Vraag Hoe bescherm ik mijn bedrijf tegen mijn IT-man? [Gesloten]


Ik ga een IT-man inhuren om de computers en het netwerk van mijn kantoor te beheren. We zijn een kleine winkel, dus hij zal de enige zijn die IT doet.

Natuurlijk zal ik zorgvuldig interviewen, referenties controleren en een achtergrondcontrole uitvoeren. Maar je weet nooit hoe dingen zullen uitpakken.

Hoe beperk ik de blootstelling van mijn bedrijf als de kerel die ik huur slecht blijkt te zijn? Hoe voorkom ik dat hij de machtigste persoon in de organisatie wordt?


76
2018-06-24 18:47


oorsprong


De zekere manier is om IT zelf te leren. Het klinkt alsof u vertrouwensproblemen ondervindt, wat de taak vereist. Je titel lijkt te zeggen dat je je computer wilt beschermen, maar je onderwerp lijkt je hele netwerk te zijn. - Nixphoe
@Jesse: Dus je zegt dat je accountant niet van je kan verduisteren en ervoor kan zorgen dat je failliet gaat? Uw verkoopmanager kon uw klantenlijst niet verkopen, waardoor u zo veel inkomsten misliep die u ondergaat? Persoonlijk, als ik een bedrieglijke werknemer was, zou ik veel liever toegang tot uw bankrekening hebben dan uw computers. - joeqwerty
Documentatie, documentatie, documentatie. - Stuart
@joeqwerty: De accountant heeft toegang tot financiële zaken; de verkoopmanager heeft toegang tot verkoopspul; de IT-man heeft toegang tot alles. - Jesse
@TomWij als ik je IT-man was en ik wist dat je IT-werk aan het doen was achter mijn rug (back-ups of anderszins) op het systeem dat je hebt belast met het beheer, zou ik een aanval doen. Het kost je meer, vernietigt elke relatie die je hebt met je medewerker en zal je bedrijf op de lange termijn schade toebrengen. Doe dat niet. - Paul McMillan


antwoorden:


U doet het op dezelfde manier waarop u het bedrijf beschermt tegen het hoofd van de verkoop waarbij u wegrent met uw klantenlijst, of het hoofd van Accounting-verduisteringfondsen, of de voorraadbeheerder die wegloopt met de helft van de voorraad, grotendeels: vertrouwen, maar verifiëren.

Ik zou op zijn minst eisen dat alle wachtwoorden voor alle beheerdersaccounts op systemen en services onder IT in een wachtwoordkluis worden bewaard (digitaal zoals KeePass, of een letterlijk stuk papier dat in een kluis wordt bewaard). Van tijd tot tijd moet u controleren of deze accounts nog steeds actief zijn en over de juiste toegangsrechten beschikken. De meeste ervaren IT-mensen noemen dit het scenario "als ik door een bus wordt geraakt", en het maakt deel uit van het algemene idee om faalpunten te elimineren.

Bij het ene bedrijf waar ik werkte waar ik de enige IT-beheerder was, hebben we een relatie onderhouden met een externe IT-consultant die dit heeft overhandigd, voornamelijk omdat het bedrijf had in het verleden verbrand (door incompetentie meer dan boosaardigheid). Ze hadden wachtwoorden voor toegang op afstand en konden op verzoek de essentiële beheerderswachtwoorden resetten. Ze hadden echter geen directe toegang tot bedrijfsgegevens. Ze konden alleen wachtwoorden resetten. Omdat ze bedrijfsadministratiewachtwoorden konden resetten, konden ze natuurlijk de besturing van de systemen overnemen. Nogmaals, het werd "Vertrouw maar verifieer". Ze zorgden ervoor dat ze toegang hadden tot de systemen. Ik zorgde ervoor dat ze niets veranderden zonder dat we er iets vanaf wisten.

En onthoud: de eenvoudigste manier om ervoor te zorgen dat een persoon uw bedrijf niet verbrandt, is ervoor zorgen dat ze gelukkig zijn. Zorg ervoor dat uw beloning minstens de mediaanwaarde is. Ik heb gehoord van te veel situaties waarin IT-personeel een bedrijf uit wrok heeft beschadigd. Behandel uw werknemers goed en zij zullen hetzelfde doen.


108
2018-06-24 19:11



Goed gezegd, Bacon. Ik had je antwoord niet gelezen voordat ik mijn eigen bericht had gepost dat hetzelfde zei. - joeqwerty
Dit is het beste antwoord. Krijg een vertrouwde derde partij op contractbasis. - mfinni
Op intuïtie verandert de IT-man dingen om de derde partij effectief te blokkeren op de dag voordat hij wordt ontslagen. Wat dan? Neem het hele netwerk offline totdat je het kunt laten controleren, elke keer dat je iemand ontslaat? - Matthew Read
-1 voor: "Ik heb ervoor gezorgd dat ze niets hebben veranderd zonder dat we ervan op de hoogte waren." - Kzqai
beter: laat de back-upgegevens van de noodoproep opslaan door iemand die helemaal geen toegang heeft tot uw netwerk. Een escrow-service, een externe advocaat, de bankkluis waar alleen de partners in het bedrijf fysieke toegang tot hebben. Als je echt paranoïde bent, dan is dat hoe je het doet. En natuurlijk een tweevoudig sleutelsysteem waarbij er altijd minstens 2 mensen nodig zijn om in te loggen op het root-account, beide met de helft van het wachtwoord. - jwenting


Hoe voorkom je dat je boekhouder voor jou verduistert? Hoe voorkomt u dat uw verkopers smeergeld krijgen van uw leveranciers?

Niet-IT-mensen hebben een misleidend idee dat wij IT-mensen een zwarte kunst toepassen die we hanteren vanuit de grens tussen goed en kwaad en dat we in een opwelling een of andere schandalige machinatie ondernemen, met als enig doel 'de baas met puntige haren neer te halen' ".

Het beheer van een IT-medewerker is als het managen van een andere werknemer.

Stop met het bekijken van films die degenen onder ons afschilderen die de verantwoordelijkheid nemen voor onze posities serieus nemen, alsof we bedrieglijke agenten zijn die de heerschappij over de wereld en / of vernietiging op zich nemen.


32
2018-06-24 19:30



Mijn boekhouder controleert mijn verkooppersoneel. Mijn CPA controleert mijn boekhouder. Wie controleert de IT-man? Het heeft niets met films te maken, het heeft te maken met het verminderen van de risico's van zakendoen. - Jesse
@Jesse: Ik hoor je. Er is een klein beetje overdrijving in mijn antwoord, maar in dat geval moet je je IT-personeel beheren zoals je de rest van je personeel doet. Als u iemand nodig heeft om uw IT-personeel te auditen, moet u die verantwoordelijkheid zelf opnemen of iemand inhuren om het op te nemen. - joeqwerty
Helaas hebben velen buiten IT het idee dat elke IT-persoon alleen maar uit is om in hun systemen te kraken en weg te rennen met de bedrijfsgeheimen en de wachtwoorden op de bankrekening. Ze denken zelfs nooit dat we gewoon een heleboel mensen zijn, net als de rest van hun werknemers, en dat die anderen al de middelen hebben om dat te doen zonder ergens tegen in te knallen omdat ze toegang hebben tot die gegevens als een deel van hun vaste baan. - jwenting


Wow echt? gutsy vraag te stellen op serverfault, wees niet gealarmeerd als sommigen beledigd zijn door uw vraag, hoewel ik begrijp.

Ok, praktische oplossingen; je zou kunnen aandringen op (en vaak testen) je eigen beheerders- / root-equivalentenaccounts op alles hebben, willekeurig een van de off-site back-ups naar huis nemen en het herstellen, uiteraard proberen te werven van mensen die je kent / vertrouwt of veel geld uitgeven tijd waarin ze worden gebruikt.

Mijn sterkste suggestie zou zijn om twee mensen aan te nemen - beide rapporteren aan jou, niet alleen zullen ze elkaar eerlijk houden, maar je zult dekking hebben voor wanneer je op vakantie of ziek bent.


21
2018-06-24 18:57



... ik vraag me af hoe de huurling een niet-technisch persoon kan vertrouwen om over zijn schouder te waken. Deze vraag weerspiegelt kwesties voor elk bedrijf. Maar de IT-man zal de macht hebben om allerlei soorten snode dingen te doen. Hij moet het hebben om zijn werk effectief te kunnen doen. - Bart Silverstrim
Ik kruip in de huid bij het hebben van accounts voor alles voor een niet-technische gebruiker. Er moet beleid zijn om ervoor te zorgen dat deze er niet zijn voor de niet-tech om ze te gebruiken, tenzij er een werkelijke behoefte is ... dat wil zeggen, de admin wordt ontslagen. Niet omdat de niet-technische mensen de behoefte voelen om rond de mailserver te gaan rondneuzen of iets doen dat niet in hun rechtsgebied valt, om zo te zeggen. - Bart Silverstrim
Een competente beheerder zal er geen moeite mee hebben om niet-technische gebruikers admin-wachtwoorden te geven, behalve in noodsituaties. Mensen die niet weten wat ze doen, zullen in de verleiding komen te rommelen met dingen die ze niet zouden moeten doen. zegel en sluit ze in een kluis. - Paul McMillan
Eigenlijk kom ik hier veel tegen, kleine winkels voor één man of twee voor mannen die alleen kleine bedrijven melken voor belachelijke klodders geld voor zeer onprofessioneel werk. Ik denk dat dit een geweldige vraag is. - SpacemanSpiff


Heb je een HR-persoon? Of een accountant? Hoe voorkom je dat je HR-persoon slecht is en ieders persoonlijke informatie verkoopt? Hoe houd je je accountant of financier je mensen van het stelen van alles wat het bedrijf bezit van onder je vandaan?

Voor alle functies moet u beschikken over procedures die beperken hoeveel schade een persoon kan aanrichten. Uw standaardpositie moet zijn dat u de mensen die u inhuurt, vertrouwt (als u ze niet vertrouwt, niet inhuurt of niet bewaart), maar het is redelijk om te beschikken over checks and balances.

Zelfs voor een klein bedrijf zou je niet één IT-persoon moeten hebben die als enige alles weet. (hetzelfde als u niet alleen één persoon zou moeten hebben die met payroll kan omgaan - wat als die persoon ziek wordt?). Iemand anders heeft wachtwoorden nodig, moet de back-ups controleren, enz.

Een ding dat u kunt doen, is documentatie tot prioriteit maken. Zorg ervoor dat je de persoon die je neemt tijd geeft om te documenteren hoe de dingen zijn opgezet en bespreek documentatie wanneer je kandidaten interviewt - vraag wat ze in het verleden hebben gedaan om hun netwerk te documenteren, vraag om een ​​voorbeeld te zien.

Het is mijn gewoonte om altijd een "Systeemgids" samen te stellen die min of meer documenten bevat alles - welke apparatuur we hebben, hoe het is opgezet, procedures die we volgen, enz. enz. Het is natuurlijk een constant evoluerend document (in de meeste gevallen een reeks documenten en bestanden), maar je kunt op elk moment een kopie maken en krijgen een idee van hoe de IT-man de zaken heeft geregeld en welke essentiële informatie iemand anders moet weten in het geval de IT-man door een bus wordt geraakt. Als je echt voorbereid wilt zijn, kun je een externe consultant inschakelen om door de systeemhandleiding te gaan en je vertellen wat ze nodig hebben om in te stappen als er iets met de IT-man zou gebeuren.

Of, als je echt paranoïde bent, kun je de externe consultant vragen om binnen te komen en te vergelijken wat er in de systeemhandleiding staat met wat ze zien als ze naar je systemen kijken. Is er andere software geïnstalleerd? Zijn er extra beheerdersaccounts of RAS-accounts?


11
2018-06-24 19:12





Het is moeilijk, want falen brengt pijn met zich mee ( Hoe zoek je naar backdoors van de vorige IT-persoon? ). Als je klein genoeg bent dat je nog geen IT-aanwezigheid hebt, is het soort gecompartimenteerde structuren dat de blootstelling kan beperken echt heel moeilijk om te zetten. Tenzij u iemand anders hebt om alle activiteiten met een hoog vertrouwensniveau uit te voeren, zoals dingen waarvoor inloggegevens voor de domeinbeheerder nodig zijn, moet u deze aan uw nieuwe medewerker geven.

Je neemt iemand in dienst die een groot vertrouwen op ze zal hebben, dus je moet ze op hun beurt vertrouwen. Dus als je niet 100% zeker bent, huur ze dan niet in. Achtergrondcontroles kunnen helpen. Dring aan op persoonlijke aanbevelingen van karakter niet alleen maar bevoegdheid; als ze een LinkedIn-profiel hebben, vraag het dan aan een aantal van hun contactpersonen of sta erop contact met hen op te nemen.

Ja, dit zal zeer opdringerig zijn. Als je echt twijfels hebt over iemand, dan is het volledig de moeite waard vanwege de kosten voor het bedrijf in het geval dat het ergste gebeurt. Wanneer ze beginnen, werk nauw met hen samen. Leer ze kennen. Laat het hele bedrijf met hen communiceren. Kijk hoe ze met mensen werken.

Als de gloed van de nieuwe baan is uitgewerkt, kijk dan hoe ze onverwachte tegenvallers aanpakken. Worden ze boos en nors, of halen ze het af en handelen ze? Als jouw kantoor het type is om toevallige ontgroeningen van nieuwe mensen te maken, kijk dan hoe ze reageren; subtiel en stil met veel schaamte op het wraak-doelwit, openlijk en flitsende, of gelach en schouderophalend? Dit zijn enkele van de aanwijzingen die kunnen helpen bij het identificeren van een potentiële wraak-saboteur.


6
2018-06-24 19:01



Een norse beheerder? Je grap toch! - Bart Silverstrim