Come posso proteggere la mia azienda dal mio ragazzo IT? [chiuso]

Ho intenzione di assumere un ragazzo IT per aiutare a gestire i computer e la rete del mio ufficio. Siamo un piccolo negozio, quindi sarà l'unico a fare IT.

Certo, intervisterò attentamente, controllerò i riferimenti ed eseguirò un controllo in background. Ma non sai mai come andranno le cose.

Come posso limitare l'esposizione della mia azienda se il ragazzo che assumo risulta essere malvagio? Come posso evitare di renderlo la persona più potente nell'organizzazione?

Lo fai nello stesso modo in cui proteggi la società dal responsabile delle vendite scappando con l'elenco dei tuoi clienti, o il responsabile della contabilità che appropriazione indebita di fondi, o il gestore delle scorte dalla fuga con metà dell'inventario, in gran parte: fidati, ma verifica.

Come minimo, richiederei che tutte le password per tutti gli account amministratore su sistemi e servizi in ambito IT siano conservate in una password sicura (o digitalmente come KeePass o un pezzo di carta letterale conservato in una cassaforte). Periodicamente dovrai verificare che questi account siano ancora attivi e abbiano diritti di accesso adeguati. Le persone IT più esperte lo definiscono lo scenario "se sono investito da un autobus" e fa parte dell'idea generale di eliminare i punti di errore.

Nell'unica azienda in cui ho lavorato in cui ero l'unico amministratore IT, abbiamo mantenuto una relazione con un consulente IT esterno che ha consegnato questo, principalmente perché la società era stata bruciata in passato (per incompetenza più che per malizia). Avevano password di accesso remoto e, su richiesta, potevano reimpostare le password di amministratore essenziali. Tuttavia, non avevano accesso diretto ai dati dell'azienda. Potevano solo resettare le password. Naturalmente, poiché potevano reimpostare le password dell'amministratore aziendale, potevano assumere il controllo dei sistemi. Ancora una volta, è diventato "Trust but Verify". Si sono assicurati di poter accedere ai sistemi. Mi sono assicurato che non avessero cambiato nulla senza che lo sapessimo.

E ricorda: il modo più semplice per assicurarsi che una persona non bruci la tua azienda è assicurarsi che siano felici. Assicurati che la tua retribuzione sia almeno al valore mediano. Ho sentito parlare di troppe situazioni in cui il personale IT ha danneggiato un'azienda per dispetto. Tratta i tuoi dipendenti nel modo giusto e loro faranno lo stesso.

Come si fa a impedire al tuo contabile di appropriarsene? In che modo impedite al personale di vendita di ricevere tangenti dai vostri fornitori?

Le persone non IT hanno un'idea sbagliata che noi IT professionisti pratichiamo un'arte nera che esercitiamo dalla linea che confina con il bene e il male e che per un capriccio ricorreremo a una macchinazione malvagia solo allo scopo di "abbattere il capo dai capelli appuntiti ".

Gestire un dipendente IT è come gestire qualsiasi altro dipendente.

Smetti di guardare film che descrivono quelli di noi che prendono seriamente la responsabilità delle nostre posizioni come se fossimo agenti canaglia inferti alla dominazione del mondo e / o alla distruzione.

Wow veramente? grossa domanda da porre su serverfault, non allarmarti se alcuni sono offesi dalla tua domanda, anche se capisco.

Ok, soluzioni pratiche; potresti insistere (e testare frequentemente) avere il tuo account amministratore / root equivalente su tutto, portare a casa uno dei backup fuori sede e ripristinarlo, ovviamente prova a reclutare da persone che conosci / di cui ti fidi o spendi molto tempo impiegandoli.

Il mio consiglio più forte sarebbe quello di assumere due persone - entrambi riferendo a te, non solo si manterranno onesti a vicenda, ma avrai una copertura per quando uno è in vacanza o malato.

Hai una persona HR? O un contabile? In che modo si impedisce alla persona delle risorse umane di essere malvagia e di vendere le informazioni personali di tutti? In che modo impedisci al tuo commercialista o alle persone finanziarie di rubare tutto ciò che la società possiede sotto di te?

Per tutte le posizioni, è necessario disporre di procedure che limitano la quantità di danni che una persona può fare. La tua posizione predefinita dovrebbe essere quella di fidarti delle persone che assumi (se non ti fidi di loro, non assumerle o non tenerle), ma è ragionevole avere assegni e saldi.

Anche per una piccola azienda, non dovresti avere solo una "persona IT" che è l'unica a sapere qualcosa. (lo stesso che non dovresti avere solo una persona in grado di gestire le buste paga - cosa succede se quella persona si ammala?). Qualcun altro ha bisogno di password, deve controllare i backup, ecc.

Una cosa che puoi fare è rendere la documentazione una priorità. Assicurati di dare alla persona che assumi il tempo di documentare come sono sistemate le cose e di discutere della documentazione quando intervisti i candidati - chiedi cosa hanno fatto in passato per documentare la loro rete, chiedi di vedere un campione.

È mia abitudine mettere sempre insieme una "Guida ai sistemi" che più o meno documenta tutto - che attrezzatura abbiamo, come è impostata, le procedure che seguiamo, ecc. Ecc. È ovviamente un documento in continua evoluzione (serie di documenti e file nella maggior parte dei casi), ma in qualsiasi momento è possibile prenderne una copia e farsi un'idea di come il tecnico IT ha impostato le cose e quali informazioni critiche è necessario che qualcun altro sappia nel caso in cui il ragazzo IT venga investito da un autobus. Se vuoi davvero essere preparato, potresti chiedere a un consulente esterno di consultare il manuale dei sistemi e dirti di cosa avrebbero bisogno per intervenire se fosse successo qualcosa al tecnico IT.

Oppure, se sei davvero paranoico, potresti far entrare il consulente esterno e confrontare ciò che è nel manuale dei sistemi con quello che vedono se guardano i tuoi sistemi. C'è altro software installato? Esistono account di amministrazione o di accesso remoto extra?

È difficile, poiché il fallimento porta dolore ( come si cercano le backdoor dalla persona IT precedente? ). Se sei abbastanza piccolo da non avere già una presenza IT, il tipo di strutture compartimentate che possono limitare l'esposizione è davvero, davvero difficile da mettere in atto. A meno che tu non abbia qualcun altro a svolgere tutte le attività di alta fiducia come cose che richiedono credenziali di amministratore di dominio, dovrai assegnarlo al tuo nuovo assunto.

Stai assumendo qualcuno che avrà un'alta fiducia su di loro, quindi devi fidarti di loro in cambio, quindi se non sei sicuro al 100%, non assumerli. I controlli in background possono aiutare. Insistere sulle raccomandazioni personali del personaggio non solo sulla competenza ; se hanno un profilo LinkedIn, chiedi ad alcuni dei loro contatti o insisti a contattarli.

Sì, questo sarà molto invadente. Se hai davvero dei dubbi su qualcuno, allora ne vale la pena a causa dei costi per l'azienda nel caso in cui accada il peggio. Quando iniziano, lavora con loro molto da vicino. Conosciamoli. Lascia che l'intera azienda interagisca con loro. Guarda come lavorano con le persone.

Una volta svanito il bagliore del nuovo lavoro, guarda come gestiscono le battute d'arresto impreviste. Diventano risentiti e scontrosi, o lo scrollano di dosso e fanno affari? Se il tuo ufficio è il tipo per fare il nonnismo casuale di nuove persone, vedi come reagiscono; sottile e silenzioso con molto imbarazzo sul bersaglio della vendetta, palese e appariscente, o risate e scrollando le spalle? Questi sono alcuni degli indizi che possono aiutare a identificare un potenziale sabotatore della vendetta.