Як захистити свою компанію від ІТ-хлопця? [зачинено]

Я найму ІТ-хлопця, який допоможе керувати комп’ютерами та мережею мого офісу. Ми невеликий магазин, тому він буде єдиним, хто займається ІТ.

Звичайно, я буду ретельно проводити інтерв'ю, перевіряти посилання та виконувати перевірку. Але ти ніколи не знаєш, як все вийде.

Як я обмежую експозицію своєї компанії, якщо хлопець, якого я наймаю, виявляється злим? Як я можу не зробити його єдиною наймогутнішою людиною в організації?

Ви робите це так само, як захищаєте компанію від керівника продажів, що закінчується списком клієнтів, або керівника відділу бухгалтерського розкрадання, або фондового менеджера від запуску половини товарних запасів, багато в чому: довіряйте, але перевіряйте.

Як мінімум, я б зажадав, щоб усі паролі для всіх облікових записів адміністратора в системах та службах під ІТ зберігалися в безпеці паролів (в цифровому вигляді, як KeePass, або в прямому аркуші паперу, що зберігається в сейфі). Періодично вам потрібно буде перевірити, що ці облікові записи все ще активні та мають відповідні права доступу. Більшість досвідчених ІТ-людей називають це сценарієм "якщо мене вдарить автобус", і це частина загальної ідеї усунення пунктів відмови.

В одному бізнесі я працював , де я був єдиним IT Admin, ми підтримували зв'язок із зовнішнім ІТ - консультанта , який передав це, в першу чергу тому , що компанія була спалена в минулому (некомпетентність більше , ніж злість). Вони мали паролі віддаленого доступу і, коли вони запитували, могли скинути основні паролі адміністратора. Однак вони не мали прямого доступу до будь-яких даних компанії. Вони могли скинути лише паролі. Звичайно, оскільки вони могли скинути паролі адміністратора підприємства, вони могли взяти під контроль системи. Знову він став "Довіряй, але перевіряй". Вони переконалися, що можуть отримати доступ до систем. Я переконався, що вони нічого не змінили, не знаючи про нас.

І пам’ятайте: найпростіший спосіб переконатись, що людина не спалює вашу компанію - це переконатися, що вони щасливі. Переконайтеся, що ваша зарплата принаймні за середньою вартістю. Я чув дуже багато ситуацій, коли ІТ-персонал невдало пошкодив компанію. Ставтесь до своїх співробітників правильно, і вони зроблять те саме.

Як уберегти свого бухгалтера від присвоєнь? Як уберегти торговий персонал від прийняття відкатів у постачальників?

Люди, які не є ІТ, мають помилкове уявлення про те, що ми, ІТ-люди, практикуємо чорне мистецтво, яке ми тримаємо від лінії, що межує з добром і злом, і що за примхою ми вдамося до якоїсь нечестивої маніпуляції з солею з метою "збити гострого волохатого боса ".

Управління ІТ-працівником - це як управління будь-яким іншим працівником.

Перестаньте дивитися фільми, в яких зображено тих із нас, хто серйозно сприймає відповідальність за свої посади так, ніби ми негідні агенти, пекло, схильнені до світового панування та / або знищення.

Та не вже? гацьке запитання, яке потрібно задати на сервері за замовчуванням, не турбуйтеся, якщо когось образить ваше запитання, хоч я і так розумію.

Гаразд, практичні рішення; ви можете наполягати на (і часто перевіряти) наявність у вас власних облікових записів адміністратора / кореневого еквівалента для всього, випадково віднесіть одну з позамісних резервних копій додому та відновіть її, очевидно, намагайтеся набирати людей, яких ви знаєте / довіряєте, або витрачаєте велику кількість час їх використання.

Моя найсильніша пропозиція полягала б у тому, щоб найняти двох людей - обидва звітують вам, не тільки вони будуть чесно ставитись один до одного, але й ви будете мати прикриття, коли хтось перебуває у відпустці чи хворий.

Чи є у вас HR людина? Або бухгалтер? Як уберегти вашу HR-людину від злості та продажу особистої інформації кожного? Як уберегти свого бухгалтера чи фінансувати людей, щоб вони не крали все, що належить компанії, під вами?

Для всіх посад у вас повинні бути процедури, що обмежують, скільки шкоди може зробити людина. Вашою позицією за замовчуванням повинно бути те, що ви довіряєте людям, яких ви наймаєте (якщо ви не довіряєте їм, не наймайте їх чи не утримуйте їх), але розумно мати чеки та противаги.

Навіть для невеликої компанії у вас не повинно бути лише одного "ІТ-людини", який єдиний, хто щось знає. (те саме, що у вас не повинно бути лише однієї людини, яка може мати справу з оплатою праці - що робити, якщо ця людина захворіє?). Хтось ще потребує паролів, потрібно перевірити резервні копії тощо.

Одне, що ви можете зробити, це зробити документацію пріоритетною. Переконайтеся, що ви даєте особі, яку ви наймаєте, на час документувати, як налаштовані речі, та обговорювати документацію, опитуючи кандидатів, - запитайте, що вони робили раніше, щоб документувати їхню мережу, попросіть переглянути зразок.

Це моя звичка завжди складати "Посібник із систем", який більш-менш документує все - яке обладнання ми маємо, як воно налаштовано, процедури, які ми виконуємо, тощо. Це, очевидно, постійно змінюється документ (серія документів і файли в більшості випадків), але в будь-який час ви можете взяти копію та отримати уявлення про те, як ІТ-хлопець налаштував речі та яку важливу інформацію повинен знати хтось інший у випадку, якщо ІТ-хлопець потрапив у автобус. Якщо ви дійсно хочете бути готовими, ви можете попросити зовнішнього консультанта, який повинен ознайомитись із посібником із системи та розповісти, що їм потрібно вступити, якщо з ІТ-хлопцем щось трапиться.

Або, якщо ви справді параноїк, ви можете залучити зовнішнього консультанта і порівняти те, що знаходиться в посібнику з системою, і те, що вони бачать, якщо вони подивляться на ваші системи. Чи встановлено інше програмне забезпечення? Чи є додаткові облікові записи адміністратора чи віддаленого доступу?

Це важко, оскільки невдача приносить біль ( як ви шукаєте на задньому плані у попереднього ІТ-людини? ). Якщо ви досить малі, що у вас вже немає присутності в ІТ, подібних структур, які можуть обмежувати експозицію, насправді дуже важко встановити. Якщо у вас є хтось інший, який би виконував усі заходи з довірою, як-от речі, що вимагають облікових даних доменного адміністратора, вам доведеться подати його в новий прокат.

Ви наймаєте когось, хто буде їм довіряти, тому вам потрібно довіряти їм взамін, тому, якщо ви не впевнені на 100%, не наймайте їх. Фонові перевірки можуть допомогти. Наполягайте на особистих рекомендаціях характеру не просто компетенції ; якщо вони мають профіль LinkedIn, попросіть когось із своїх контактів або наполягайте на тому, щоб з ними зв’язатися.

Так, це буде дуже нав'язливо. Якщо у вас дійсно є сумніви щодо когось, то це цілком варто того, що стосується витрат на бізнес у випадку, якщо трапиться найгірше. Коли вони починаються, працюйте з ними дуже тісно. Знайомтесь з ними. Нехай вся компанія взаємодіє з ними. Подивіться, як вони працюють з людьми.

Як тільки сяйво на новій роботі зникло, дивіться, як вони справляються з несподіваними невдачами. Вони стають обуреними і похмурими, або вони знищують це і діють? Якщо ваш офіс є типовим випадковим нецензурним діянням нових людей, подивіться, як вони реагують; витончений і тихий з великим збентеженням на мету помсти, відвертим і кричущим, або сміхом і знищуванням його? Це деякі підказки, які можуть допомогти виявити потенційного диверсанта.