Come posso proteggere la mia azienda dal mio ragazzo IT? [chiuso]


76

Ho intenzione di assumere un ragazzo IT per aiutare a gestire i computer e la rete del mio ufficio. Siamo un piccolo negozio, quindi sarà l'unico a fare IT.

Certo, intervisterò attentamente, controllerò i riferimenti ed eseguirò un controllo in background. Ma non sai mai come andranno le cose.

Come posso limitare l'esposizione della mia azienda se il ragazzo che assumo risulta essere malvagio? Come posso evitare di renderlo la persona più potente nell'organizzazione?


6
Il metodo sicuro è imparare l'IT da soli. Sembra che tu abbia problemi di fiducia, che il lavoro richiede. Il tuo titolo sembra dire che vuoi proteggere il tuo computer, ma il tuo soggetto sembra tutta la tua rete.
Nixphoe,

22
@Jesse: Quindi stai dicendo che il tuo commercialista non potrebbe sottrarti e farti fallire? Il tuo responsabile vendite non è stato in grado di vendere la tua lista di clienti causando così tante entrate perse da andare sotto? Personalmente, se fossi un impiegato disonesto, preferirei avere accesso al tuo conto bancario piuttosto che ai tuoi computer.
joeqwerty,

1
Documentazione, documentazione, documentazione.
Stuart,

8
@joeqwerty: il contabile ha accesso a elementi finanziari; il responsabile delle vendite ha accesso alle attività di vendita; il ragazzo IT ha accesso a tutto .
Jesse,

3
@TomWij se fossi il tuo ragazzo IT e sapessi che stavi facendo un lavoro IT alle mie spalle (backup o altro) sul sistema che mi hai incaricato di gestire, mi sarei messo in crisi. Ti costa di più, distrugge ogni rapporto che hai con il tuo dipendente e danneggerà la tua azienda a lungo termine. Non farlo.
Paul McMillan,

Risposte:


108

Lo fai nello stesso modo in cui proteggi la società dal responsabile delle vendite scappando con l'elenco dei tuoi clienti, o il responsabile della contabilità che appropriazione indebita di fondi, o il gestore delle scorte dalla fuga con metà dell'inventario, in gran parte: fidati, ma verifica.

Come minimo, richiederei che tutte le password per tutti gli account amministratore su sistemi e servizi in ambito IT siano conservate in una password sicura (o digitalmente come KeePass o un pezzo di carta letterale conservato in una cassaforte). Periodicamente dovrai verificare che questi account siano ancora attivi e abbiano diritti di accesso adeguati. Le persone IT più esperte lo definiscono lo scenario "se sono investito da un autobus" e fa parte dell'idea generale di eliminare i punti di errore.

Nell'unica azienda in cui ho lavorato in cui ero l'unico amministratore IT, abbiamo mantenuto una relazione con un consulente IT esterno che ha consegnato questo, principalmente perché la società era stata bruciata in passato (per incompetenza più che per malizia). Avevano password di accesso remoto e, su richiesta, potevano reimpostare le password di amministratore essenziali. Tuttavia, non avevano accesso diretto ai dati dell'azienda. Potevano solo resettare le password. Naturalmente, poiché potevano reimpostare le password dell'amministratore aziendale, potevano assumere il controllo dei sistemi. Ancora una volta, è diventato "Trust but Verify". Si sono assicurati di poter accedere ai sistemi. Mi sono assicurato che non avessero cambiato nulla senza che lo sapessimo.

E ricorda: il modo più semplice per assicurarsi che una persona non bruci la tua azienda è assicurarsi che siano felici. Assicurati che la tua retribuzione sia almeno al valore mediano. Ho sentito parlare di troppe situazioni in cui il personale IT ha danneggiato un'azienda per dispetto. Tratta i tuoi dipendenti nel modo giusto e loro faranno lo stesso.


1
Ben detto Bacon. Non avevo letto la tua risposta prima di pubblicare il mio dicendo la stessa cosa.
joeqwerty,

Questa è la risposta migliore Ottieni una terza parte attendibile su base contrattuale.
mfinni,

All'intuizione, il ragazzo IT cambia le cose per bloccare efficacemente la terza parte il giorno prima che venga licenziato. Cosa poi? Porta offline l'intera rete fino a quando non puoi farla controllare, ogni volta che licenzi qualcuno?
Matthew Leggi il

1
-1 per: "Mi sono assicurato che non avessero cambiato nulla senza che lo sapessimo."
Kzqai,

1
meglio: le informazioni dell'account di back-back di emergenza sono memorizzate da qualcuno che non ha alcun accesso alla rete. Un servizio di deposito a garanzia, un avvocato esterno, il caveau di una banca a cui solo i partner dell'azienda hanno accesso fisico. Se sei davvero paranoico, è così che lo fai. E ovviamente hanno un sistema a doppia chiave in cui sono sempre necessarie almeno 2 persone per accedere all'account di root, entrambi a conoscenza della metà della password.
jwenting

32

Come si fa a impedire al tuo contabile di appropriarsene? In che modo impedite al personale di vendita di ricevere tangenti dai vostri fornitori?

Le persone non IT hanno un'idea sbagliata che noi IT professionisti pratichiamo un'arte nera che esercitiamo dalla linea che confina con il bene e il male e che per un capriccio ricorreremo a una macchinazione malvagia solo allo scopo di "abbattere il capo dai capelli appuntiti ".

Gestire un dipendente IT è come gestire qualsiasi altro dipendente.

Smetti di guardare film che descrivono quelli di noi che prendono seriamente la responsabilità delle nostre posizioni come se fossimo agenti canaglia inferti alla dominazione del mondo e / o alla distruzione.


13
Il mio contabile controlla il mio personale di vendita. Il mio CPA verifica il mio contabile. Chi controlla il ragazzo IT? Non ha nulla a che fare con i film, ha a che fare con l'attenuazione dei rischi nel fare affari.
Jesse,

3
@Jesse: ti sento. C'è un po 'di iperbole nella mia risposta, ma alla fine devi gestire il tuo personale IT come fai con il resto del personale. Se hai bisogno di qualcuno che controlli il tuo personale IT, devi assumerti questa responsabilità o assumere qualcuno per assumerlo.
joeqwerty,

3
purtroppo molti al di fuori dell'IT hanno l'idea che ogni persona IT è solo pronta ad entrare nei propri sistemi e scappare con i segreti dell'azienda e le password sul conto bancario. Non hanno nemmeno mai considerato che siamo solo un altro gruppo di persone come il resto dei loro dipendenti e che quegli altri hanno già i mezzi per farlo senza bisogno di entrare in nulla perché hanno accesso a quei dati come parte del loro lavoro normale.
jwenting

21

Wow veramente? grossa domanda da porre su serverfault, non allarmarti se alcuni sono offesi dalla tua domanda, anche se capisco.

Ok, soluzioni pratiche; potresti insistere (e testare frequentemente) avere il tuo account amministratore / root equivalente su tutto, portare a casa uno dei backup fuori sede e ripristinarlo, ovviamente prova a reclutare da persone che conosci / di cui ti fidi o spendi molto tempo impiegandoli.

Il mio consiglio più forte sarebbe quello di assumere due persone - entrambi riferendo a te, non solo si manterranno onesti a vicenda, ma avrai una copertura per quando uno è in vacanza o malato.


1
... Mi chiedo come il noleggiatore possa fidarsi di una persona non tecnologica che sta guardando da sopra la sua spalla. Questa domanda riflette problemi per qualsiasi azienda. Ma il ragazzo IT avrà il potere di fare ogni sorta di cose nefaste. DEVE averlo per fare il suo lavoro in modo efficace.
Bart Silverstrim,

2
Sono un po 'rabbrividito nell'avere conti per tutto per un utente non tecnico. Dovrebbero esserci delle politiche in atto per assicurarsi che non ci siano per la non tecnologia per usarle a meno che non ci sia un reale bisogno ... cioè, l'amministratore viene licenziato. Non perché le persone non tecnologiche sentano il bisogno di iniziare a frugare nel server di posta o fare qualcosa che non è nella loro giurisdizione, per così dire.
Bart Silverstrim,

1
Un amministratore competente si opporrà alla necessità di fornire agli utenti non tecnici le password dell'amministratore, tranne in caso di emergenza. Le persone che non sanno cosa stanno facendo saranno tentate di scherzare con cose che non dovrebbero. Sigillali e bloccali in una cassaforte.
Paul McMillan,

3
In realtà, mi imbatto in questo piccolo, negozi di un uomo o due uomini che stanno solo mungendo le piccole imprese per ridicoli goccioline di denaro per un lavoro molto poco professionale. Penso che questa sia un'ottima domanda.
SpacemanSpiff

11

Hai una persona HR? O un contabile? In che modo si impedisce alla persona delle risorse umane di essere malvagia e di vendere le informazioni personali di tutti? In che modo impedisci al tuo commercialista o alle persone finanziarie di rubare tutto ciò che la società possiede sotto di te?

Per tutte le posizioni, è necessario disporre di procedure che limitano la quantità di danni che una persona può fare. La tua posizione predefinita dovrebbe essere quella di fidarti delle persone che assumi (se non ti fidi di loro, non assumerle o non tenerle), ma è ragionevole avere assegni e saldi.

Anche per una piccola azienda, non dovresti avere solo una "persona IT" che è l'unica a sapere qualcosa. (lo stesso che non dovresti avere solo una persona in grado di gestire le buste paga - cosa succede se quella persona si ammala?). Qualcun altro ha bisogno di password, deve controllare i backup, ecc.

Una cosa che puoi fare è rendere la documentazione una priorità. Assicurati di dare alla persona che assumi il tempo di documentare come sono sistemate le cose e di discutere della documentazione quando intervisti i candidati - chiedi cosa hanno fatto in passato per documentare la loro rete, chiedi di vedere un campione.

È mia abitudine mettere sempre insieme una "Guida ai sistemi" che più o meno documenta tutto - che attrezzatura abbiamo, come è impostata, le procedure che seguiamo, ecc. Ecc. È ovviamente un documento in continua evoluzione (serie di documenti e file nella maggior parte dei casi), ma in qualsiasi momento è possibile prenderne una copia e farsi un'idea di come il tecnico IT ha impostato le cose e quali informazioni critiche è necessario che qualcun altro sappia nel caso in cui il ragazzo IT venga investito da un autobus. Se vuoi davvero essere preparato, potresti chiedere a un consulente esterno di consultare il manuale dei sistemi e dirti di cosa avrebbero bisogno per intervenire se fosse successo qualcosa al tecnico IT.

Oppure, se sei davvero paranoico, potresti far entrare il consulente esterno e confrontare ciò che è nel manuale dei sistemi con quello che vedono se guardano i tuoi sistemi. C'è altro software installato? Esistono account di amministrazione o di accesso remoto extra?


6

È difficile, poiché il fallimento porta dolore ( come si cercano le backdoor dalla persona IT precedente? ). Se sei abbastanza piccolo da non avere già una presenza IT, il tipo di strutture compartimentate che possono limitare l'esposizione è davvero, davvero difficile da mettere in atto. A meno che tu non abbia qualcun altro a svolgere tutte le attività di alta fiducia come cose che richiedono credenziali di amministratore di dominio, dovrai assegnarlo al tuo nuovo assunto.

Stai assumendo qualcuno che avrà un'alta fiducia su di loro, quindi devi fidarti di loro in cambio, quindi se non sei sicuro al 100%, non assumerli. I controlli in background possono aiutare. Insistere sulle raccomandazioni personali del personaggio non solo sulla competenza ; se hanno un profilo LinkedIn, chiedi ad alcuni dei loro contatti o insisti a contattarli.

Sì, questo sarà molto invadente. Se hai davvero dei dubbi su qualcuno, allora ne vale la pena a causa dei costi per l'azienda nel caso in cui accada il peggio. Quando iniziano, lavora con loro molto da vicino. Conosciamoli. Lascia che l'intera azienda interagisca con loro. Guarda come lavorano con le persone.

Una volta svanito il bagliore del nuovo lavoro, guarda come gestiscono le battute d'arresto impreviste. Diventano risentiti e scontrosi, o lo scrollano di dosso e fanno affari? Se il tuo ufficio è il tipo per fare il nonnismo casuale di nuove persone, vedi come reagiscono; sottile e silenzioso con molto imbarazzo sul bersaglio della vendetta, palese e appariscente, o risate e scrollando le spalle? Questi sono alcuni degli indizi che possono aiutare a identificare un potenziale sabotatore della vendetta.


1
Un amministratore scontroso? Sicuramente scherzi!
Bart Silverstrim,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.