Jak chronić swoją firmę przed moim facetem od IT? [Zamknięte]

76

Zatrudniam informatyka, który pomoże zarządzać komputerami i siecią mojego biura. Jesteśmy małym sklepem, więc on będzie jedynym, który zajmuje się IT.

Oczywiście przeprowadzę wywiad, sprawdzę referencje i przeprowadzę sprawdzenie przeszłości. Ale nigdy nie wiesz, jak wszystko się ułoży.

Jak ograniczyć ekspozycję mojej firmy, jeśli zatrudniony przeze mnie facet okaże się zły? Jak mogę uniknąć uczynienia go jedną z najpotężniejszych osób w organizacji?

security  best-practices 
Jesse
źródło
6
Pewnym dowodem jest nauczenie się IT. Wygląda na to, że masz problemy z zaufaniem, których wymaga praca. Wygląda na to, że tytuł mówi, że chcesz chronić swój komputer, ale tematem wydaje się cała sieć.
Nixphoe
22
@Jesse: Więc mówisz, że twój księgowy nie mógł ci sprzeniewierzyć się i doprowadzić do bankructwa? Twój menedżer sprzedaży nie mógł sprzedać Twojej listy klientów, powodując tak wiele utraconych przychodów, z których korzystasz? Osobiście, gdybym był nieuczciwym pracownikiem, wolałbym mieć dostęp do twojego konta bankowego niż do komputerów.
joeqwerty
1
Dokumentacja, dokumentacja, dokumentacja.
Stuart
8
@joeqwerty: Księgowy ma dostęp do spraw finansowych; kierownik sprzedaży ma dostęp do materiałów sprzedażowych; informatyk ma dostęp do wszystkiego .
Jesse
3
@TomWij, gdybym był twoim informatykiem i wiedziałem, że wykonujesz prace informatyczne za moimi plecami (kopie zapasowe lub w inny sposób) w systemie, którym powierzyłeś mi zarządzanie, rzuciłbym napad. Kosztuje to więcej, niszczy wszelkie kontakty z pracownikami i na dłuższą metę zaszkodzi Twojej firmie. Nie rób tego
Paul McMillan,

Odpowiedzi:

108

Robisz to w ten sam sposób, w jaki chronisz firmę przed szefem sprzedaży uciekającym z listą klientów, szefem księgowości malwersującymi funduszami lub kierownikiem zapasów przed ucieczką z połową zapasów, głównie: Zaufaj, ale zweryfikuj.

Przynajmniej wymagam, aby wszystkie hasła do wszystkich kont Administratora w systemach i usługach w IT były przechowywane w bezpiecznym haśle (cyfrowo jak KeePass lub dosłownie kawałek papieru przechowywany w sejfie). Okresowo będziesz musiał sprawdzić, czy te konta są nadal aktywne i mają odpowiednie prawa dostępu. Większość doświadczonych informatyków nazywa to scenariuszem „jeśli uderzy mnie autobus” i jest to część ogólnego pomysłu eliminowania punktów awarii.

Na jednej firmy pracowałem w którym byłem jedynym IT Administrator, że utrzymywał stosunki z zewnętrznego konsultanta IT, który przekazał to, przede wszystkim dlatego, że firma nie zostały spalone w przeszłości (o niekompetencji więcej niż złośliwości). Mieli hasła dostępu zdalnego i na żądanie mogli zresetować niezbędne hasła administratora. Nie mieli jednak bezpośredniego dostępu do żadnych danych firmy. Mogli tylko resetować hasła. Oczywiście, ponieważ mogli zresetować hasła administratora przedsiębiorstwa, mogli przejąć kontrolę nad systemami. Ponownie stał się „Zaufaj, ale zweryfikuj”. Upewnili się, że mogą uzyskać dostęp do systemów. Upewniłem się, że nic nie zmieniają bez naszej wiedzy o tym.

I pamiętaj: najłatwiejszym sposobem upewnienia się, że dana osoba nie spali Twojej firmy, jest upewnienie się, że jest szczęśliwa. Upewnij się, że Twoja wypłata jest co najmniej równa medianie. Słyszałem o zbyt wielu sytuacjach, w których personel IT zniszczył firmę mimo wszystko. Traktuj swoich pracowników dobrze, a oni zrobią to samo.

Kawałki bekonu
źródło
1
Dobrze powiedziane Bacon. Nie przeczytałem twojej odpowiedzi przed opublikowaniem własnego, mówiącego to samo.
joeqwerty
To najlepsza odpowiedź. Uzyskaj zaufaną stronę trzecią na podstawie umowy.
mfinni
Intuicyjnie informatyk zmienia rzeczy, aby skutecznie zablokować stronę trzecią na dzień przed zwolnieniem. Co wtedy? Przestaw całą sieć w tryb offline, aż będzie można ją poddać audytowi za każdym razem, gdy kogoś zwolnisz?
Matthew Przeczytał
1
-1 dla: „Upewniłem się, że nic nie zmieniają bez naszej wiedzy”.
Kzqai
1
lepiej: przechowuj informacje o koncie awaryjnym z powrotem przez osobę, która w ogóle nie ma dostępu do twojej sieci. Usługa escrow, zewnętrzny prawnik, skarbiec bankowy, do którego fizycznie mają dostęp tylko partnerzy z firmy. Jeśli naprawdę jesteś paranoikiem, tak to robisz. I oczywiście mają system z dwoma kluczami, w którym zawsze muszą być zalogowane co najmniej 2 osoby na koncie root, obie znające połowę hasła.
jwenting
32

Jak uchronić księgowego przed sprzeniewierzeniem? Jak powstrzymać sprzedawców przed odrzutami od dostawców?

Ludzie bez IT mają błędne wyobrażenie, że my, ludzie IT, ćwiczymy czarną sztukę, którą władamy z linii graniczącej z dobrem i złem, i że pod wpływem kaprysu uciekniemy się do jakiejś nikczemnej machinacji wyłącznie w celu „obalenia spiczastego włosa szefa „.

Zarządzanie pracownikiem IT jest jak zarządzanie każdym innym pracownikiem.

Przestań oglądać filmy, które przedstawiają tych z nas, którzy poważnie podchodzą do odpowiedzialności za nasze pozycje, jakbyśmy byli nieuczciwymi agentami piekła nastawionymi na dominację nad światem i / lub zniszczenie.

joeqwerty
źródło
13
Mój księgowy przeprowadza audyty u moich sprzedawców. Mój CPA kontroluje mojego księgowego. Kto przeprowadza audyt faceta IT? Nie ma to nic wspólnego z filmami, ma związek z ograniczaniem ryzyka prowadzenia działalności gospodarczej.
Jesse
3
@Jesse: Słyszę cię. W mojej odpowiedzi jest trochę hiperboli, ale w końcu musisz zarządzać personelem IT tak, jak robisz resztę personelu. Jeśli potrzebujesz kogoś, kto przeprowadzi audyt twojego personelu IT, musisz sam wziąć na siebie tę odpowiedzialność lub zatrudnić kogoś, kto ją podejmie.
joeqwerty
3
niestety wielu spoza działu IT ma pomysł, że każda osoba IT może włamać się do swoich systemów i uciec z firmowymi sekretami i hasłami do konta bankowego. Nigdy nawet nie biorą pod uwagę, że jesteśmy tylko kolejną grupą ludzi, podobnie jak reszta ich pracowników, i że ci inni już mają środki, aby to zrobić, bez potrzeby włamania się na cokolwiek, ponieważ mają dostęp do tych danych jako część ich regularnej pracy.
jwenting
21

Łał, naprawdę? gutsy pytanie, które należy zadać przy błędzie serwera, nie przejmuj się, jeśli niektórzy są obrażeni twoim pytaniem, choć rozumiem.

Ok, praktyczne rozwiązania; możesz nalegać na (i często testować) posiadanie własnego konta administratora / ekwiwalentu konta na wszystko, losowo zabrać do domu jedną z kopii zapasowych poza witryną i przywrócić ją, oczywiście starać się rekrutować od osób, które znasz / ufasz lub wydać dużo czas ich zatrudniania.

Moją najsilniejszą propozycją byłoby zatrudnienie dwóch osób - obie zgłaszające się do ciebie, nie tylko będą się zachowywać uczciwie, ale będziesz mieć ochronę, gdy ktoś będzie na wakacjach lub będzie chory.

Siekacz 3
źródło
1
... Zastanawiam się, jak dzierżawca może zaufać osobie niebędącej technikiem, która będzie strzegła jego ramienia. To pytanie odzwierciedla problemy każdej firmy. Ale informatyk będzie miał moc robienia wszelkiego rodzaju nikczemnych rzeczy. MUSI to mieć, aby skutecznie wykonywać swoją pracę.
Bart Silverstrim
2
W pewnym sensie żałuję, że mam konta do wszystkiego dla nie-technicznych użytkowników. Powinny istnieć zasady, aby upewnić się, że nie są one stosowane przez osoby nietechniczne, aby ich używały, chyba że istnieje faktyczna potrzeba ... tj. Zwolnienia administratora. Nie dlatego, że ludzie niezwiązani z technologią odczuwają potrzebę, aby zacząć grzebać po serwerze pocztowym lub robić coś poza ich jurysdykcją, że tak powiem.
Bart Silverstrim
1
Kompetentny administrator będzie się bał, że będzie musiał dostarczyć użytkownikom nietechnicznym hasła administratora, z wyjątkiem sytuacji awaryjnych. Ludzie, którzy nie wiedzą, co robią, będą mieli pokusę, aby bawić się w rzeczy, których nie powinni. Zamknij je i zamknij w sejfie.
Paul McMillan,
3
Tak naprawdę, wpadam na to, małe, jednoosobowe lub dwuosobowe sklepy, które po prostu doją małe firmy za niedorzeczne pieniądze za bardzo nieprofesjonalną pracę. Myślę, że to świetne pytanie.
SpacemanSpiff
11

Czy masz osobę HR? A może księgowy? Jak uchronić osobę HR przed złem i sprzedażą danych osobowych wszystkich osób? Jak powstrzymać księgowego lub finansować ludzi przed kradzieżą wszystkiego, co firma ma pod spodem?

Dla wszystkich pozycji powinieneś mieć procedury ograniczające, ile szkód może wyrządzić dana osoba. Twoja domyślna pozycja powinna polegać na tym, że ufasz zatrudnianym osobom (jeśli im nie ufasz, nie zatrudniaj ich ani ich nie przechowuj), ale rozsądne jest posiadanie czeków i równowagi.

Nawet w małej firmie nie powinieneś mieć tylko jednego „informatyka”, który jako jedyny wie cokolwiek. (tak samo, jak nie powinieneś mieć tylko jednej osoby, która poradziłaby sobie z płacami - co, jeśli ta osoba zachoruje?). Ktoś inny potrzebuje haseł, musi sprawdzić kopie zapasowe itp.

Jedyne, co możesz zrobić, to uczynić dokumentację priorytetową. Upewnij się, że dasz zatrudnionej osobie czas na udokumentowanie konfiguracji i omówienie dokumentacji podczas rozmowy kwalifikacyjnej z kandydatami - zapytaj, co zrobili w przeszłości, aby udokumentować swoją sieć, poproś o próbkę.

Mam w zwyczaju zawsze tworzyć „Przewodnik po systemach”, który mniej więcej dokumentuje wszystko - jaki mamy sprzęt, jak jest skonfigurowany, jakie procedury stosujemy itp. Itp. To oczywiście dokument ciągle ewoluujący (seria dokumentów i pliki w większości przypadków), ale w dowolnym momencie możesz wziąć kopię i dowiedzieć się, jak skonfigurował to dział IT oraz jakie kluczowe informacje powinien wiedzieć ktoś inny, na wypadek, gdyby facet został potrącony przez autobus. Jeśli naprawdę chcesz się przygotować, możesz poprosić zewnętrznego konsultanta o przejrzenie podręcznika systemowego i powiedz mu, co powinni zrobić, jeśli coś się stanie z facetem IT.

Lub, jeśli jesteś naprawdę paranoikiem, możesz poprosić zewnętrznego konsultanta, aby przyszedł i porównał zawartość podręcznika systemowego z tym, co zobaczy, jeśli spojrzy na twoje systemy. Czy jest zainstalowane inne oprogramowanie? Czy istnieją dodatkowe konta administratora lub konta dostępu zdalnego?

Totem
źródło
6

Jest to trudne, ponieważ porażka przynosi ból ( jak szukać backdoorów od poprzedniej osoby IT? ). Jeśli jesteś na tyle mały, że nie masz jeszcze obecności IT, tego rodzaju podzielone na struktury struktury, które mogą ograniczyć ekspozycję, są naprawdę bardzo trudne do wprowadzenia. O ile nie masz kogoś, kto mógłby wykonywać wszystkie czynności związane z wysokim zaufaniem, takie jak czynności wymagające poświadczeń administratora domeny, musisz oddać je nowemu zatrudnieniu.

Zatrudniasz kogoś, kto będzie miał do nich duże zaufanie, więc musisz im zaufać, więc jeśli nie jesteś w 100% pewien, nie zatrudniaj ich. Kontrole w tle mogą pomóc. Domagaj się osobistych rekomendacji charakteru, a nie tylko kompetencji ; jeśli mają profil LinkedIn, poproś niektórych z nich lub nalegaj na skontaktowanie się z nimi.

Tak, to będzie bardzo nachalne. Jeśli naprawdę masz wątpliwości co do kogoś, to jest całkowicie tego warte ze względu na koszty dla firmy w przypadku, gdy zdarzy się najgorsze. Kiedy zaczną, bardzo ściśle z nimi współpracuj. Poznać ich. Pozwól całej firmie na interakcję z nimi. Zobacz, jak pracują z ludźmi.

Gdy zniknie blask nowej pracy, zobacz, jak radzą sobie z nieoczekiwanymi niepowodzeniami. Czy czują się urażeni i gburowaci, czy też wzruszają ramionami i rozdają? Jeśli twoje biuro jest typem do swobodnego obgadywania nowych ludzi, zobacz, jak reagują; subtelny i cichy z zawstydzeniem wobec zemsty, jawny i krzykliwy, czy też śmiech i odrzucanie go? Oto niektóre wskazówki, które mogą pomóc zidentyfikować potencjalnego sabotażystę zemsty.

sysadmin1138
źródło
1
Gburowaty administrator? Na pewno jesteś!
Bart Silverstrim
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.