web-dev-qa-db-fra.com

Comment protéger ma compagnie de mon gars informatique?

Je vais embaucher un gars informatique pour aider à gérer les ordinateurs et le réseau de mon bureau. Nous sommes un petit magasin, alors il sera le seul à le faire.

Bien sûr, je vais interroger soigneusement, vérifier les références et exécuter une vérification de fond. Mais vous ne savez jamais comment les choses vont fonctionner.

Comment puis-je limiter l'exposition de mon entreprise si le gars que je loue se révèle être mal? Comment puis-je éviter de lui faire la seule personne la plus puissante de l'organisation?

76
Jesse

Vous le faites de la même manière que vous protégeez la société à partir de la tête des ventes qui fonctionnent avec votre liste de clients ou de la responsabilité des fonds de détournement de comptabilité, ou du gestionnaire d'actions à partir de la mise hors tension avec la moitié de l'inventaire, en grande partie: la confiance, mais vérifiez.

À tout le moins, j'aurais besoin que tous les mots de passe de tous les comptes d'administrateur sur les systèmes et les services, il soit conservé dans un mot de passe de sécurité (de manière numérique que Keepass, ou un morceau de papier littéral conservé dans un coffre-fort). Périodiquement, vous devrez vérifier que ces comptes sont toujours actifs et disposent de droits d'accès appropriés. Les gens les plus expérimentés appellent cela le scénario "si je suis frappé par un bus", et cela fait partie de l'idée générale d'éliminer les points d'échec.

Dans la seule entreprise, j'ai travaillé à l'endroit où j'étais le seul administrateur informatique, nous avons maintenu une relation avec un consultant informatique externe qui a transmis cela, principalement parce que la société avait été brûlée dans le passé (par incompétence plus que malice). Ils avaient des mots de passe à distance à distance et pourraient, lorsqu'il est demandé, réinitialiser les mots de passe de l'administrateur essentiel. Ils n'avaient toutefois pas accès direct aux données de l'entreprise. Ils ne pouvaient réinitialiser que les mots de passe. Bien sûr, comme ils pourraient réinitialiser les mots de passe d'administration d'entreprise, ils pourraient prendre le contrôle des systèmes. Encore une fois, il est devenu "confiance mais vérifie". Ils s'assurent qu'ils pouvaient accéder aux systèmes. Je me suis assuré qu'ils n'avaient rien changé sans que nous sachions.

Et rappelez-vous: le moyen le plus simple de vous assurer qu'une personne ne brûle pas votre entreprise est de vous assurer qu'elles sont heureuses. Assurez-vous que votre salaire est au moins à la valeur médiane. J'ai entendu parler de trop de situations où le personnel informatique a endommagé une entreprise hors de la SPIT. Traitez vos employés à droite et ils feront de même.

108
Bacon Bits

Comment gardez-vous votre comptable de vous détourner? Comment gardez-vous votre personnel de vente de prendre de rebonds de vos fournisseurs?

Les personnes non-celles-ci ont une notion erronée que nous utilisons des gens qui pratiquent un art noir que nous manquons de la ligne bordant le bien et le mal et que sur un caprice, nous ferons recourir à une Soley de machination néfaste dans le but de "amener le patron aux cheveux pointilleux ".

La gestion d'un employé informatique est comme la gestion de tout autre employé.

Arrêtez de regarder des films qui décrivent ceux d'entre nous qui prennent la responsabilité de nos positions au sérieux comme si nous sommes des agents indicateurs enfers enfermés dans la domination mondiale et/ou la destruction.

32
joeqwerty

Oh vraiment? Question guty à demander sur Serverfault, ne soyez pas alarmé si certains sont offensés par votre question, bien que je comprenne.

Ok, solutions pratiques; Vous pouvez insister sur (et testez-vous fréquemment) avoir vos propres comptes d'administrateur/racine équivalent sur tout, prenez l'une des sauvegardes hors site et la restauez-la, essayez évidemment de recruter de personnes que vous connaissez/faites confiance ou passez beaucoup de temps les employant.

Ma suggestion la plus forte serait d'embaucher deux personnes - les deux rapports à vous, non seulement ils se tiennent les uns des autres honnêtes, mais vous aurez une couverture pour quand on est en vacances ou malade.

21
Chopper3

Avez-vous une personne HR? Ou un comptable? Comment gardez-vous votre personne à faire du mal et de vendre les informations personnelles de chacun? Comment gardez-vous votre comptable ou financier les gens de voler tout ce que l'entreprise est apparentée de vous?

Pour toutes les positions, vous devriez avoir des procédures en place limitant la quantité de dégâts qu'une personne peut faire. Votre position par défaut devrait être que vous faites confiance aux personnes que vous embauchez (si vous ne les faites pas confiance, ne les embauchez pas ou ne les louez pas), mais il est raisonnable d'avoir des chèques et des soldes.

Même pour une petite entreprise, vous ne devriez pas avoir une seule "personne informatique" qui est le seul à savoir quoi que ce soit. (La même chose que vous ne devriez pas avoir une seule personne qui peut traiter de la masse salariale - que si cette personne tombe malade?). Quelqu'un d'autre a besoin de mots de passe, doit vérifier les sauvegardes, etc.

Une chose que vous pouvez faire est de faire de la documentation une priorité. Assurez-vous de donner à la personne que vous embauchez du temps pour documenter la manière dont les choses sont configurées et discutez de la documentation lorsque vous interviewez des candidats - demandez ce qu'ils ont fait dans le passé pour documenter leur réseau, demander à un échantillon.

C'est mon habitude de toujours mettre en place un "guide des systèmes" que plus ou moins de documents tout - quel équipement que nous avons eu, comment cela est mis en place, les procédures que nous suivons, etc., etc. Il est évidemment une constante -Évolution du document (série de documents et de fichiers dans la plupart des cas), mais à tout moment, vous pouvez prendre une copie et avoir une idée de la manière dont le gars informatique a défini les choses et quelles informations critiques que quelqu'un d'autre a besoin de savoir au cas où le gars informatique est frappé par un bus. Si vous voulez vraiment être préparé, vous pouvez obtenir un consultant extérieur pour passer par le manuel Systems et vous dire ce qu'ils avaient besoin d'entrer si quelque chose est arrivé au gars informatique.

Ou, si vous êtes vraiment paranoïaque, vous pourriez obtenir le consultant extérieur d'entrer et comparer ce qui est dans le manuel des systèmes avec ce qu'ils voient s'ils regardent vos systèmes. Y a-t-il un autre logiciel installé? Existe-t-il des comptes d'administration supplémentaires ou d'accès à distance?

11

C'est difficile, puisque l'échec apporte la douleur ( Comment recherchez-vous des porte-goudois de la personne précédente? ). Si vous êtes assez petit que vous n'avez pas déjà de présence informatique, le type de structures compartimentées pouvant limiter l'exposition est vraiment, vraiment difficile à mettre en place. À moins que vous n'ayez quelqu'un d'autre à faire toutes les activités de confiance élevées telles que les choses nécessitant des informations d'identification de l'administration de domaine, vous devrez le donner à votre nouvelle location.

Vous embauchez une personne qui aura une fiducie de haute confiance, vous devez donc leur faire confiance en retour, donc si vous n'êtes pas à 100% certain, ne les embauchez pas. Les contrôles de fond peuvent aider. Insister sur des recommandations personnelles de caractère non seulement Compétence ; S'ils ont un profil LinkedIn, demandez à certains de leurs contacts ou insistez pour les contacter.

Oui, ce sera très intrusif. Si vous avez vraiment des doutes sur quelqu'un, alors cela en vaut la peine de le faire en raison du coût pour l'entreprise au cas où le pire se produise. Quand ils commencent, travaillent avec eux de très près. Apprenez à les connaître. Laissez la société entière interagir avec eux. Regardez comment ils travaillent avec des gens.

Une fois que la nouvelle gogne est portée, veillez à la manière dont ils gèrent des revers inattendus. Est-ce qu'ils sont ressentis et décontractés, ou sont-ils haussés et traitent-ils? Si votre bureau est le type pour faire des damiers occasionnels de nouvelles personnes, voyez comment ils réagissent; subtil et calme avec beaucoup d'embarras sur la vengeance-cible, manifeste et flashy, ou le rire et le haussa les épaules? Ce sont quelques-uns des indices pouvant aider à identifier une vengeance potentielle-saboteur.

6
sysadmin1138