Hai una persona HR? O un contabile? In che modo si impedisce alla persona delle risorse umane di essere malvagia e di vendere le informazioni personali di tutti? In che modo impedisci al tuo commercialista o alle persone finanziarie di rubare tutto ciò che la società possiede sotto di te?
Per tutte le posizioni, è necessario disporre di procedure che limitano la quantità di danni che una persona può fare. La tua posizione predefinita dovrebbe essere quella di fidarti delle persone che assumi (se non ti fidi di loro, non assumerle o non tenerle), ma è ragionevole avere assegni e saldi.
Anche per una piccola azienda, non dovresti avere solo una "persona IT" che è l'unica a sapere qualcosa. (lo stesso che non dovresti avere solo una persona in grado di gestire le buste paga - cosa succede se quella persona si ammala?). Qualcun altro ha bisogno di password, deve controllare i backup, ecc.
Una cosa che puoi fare è rendere la documentazione una priorità. Assicurati di dare alla persona che assumi il tempo di documentare come sono sistemate le cose e di discutere della documentazione quando intervisti i candidati - chiedi cosa hanno fatto in passato per documentare la loro rete, chiedi di vedere un campione.
È mia abitudine mettere sempre insieme una "Guida ai sistemi" che più o meno documenta tutto - che attrezzatura abbiamo, come è impostata, le procedure che seguiamo, ecc. Ecc. È ovviamente un documento in continua evoluzione (serie di documenti e file nella maggior parte dei casi), ma in qualsiasi momento è possibile prenderne una copia e farsi un'idea di come il tecnico IT ha impostato le cose e quali informazioni critiche è necessario che qualcun altro sappia nel caso in cui il ragazzo IT venga investito da un autobus. Se vuoi davvero essere preparato, potresti chiedere a un consulente esterno di consultare il manuale dei sistemi e dirti di cosa avrebbero bisogno per intervenire se fosse successo qualcosa al tecnico IT.
Oppure, se sei davvero paranoico, potresti far entrare il consulente esterno e confrontare ciò che è nel manuale dei sistemi con quello che vedono se guardano i tuoi sistemi. C'è altro software installato? Esistono account di amministrazione o di accesso remoto extra?