Как защитить свою компанию от ИТ-специалистов? [закрыто]
Я собираюсь нанять ИТ-специалиста, который поможет управлять компьютерами и сетью моего офиса. У нас маленький магазин, так что ЭТО будет делать только он.
Конечно, я буду внимательно брать интервью, проверять рекомендации и проверять биографические данные. Но никогда не знаешь, как все получится.
Как мне ограничить доступ к моей компании, если нанятый мной парень оказывается злым? Как мне не сделать его самым влиятельным человеком в организации?
Вы делаете это тот же способ, которым Вы защищаете компанию от главы Продаж, убегающих с Вашим клиентским списком или главой Учета фондов присвоения или менеджера Stock от убегания с половиной материально-технических ресурсов, в основном: Доверие, но проверяют.
По крайней мере я потребовал бы, чтобы все пароли для всех учетных записей Администратора в системах и сервисах под IT были сохранены в безопасном пароле (или в цифровой форме как KeePass или литеральный листок бумаги, сохраненный в сейфе). Периодически необходимо будет проверить, что эти счета все еще активны и имеют соответствующие права доступа. Самые опытные люди IT называют это, "если я поражен шиной" сценарий, и это - часть общего представления устранить точки отказа.
В одном бизнесе я работал в том, где я был единственным Администратором IT, мы поддерживали отношения с внешним консультантом по ИТ, который вручил это, прежде всего, потому что компания была записана в прошлом (некомпетентностью больше, чем преступное намерение). У них были пароли удаленного доступа и при выяснении мог сбросить существенные пароли администратора. У них не было прямого доступа ни к каким данным компании, как бы то ни было. Они могли только изменить пароли. Конечно, так как они могли сбросить пароли администратора предприятия, они могли взять под свой контроль системы. Снова, это стало "Доверием, но Проверьте". Они удостоверились, что могли получить доступ к системам. Я удостоверился, что они ничего не изменили без нас знающий об этом.
И помните: самый легкий способ удостовериться человек не горит, Ваша компания должна удостовериться, что они счастливы. Удостоверьтесь, что Ваша плата, по крайней мере, в среднем значении. Я услышал о слишком многих ситуациях, где персонал IT повредил компанию из злости. Рассматривайте свое право сотрудников, и они сделают то же.
Как Вы мешаете своему бухгалтеру присваивать от Вас? Как Вы мешаете своим сотрудникам отдела продаж брать вознаграждения от Ваших поставщиков?
У не связанных с IT людей есть дезинформированное понятие, что мы, люди IT практикуют черную магию, которой мы владеем от добра и зла ограничения строки и что на прихоти мы обратимся к некоторой низкой махинации soley в целях "перевода в нерабочее состояние заостренного волосатого босса".
Управление сотрудником IT похоже на управление любым другим сотрудником.
Прекратите смотреть кино, которые изображают те из нас, кто берет на себя ответственность наших положений серьезно, как будто мы - агенты жулика, одержимые мировым господством и/или разрушением.
Ничего себе - действительно? бесстрашный вопрос спросить относительно serverfault, не предупреждайтесь, если некоторые оскорблены Вашим вопросом, хотя я действительно понимаю.
Хорошо, практические решения; Вы могли настоять (и часто тестировать), наличие Вашего собственного администратора/корня эквивалентные учетные записи на всем, случайным образом заберите домой одни из удаленных резервных копий и восстановите их, очевидно, попытайтесь принять на работу от людей, Вы знаете/доверяете или проводите много времени, нанимая их.
Мое самое сильное предложение состояло бы в том, чтобы нанять двух человек - оба создания отчетов Вам, мало того, что они сохранят друг друга честным, но и у Вас будет прикрытие для того, когда каждый будет на каникулах или болен.
У Вас есть человек HR? Или бухгалтер? Как Вы мешаете своей личности HR быть злой и продать общие персональные данные? Как Вы сохраняете своего бухгалтера или финансируете людей от кражи всего, что компания владеет из нижней части Вами?
Для всех положений у Вас должны быть процедуры, на месте ограничивающие, сколько ущерба человек может нанести. Ваше положение по умолчанию должно быть то, что Вы доверяете людям, которых Вы нанимаете (если Вы не доверяете им, не нанимайте их или не сохраняйте их), но разумно иметь сдержки и противовесы.
Даже для небольшой компании, у Вас не должно быть всего одного "человека IT", который является единственным, кто знает что-либо. (то же, поскольку у Вас не должно быть всего одного человека, который может иметь дело с платежной ведомостью - что, если тот человек заболел?). Кому-то еще нужны пароли, должен проверить резервные копии, и т.д.
Одна вещь, которую можно сделать, состоит в том, чтобы сделать документацию приоритетом. Удостоверьтесь, что Вы даете человеку, Вы нанимаете время к документу, как вещи настраиваются и обсуждают документацию при интервьюировании кандидатов - спрашивают, что они сделали в прошлом для документирования их сети, попросите видеть образец.
Именно моя привычка всегда соединить "Системное Руководство" более или менее документирует все - какое оборудование мы имеем, как это настраивается, процедуры, которые мы выполняем и т.д. и т.д. Это - очевидно, постоянно развивающийся документ (ряд документов и файлов в большинстве случаев), но в любое время можно сделать копию и понять то, как парень IT настроил вещи и какую критическую информацию кто-то еще должен знать в случае, если парень IT поражен шиной. Если Вы действительно хотите быть подготовленными, Вы могли бы заставить внешнего консультанта проходить системное руководство и говорить Вам, что они должны были бы вступить, если бы что-нибудь произошло с парнем IT.
Или, если Вы действительно параноики, Вы могли бы заставить внешнего консультанта входить и сравнивать то, что находится в системном руководстве с тем, что они видят, смотрят ли они на Ваши системы. Там другое программное обеспечение установлено? Есть ли дополнительный администратор или учетные записи удаленного доступа?
Это твердо, так как отказ приносит боль (Как Вы ищете бэкдоры от предыдущего человека IT?). Если Вы являетесь достаточно маленькими, что у Вас уже нет присутствия IT, вид разделенных структур, которые могут ограничить воздействие, должен действительно, действительно трудно для помещения в место. Если у Вас нет кого-то еще, чтобы сделать все высокие доверительные операции как вещи, требующие учетных данных Администратора домена, необходимо будет дать их новому найму.
Вы нанимаете кого-то, у кого будет высокое доверие помещенным в них так, необходимо доверять им в ответ, поэтому если Вы не на 100% уверены, не нанимайте их. Проверки данных могут помочь. Настаивайте на персональных рекомендациях символа не просто компетентность; если они имеют профиль в LinkedIn, спрашивают некоторые их контакты или настаивают на том, чтобы связываться с ними.
Да, это будет очень навязчиво. Если у Вас действительно есть сомнения относительно кого-то, то это совершенно стоит того из-за стоимости для бизнеса в случае, если худшее действительно происходит. Когда они запускают, работают с ними очень тесно. Узнайте их. Позвольте всей компании взаимодействовать с ними. Смотрите, как они работают с людьми.
После того как свечение нового задания смягчилось, смотрите, как они обрабатывают неожиданные неудачи. Они становятся обиженными и неприветливыми, или они не обращают внимания на него и соглашение? Если Ваш офис является типом, чтобы сделать случайное издевательство новых людей, посмотрите, как они реагируют; тонкий и тихий с большим затруднением на цели мести, откровенной и роскошной, или смех и не обращение внимания на него? Это некоторые подсказки, которые могут помочь идентифицировать потенциального саботажника мести.