Как я могу защитить свою компанию от своего айтишника? [закрыто]

Я собираюсь нанять айтишника, который поможет управлять компьютерами и сетью моего офиса. Мы маленький магазин, так что он будет единственным, кто делает это.

Конечно, я буду брать интервью, проверять ссылки и проверять информацию. Но вы никогда не знаете, как все получится.

Как мне ограничить разоблачение моей компании, если парень, которого я нанимаю, оказывается злым? Как мне не сделать его самым влиятельным человеком в организации?

Вы делаете это так же, как защищаете компанию от того, что начальник отдела продаж сбежал с вашим списком клиентов, или от начальника отдела учета хищений, или от менеджера по запасам от побега с половиной запасов, в основном: доверяйте, но проверяйте.

По крайней мере, я бы потребовал, чтобы все пароли для всех учетных записей Администраторов в системах и службах в ИТ хранилились в надежном пароле (либо в цифровом виде, как KeePass, либо в виде буквального листа бумаги, хранящегося в сейфе). Периодически вам нужно будет проверять, что эти учетные записи все еще активны и имеют соответствующие права доступа. Большинство опытных ИТ-специалистов называют это сценарием «если меня сбьет автобус», и это является частью общей идеи устранения точек отказа.

В одном бизнесе я работал , где я был единственным IT Admin, мы поддерживали связь с внешним ИТ - консультанта , который передал это, в первую очередь потому , что компания была сожжена в прошлом (некомпетентность больше , чем злоба). Они имели пароли удаленного доступа и могли, когда их попросили, сбросить необходимые пароли администратора. Однако они не имели прямого доступа к каким-либо данным компании. Они могли только сбросить пароли. Конечно, поскольку они могли сбрасывать корпоративные пароли администраторов, они могли контролировать системы. Снова это стало "Доверяй, но проверяй". Они убедились, что могут получить доступ к системам. Я удостоверился, что они ничего не изменили без нашего ведома об этом.

И помните: самый простой способ убедиться, что человек не сожжет вашу компанию, это убедиться, что он счастлив. Удостоверьтесь, что ваша оплата по крайней мере на медиане. Я слышал о слишком многих ситуациях, когда ИТ-персонал вредил компании, несмотря на это. Относитесь к своим сотрудникам правильно, и они будут делать то же самое.

Как вы удерживаете своего бухгалтера от растраты от вас? Как вы удерживаете свой торговый персонал от откатов от ваших поставщиков?

Люди, не являющиеся ИТ-специалистами, имеют ошибочное представление о том, что мы, ИТ-специалисты, занимаемся черным искусством, которым мы пользуемся от линии, граничащей с добром и злом, и что по прихоти мы прибегнем к какой-то гнусной махинации с целью «сбить заостренного волосатого босса». ».

Управление ИТ-сотрудником похоже на управление любым другим сотрудником.

Перестаньте смотреть фильмы, в которых изображены те из нас, кто серьезно относится к ответственности за свои позиции, как будто мы - мошеннические агенты, одержимые идеей мирового господства и / или разрушения.

Вау, действительно? Бесстрашный вопрос, который нужно задать на сервере, не беспокойтесь, если кто-то обидится на ваш вопрос, хотя я понимаю.

Хорошо, практические решения; Вы можете настаивать на (и часто проверять) наличие собственных учетных записей администраторов / корневых пользователей на всех, случайным образом взять одну из резервных копий вне сайта и восстановить ее, очевидно, пытаясь набрать людей, которых вы знаете / которым доверяете, или потратить много время их использования.

Моим самым сильным предложением было бы нанять двух человек - оба отчитываются перед вами, они не только будут честны друг с другом, но вы будете иметь прикрытие, когда кто-то в отпуске или болеет.

Есть ли у вас HR человек? Или бухгалтер? Как вы удерживаете своего HR-менеджера от зла ​​и продажи личной информации каждого? Как вы удерживаете своего бухгалтера или финансистов от кражи всего, что у вас есть под вашей компанией?

На всех должностях у вас должны быть процедуры, ограничивающие, сколько ущерба может нанести человек. Ваша позиция по умолчанию должна заключаться в том, что вы доверяете людям, которых вы нанимаете (если вы не доверяете им, не нанимаете их или не сохраняете их), но разумно иметь чеки и противовесы.

Даже для небольшой компании у вас не должно быть только одного «айтишника», единственного, кто знает что-либо. (так же, как у вас не должно быть только одного человека, который мог бы иметь дело с заработной платой - что, если этот человек заболеет?). Кому-то нужны пароли, проверка резервных копий и т. Д.

Одна вещь, которую вы можете сделать, это сделать документацию приоритетом. Убедитесь, что вы даете человеку, которого вы нанимаете, время, чтобы задокументировать, как все устроено, и обсудить документацию, когда вы проводите собеседование с кандидатами - спросите, что они сделали в прошлом, чтобы задокументировать свою сеть, попросите посмотреть образец.

Моя привычка всегда составлять «Руководство по системам», которое более или менее документирует все - какое оборудование у нас есть, как оно установлено, какие процедуры мы выполняем и т. Д. И т. Д. Это, очевидно, постоянно развивающийся документ (серия документов и файлы в большинстве случаев), но в любое время вы можете взять копию и получить представление о том, как ИТ-специалист настроил вещи и какую важную информацию должен знать кто-то еще в случае, если ИТ-специалист сбит автобусом. Если вы действительно хотите быть готовым, вы можете попросить внешнего консультанта просмотреть руководство по системам и рассказать, что им нужно сделать, если что-то случится с ИТ-специалистом.

Или, если вы действительно параноик, вы можете пригласить внешнего консультанта и сравнить то, что есть в руководстве по системам, с тем, что они видят, если они смотрят на ваши системы. Установлено ли другое программное обеспечение? Существуют ли дополнительные учетные записи администратора или удаленного доступа?

Это трудно, так как неудача приносит боль ( как вы ищете бэкдоры от предыдущего ИТ-специалиста? ). Если вы настолько малы, что у вас еще нет присутствия ИТ-специалистов, то очень сложно создать своего рода разделенные структуры, которые могут ограничивать экспозицию. Если у вас нет кого-то другого, кто будет выполнять все действия с высоким уровнем доверия, например, требующие учетные данные администратора домена, вам придется отдать его новому сотруднику.

Вы нанимаете человека, которому будет оказано большое доверие, поэтому вам нужно доверять ему взамен, поэтому, если вы не уверены на 100%, не нанимайте его. Проверка данных может помочь. Настаивайте на личных рекомендациях характера, а не только компетентности ; если у них есть профиль LinkedIn, спросите некоторых из их контактов или настаивайте на том, чтобы связаться с ними.

Да, это будет очень навязчиво. Если у вас действительно есть сомнения по поводу кого-то, то это того стоит, потому что это может стоить бизнесу на случай, если случится худшее. Когда они начнут, работайте с ними очень тесно. Узнай их. Пусть вся компания взаимодействует с ними. Посмотрите, как они работают с людьми.

Как только свечение новой работы исчезло, посмотрите, как они справляются с неожиданными неудачами. Они становятся обиженными и унылыми, или они отмахиваются от этого и имеют дело? Если ваш офис является типом для случайных издевательств над новыми людьми, посмотрите, как они реагируют; тихий и тихий с большим смущением по отношению к цели-мести, откровенный и кричащий, или смех и игнорирование? Вот некоторые из подсказок, которые могут помочь идентифицировать потенциального мести-диверсанта.