Как я могу защитить свою компанию от своего айтишника? [закрыто]

76

Я собираюсь нанять айтишника, который поможет управлять компьютерами и сетью моего офиса. Мы маленький магазин, так что он будет единственным, кто делает это.

Конечно, я буду брать интервью, проверять ссылки и проверять информацию. Но вы никогда не знаете, как все получится.

Как мне ограничить разоблачение моей компании, если парень, которого я нанимаю, оказывается злым? Как мне не сделать его самым влиятельным человеком в организации?

security best-practices Джесси
источник
6
Безошибочный способ научиться этому сам. Похоже, у вас возникли проблемы с доверием, которых требует работа. Кажется, в вашем названии говорится, что вы хотите защитить свой компьютер, но ваша тема - вся ваша сеть.
Nixphoe
22
@Jesse: То есть, вы говорите, что ваш бухгалтер не мог похитить вас и обанкротить? Ваш менеджер по продажам не смог продать ваш список клиентов, вызвав столько потерянного дохода, что вы попали под? Лично, если бы я был мошенником, я бы предпочел иметь доступ к вашему банковскому счету, а не к вашим компьютерам.
Joeqwerty
1
Документация, Документация, Документация.
Стюарт
8
@joeqwerty: бухгалтер имеет доступ к финансовым ресурсам; менеджер по продажам имеет доступ к продавцам; ИТ-парень имеет доступ ко всему .
Джесси
3
@ TomWij, если бы я был твоим ИТ-специалистом и знал, что ты выполняешь ИТ-работу за моей спиной (резервное копирование или иное) в системе, которой ты мне поручил управлять, я бы пришел в упадок. Это будет стоить вам дороже, разрушит все ваши отношения с сотрудником и в долгосрочной перспективе нанесет ущерб вашей компании. Не делай этого.
Пол Макмиллан

Ответы:

108

Вы делаете это так же, как защищаете компанию от того, что начальник отдела продаж сбежал с вашим списком клиентов, или от начальника отдела учета хищений, или от менеджера по запасам от побега с половиной запасов, в основном: доверяйте, но проверяйте.

По крайней мере, я бы потребовал, чтобы все пароли для всех учетных записей Администраторов в системах и службах в ИТ хранилились в надежном пароле (либо в цифровом виде, как KeePass, либо в виде буквального листа бумаги, хранящегося в сейфе). Периодически вам нужно будет проверять, что эти учетные записи все еще активны и имеют соответствующие права доступа. Большинство опытных ИТ-специалистов называют это сценарием «если меня сбьет автобус», и это является частью общей идеи устранения точек отказа.

В одном бизнесе я работал , где я был единственным IT Admin, мы поддерживали связь с внешним ИТ - консультанта , который передал это, в первую очередь потому , что компания была сожжена в прошлом (некомпетентность больше , чем злоба). Они имели пароли удаленного доступа и могли, когда их попросили, сбросить необходимые пароли администратора. Однако они не имели прямого доступа к каким-либо данным компании. Они могли только сбросить пароли. Конечно, поскольку они могли сбрасывать корпоративные пароли администраторов, они могли контролировать системы. Снова это стало "Доверяй, но проверяй". Они убедились, что могут получить доступ к системам. Я удостоверился, что они ничего не изменили без нашего ведома об этом.

И помните: самый простой способ убедиться, что человек не сожжет вашу компанию, это убедиться, что он счастлив. Удостоверьтесь, что ваша оплата по крайней мере на медиане. Я слышал о слишком многих ситуациях, когда ИТ-персонал вредил компании, несмотря на это. Относитесь к своим сотрудникам правильно, и они будут делать то же самое.

Кусочки бекона
источник
1
Хорошо сказал Бэкон. Я не читал ваш ответ, прежде чем опубликовать свой собственный, сказав то же самое.
Joeqwerty
Это лучший ответ. Получите доверенное третье лицо на контрактной основе.
mfinni
По интуиции, ИТ-специалист меняет вещи, чтобы эффективно заблокировать третье лицо за день до его увольнения. Что тогда? Переведите всю сеть в автономный режим, пока не сможете проверить ее каждый раз, когда кого-то увольняете?
Мэтью Читал
1
-1 за: «Я позаботился о том, чтобы они ничего не изменили без нашего ведома об этом».
Kzqai
1
лучше: хранить информацию об экстренной учетной записи кем-то, кто вообще не имеет доступа к вашей сети. Служба условного депонирования, внешний адвокат, банковское хранилище, к которому имеют доступ только партнеры по бизнесу. Если вы действительно параноик, вот как вы это делаете. И, конечно же, есть система с двойным ключом, в которой для входа в систему под учетной записью root всегда требуется минимум 2 человека, причем оба знают половину пароля.
Вечером
32

Как вы удерживаете своего бухгалтера от растраты от вас? Как вы удерживаете свой торговый персонал от откатов от ваших поставщиков?

Люди, не являющиеся ИТ-специалистами, имеют ошибочное представление о том, что мы, ИТ-специалисты, занимаемся черным искусством, которым мы пользуемся от линии, граничащей с добром и злом, и что по прихоти мы прибегнем к какой-то гнусной махинации с целью «сбить заостренного волосатого босса». ».

Управление ИТ-сотрудником похоже на управление любым другим сотрудником.

Перестаньте смотреть фильмы, в которых изображены те из нас, кто серьезно относится к ответственности за свои позиции, как будто мы - мошеннические агенты, одержимые идеей мирового господства и / или разрушения.

joeqwerty
источник
13
Мой бухгалтер проверяет мой торговый персонал. Мой бухгалтер проверяет моего бухгалтера. Кто проверяет ИТ-парень? Это не имеет ничего общего с фильмами, это связано с уменьшением рисков ведения бизнеса.
Джесси
3
@Jesse: я тебя слышу. В моем ответе есть небольшая гипербола, но в конце концов вы должны управлять своим ИТ-персоналом так же, как и остальным. Если вам нужен кто-то для проверки вашего ИТ-персонала, то вам нужно взять на себя эту ответственность самостоятельно или нанять кого-нибудь, чтобы взять на себя эту ответственность.
Joeqwerty
3
к сожалению, многие за пределами ИТ имеют идею, что каждый ИТ-специалист только взломать свои системы и убежать с секретами компании и паролями к банковскому счету. Они даже не считают, что мы просто еще одна группа людей, как и остальные их сотрудники, и что у этих других уже есть средства сделать это, не прибегая к чему-либо вообще, потому что они имеют доступ к этим данным как часть их обычной работы.
Вечер
21

Вау, действительно? Бесстрашный вопрос, который нужно задать на сервере, не беспокойтесь, если кто-то обидится на ваш вопрос, хотя я понимаю.

Хорошо, практические решения; Вы можете настаивать на (и часто проверять) наличие собственных учетных записей администраторов / корневых пользователей на всех, случайным образом взять одну из резервных копий вне сайта и восстановить ее, очевидно, пытаясь набрать людей, которых вы знаете / которым доверяете, или потратить много время их использования.

Моим самым сильным предложением было бы нанять двух человек - оба отчитываются перед вами, они не только будут честны друг с другом, но вы будете иметь прикрытие, когда кто-то в отпуске или болеет.

Chopper3
источник
1
... Интересно, как наемник может доверять нетехническому человеку, который смотрит через его плечо? Этот вопрос отражает проблемы для любого бизнеса. Но у айтишника будет возможность заниматься всякими гнусными делами. У него должно быть это, чтобы эффективно выполнять свою работу.
Барт Сильверстрим
2
Я как бы съеживаюсь, имея учетные записи на все для нетехнического пользователя. Должны существовать политики, гарантирующие, что они не будут использоваться не техническими специалистами, если только в этом нет реальной необходимости ... то есть увольнение администратора. Не потому, что нетехнические люди чувствуют необходимость начать копаться в почтовом сервере или делать что-то не в их юрисдикции, так сказать.
Барт Сильверстрим
1
Компетентный администратор будет возражать против необходимости предоставлять нетехническим пользователям пароли администратора, за исключением чрезвычайных ситуаций. Люди, которые не знают, что они делают, будут соблазняться тем, что не должны. Запечатайте их и заприте в сейфе.
Пол Макмиллан
3
На самом деле, я сталкиваюсь с этим, маленькими магазинами с одним или двумя мужчинами, которые просто доят мелкие предприятия за нелепые деньги за очень непрофессиональную работу. Я думаю, что это отличный вопрос.
SpacemanSpiff
11

Есть ли у вас HR человек? Или бухгалтер? Как вы удерживаете своего HR-менеджера от зла ​​и продажи личной информации каждого? Как вы удерживаете своего бухгалтера или финансистов от кражи всего, что у вас есть под вашей компанией?

На всех должностях у вас должны быть процедуры, ограничивающие, сколько ущерба может нанести человек. Ваша позиция по умолчанию должна заключаться в том, что вы доверяете людям, которых вы нанимаете (если вы не доверяете им, не нанимаете их или не сохраняете их), но разумно иметь чеки и противовесы.

Даже для небольшой компании у вас не должно быть только одного «айтишника», единственного, кто знает что-либо. (так же, как у вас не должно быть только одного человека, который мог бы иметь дело с заработной платой - что, если этот человек заболеет?). Кому-то нужны пароли, проверка резервных копий и т. Д.

Одна вещь, которую вы можете сделать, это сделать документацию приоритетом. Убедитесь, что вы даете человеку, которого вы нанимаете, время, чтобы задокументировать, как все устроено, и обсудить документацию, когда вы проводите собеседование с кандидатами - спросите, что они сделали в прошлом, чтобы задокументировать свою сеть, попросите посмотреть образец.

Моя привычка всегда составлять «Руководство по системам», которое более или менее документирует все - какое оборудование у нас есть, как оно установлено, какие процедуры мы выполняем и т. Д. И т. Д. Это, очевидно, постоянно развивающийся документ (серия документов и файлы в большинстве случаев), но в любое время вы можете взять копию и получить представление о том, как ИТ-специалист настроил вещи и какую важную информацию должен знать кто-то еще в случае, если ИТ-специалист сбит автобусом. Если вы действительно хотите быть готовым, вы можете попросить внешнего консультанта просмотреть руководство по системам и рассказать, что им нужно сделать, если что-то случится с ИТ-специалистом.

Или, если вы действительно параноик, вы можете пригласить внешнего консультанта и сравнить то, что есть в руководстве по системам, с тем, что они видят, если они смотрят на ваши системы. Установлено ли другое программное обеспечение? Существуют ли дополнительные учетные записи администратора или удаленного доступа?

Опека
источник
6

Это трудно, так как неудача приносит боль ( как вы ищете бэкдоры от предыдущего ИТ-специалиста? ). Если вы настолько малы, что у вас еще нет присутствия ИТ-специалистов, то очень сложно создать своего рода разделенные структуры, которые могут ограничивать экспозицию. Если у вас нет кого-то другого, кто будет выполнять все действия с высоким уровнем доверия, например, требующие учетные данные администратора домена, вам придется отдать его новому сотруднику.

Вы нанимаете человека, которому будет оказано большое доверие, поэтому вам нужно доверять ему взамен, поэтому, если вы не уверены на 100%, не нанимайте его. Проверка данных может помочь. Настаивайте на личных рекомендациях характера, а не только компетентности ; если у них есть профиль LinkedIn, спросите некоторых из их контактов или настаивайте на том, чтобы связаться с ними.

Да, это будет очень навязчиво. Если у вас действительно есть сомнения по поводу кого-то, то это того стоит, потому что это может стоить бизнесу на случай, если случится худшее. Когда они начнут, работайте с ними очень тесно. Узнай их. Пусть вся компания взаимодействует с ними. Посмотрите, как они работают с людьми.

Как только свечение новой работы исчезло, посмотрите, как они справляются с неожиданными неудачами. Они становятся обиженными и унылыми, или они отмахиваются от этого и имеют дело? Если ваш офис является типом для случайных издевательств над новыми людьми, посмотрите, как они реагируют; тихий и тихий с большим смущением по отношению к цели-мести, откровенный и кричащий, или смех и игнорирование? Вот некоторые из подсказок, которые могут помочь идентифицировать потенциального мести-диверсанта.

sysadmin1138
источник
1
Унылый админ? Конечно, ты шутишь!
Барт Сильверстрим