Як захистити свою компанію від ІТ-хлопця? [зачинено]


76

Я найму ІТ-хлопця, який допоможе керувати комп’ютерами та мережею мого офісу. Ми невеликий магазин, тому він буде єдиним, хто займається ІТ.

Звичайно, я буду ретельно проводити інтерв'ю, перевіряти посилання та виконувати перевірку. Але ти ніколи не знаєш, як все вийде.

Як я обмежую експозицію своєї компанії, якщо хлопець, якого я наймаю, виявляється злим? Як я можу не зробити його єдиною наймогутнішою людиною в організації?


6
Вірний доказовий спосіб - це дізнатися ІТ самому. Це здається, що у вас виникають проблеми з довірою, яких вимагає робота. Здається, що у вашому заголовку ви хочете захистити свій комп’ютер, але ваш предмет здається, що ваша мережа.
Nixphoe

22
@Jesse: Отже, ти кажеш, що твій бухгалтер не міг викрасти тебе і призвести до банкрутства? Ваш менеджер з продажу не міг продати список ваших клієнтів, викликаючи стільки втрачених доходів, за які ви потрапляєте? Особисто, якби я був шахраєм, я скоріше мав би доступ до вашого банківського рахунку, ніж до ваших комп'ютерів.
joeqwerty

1
Документація, Документація, Документація.
Стюарт

8
@joeqwerty: бухгалтер має доступ до фінансових речей; менеджер з продажу має доступ до речей з продажу; ІТ-хлопець має доступ до всього .
Джессі

3
@TomWij, якби я твій ІТ-хлопець, і я знав, що ти робиш ІТ-роботу за моєю спиною (резервні копії чи іншим способом) у системі, якою ти мені доручив керувати, я б кинув придатність. Це коштує вам дорожче, знищує будь-які стосунки, які ви маєте зі своїм працівником, і в майбутньому завдасть шкоди вашій компанії. Не робіть цього.
Пол Макміллан

Відповіді:


108

Ви робите це так само, як захищаєте компанію від керівника продажів, що закінчується списком клієнтів, або керівника відділу бухгалтерського розкрадання, або фондового менеджера від запуску половини товарних запасів, багато в чому: довіряйте, але перевіряйте.

Як мінімум, я б зажадав, щоб усі паролі для всіх облікових записів адміністратора в системах та службах під ІТ зберігалися в безпеці паролів (в цифровому вигляді, як KeePass, або в прямому аркуші паперу, що зберігається в сейфі). Періодично вам потрібно буде перевірити, що ці облікові записи все ще активні та мають відповідні права доступу. Більшість досвідчених ІТ-людей називають це сценарієм "якщо мене вдарить автобус", і це частина загальної ідеї усунення пунктів відмови.

В одному бізнесі я працював , де я був єдиним IT Admin, ми підтримували зв'язок із зовнішнім ІТ - консультанта , який передав це, в першу чергу тому , що компанія була спалена в минулому (некомпетентність більше , ніж злість). Вони мали паролі віддаленого доступу і, коли вони запитували, могли скинути основні паролі адміністратора. Однак вони не мали прямого доступу до будь-яких даних компанії. Вони могли скинути лише паролі. Звичайно, оскільки вони могли скинути паролі адміністратора підприємства, вони могли взяти під контроль системи. Знову він став "Довіряй, але перевіряй". Вони переконалися, що можуть отримати доступ до систем. Я переконався, що вони нічого не змінили, не знаючи про нас.

І пам’ятайте: найпростіший спосіб переконатись, що людина не спалює вашу компанію - це переконатися, що вони щасливі. Переконайтеся, що ваша зарплата принаймні за середньою вартістю. Я чув дуже багато ситуацій, коли ІТ-персонал невдало пошкодив компанію. Ставтесь до своїх співробітників правильно, і вони зроблять те саме.


1
Добре сказав Бекон. Я не читав вашої відповіді, перш ніж публікувати свою власну мову, сказавши те саме.
joeqwerty

Це найкраща відповідь. Отримайте довірену третю сторону на контрактній основі.
mfinni

За інтуїцією, ІТ-хлопець змінює речі, щоб ефективно заблокувати третю сторону за день до його звільнення. Що потім? Взяти всю мережу в автономному режимі, поки ви не зможете перевірити її кожен раз, коли ви когось звільняєте?
Матвій

1
-1 за: "Я переконався, що вони нічого не змінили, не знаючи про нас".
Kzqai

1
ще краще: зберігайте інформацію про резервний обліковий запис у надзвичайних ситуаціях хтось, хто взагалі не має доступу до вашої мережі. Служба депонування, зовнішній адвокат, скарбниця банку, до якої лише фізичні партнери в бізнесі мають фізичний доступ. Якщо ти справді параноїк, так це робиш. І звичайно, є система з двома ключами, в якій завжди потрібно щонайменше 2 людей, щоб увійти в кореневий обліковий запис, обидва знають половину пароля.
jwenting

32

Як уберегти свого бухгалтера від присвоєнь? Як уберегти торговий персонал від прийняття відкатів у постачальників?

Люди, які не є ІТ, мають помилкове уявлення про те, що ми, ІТ-люди, практикуємо чорне мистецтво, яке ми тримаємо від лінії, що межує з добром і злом, і що за примхою ми вдамося до якоїсь нечестивої маніпуляції з солею з метою "збити гострого волохатого боса ".

Управління ІТ-працівником - це як управління будь-яким іншим працівником.

Перестаньте дивитися фільми, в яких зображено тих із нас, хто серйозно сприймає відповідальність за свої посади так, ніби ми негідні агенти, пекло, схильнені до світового панування та / або знищення.


13
Мій бухгалтер проводить аудит мого персоналу з продажу. Мій CPA перевіряє мого бухгалтера. Хто проводить аудит ІТ-хлопця? Це не має нічого спільного з фільмами, це стосується зменшення ризиків ведення бізнесу.
Джессі

3
@Jesse: Я чую тебе. У моїй відповіді є трохи гіперболи, але в кінцевому підсумку вам потрібно керувати своїм ІТ-персоналом, як і рештою ваших співробітників. Якщо вам потрібен хтось для аудиту ваших ІТ-співробітників, то вам потрібно взяти на себе цю відповідальність або найняти когось, щоб це взяти на себе.
joeqwerty

3
На жаль, багато хто поза межами ІТ мають ідею, що кожен ІТ-персонал лише втручається в свої системи і біжить із секретами компанії та паролями на банківський рахунок. Вони навіть не вважають, що ми просто ще одна група людей, як і решта їх співробітників, і що ті, хто вже має кошти, роблять саме це, не потребуючи нічого зламати, тому що вони мають доступ до цих даних, частина їх регулярної роботи.
jwenting

21

Та не вже? гацьке запитання, яке потрібно задати на сервері за замовчуванням, не турбуйтеся, якщо когось образить ваше запитання, хоч я і так розумію.

Гаразд, практичні рішення; ви можете наполягати на (і часто перевіряти) наявність у вас власних облікових записів адміністратора / кореневого еквівалента для всього, випадково віднесіть одну з позамісних резервних копій додому та відновіть її, очевидно, намагайтеся набирати людей, яких ви знаєте / довіряєте, або витрачаєте велику кількість час їх використання.

Моя найсильніша пропозиція полягала б у тому, щоб найняти двох людей - обидва звітують вам, не тільки вони будуть чесно ставитись один до одного, але й ви будете мати прикриття, коли хтось перебуває у відпустці чи хворий.


1
... Цікаво, як наймач може довірити людині, яка не перебуває в техніці, щоб спостерігати за його плечем. Це питання відображає проблеми для будь-якого бізнесу. Але IT-хлопець зможе робити всілякі нечесні речі. ЙОГО він мав це для того, щоб ефективно виконувати свою роботу.
Барт Сільверстрім

2
Я ніби не зважаю на те, щоб мати облікові записи у всьому для нетехнологічного користувача. Потрібно створити політику, щоб переконатися, що їх не існує для нетехнологів, щоб використовувати їх, якщо немає фактичної потреби ... тобто адміністратора звільняють. Не тому, що люди, які не працюють із технологіями, відчувають необхідність почати розігрувати поштовий сервер чи робити щось, що не належить до їх юрисдикції, так би мовити.
Барт Сільверстрім

1
Компетентний адміністратор буде працювати з вимогою надати користувачам нетехнічних користувачів паролі адміністратора, за винятком надзвичайних ситуацій. Люди, які не знають, що вони роблять, будуть спокуситися возитися з речами, які вони не повинні. Запечатайте їх і зафіксуйте в сейфі.
Пол Макміллан

3
Насправді я натрапляю на це багато, маленькі магазини з однією людиною чи двома людьми, які просто доять малий бізнес за смішні грошики за дуже непрофесійну роботу. Я думаю, що це чудове питання.
SpacemanSpiff

11

Чи є у вас HR людина? Або бухгалтер? Як уберегти вашу HR-людину від злості та продажу особистої інформації кожного? Як уберегти свого бухгалтера чи фінансувати людей, щоб вони не крали все, що належить компанії, під вами?

Для всіх посад у вас повинні бути процедури, що обмежують, скільки шкоди може зробити людина. Вашою позицією за замовчуванням повинно бути те, що ви довіряєте людям, яких ви наймаєте (якщо ви не довіряєте їм, не наймайте їх чи не утримуйте їх), але розумно мати чеки та противаги.

Навіть для невеликої компанії у вас не повинно бути лише одного "ІТ-людини", який єдиний, хто щось знає. (те саме, що у вас не повинно бути лише однієї людини, яка може мати справу з оплатою праці - що робити, якщо ця людина захворіє?). Хтось ще потребує паролів, потрібно перевірити резервні копії тощо.

Одне, що ви можете зробити, це зробити документацію пріоритетною. Переконайтеся, що ви даєте особі, яку ви наймаєте, на час документувати, як налаштовані речі, та обговорювати документацію, опитуючи кандидатів, - запитайте, що вони робили раніше, щоб документувати їхню мережу, попросіть переглянути зразок.

Це моя звичка завжди складати "Посібник із систем", який більш-менш документує все - яке обладнання ми маємо, як воно налаштовано, процедури, які ми виконуємо, тощо. Це, очевидно, постійно змінюється документ (серія документів і файли в більшості випадків), але в будь-який час ви можете взяти копію та отримати уявлення про те, як ІТ-хлопець налаштував речі та яку важливу інформацію повинен знати хтось інший у випадку, якщо ІТ-хлопець потрапив у автобус. Якщо ви дійсно хочете бути готовими, ви можете попросити зовнішнього консультанта, який повинен ознайомитись із посібником із системи та розповісти, що їм потрібно вступити, якщо з ІТ-хлопцем щось трапиться.

Або, якщо ви справді параноїк, ви можете залучити зовнішнього консультанта і порівняти те, що знаходиться в посібнику з системою, і те, що вони бачать, якщо вони подивляться на ваші системи. Чи встановлено інше програмне забезпечення? Чи є додаткові облікові записи адміністратора чи віддаленого доступу?


6

Це важко, оскільки невдача приносить біль ( як ви шукаєте на задньому плані у попереднього ІТ-людини? ). Якщо ви досить малі, що у вас вже немає присутності в ІТ, подібних структур, які можуть обмежувати експозицію, насправді дуже важко встановити. Якщо у вас є хтось інший, який би виконував усі заходи з довірою, як-от речі, що вимагають облікових даних доменного адміністратора, вам доведеться подати його в новий прокат.

Ви наймаєте когось, хто буде їм довіряти, тому вам потрібно довіряти їм взамін, тому, якщо ви не впевнені на 100%, не наймайте їх. Фонові перевірки можуть допомогти. Наполягайте на особистих рекомендаціях характеру не просто компетенції ; якщо вони мають профіль LinkedIn, попросіть когось із своїх контактів або наполягайте на тому, щоб з ними зв’язатися.

Так, це буде дуже нав'язливо. Якщо у вас дійсно є сумніви щодо когось, то це цілком варто того, що стосується витрат на бізнес у випадку, якщо трапиться найгірше. Коли вони починаються, працюйте з ними дуже тісно. Знайомтесь з ними. Нехай вся компанія взаємодіє з ними. Подивіться, як вони працюють з людьми.

Як тільки сяйво на новій роботі зникло, дивіться, як вони справляються з несподіваними невдачами. Вони стають обуреними і похмурими, або вони знищують це і діють? Якщо ваш офіс є типовим випадковим нецензурним діянням нових людей, подивіться, як вони реагують; витончений і тихий з великим збентеженням на мету помсти, відвертим і кричущим, або сміхом і знищуванням його? Це деякі підказки, які можуть допомогти виявити потенційного диверсанта.


1
Похмурий адміністратор? Звичайно, ви жартуєте!
Барт Сільверстрім
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.