingende med det niveau man rent faktisk faar for sine penge.
Sikkerhed boer ikke referere til CFO'en imo, det skal helst vaere direkte til direktoeren eller i hvert fald branch-lederen ( hvis det er en stoerre virksomhed ).
Jo mindre virksomheden er, jo flere funktioner bliver lagt ind i selve 'it-chefen', hvorfor kompetence kravet saa stiger eksponentielt, samtidig med at den pris man oensker at betale, falder.
Dertil kommer saa ogsaa eksemplet hvor 'sikkerhedsgutten' udelukkende fokuserer paa brandspecifikke produkter, og naegter at koebe andet, fx. ( Cisco, MS, etc )
I et spoergsmaal om sikkerhed vil det, ironisk nok, vaere at foretraekke med en 3. part, som ikke har nogen tilknytning til hverken CFO eller firma, men virkeligheden viser bare at det er en utroligt blandet landhandel idag :(
#Topic
Ikke helt saa brugbar artikel, men det er altid fedt med debat om IT-struktur i en virksomhed, specielt mht. sikkerhed :)
fidomuh (12) skrev:
Mit problem med en loesning af den type, er kompetence.
Som jeg ser det idag, ( med de virksomheder jeg arbejder sammen med, partnere, etc ) er det utroligt svingende med det niveau man rent faktisk faar for sine penge.
Det er jo ikke kun på sikkerhedsområdet at kvaliteten er svingende... Det er ret generelt.
Sikkerhed boer ikke referere til CFO'en imo, det skal helst vaere direkte til direktoeren eller i hvert fald branch-lederen ( hvis det er en stoerre virksomhed ).
En CSO bør som minimum være en del af ledelses gruppen og dermed svare direkte til den adm. direktør eller muligvis en bestyrelses formand.
Jo mindre virksomheden er, jo flere funktioner bliver lagt ind i selve 'it-chefen', hvorfor kompetence kravet saa stiger eksponentielt, samtidig med at den pris man oensker at betale, falder.
De IT-chefer jeg har kendt har aldrig haft handson opgaver. Og det var sådan vi ville have det.
Dertil kommer saa ogsaa eksemplet hvor 'sikkerhedsgutten' udelukkende fokuserer paa brandspecifikke produkter, og naegter at koebe andet, fx. ( Cisco, MS, etc )
Man får relativt hurtigt preferencer ud fra hvad man ved virker i visse situationer og hvad man kender til.
I et spoergsmaal om sikkerhed vil det, ironisk nok, vaere at foretraekke med en 3. part, som ikke har nogen tilknytning til hverken CFO eller firma, men virkeligheden viser bare at det er en utroligt blandet landhandel idag :(
Man kan med fordel trække på ekstern revision, pen testing og hvad har vi men den daglige drift ville jeg ikke overføre til 3. part.
#Topic
Ikke helt saa brugbar artikel, men det er altid fedt med debat om IT-struktur i en virksomhed, specielt mht. sikkerhed :)
Det mest uheldige ved artiklen er at det er en amerikansk undersøgelse så kan den næppe overføres til danske forhold. Det kunne dog være sjovt at se en tilsvarende undersøgelse i danske firmaer. Ommend jeg tvivler på at ret mange virksomheder vil udtale sig om evt sikkerhedsincidents og hvis de endelig vil tvivler jeg på at de har gjort sig den nødvendige lære af det og dermed gjort omkostningerne op.
#13
Skraemmende nok, er det ikke tilfaeldet i 'min' virksomhed.
Alt filtreres igennem vores CFO.
Det er kun i ekstremt svaere tilfaelde at jeg faar omgaaet CFO'en, uden at han gaar totalt i selvsving.
Det er ogsaa saadan jeg ser billedet, desvaerre.. Husker fint mit sidste store partner moede.. De havde 8 it-chefer, indenfor hver sin respektive gren .. Ingen af dem vidste hvad der var muligt i systemerne, hvor hurtigt det kunne ske, etc.
De var personale-managers, intet andet :/
Det goer man og det er langt fra altid daarligt, det giver bare belaeg for en del loesninger der ikke svarer maals med behovet :)
Helt enig, daglig drift - aldrig, men periodiske tjek og generelt sikkerhedstjek, det har vi haft stor fordel af at have 'friske oejne' til at vurdere.
Det kunne det helt sikkert.
Specielt fordi vi ofte har en langt mindre IT-struktur, hvor mange egentlige positioner ryger under samme person.
Yeah.
Jeg kan godt forstaa at man ikke vil melde den slags ud offentligt, uanset om det saa reelt er 'saa slemt' som man gaar og tror.. Det kan paavirke aktier, det kan paavirke samarbejder, etc.
Eksempelvis fik jeg en del groenne ansigter at se, da jeg fremlagde min ROI og Risk Assesment for offsite DRP.
Det er sjovt som budgettet saa bliver langt mere fleksibelt :D
En CSO bør som minimum være en del af ledelses gruppen og dermed svare direkte til den adm. direktør eller muligvis en bestyrelses formand.
Skraemmende nok, er det ikke tilfaeldet i 'min' virksomhed.
Alt filtreres igennem vores CFO.
Det er kun i ekstremt svaere tilfaelde at jeg faar omgaaet CFO'en, uden at han gaar totalt i selvsving.
De IT-chefer jeg har kendt har aldrig haft handson opgaver. Og det var sådan vi ville have det.
Det er ogsaa saadan jeg ser billedet, desvaerre.. Husker fint mit sidste store partner moede.. De havde 8 it-chefer, indenfor hver sin respektive gren .. Ingen af dem vidste hvad der var muligt i systemerne, hvor hurtigt det kunne ske, etc.
De var personale-managers, intet andet :/
Man får relativt hurtigt preferencer ud fra hvad man ved virker i visse situationer og hvad man kender til.
Det goer man og det er langt fra altid daarligt, det giver bare belaeg for en del loesninger der ikke svarer maals med behovet :)
Man kan med fordel trække på ekstern revision, pen testing og hvad har vi men den daglige drift ville jeg ikke overføre til 3. part.
Helt enig, daglig drift - aldrig, men periodiske tjek og generelt sikkerhedstjek, det har vi haft stor fordel af at have 'friske oejne' til at vurdere.
Det mest uheldige ved artiklen er at det er en amerikansk undersøgelse så kan den næppe overføres til danske forhold. Det kunne dog være sjovt at se en tilsvarende undersøgelse i danske firmaer.
Det kunne det helt sikkert.
Specielt fordi vi ofte har en langt mindre IT-struktur, hvor mange egentlige positioner ryger under samme person.
Ommend jeg tvivler på at ret mange virksomheder vil udtale sig om evt sikkerhedsincidents og hvis de endelig vil tvivler jeg på at de har gjort sig den nødvendige lære af det og dermed gjort omkostningerne op.
Yeah.
Jeg kan godt forstaa at man ikke vil melde den slags ud offentligt, uanset om det saa reelt er 'saa slemt' som man gaar og tror.. Det kan paavirke aktier, det kan paavirke samarbejder, etc.
Eksempelvis fik jeg en del groenne ansigter at se, da jeg fremlagde min ROI og Risk Assesment for offsite DRP.
Det er sjovt som budgettet saa bliver langt mere fleksibelt :D
fidomuh (14) skrev:
Skraemmende nok, er det ikke tilfaeldet i 'min' virksomhed.
Alt filtreres igennem vores CFO.
Det er kun i ekstremt svaere tilfaelde at jeg faar omgaaet CFO'en, uden at han gaar totalt i selvsving.
Det siger måske mere om hvorvidt du reélt set er it chef eller blot sysadm... ;)
Det er ogsaa saadan jeg ser billedet, desvaerre.. Husker fint mit sidste store partner moede.. De havde 8 it-chefer, indenfor hver sin respektive gren .. Ingen af dem vidste hvad der var muligt i systemerne, hvor hurtigt det kunne ske, etc.
De var personale-managers, intet andet :/
Det er ikke en chefs opgave at kende systemerne. Det har de systemejere til.
Det goer man og det er langt fra altid daarligt, det giver bare belaeg for en del loesninger der ikke svarer maals med behovet :)
Jeg går ud fra at du mener at man risikere at skyde over målet hvis man blot kører på rutinen?
Helt enig, daglig drift - aldrig, men periodiske tjek og generelt sikkerhedstjek, det har vi haft stor fordel af at have 'friske oejne' til at vurdere.
Det er igen noget man bør gøre. Om ikke andet så for at sikre at ens sikkerhedsfolk er pengene værd.
Det kunne det helt sikkert.
Specielt fordi vi ofte har en langt mindre IT-struktur, hvor mange egentlige positioner ryger under samme person.
Det er nok det største problem. I min verden skal implementerings folk ikke drifte ting. Og da slet ikke godkende noget til at værende drifts klar. Det skal man bruge drifs folk til.
Yeah.
Jeg kan godt forstaa at man ikke vil melde den slags ud offentligt, uanset om det saa reelt er 'saa slemt' som man gaar og tror.. Det kan paavirke aktier, det kan paavirke samarbejder, etc.
Man kan sagtens lave en sådan undersøgelse uden at nævne navnene på de firmaer man taler med. Jeg tror så problemet er at mange firmaer ikke aner hvad de har af omkostninger på den konto. Både fordi de ikke aner hvad en dags nedetid koster men også fordi de ikke aner de er ramt.
Eksempelvis fik jeg en del groenne ansigter at se, da jeg fremlagde min ROI og Risk Assesment for offsite DRP.
Det er sjovt som budgettet saa bliver langt mere fleksibelt :D
Med 2 slides et par beregninger og forklaringer til slides så kan man vise ROI på sikkerheden. Det vigtige er blot ikke at overdrive, det giver hurtigt tilbagefald af galde og det der er værre.
#15
Desvaerre ja.
Det er dog, imo, mere et udtryk for at koere en virksomhed hvor CFO'en styrer *ALT*.
Det sikrer helt sikkert en god budget oekonomi, men hold da helt fest hvor kan det gaa galt nogengange -.-
Meh, jeg er uenig.
Det er ikke nok til at holde en it-funktion koerende *godt*, at man bare har raadgivere til at lave arbejdet for sig.
Som IT-Chef maa det vaere et minimum at man kender til det system man er ansvarlig for.. ikke helt til bunds, men et minimum af kendskab er noedvendigt.. Ligesom at jeg forventer at en IT-chef har bare lidt IT-relaterede faerdigheder :P
Fx som naar man koeber Cisco switches til et rent lag 2 netvaerk :P
Jeg er principielt enig, det er dog ikke altid saadan det foregaar i virksomheder, af logiske aarsager. Ved stoerre projekter vil det dog altid vaere at foretraekke..
Et rigtigt godt eksempel er et flow system jeg implementerede for nyligt.. Naar man saetter folk til at godkende det, opdager man hurtigt at den oprindelige specifikation ikke var god nok ;)
Mjah, jeg kan saa ikke udtale mig om andre firmaer end dem jeg har vaeret i ( af gode aarsager ), men der har det vaeret *MEGET* klart hvor meget nedetid koster, etc.
Meh, jeg underdriver altid ROI og overdriver RA... Moderat selvfoelgelig, men ROI modregnes der typisk i ved 'opdateringer' til den oprindelige aftale, hvor man sjaeldent laver en ny ROI :/
RA skal man helst vise "worst case" og saa bagefter forklare at det er usandsynligt :P
Det siger måske mere om hvorvidt du reélt set er it chef eller blot sysadm... ;)
Desvaerre ja.
Det er dog, imo, mere et udtryk for at koere en virksomhed hvor CFO'en styrer *ALT*.
Det sikrer helt sikkert en god budget oekonomi, men hold da helt fest hvor kan det gaa galt nogengange -.-
Det er ikke en chefs opgave at kende systemerne. Det har de systemejere til.
Meh, jeg er uenig.
Det er ikke nok til at holde en it-funktion koerende *godt*, at man bare har raadgivere til at lave arbejdet for sig.
Som IT-Chef maa det vaere et minimum at man kender til det system man er ansvarlig for.. ikke helt til bunds, men et minimum af kendskab er noedvendigt.. Ligesom at jeg forventer at en IT-chef har bare lidt IT-relaterede faerdigheder :P
Jeg går ud fra at du mener at man risikere at skyde over målet hvis man blot kører på rutinen?
Fx som naar man koeber Cisco switches til et rent lag 2 netvaerk :P
Det er nok det største problem. I min verden skal implementerings folk ikke drifte ting. Og da slet ikke godkende noget til at værende drifts klar. Det skal man bruge drifs folk til.
Jeg er principielt enig, det er dog ikke altid saadan det foregaar i virksomheder, af logiske aarsager. Ved stoerre projekter vil det dog altid vaere at foretraekke..
Et rigtigt godt eksempel er et flow system jeg implementerede for nyligt.. Naar man saetter folk til at godkende det, opdager man hurtigt at den oprindelige specifikation ikke var god nok ;)
Man kan sagtens lave en sådan undersøgelse uden at nævne navnene på de firmaer man taler med. Jeg tror så problemet er at mange firmaer ikke aner hvad de har af omkostninger på den konto. Både fordi de ikke aner hvad en dags nedetid koster men også fordi de ikke aner de er ramt.
Mjah, jeg kan saa ikke udtale mig om andre firmaer end dem jeg har vaeret i ( af gode aarsager ), men der har det vaeret *MEGET* klart hvor meget nedetid koster, etc.
Med 2 slides et par beregninger og forklaringer til slides så kan man vise ROI på sikkerheden. Det vigtige er blot ikke at overdrive, det giver hurtigt tilbagefald af galde og det der er værre.
Meh, jeg underdriver altid ROI og overdriver RA... Moderat selvfoelgelig, men ROI modregnes der typisk i ved 'opdateringer' til den oprindelige aftale, hvor man sjaeldent laver en ny ROI :/
RA skal man helst vise "worst case" og saa bagefter forklare at det er usandsynligt :P
fidomuh (16) skrev:
Desvaerre ja.
Det er dog, imo, mere et udtryk for at koere en virksomhed hvor CFO'en styrer *ALT*.
Det sikrer helt sikkert en god budget oekonomi, men hold da helt fest hvor kan det gaa galt nogengange -.-
Det skal jeg ikke kunne sige. I mit eneste 'rigtige' sys adm job havde jeg en it chef og skulle som sådan ikke svare til økonomi folkene.
Meh, jeg er uenig.
Det er ikke nok til at holde en it-funktion koerende *godt*, at man bare har raadgivere til at lave arbejdet for sig.
Som IT-Chef maa det vaere et minimum at man kender til det system man er ansvarlig for.. ikke helt til bunds, men et minimum af kendskab er noedvendigt.. Ligesom at jeg forventer at en IT-chef har bare lidt IT-relaterede faerdigheder :P
En it chef vil aldrig have den nødvendige tid til at sætte sig ind i de systemer der kører og vil derfor i høj grad være afhængig af systemejere og andre under ham/hende.
Fx som naar man koeber Cisco switches til et rent lag 2 netvaerk :P
Er det prisen der er problemet?
Jeg er principielt enig, det er dog ikke altid saadan det foregaar i virksomheder, af logiske aarsager. Ved stoerre projekter vil det dog altid vaere at foretraekke..
Et rigtigt godt eksempel er et flow system jeg implementerede for nyligt.. Naar man saetter folk til at godkende det, opdager man hurtigt at den oprindelige specifikation ikke var god nok ;)
Der er andre problemer ved at skulle være den der drifter et system man selv har implementeret. Dokumentationen halter typisk, driftsgennemgangen hvis man da overhovedet laver en er mangelfuld osv.
Mjah, jeg kan saa ikke udtale mig om andre firmaer end dem jeg har vaeret i ( af gode aarsager ), men der har det vaeret *MEGET* klart hvor meget nedetid koster, etc.
Jeg har forgæves forsøgt at få svar på det ene spørgsmål både som konsulent og sikkerhedsansvarlig.
Meh, jeg underdriver altid ROI og overdriver RA... Moderat selvfoelgelig, men ROI modregnes der typisk i ved 'opdateringer' til den oprindelige aftale, hvor man sjaeldent laver en ny ROI :/
RA skal man helst vise "worst case" og saa bagefter forklare at det er usandsynligt :P
Der er da ingen grund til at vise noget man alligevel kalder for usandsynligt...? drengen og ulven kommer frem i mine tanker når jeg læser sådan noget.
#17
Det er ogsaa det jeg hoerer rundt omkring, men den *eneste* jeg svarer til, er CFO'en.. Weird stuff :)
Det er ikke saa meget et spoergsmaal om at vaere 'afhaengig', for jeg er da ogsaa klart afhaengig af vores programmoer, spoergsmaalet er, om man kan det overordnede.. Hvilket jeg ser alt for tit, at folk ikke kan :(
Ja, selvfoelgelig :)
Penge er alt.
Jow, saerligt driftsgennemgangen synes jeg er skraemmende..
Dokumentation plejer at vaere OK, men driftsgennemgang.. Stort set aldrig :D
Strange, jeg har nok vaeret 'heldig' saa :)
Vi har ret praecise tal for nedetid, mistet udgivelse, etc.
Det samme havde vi paa min tidligere arbejdsplads.
Tjah, Risk Assessment uden usandsynlige ting vil vaere utroligt kedeligt, specielt naar uheldet saa er ude :)
Det skal jeg ikke kunne sige. I mit eneste 'rigtige' sys adm job havde jeg en it chef og skulle som sådan ikke svare til økonomi folkene.
Det er ogsaa det jeg hoerer rundt omkring, men den *eneste* jeg svarer til, er CFO'en.. Weird stuff :)
En it chef vil aldrig have den nødvendige tid til at sætte sig ind i de systemer der kører og vil derfor i høj grad være afhængig af systemejere og andre under ham/hende.
Det er ikke saa meget et spoergsmaal om at vaere 'afhaengig', for jeg er da ogsaa klart afhaengig af vores programmoer, spoergsmaalet er, om man kan det overordnede.. Hvilket jeg ser alt for tit, at folk ikke kan :(
Er det prisen der er problemet?
Ja, selvfoelgelig :)
Penge er alt.
Der er andre problemer ved at skulle være den der drifter et system man selv har implementeret. Dokumentationen halter typisk, driftsgennemgangen hvis man da overhovedet laver en er mangelfuld osv.
Jow, saerligt driftsgennemgangen synes jeg er skraemmende..
Dokumentation plejer at vaere OK, men driftsgennemgang.. Stort set aldrig :D
Jeg har forgæves forsøgt at få svar på det ene spørgsmål både som konsulent og sikkerhedsansvarlig.
Strange, jeg har nok vaeret 'heldig' saa :)
Vi har ret praecise tal for nedetid, mistet udgivelse, etc.
Det samme havde vi paa min tidligere arbejdsplads.
Der er da ingen grund til at vise noget man alligevel kalder for usandsynligt...?
Tjah, Risk Assessment uden usandsynlige ting vil vaere utroligt kedeligt, specielt naar uheldet saa er ude :)
fidomuh (18) skrev:
Det er ogsaa det jeg hoerer rundt omkring, men den *eneste* jeg svarer til, er CFO'en.. Weird stuff :)
Så må det jo være CFO'en der reelt set er it chefen i jeres biks...
Det er ikke saa meget et spoergsmaal om at vaere 'afhaengig', for jeg er da ogsaa klart afhaengig af vores programmoer, spoergsmaalet er, om man kan det overordnede.. Hvilket jeg ser alt for tit, at folk ikke kan :(
Vi kan godt blive enige om at det er en fordel hvis it chefen har en ide om det overordnede. Det vil alt andet lige give en mindre afhængighed af systemejere og andre i IT-afdelingen. Men jeg ser ikke som en nødvendighed så længe chefen er klar over begrænsningen i dennes viden.
Ja, selvfoelgelig :)
Penge er alt.
Liste priser er jo ikke noget man betaler alligevel? Om som du forhåbentlig ved så er indkøbsprisen typisk en lille del af den samlede udgift i den tid hvor man bruger et stykke hardware
Jow, saerligt driftsgennemgangen synes jeg er skraemmende..
Dokumentation plejer at vaere OK, men driftsgennemgang.. Stort set aldrig :D
Jeg er måske farvet lidt af at have siddet i en driftsafdeling hvor vi klarede driftsgennemgang efter en anden afdeling havde implementeret et system.
Strange, jeg har nok vaeret 'heldig' saa :)
Vi har ret praecise tal for nedetid, mistet udgivelse, etc.
Det samme havde vi paa min tidligere arbejdsplads.
Det er jo også et krav førend man kan vide hvor mange penge man skal smide efter et givent problem der kan koste nedetid.
Tjah, Risk Assessment uden usandsynlige ting vil vaere utroligt kedeligt, specielt naar uheldet saa er ude :)
Ikke enig. Der er ingen grund til at tage jordskæl eller tornadoer med i en i en RA... I en ra skal man kun tage det med der er en faktisk risiko for at man kommer til at opleve. Hvis dit server rum er på 5. sal har du vel heller ikke oversvømmelse med selvom din kontor bygning står lige ved siden af en sø..?
Så må det jo være CFO'en der reelt set er it chefen i jeres biks...
Det er ogsaa saadan jeg ser det :)
Det tager en del af det ansvar jeg ellers troede var mit, vaek :P
Vi kan godt blive enige om at det er en fordel hvis it chefen har en ide om det overordnede. Det vil alt andet lige give en mindre afhængighed af systemejere og andre i IT-afdelingen. Men jeg ser ikke som en nødvendighed så længe chefen er klar over begrænsningen i dennes viden.
Mjoh, jeg har nok bare en forventning om at 'chefen', der jo bestemmer hvordan biksen skal styres, skal have viden om det, for at vide hvordan det styres 'bedst'.
Liste priser er jo ikke noget man betaler alligevel?
Ting er ikke gratis, bare fordi man ikke betale 'liste priser'.
Cisco er vaesentligt dyrere end de Zyxel crapola switche vi bruger.
Og indtil videre ville Cisco have givet os .... Nothing. :)
Om som du forhåbentlig ved så er indkøbsprisen typisk en lille del af den samlede udgift i den tid hvor man bruger et stykke hardware
Mjoh, saerligt udvidelser og opgradering ligger tungt i mine overvejelser - og taler igen imod Cisco :P
Drift er selvfoelgelig alfa og omega, men til layer 2? Der er ingen grund til at koebe Cisco naar jeg for samme pris kan koebe 4 andre.
Vores server backbone er faktisk en Dell PowerConnect, fungerer utroligt godt.
Jeg er måske farvet lidt af at have siddet i en driftsafdeling hvor vi klarede driftsgennemgang efter en anden afdeling havde implementeret et system.
Det lyder saadan ;)
Det er jo også et krav førend man kan vide hvor mange penge man skal smide efter et givent problem der kan koste nedetid.
Jow, men maaske mere typisk fordi det er en mindre virksomhed og et reelt nedbrud kan koste os stoetten fra den internationale afdeling, fx. :)
Ikke enig. Der er ingen grund til at tage jordskæl eller tornadoer med i en i en RA... I en ra skal man kun tage det med der er en faktisk risiko for at man kommer til at opleve.
Ah, det er saa heller ikke det jeg mener med "usandsynligt" :P
Hvis dit server rum er på 5. sal har du vel heller ikke oversvømmelse med selvom din kontor bygning står lige ved siden af en sø..?
Vores serverrum er i stuen, der er ikke vandafloeb i naerheden eller i rummet og det er stort set lige ved siden af hoveddoeren.
- Derfor tog jeg faktisk oversvoemmelse med i min RA for DRP. :)
Men nej, jeg tager heller ikke jordskaelv med, men oversvoemmelse? Mjoh. Overgravede kabler, sne paa vores wifi - det er skam med og kommer med i overvejelserne.
Hvis ikke jeg tager det med i min RA, saa faar jeg et los i kuglerne - specielt nu hvor vores Wifi er 'shaky' pga den store snemaengde. ;)
fidomuh (20) skrev:Det er ogsaa saadan jeg ser det :)
Det tager en del af det ansvar jeg ellers troede var mit, vaek :P
Hellere finde ud af det nu end ved en lønsamtale... Det betyder jo også blot at du ikke er dataejer og derfor ikke er den der får ballade når uheldet er ude.
Mjoh, jeg har nok bare en forventning om at 'chefen', der jo bestemmer hvordan biksen skal styres, skal have viden om det, for at vide hvordan det styres 'bedst'.
Det bliver vi næppe enige om. :)
Ting er ikke gratis, bare fordi man ikke betale 'liste priser'.
Cisco er vaesentligt dyrere end de Zyxel crapola switche vi bruger.
Og indtil videre ville Cisco have givet os .... Nothing. :)
Jeg kender selvsagt ikke dit setup så hvorvidt der var noget vundet ved at bruge cisco skal jeg ikke kunne sige. Jeg personligt ville vælge cisco hele vejen rundt fordi jeg ved at det er hamrende drifts sikkert.
Mjoh, saerligt udvidelser og opgradering ligger tungt i mine overvejelser - og taler igen imod Cisco :P
Drift er selvfoelgelig alfa og omega, men til layer 2? Der er ingen grund til at koebe Cisco naar jeg for samme pris kan koebe 4 andre.
Min erfaring er at der er en sammenhæng mellem pris og kvalitet men du kan selvfølgelig have anderledes erfaringer og sådan er det jo bare.
Vores server backbone er faktisk en Dell PowerConnect, fungerer utroligt godt.
Jeg har aldrig hørt noget godt om dell netværks udstyr så det turde jeg ikke satse på.
Det lyder saadan ;)
Det der med best pratice er noget satans noget. Man bliver afhængig af at det bliver fulgt...
Jow, men maaske mere typisk fordi det er en mindre virksomhed og et reelt nedbrud kan koste os stoetten fra den internationale afdeling, fx. :)
Nu ved jeg ikke lige hvordan du definerer en lille virksomhed..?
Ah, det er saa heller ikke det jeg mener med "usandsynligt" :P
Jamen så er vi sikkert enige alligevel. :)
Vores serverrum er i stuen, der er ikke vandafloeb i naerheden eller i rummet og det er stort set lige ved siden af hoveddoeren.
- Derfor tog jeg faktisk oversvoemmelse med i min RA for DRP. :)
Men nej, jeg tager heller ikke jordskaelv med, men oversvoemmelse? Mjoh. Overgravede kabler, sne paa vores wifi - det er skam med og kommer med i overvejelserne.
Hvis ikke jeg tager det med i min RA, saa faar jeg et los i kuglerne - specielt nu hvor vores Wifi er 'shaky' pga den store snemaengde. ;)
Jeres wifi er en backup linie ud af huset?
Nu var oversvømmelsen jo et eksempel på hvor man formentlig ikke skulle tage den med. Jeg ved godt at man kan finde eksempler hvor den skulle med alligevel.
Har du husket brand og evt røgskader?
#21
Jep. Ironisk nok mener min CFO stadig at det er mig der har ansvaret, saa jeg har forberedt en god liste med ting jeg ikke bestemmer over, hvorfor det ikke er mit ansvar - som jeg nu har bedt direktoeren om at evaluere :)
Mjoh, jeg er ikke satans vild med Cisco, driftssikkerheden i det *ER* der, men i mange tilfaelde ville jeg klart foretraekke at have spares, fx :P
Havde jeg heller ikke og har ikke saa meget positivt at sige, udover "den virker bare".
Vi har nogle vlans, lidt trunking og LAG, det spiller bare og den laver routing imellem 4 subnets.. Ikke det vilde setup, men til prisen spiller det fint.
( Det skal saa siges, at det ikke var mit valg og det var ret billigt :P )
Vi er ~95 her, var ~97 i NSS og ~60 i Contex.
Saa RA med priser paa er ret nemt :P
Vi har en FWA linie som backup til vores fiber, ja :)
Jeg ved det, naevnte det bare fordi det ligepraecis var en af de ting vores nabo bygning havde problemer med og som det oprindelige design herude, slet ikke tager hoejde for..
Ja.
Jeg finder det trist at der hverken er branddoere eller roegdetektorer i serverrummet.
Saa min RA var en god omgang "We are fucked"-whine :P
Helt serioest, alt IT herude blev planlagt af den tidligere office manager, som INTET vidste om IT. Hun fik lov til at planlaegge det, fordi hun paastod at kunne goere det billigere end IT manageren.
Det har saa betydet underdimensionerede koeleanlaeg som er placeret forkert og ufatteligt mange andre problemer.
Det eneste den tidligere it-chef fik gennemtrumfet, var at der blev koebt APC rack skabe fremfor et eller andet no-name, uden hjul, og kun med 'huller' i fronten, saa rails ikke var mulige, etc ... JEbus fuck :D
Hellere finde ud af det nu end ved en lønsamtale... Det betyder jo også blot at du ikke er dataejer og derfor ikke er den der får ballade når uheldet er ude.
Jep. Ironisk nok mener min CFO stadig at det er mig der har ansvaret, saa jeg har forberedt en god liste med ting jeg ikke bestemmer over, hvorfor det ikke er mit ansvar - som jeg nu har bedt direktoeren om at evaluere :)
Jeg personligt ville vælge cisco hele vejen rundt fordi jeg ved at det er hamrende drifts sikkert.
Mjoh, jeg er ikke satans vild med Cisco, driftssikkerheden i det *ER* der, men i mange tilfaelde ville jeg klart foretraekke at have spares, fx :P
Jeg har aldrig hørt noget godt om dell netværks udstyr så det turde jeg ikke satse på.
Havde jeg heller ikke og har ikke saa meget positivt at sige, udover "den virker bare".
Vi har nogle vlans, lidt trunking og LAG, det spiller bare og den laver routing imellem 4 subnets.. Ikke det vilde setup, men til prisen spiller det fint.
( Det skal saa siges, at det ikke var mit valg og det var ret billigt :P )
Nu ved jeg ikke lige hvordan du definerer en lille virksomhed..?
Vi er ~95 her, var ~97 i NSS og ~60 i Contex.
Saa RA med priser paa er ret nemt :P
Jeres wifi er en backup linie ud af huset?
Vi har en FWA linie som backup til vores fiber, ja :)
Nu var oversvømmelsen jo et eksempel på hvor man formentlig ikke skulle tage den med. Jeg ved godt at man kan finde eksempler hvor den skulle med alligevel.
Jeg ved det, naevnte det bare fordi det ligepraecis var en af de ting vores nabo bygning havde problemer med og som det oprindelige design herude, slet ikke tager hoejde for..
Har du husket brand og evt røgskader?
Ja.
Jeg finder det trist at der hverken er branddoere eller roegdetektorer i serverrummet.
Saa min RA var en god omgang "We are fucked"-whine :P
Helt serioest, alt IT herude blev planlagt af den tidligere office manager, som INTET vidste om IT. Hun fik lov til at planlaegge det, fordi hun paastod at kunne goere det billigere end IT manageren.
Det har saa betydet underdimensionerede koeleanlaeg som er placeret forkert og ufatteligt mange andre problemer.
Det eneste den tidligere it-chef fik gennemtrumfet, var at der blev koebt APC rack skabe fremfor et eller andet no-name, uden hjul, og kun med 'huller' i fronten, saa rails ikke var mulige, etc ... JEbus fuck :D
fidomuh (22) skrev:
Jep. Ironisk nok mener min CFO stadig at det er mig der har ansvaret, saa jeg har forberedt en god liste med ting jeg ikke bestemmer over, hvorfor det ikke er mit ansvar - som jeg nu har bedt direktoeren om at evaluere :)
Det kan strengt taget aldrig blive dit ansvar med mindre du bliver dataejer. Og så længe du ikke sidder med det overordnede ansvar for virksomheden er det ikke dit problem.
Mjoh, jeg er ikke satans vild med Cisco, driftssikkerheden i det *ER* der, men i mange tilfaelde ville jeg klart foretraekke at have spares, fx :P
Det kan jo være lidt et spil i lotteriet. Man kan være heldig og man kan være uheldig. Spørgsmålet er så bare hvor mange loder man ønsker at købe. hvis den analogi da ellers giver mening.. :)
Havde jeg heller ikke og har ikke saa meget positivt at sige, udover "den virker bare".
Vi har nogle vlans, lidt trunking og LAG, det spiller bare og den laver routing imellem 4 subnets.. Ikke det vilde setup, men til prisen spiller det fint.
( Det skal saa siges, at det ikke var mit valg og det var ret billigt :P )
Så er vi jo ude over et rent layer 2 netværk? :) Og så tror jeg faktisk at det meste ville spille fint til et sådan setup uden at kende trafik mængder og hvad har vi.
Vi er ~95 her, var ~97 i NSS og ~60 i Contex.
Saa RA med priser paa er ret nemt :P
Jeg har i større virksomheder ikke kunne få svar på hvad en dags nedetid koster.
Vi har en FWA linie som backup til vores fiber, ja :)
Igen ville jeg have valgt anderledes men det er jo svært at vide hvorvidt det er muligt. :)
Jeg ved det, naevnte det bare fordi det ligepraecis var en af de ting vores nabo bygning havde problemer med og som det oprindelige design herude, slet ikke tager hoejde for..
Er det muligt at flytte server rummet?
Ja.
Jeg finder det trist at der hverken er branddoere eller roegdetektorer i serverrummet.
Har i heller ikke noget brandslukningsudstyr?
Saa min RA var en god omgang "We are fucked"-whine :P
Helt serioest, alt IT herude blev planlagt af den tidligere office manager, som INTET vidste om IT. Hun fik lov til at planlaegge det, fordi hun paastod at kunne goere det billigere end IT manageren.
Det har da sikkert også været billigere men igen så er det ikke altid at det kan betale sig at spare pengene.
Det har saa betydet underdimensionerede koeleanlaeg som er placeret forkert og ufatteligt mange andre problemer.
Det eneste den tidligere it-chef fik gennemtrumfet, var at der blev koebt APC rack skabe fremfor et eller andet no-name, uden hjul, og kun med 'huller' i fronten, saa rails ikke var mulige, etc ... JEbus fuck :D
Man kan jo kun have ondt af sådan en stakkel...
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund