Frage Wie schütze ich meine Firma vor meinem IT-Typen? [geschlossen]


Ich werde einen IT-Mitarbeiter einstellen, der mir helfen soll, die Computer und das Netzwerk meines Büros zu verwalten. Wir sind ein kleiner Laden, also wird er der Einzige sein, der IT macht.

Natürlich werde ich sorgfältig interviewen, Referenzen prüfen und eine Hintergrundprüfung durchführen. Aber man weiß nie, wie die Dinge funktionieren.

Wie beschränke ich die Sichtbarkeit meiner Firma, wenn der Typ, den ich anstelle, sich als böse herausstellt? Wie vermeide ich es, ihn zur mächtigsten Person in der Organisation zu machen?


76
2018-06-24 18:47


Ursprung


Der sichere Beweis ist, IT selbst zu lernen. Es klingt, als ob Sie Vertrauensprobleme haben, die die Arbeit erfordert. Dein Titel scheint zu sagen, dass du deinen Computer schützen willst, aber dein Thema scheint dein ganzes Netzwerk zu sein. - Nixphoe
@ Jesse: Also Sie sagen, dass Ihr Buchhalter nicht von Ihnen unterschlagen und Sie in Konkurs gehen kann? Ihr Verkaufsleiter konnte Ihre Kundenliste nicht verkaufen, was zu so viel verlorenen Einnahmen führt, unter die Sie gehen? Persönlich, wenn ich ein Schurkenangestellter wäre, hätte ich lieber Zugang zu Ihrem Bankkonto als Ihre Computer. - joeqwerty
Dokumentation, Dokumentation, Dokumentation. - Stuart
@joeqwerty: Der Buchhalter hat Zugang zu finanziellen Dingen; der Verkaufsleiter hat Zugriff auf Verkaufsmaterial; Der IT-Typ hat Zugriff auf alles. - Jesse
@TomWij wenn ich dein IT-Typ wäre und ich wüsste, dass du hinter meinem Rücken IT-Arbeiten machst (Backups oder andere) auf dem System, das du mir anvertraut hast, würde ich einen Anfall bekommen. Es kostet Sie mehr, zerstört jedes Rapport, das Sie mit Ihrem Mitarbeiter haben, und wird Ihrem Unternehmen auf Dauer Schaden zufügen. Tu das nicht. - Paul McMillan


Antworten:


Sie tun dies auf die gleiche Weise, wie Sie das Unternehmen davor schützen, dass der Leiter des Vertriebs mit Ihrer Kundenliste oder der Leiter der Veruntreuungsfonds oder der Lagerverwalter mit der Hälfte des Inventars davonläuft, weitgehend: Vertrauen, aber verifizieren.

Zumindest würde ich verlangen, dass alle Passwörter für alle Administrator-Accounts auf Systemen und Diensten unter IT in einem Passwort-Safe aufbewahrt werden (entweder digital wie KeePass oder ein wörtliches Stück Papier in einem Safe aufbewahrt). In regelmäßigen Abständen müssen Sie überprüfen, ob diese Konten noch aktiv sind und über die entsprechenden Zugriffsrechte verfügen. Die meisten erfahrenen IT-Leute nennen dies das Szenario "wenn ich von einem Bus getroffen werde" und es ist Teil der allgemeinen Idee, Fehlerquellen zu eliminieren.

In dem einen Unternehmen, in dem ich als alleiniger IT-Administrator tätig war, pflegten wir eine Beziehung mit einem externen IT-Berater, der dies hauptsächlich aufgrund des Unternehmens übergab hätten in der Vergangenheit verbrannt worden (durch Inkompetenz mehr als Bosheit). Sie verfügten über Fernzugriffskennwörter und konnten auf Wunsch die wesentlichen Administratorkennwörter zurücksetzen. Sie hatten jedoch keinen direkten Zugriff auf Firmendaten. Sie konnten nur Passwörter zurücksetzen. Da sie die Administratorkennwörter für Unternehmen zurücksetzen können, können sie natürlich die Kontrolle über die Systeme übernehmen. Wieder wurde es "Trust but Verify". Sie stellten sicher, dass sie auf die Systeme zugreifen konnten. Ich stellte sicher, dass sie nichts änderten, ohne dass wir davon wussten.

Und denken Sie daran: Der einfachste Weg, um sicherzustellen, dass eine Person Ihre Firma nicht verbrennt, ist sicherzustellen, dass sie glücklich sind. Stellen Sie sicher, dass Ihr Gehalt mindestens dem Medianwert entspricht. Ich habe von zu vielen Situationen gehört, in denen IT-Mitarbeiter eine Firma aus Trotz beschädigt haben. Behandle deine Mitarbeiter richtig und sie werden dasselbe tun.


108
2018-06-24 19:11



Gut, sagte Bacon. Ich habe deine Antwort nicht gelesen, bevor ich mein eigenes Sprichwort gepostet habe. - joeqwerty
Dies ist die beste Antwort. Erhalten Sie einen vertrauenswürdigen Dritten auf Vertragsbasis. - mfinni
Aus Intuition ändert der IT-Typ Dinge, um die dritte Partei am Tag vor seiner Kündigung effektiv auszuschließen. Was dann? Nehmen Sie das gesamte Netzwerk offline, bis Sie es jedes Mal, wenn Sie jemanden entlassen, auditieren lassen? - Matthew Read
-1 für: "Ich stellte sicher, dass sie nichts änderten, ohne dass wir davon wussten." - Kzqai
Besser: Lassen Sie die Notfallkontodaten von jemandem gespeichert werden, der überhaupt keinen Zugang zu Ihrem Netzwerk hat. Ein Treuhandservice, ein externer Anwalt, der Banktresor, in dem nur die Partner des Unternehmens Zugang haben. Wenn du wirklich paranoid bist, tust du es so. Und natürlich haben Sie ein System mit zwei Schlüsseln, in dem immer mindestens zwei Personen für die Anmeldung am root-Konto erforderlich sind. Beide kennen das halbe Passwort. - jwenting


Wie halten Sie Ihren Buchhalter davon ab, Sie zu veruntreuen? Wie halten Sie Ihre Vertriebsmitarbeiter davon ab, Schmiergelder von Ihren Lieferanten zu nehmen?

Nicht-IT-Leute haben eine irrige Vorstellung, dass wir Menschen eine schwarze Kunst praktizieren, die wir an der Grenze zwischen Gut und Böse führen, und dass wir aus einer Laune heraus zu einer ruchlosen Machenschaft greifen, um "den spitzhaarigen Boss zu Fall zu bringen ".

Die Verwaltung eines IT-Mitarbeiters ist wie die Verwaltung eines anderen Mitarbeiters.

Hör auf Filme zu gucken, die jene von uns darstellen, die die Verantwortung für unsere Positionen ernst nehmen, als ob wir Schurken wären, die die Weltherrschaft und / oder Zerstörung angehen.


32
2018-06-24 19:30



Mein Buchhalter überprüft meine Verkäufer. Mein CPA überprüft meinen Buchhalter. Wer auditiert den IT-Typ? Es hat nichts mit Filmen zu tun, es hat damit zu tun, die Risiken von Geschäften zu mindern. - Jesse
@Jesse: Ich höre dich. Es gibt ein bisschen Übertreibung in meiner Antwort, aber am Ende müssen Sie Ihre IT-Mitarbeiter verwalten, wie Sie den Rest Ihrer Mitarbeiter tun. Wenn Sie jemanden benötigen, der Ihre IT-Mitarbeiter auditiert, dann müssen Sie diese Verantwortung selbst übernehmen oder jemanden einstellen, der das übernimmt. - joeqwerty
Leider haben viele außerhalb der IT die Idee, dass jede IT-Person nur darauf aus ist, in ihre Systeme einzubrechen und mit den Firmengeheimnissen und Passwörtern auf das Bankkonto zu gelangen. Sie denken nicht einmal, dass wir nur ein weiterer Haufen von Menschen sind, genau wie der Rest ihrer Angestellten, und dass diese anderen bereits die Mittel haben, genau das zu tun, ohne dass sie überhaupt etwas unternehmen müssen, weil sie Zugriff auf diese Daten haben Teil ihrer regulären Arbeit. - jwenting


Wow wirklich? mutige Frage auf Serverfehler zu stellen, seien Sie nicht alarmiert, wenn einige von Ihrer Frage beleidigt sind, obwohl ich verstehe.

Ok, praktische Lösungen; Sie können darauf bestehen (und häufig testen), dass Sie Ihre eigenen Administrator- / root-äquivalenten Accounts für alles haben, eine der Off-Site-Backups nach dem Zufallsprinzip auswählen und wiederherstellen, natürlich versuchen, von Leuten zu rekrutieren, die Sie kennen / vertrauen oder viel ausgeben Zeit beschäftigt sie.

Mein stärkster Vorschlag wäre, zwei Leute einzustellen - beide berichten Ihnen, dass sie sich gegenseitig nicht nur ehrlich halten, sondern auch, wenn Sie im Urlaub oder krank sind.


21
2018-06-24 18:57



... Ich frage mich, wie der Angestellte einer Nicht-Tech-Person vertrauen kann, die ihm über die Schulter schaut. Diese Frage spiegelt Probleme für jedes Unternehmen wider. Aber der IT-Mann wird die Macht haben, alle möglichen schändlichen Dinge zu tun. Er muss es haben, um seine Arbeit effektiv zu erledigen. - Bart Silverstrim
Ich zittere irgendwie davor, für einen Nicht-Tech-Benutzer alles zu haben. Es sollte Richtlinien geben, um sicherzustellen, dass diese nicht für Nicht-Techniker zur Verfügung stehen, es sei denn, dass ein tatsächlicher Bedarf besteht ... d. H. Der Administrator wird gefeuert. Nicht, weil die Nicht-Tech-Leute das Bedürfnis verspüren, um den Mail-Server herumzustochern oder etwas zu tun, das nicht in ihrem Zuständigkeitsbereich ist, sozusagen. - Bart Silverstrim
Ein kompetenter Administrator wird es ablehnen, nicht-technische Benutzer mit Admin-Passwörtern auszustatten, außer in Notfällen. Leute, die nicht wissen, was sie tun, WERDEN versucht sein, sich mit Dingen zu beschäftigen, die sie nicht tun sollten. Siegel sie und verriegeln sie in einem Safe. - Paul McMillan
Tatsächlich stoße ich auf diese vielen, kleinen Ein-Mann- oder Zwei-Mann-Läden, die nur kleine Unternehmen für lächerliche Geldstrafen für sehr unprofessionelle Arbeit melken. Ich denke, das ist eine großartige Frage. - SpacemanSpiff


Haben Sie eine HR-Person? Oder ein Buchhalter? Wie halten Sie Ihre HR-Person davon ab, böse zu sein und alle persönlichen Informationen zu verkaufen? Wie halten Sie Ihren Buchhalter oder Ihre Finanzleute davon ab, alles, was das Unternehmen besitzt, von Ihnen zu stehlen?

Für alle Positionen sollten Verfahren vorhanden sein, die begrenzen, wie viel Schaden eine Person machen kann. Ihre Standardposition sollte sein, dass Sie den Leuten vertrauen, die Sie anstellen (wenn Sie ihnen nicht vertrauen, stellen Sie sie nicht ein oder behalten Sie sie nicht), aber es ist vernünftig, Kontrolle und Balancen zu haben.

Selbst für ein kleines Unternehmen sollten Sie nicht nur eine "IT-Person" haben, die als einzige etwas weiß. (Das gleiche wie Sie sollten nicht nur eine Person, die mit der Gehaltsabrechnung beschäftigen kann - was, wenn diese Person krank wird?). Jemand anderes benötigt Passwörter, muss die Backups überprüfen usw.

Eine Sache, die Sie tun können, ist, der Dokumentation Priorität einzuräumen. Stellen Sie sicher, dass Sie der Person, die Sie einstellen, Zeit geben, zu dokumentieren, wie die Dinge aufgebaut sind, und die Dokumentation zu diskutieren, wenn Sie Kandidaten befragen - fragen Sie, was sie in der Vergangenheit getan haben, um ihr Netzwerk zu dokumentieren.

Es ist meine Angewohnheit, immer einen "Systems Guide" zu erstellen, der mehr oder weniger dokumentiert alles - Welche Ausrüstung wir haben, wie sie aufgebaut ist, welche Verfahren wir befolgen, etc. usw. Es ist offensichtlich ein sich ständig entwickelndes Dokument (in den meisten Fällen eine Reihe von Dokumenten und Dateien), aber jederzeit können Sie eine Kopie machen und bekommen eine Vorstellung davon, wie der IT-Mann Dinge eingerichtet hat und welche wichtigen Informationen jemand anderes wissen muss, wenn der IT-Typ von einem Bus angefahren wird. Wenn Sie wirklich vorbereitet sein möchten, können Sie einen externen Berater hinzuziehen, der das Systemhandbuch durchgeht und Ihnen mitteilt, was sie tun müssen, wenn dem IT-Mitarbeiter etwas zustoßen sollte.

Oder, wenn Sie wirklich paranoid sind, könnten Sie den externen Berater dazu bringen, hereinzukommen und zu vergleichen, was im Systemhandbuch steht, und was sie sehen, wenn sie Ihre Systeme betrachten. Ist eine andere Software installiert? Gibt es zusätzliche Admin- oder Remotezugriffskonten?


11
2018-06-24 19:12





Es ist schwer, denn Versagen bringt Schmerzen ( Wie suchen Sie nach Backdoors von der vorherigen IT-Person? ). Wenn Sie klein genug sind, dass Sie noch nicht über eine IT-Präsenz verfügen, ist die Art von kompartimentierten Strukturen, die die Exposition begrenzen können, wirklich sehr schwer zu implementieren. Wenn Sie nicht alle anderen vertrauenswürdigen Aktivitäten ausführen lassen, z. B. Dinge, für die Domänenadministrator-Anmeldeinformationen erforderlich sind, müssen Sie sie Ihrem neuen Mitarbeiter überlassen.

Sie stellen jemanden ein, der Ihnen ein hohes Vertrauen entgegenbringen wird, also müssen Sie ihnen im Gegenzug vertrauen, also wenn Sie nicht 100% sicher sind, stellen Sie sie nicht ein. Hintergrundprüfungen können helfen. Bestehen Sie auf persönlichen Empfehlungen von Charakter nicht nur Kompetenz; Wenn sie ein LinkedIn-Profil haben, fragen Sie einige ihrer Kontakte oder bestehen Sie darauf, sie zu kontaktieren.

Ja, das wird sehr aufdringlich sein. Wenn Sie wirklich Zweifel an jemandem haben, dann ist es es aufgrund der Kosten für das Geschäft absolut wert, falls das Schlimmste passiert. Wenn sie anfangen, arbeite sehr eng mit ihnen zusammen. Sie kennenlernen. Lass das gesamte Unternehmen mit ihnen interagieren. Beobachten Sie, wie sie mit Menschen arbeiten.

Sobald das Glühen des neuen Jobs abklingt, beobachte, wie sie mit unerwarteten Rückschlägen umgehen. Werden sie ärgerlich und mürrisch, oder ziehen sie es ab und handeln? Wenn Ihr Büro der Typ ist, der neue Leute lästert, dann sehen Sie, wie sie reagieren. Subtil und ruhig mit viel Verlegenheit auf dem Racheziel, offen und auffällig, oder Lachen und zuckend? Dies sind einige der Hinweise, die helfen können, einen potentiellen Rache-Saboteur zu identifizieren.


6
2018-06-24 19:01



Ein mürrischer Admin? Sicher scherzt du! - Bart Silverstrim