Soru Şirketimi BT adamımdan nasıl korurum? [kapalı]


Ofisimin bilgisayarlarını ve ağını yönetmeye yardım etmek için bir BT görevlisi kiralayacağım. Küçük bir dükkanız, o yüzden BT yapan tek kişi o olacak.

Tabii ki, dikkatli bir şekilde röportaj yapacağım, referansları kontrol edeceğim ve bir arka plan kontrolü yapacağım. Ama hiçbir zaman işlerin nasıl olacağını bilemezsin.

Benim işe aldığım adamın kötülük olduğu ortaya çıktığında, şirketimin riskini nasıl sınırlayabilirim? Organizasyondaki en güçlü kişi olmasını nasıl önleyebilirim?


76
2018-06-24 18:47


Menşei


Emin kanıtlama yolu, kendini öğrenmek. İşin gerektirdiği güven sorunlarına sahip gibi geliyor. Başlığınız bilgisayarınızı korumak istediğinizi söylüyor gibi görünüyor, ancak konunuz tüm ağınız gibi görünüyor. - Nixphoe
@Jesse: Yani muhasebecinizin senden zimmete para geçiremeyeceğini ve iflasa gitmene sebep olduğunu mu söylüyorsun? Satış yöneticiniz müşteri listenizi satabileceğiniz çok fazla gelir kaybına neden satamazdı? Şahsen ben haydut bir çalışan olsaydım banka hesabınıza bilgisayarlarınızdan daha çok erişebilirdim. - joeqwerty
Belgeler, Belgeler, Belgeler. - Stuart
@joeqwerty: Muhasebecinin mali konulara erişimi var; satış müdürünün satışlara erişimi var; BT adamı erişim var her şey. - Jesse
@TomWij Eğer BT'nizdeyseniz ve BT ile yaptığınız işi biliyordum (yedekleme ya da başka bir şekilde), beni idare etmekle suçladığınız sistemde, uygun bir şekilde atıyorum. Size daha fazla mal olur, çalışanınızla olan herhangi bir uyumsuzluğu ortadan kaldırır ve uzun vadede şirketinize zarar verir. Bunu yapma. - Paul McMillan


Cevaplar:


Bunu, şirketinizin Satış listesinden müşteri listenizle veya Muhasebe zimmete parasıyla veya Satış müdürünün envanterinin yarısı ile kaçmasıyla aynı şekilde koruduğu şekilde gerçekleştirirsiniz: Güven, ancak doğrulayın.

En azından, BT altındaki sistem ve hizmetlerdeki tüm Yönetici hesaplarına ait tüm parolaların parola güvenliğinde (KeePass gibi dijital olarak veya bir kasada saklı bir kağıt parçası) saklanmasını şart koşmak isterim. Periyodik olarak, bu hesapların hala aktif olduğunu ve uygun erişim haklarına sahip olduğunu doğrulamanız gerekir. En deneyimli BT kullanıcıları buna “otobüsle vuruldursam” senaryosu diyorlar ve bu, başarısızlık noktalarını ortadan kaldırma genel düşüncesinin bir parçası.

Tek BT ​​Yöneticisi olduğum yerde çalıştığım bir işte, bunu şirketten alan harici bir BT danışmanıyla ilişki kurduk. vardı geçmişte yakıldı (beceriksizce malice'den daha fazla). Uzaktan erişim şifreleri vardı ve sorulduğunda gerekli yönetici şifrelerini sıfırlayabiliyorlardı. Bununla birlikte, herhangi bir şirket verilerine doğrudan erişimleri yoktu. Sadece şifreleri sıfırlayabilirlerdi. Tabii ki, kurumsal yönetici şifrelerini sıfırlayabildikleri için, sistemlerin kontrolünü ele geçirebilirler. Yine, "Güven ama Doğrula" oldu. Sistemlere erişebildiklerinden eminler. Bilmeden hiçbir şey değiştirmediklerinden emin oldum.

Ve unutmayın: Bir kişinin şirketinizi yakmadığından emin olmanın en kolay yolu, mutlu olduklarından emin olmaktır. Ödemenizin en azından medyan değerinde olduğundan emin olun. BT personelinin bir firmaya zarar verdiği pek çok durum olduğunu duydum. Çalışanlarınıza doğru davranın ve aynı şeyi yaparlar.


108
2018-06-24 19:11



Peki dedi domuz pastırması. Aynı şeyi söyleyerek kendi cevabını göndermeden önce cevabını okumamıştım. - joeqwerty
Bu en iyi cevaptır. Sözleşme esasına göre güvenilir bir 3. taraf alın. - mfinni
Sezgiye göre, IT adamı, işten atılmadan bir gün önce üçüncü bir partiyi etkili bir şekilde kilitlemek için işleri değiştirir. Sonra ne? Birisi ne zaman ateş ederseniz, denetlenene kadar ağın tamamını çevrimdışı duruma getirin. - Matthew Read
-1 için: "Bizi bilmeden bir şeyi değiştirmediklerinden emin oldum." - Kzqai
daha iyisi: ağınıza hiç erişimi olmayan bir kişi tarafından saklanan acil durum geri durum bilgisine sahip olun. Bir emanet servisi, bir dış avukat, sadece iş ortaklarının fiziksel erişime sahip olduğu banka kasası. Eğer gerçekten paranoyaksan, böyle yaparsın. Ve elbette, her zaman en az 2 kişinin root hesabına giriş yapmak için gerekli olan iki şifreli bir şifresi vardır. - jwenting


Muhasebecinizin sizden nasıl zimmetine girmesini engelliyorsunuz? Satış personelinizin tedarikçilerinizden geri tepmelerini nasıl ele geçirirsiniz?

Bilişim dışı insanlar, insanların iyi ve kötüyü sınırlayan çizgiden elde ettiğimiz siyah bir sanatla uğraştığını ve bunun bir "hırslı" patronu aşağıya çekmek için bazı kötü şöhretli işçilere başvuracağımızın yanlış bir fikrine sahiptir. ".

Bir BT çalışanını yönetmek, diğer çalışanların yönetilmesi gibidir.

Dünya hakimiyeti ve / veya yıkımına boyun eğdirenler gibi ciddiye alındıkça, bizim pozisyonlarımızın sorumluluğunu ciddiye alan bizleri tasvir eden filmleri izlemeyi bırak.


32
2018-06-24 19:30



Muhasebecim satış ekibimi denetliyor. EBM'm muhasebecimi denetliyor. BT adamı kim denetliyor? Filmlerle ilgisi yok, iş yapma risklerini hafifletmek zorunda. - Jesse
@Jesse: Seni duyuyorum. Cevabımda biraz abartı var ama o zaman BT ekibinizi personelinizin geri kalanı gibi yapıyor olmanız gerekiyor. BT personelinizi denetleyecek birine ihtiyacınız varsa o zaman bu sorumluluğu kendiniz üstlenmeli veya üstlenecek birini işe almalısınız. - joeqwerty
Ne yazık ki, BT dışındaki birçok kişi, her bir BT çalışanının sistemlerine girmeye ve şirket sırları ve banka hesaplarına olan parolalarla kaçabileceğine inanmaktadır. Onlar, sadece çalışanlarının geri kalanı gibi sadece bir grup insan olduğumuzu düşünmüyorlar ve diğerlerinin, şu anda bu veriye erişebildikleri için hiçbir şeye çatlamak zorunda kalmadan yapmak için gerekli araçlara sahip olduklarını düşünmüyorlar. düzenli işlerinin bir parçası. - jwenting


Vay gerçekten mi? sunucufault üzerine sormak için gutsy soru, anladığım kadarıyla, bazı sorularınızdan rahatsız olursa endişelenmeyin.

Tamam, pratik çözümler; Kendi yöneticinize / root'a eşdeğer hesaplarınıza sahip olmak (ve sık sık test etmek) konusunda ısrar edebilir, rastgele bir şekilde bölgenizdeki yedeklerden birini alıp geri yükleyebilir, açıkça bildiğiniz / güvendiğiniz kişilerden işe almaya çalışın ya da onları kullanarak zaman.

En güçlü önerim iki kişiyi işe almak olacaktı - her ikisi de size rapor veriyor, yalnızca birbirlerini dürüst tutmayacaklar, aynı zamanda tatil veya hastalık halindeyken de size ait olacak.


21
2018-06-24 18:57



... İşin, teknik olmayan bir insanın omzunun üzerinden izlemek için nasıl güvenebileceğini merak ediyorum. Bu soru, herhangi bir iş için sorunları yansıtmaktadır. Ama BT adamı her türlü hain şeyi yapmaya gücü yetecek. İşini etkili bir şekilde yapabilmek için ona sahip olmalı. - Bart Silverstrim
Teknik olmayan bir kullanıcı için her şeye hesap açmaktan sıkıldım. Gerçek bir ihtiyaç olmadıkça bunları kullanmamak için teknolojinin bulunmadığından emin olmak için politikalar uygulanmalıdır ... yani, yönetici işten atıldı. Teknik olmayan insanlar, posta sunucusunun etrafına dolanmaya ya da kendi yargı bölgelerinde olmayan bir şeyler yapmaya ihtiyaç duyduklarından dolayı konuşmak için değil. - Bart Silverstrim
Yetkili bir yönetici, acil durumlar haricinde teknik olmayan kullanıcılara yönetici şifreleri vermek zorunda kalıyor. Ne yaptıklarını bilmeyen insanlar, yapmamaları gereken şeylerle uğraşmak için cazip olacaklar. Mühür Onları bir kasaya kilitleyin. - Paul McMillan
Aslında, çok profesyonelce çalışmam için küçük işletmeleri, sadece küçük işletmeleri sağan çok küçük, küçük bir adam ya da iki adam dükkanında buluyorum. Bence bu harika bir soru. - SpacemanSpiff


Bir insanın var mı? Ya da bir muhasebeci? İK kişinizi kötülükten korumak ve herkesin kişisel bilgilerini satmak nasıl? Muhasebecinizi nasıl tutuyorsunuz veya finanse edip, şirketinizin altından şirkete ait her şeyi çalmasını sağlıyorsunuz?

Tüm pozisyonlar için, bir kişinin ne kadar zarar verebileceğini sınırlandıran prosedürlere sahip olmalısınız. Varsayılan pozisyonunuz, kiraladığınız kişilere güvenmeniz (onlara güvenmemeniz, onları işe almamanız veya saklamaması) olmalıdır, ancak kontrol ve bakiyelerin olması mantıklıdır.

Küçük bir şirket için bile, bir şeyi bilen tek kişi olan bir "BT kişisi" olmamalısınız. (bordro ile başa çıkabilen sadece bir kişi olmasa da - o kişi hastalanırsa?). Başka birinin şifrelere ihtiyacı var, yedekleri kontrol etmeli, vb.

Yapabileceğiniz bir şey, belgelendirmeyi bir öncelik haline getirmektir. İşe koyduğun kişiye, işlerin nasıl kurulduğunu belgelemek ve adaylarla görüştüğünüzde belgeleri tartışmak için verdiğinize emin olun - ağlarını belgelemek için geçmişte neler yaptıklarını sorun, bir örnek görmeyi isteyin.

Her zaman bir "Sistem Rehberi" yerleştirmek benim alışkanlığım, az ya da çok belge her şey - Ne tür bir ekipmanımız var, nasıl kurulur, takip ettiğimiz prosedürler vb. Açıkçası sürekli gelişen bir belge (çoğu durumda belge ve dosya serisi), ancak istediğiniz zaman bir kopyasını alıp alabilirsiniz. BT'nin bir otobüsün çarpması durumunda IT'nin işleri nasıl kurduğu ve başka birinin bilmesi gereken kritik bilgiler hakkında bir fikir. Eğer gerçekten hazırlıklı olmak istiyorsanız, sistem el kitabından geçmek ve BT adamına bir şey olursa ne yapmanız gerekeceğini size söylemek için dışarıdan bir danışman alabilirsiniz.

Ya da, eğer gerçekten paranoyaksanız, dışarıdan danışmanı gelip sistem el kitabında neyin sisteminize bakıp bakmadığına baktıklarını karşılaştırabilirsiniz. Başka bir yazılım yüklü mü? Ek yönetici veya uzaktan erişim hesapları var mı?


11
2018-06-24 19:12





Bu zordur, çünkü başarısızlık acı getirir ( Önceki BT çalışanından arka kapıları nasıl ararsınız? ). Eğer zaten bir BT varlığınızın olmaması için yeterince küçükseniz, pozlamayı sınırlandırabilecek bölmeli yapıların bir kısmı gerçekten yerine koymak zor. Etki Alanı Yöneticisi kimlik bilgileri gerektiren şeyler gibi tüm yüksek güvenli etkinlikleri gerçekleştirecek bir başkanız yoksa, yeni kiralamanıza vermeniz gerekir.

Onlara yüksek güven duyacak birini işe alıyorsunuz, dolayısıyla onlara güvenmeniz gerekiyor, bu yüzden% 100 emin değilseniz, onları işe almayın. Arka plan kontrolleri yardımcı olabilir. Kişisel tavsiyelerde ısrar etmek karakter sadece değil yetki; Eğer bir LinkedIn profiline sahiplerse, bazı kişilere danışabilir veya onlarla iletişime geçmekte ısrar edebilirler.

Evet, bu çok müdahaleci olacak. Birisi hakkında şüpheleriniz varsa, en kötüsü olması durumunda işin maliyeti nedeniyle tamamen buna değer. Başladıklarında, onlarla çok yakın çalışırlar. Onları tanımak. Tüm şirketin onlarla etkileşime girmesine izin verin. İnsanlarla nasıl çalıştığını izleyin.

Yeni iş kızdırma ışıltıları aşındığında, beklenmeyen aksaklıkları nasıl ele aldıklarını izleyin. Küskünüyorlar mı ve küstahça mı, yoksa silkmek mi? Eğer ofisiniz yeni insanın gündelik hazzını çekiyorsa, nasıl tepki verdiklerini görün; intikam-hedef, aşırı ve gösterişli, ya da kahkaha ve shrugging üzerinde çok utanç ile ince ve sessiz? Bunlar potansiyel bir intikam-sabotajcıyı tanımlamaya yardımcı olabilecek ipuçlarından bazılarıdır.


6
2018-06-24 19:01



Şüphesiz bir yönetici mi? Şüphesiz sen şaka! - Bart Silverstrim