Bagaimana cara melindungi perusahaan saya dari orang IT saya? [Tutup]

76

Saya akan menyewa orang IT untuk membantu mengelola komputer dan jaringan kantor saya. Kami adalah toko kecil, jadi dia satu-satunya yang melakukan itu.

Tentu saja, saya akan mewawancarai dengan cermat, memeriksa referensi, dan menjalankan pemeriksaan latar belakang. Tapi Anda tidak pernah tahu bagaimana hal itu akan terjadi

Bagaimana cara membatasi eksposur perusahaan saya jika orang yang saya sewa ternyata jahat? Bagaimana saya menghindari menjadikannya satu-satunya orang terkuat di organisasi?

Jesse
sumber
6
Cara bukti yang pasti adalah dengan mempelajari sendiri IT Anda. Sepertinya Anda memiliki masalah kepercayaan, yang dibutuhkan oleh pekerjaan itu. Judul Anda tampaknya mengatakan Anda ingin melindungi komputer Anda, tetapi subjek Anda tampaknya seluruh jaringan Anda.
Nixphoe
22
@Jesse: Jadi Anda mengatakan bahwa akuntan Anda tidak dapat menggelapkan Anda dan menyebabkan Anda bangkrut? Manajer penjualan Anda tidak dapat menjual daftar klien Anda yang menyebabkan hilangnya banyak pendapatan sehingga Anda gagal? Secara pribadi, jika saya seorang karyawan nakal saya lebih suka memiliki akses ke rekening bank Anda daripada komputer Anda.
joeqwerty
1
Dokumentasi, Dokumentasi, Dokumentasi.
Stuart
8
@joeqwerty: Akuntan memiliki akses ke hal-hal keuangan; manajer penjualan memiliki akses ke barang-barang penjualan; orang IT memiliki akses ke segalanya .
Jesse
3
@ TomWij jika saya adalah orang IT Anda dan saya tahu Anda melakukan pekerjaan IT di belakang punggung saya (cadangan atau sebaliknya) pada sistem yang Anda tetapkan untuk mengelola, saya akan melempar. Biayanya lebih besar, hancurkan hubungan apa pun yang Anda miliki dengan karyawan Anda, dan akan merusak perusahaan Anda dalam jangka panjang. Jangan lakukan itu.
Paul McMillan

Jawaban:

108

Anda melakukannya dengan cara yang sama Anda melindungi perusahaan dari kepala Penjualan yang melarikan diri dengan daftar klien Anda, atau kepala Akuntansi menggelapkan dana, atau manajer Saham lari dengan setengah persediaan, sebagian besar: Kepercayaan, tetapi verifikasi.

Paling tidak, saya akan meminta agar semua kata sandi untuk semua akun Administrator pada sistem dan layanan di bawah TI disimpan dalam brankas kata sandi (baik secara digital seperti KeePass, atau selembar kertas secara literal disimpan di dalam brankas). Secara berkala Anda perlu memverifikasi bahwa akun ini masih aktif dan memiliki hak akses yang sesuai. Kebanyakan orang IT yang berpengalaman menyebut ini skenario "jika saya ditabrak bus", dan itu adalah bagian dari gagasan umum untuk menghilangkan titik-titik kegagalan.

Di satu bisnis tempat saya bekerja, di mana saya adalah satu-satunya Admin TI, kami memelihara hubungan dengan konsultan TI eksternal yang menyerahkan ini, terutama karena perusahaan tersebut telah dibakar di masa lalu (dengan ketidakmampuan lebih daripada kedengkian). Mereka memiliki kata sandi akses jarak jauh dan, ketika ditanya, dapat mengatur ulang kata sandi administrator yang penting. Namun, mereka tidak memiliki akses langsung ke data perusahaan. Mereka hanya bisa mereset kata sandi. Tentu saja, karena mereka dapat mengatur ulang kata sandi admin perusahaan, mereka dapat mengendalikan sistem. Sekali lagi, itu menjadi "Percaya tapi Verifikasi". Mereka memastikan mereka dapat mengakses sistem. Saya memastikan mereka tidak mengubah apa pun tanpa kita sadari.

Dan ingat: cara termudah untuk memastikan seseorang tidak membakar perusahaan Anda adalah memastikan mereka bahagia. Pastikan gaji Anda setidaknya pada nilai tengah. Saya telah mendengar terlalu banyak situasi di mana personil TI telah merusak sebuah perusahaan karena dendam. Perlakukan karyawan Anda dengan benar dan mereka akan melakukan hal yang sama.

Bit Bacon
sumber
1
Kata baik Bacon. Saya belum membaca jawaban Anda sebelum memposting sendiri mengatakan hal yang sama.
joeqwerty
Ini jawaban terbaik. Dapatkan pihak ke-3 tepercaya berdasarkan kontrak.
mfinni
Pada intuisi, orang IT mengubah hal-hal untuk secara efektif mengunci pihak ketiga sehari sebelum dia dipecat. Lalu bagaimana? Jadikan seluruh jaringan offline sampai Anda dapat diaudit, setiap kali Anda memecat seseorang?
Matius Baca
1
-1 untuk: "Saya memastikan mereka tidak mengubah apa pun tanpa kita mengetahuinya."
Kzqai
1
lebih baik: minta info akun darurat kembali disimpan oleh seseorang tanpa akses ke jaringan Anda sama sekali. Layanan escrow, pengacara luar, brankas bank tempat hanya mitra dalam bisnis yang memiliki akses fisik. Jika Anda benar-benar paranoid, itulah cara Anda melakukannya. Dan tentu saja memiliki sistem kunci ganda di mana selalu ada setidaknya 2 orang yang diperlukan untuk masuk pada akun root, keduanya mengetahui setengah kata sandi.
jwenting
32

Bagaimana Anda menjaga pembukuan Anda dari menggelapkan dari Anda? Bagaimana Anda menjaga staf penjualan Anda untuk tidak menerima suap dari pemasok Anda?

Orang-orang non-IT memiliki pandangan yang salah bahwa kita, orang-orang IT, mempraktikkan seni hitam yang kami pegang dari garis yang berbatasan dengan baik dan jahat, dan bahwa pada saat yang bersamaan kami akan menggunakan beberapa intrik jahat semata-mata untuk tujuan "menjatuhkan bos berambut runcing" ".

Mengelola karyawan TI sama seperti mengelola karyawan lainnya.

Berhentilah menonton film yang menggambarkan orang-orang di antara kita yang menganggap serius posisi kita seolah-olah kita adalah agen jahat yang ingin menguasai dan / atau menghancurkan dunia.

joeqwerty
sumber
13
Pembukuan saya mengaudit staf penjualan saya. BPA saya mengaudit pemegang buku saya. Siapa yang mengaudit pria IT? Ini tidak ada hubungannya dengan film, itu ada hubungannya dengan mengurangi risiko melakukan bisnis.
Jesse
3
@Jesse: Aku mendengarmu. Ada sedikit hiperbola dalam jawaban saya, tetapi pada akhirnya Anda perlu mengelola staf TI Anda seperti Anda melakukan sisanya dari staf Anda. Jika Anda membutuhkan seseorang untuk mengaudit staf TI Anda maka Anda harus mengambil sendiri tanggung jawab itu atau menyewa seseorang untuk mengambilnya.
joeqwerty
3
Sayangnya banyak di luar IT memiliki gagasan bahwa setiap orang IT hanya keluar untuk masuk ke sistem mereka dan lari dengan rahasia perusahaan dan kata sandi ke rekening bank. Mereka bahkan tidak pernah menganggap bahwa kita hanyalah sekelompok orang lain seperti karyawan mereka yang lain, dan bahwa orang-orang lain sudah memiliki sarana untuk melakukan hal itu tanpa perlu membobol apa pun karena mereka memiliki akses ke data tersebut sebagai bagian dari pekerjaan rutin mereka.
jwenting
21

Wow benarkah? pertanyaan berani untuk bertanya di serverfault, jangan khawatir jika ada yang tersinggung oleh pertanyaan Anda, meskipun saya mengerti.

Ok, solusi praktis; Anda bisa bersikeras (dan sering menguji) memiliki administrator Anda sendiri / akun root yang setara pada semuanya, secara acak membawa pulang salah satu backup di luar situs dan mengembalikannya, jelas mencoba merekrut dari orang yang Anda kenal / percayai atau menghabiskan banyak waktu mempekerjakan mereka.

Saran saya yang paling kuat adalah mempekerjakan dua orang - keduanya melapor kepada Anda, tidak hanya mereka akan menjaga satu sama lain jujur ​​tetapi Anda akan memiliki pertanggungan ketika seseorang sedang berlibur atau sakit.

Chopper3
sumber
1
... Saya ingin tahu bagaimana karyawan dapat mempercayai orang non-teknologi untuk mengawasi dari balik bahunya. Pertanyaan ini mencerminkan masalah untuk bisnis apa pun. Tetapi orang ITU akan memiliki kekuatan untuk melakukan segala macam hal jahat. Dia HARUS memilikinya untuk melakukan pekerjaannya secara efektif.
Bart Silverstrim
2
Saya agak ngeri karena memiliki akun untuk segalanya untuk pengguna non-teknologi. Harus ada kebijakan untuk memastikan ini tidak ada untuk non-teknologi untuk menggunakannya kecuali ada kebutuhan aktual ... yaitu, admin dipecat. Bukan karena orang-orang non-teknologi merasa perlu untuk mulai mencari-cari di server mail atau melakukan sesuatu yang tidak dalam yurisdiksi mereka, sehingga untuk berbicara.
Bart Silverstrim
1
Admin yang kompeten akan menolak karena diminta untuk memberikan kata sandi admin kepada pengguna non-teknis kecuali dalam keadaan darurat. Orang-orang yang tidak tahu apa yang mereka lakukan AKAN tergoda untuk bermain-main dengan hal-hal yang seharusnya tidak mereka lakukan. Segel dan kunci mereka di dalam brankas.
Paul McMillan
3
Sebenarnya, saya sering bertemu dengan ini, satu toko kecil satu atau dua orang yang hanya memerah susu bisnis kecil untuk sekumpulan uang konyol untuk pekerjaan yang sangat tidak profesional. Saya pikir ini adalah pertanyaan yang bagus.
SpacemanSpiff
11

Apakah Anda memiliki SDM? Atau seorang akuntan? Bagaimana Anda menjaga SDM Anda dari kejahatan dan menjual informasi pribadi semua orang? Bagaimana Anda menjaga akuntan atau orang keuangan Anda mencuri semua yang dimiliki perusahaan di bawah Anda?

Untuk semua posisi, Anda harus memiliki prosedur yang membatasi seberapa banyak kerusakan yang dapat dilakukan seseorang. Posisi default Anda adalah Anda memercayai orang yang Anda pekerjakan (jika Anda tidak memercayai mereka, jangan mempekerjakan mereka atau tidak menyimpannya), tetapi masuk akal untuk memiliki cek dan saldo.

Bahkan untuk perusahaan kecil, Anda tidak boleh hanya memiliki satu "orang IT" yang merupakan satu-satunya yang tahu apa-apa. (Sama seperti Anda seharusnya tidak hanya memiliki satu orang yang dapat menangani penggajian - bagaimana jika orang itu sakit?). Orang lain membutuhkan kata sandi, perlu memeriksa cadangan, dll.

Satu hal yang dapat Anda lakukan adalah menjadikan dokumentasi sebagai prioritas. Pastikan Anda memberi orang yang Anda sewa waktu untuk mendokumentasikan bagaimana hal-hal diatur dan mendiskusikan dokumentasi ketika Anda mewawancarai kandidat - tanyakan apa yang telah mereka lakukan di masa lalu untuk mendokumentasikan jaringan mereka, minta untuk melihat sampel.

Sudah menjadi kebiasaan saya untuk selalu menyusun "Panduan Sistem" yang lebih atau kurang mendokumentasikan semuanya - peralatan apa yang kami punya, bagaimana mengaturnya, prosedur yang kami ikuti, dll. Ini jelas merupakan dokumen yang terus berkembang (serangkaian dokumen dan file dalam banyak kasus), tetapi setiap saat Anda dapat mengambil salinan dan mendapatkan ide tentang bagaimana orang IT telah mengatur hal-hal dan informasi penting apa yang perlu diketahui orang lain jika pria IT ditabrak bus. Jika Anda benar-benar ingin dipersiapkan, Anda bisa meminta konsultan luar untuk membaca manual sistem dan memberi tahu Anda apa yang harus mereka selesaikan jika terjadi sesuatu pada pria IT tersebut.

Atau, jika Anda benar-benar paranoid, Anda bisa meminta konsultan luar untuk masuk dan membandingkan apa yang ada di manual sistem dengan apa yang mereka lihat jika mereka melihat sistem Anda. Apakah ada perangkat lunak lain yang diinstal? Apakah ada admin tambahan atau akun akses jarak jauh?

Bangsal
sumber
6

Sulit, karena kegagalan mendatangkan rasa sakit ( Bagaimana Anda mencari backdoors dari orang IT sebelumnya? ). Jika Anda cukup kecil sehingga Anda belum memiliki kehadiran TI, jenis struktur terkotak yang dapat membatasi paparan benar-benar sulit untuk ditempatkan. Kecuali Anda memiliki orang lain untuk melakukan semua aktivitas kepercayaan tinggi seperti hal-hal yang memerlukan kredensial Admin Domain, Anda harus memberikannya kepada karyawan baru Anda.

Anda merekrut seseorang yang akan memiliki kepercayaan tinggi pada mereka sehingga Anda perlu memercayai mereka sebagai imbalan, jadi jika Anda tidak 100% yakin, jangan mempekerjakan mereka. Pemeriksaan latar belakang dapat membantu. Bersikeras pada rekomendasi pribadi karakter bukan hanya kompetensi ; jika mereka memiliki profil LinkedIn, tanyakan beberapa kontak mereka atau bersikeras untuk menghubungi mereka.

Ya, ini akan sangat mengganggu. Jika Anda benar-benar memiliki keraguan tentang seseorang, maka itu sepenuhnya sepadan karena biaya untuk bisnis jika yang terburuk terjadi. Ketika mereka mulai, bekerjalah dengan mereka dengan sangat cermat. Kenali mereka. Biarkan seluruh perusahaan berinteraksi dengan mereka. Perhatikan bagaimana mereka bekerja dengan orang-orang.

Setelah cahaya pekerjaan baru memudar, perhatikan bagaimana mereka menangani kemunduran yang tidak terduga. Apakah mereka membenci dan bermuka masam, atau apakah mereka mengabaikannya dan berurusan? Jika kantor Anda adalah tipe orang yang melakukan perpeloncoan orang baru, lihat bagaimana mereka bereaksi; halus dan tenang dengan banyak rasa malu pada target balas dendam, terang-terangan dan mencolok, atau tawa dan mengabaikannya? Ini adalah beberapa petunjuk yang dapat membantu mengidentifikasi potensi balas dendam-penyabot.

sysadmin1138
sumber
1
Admin bermuka masam? Tentunya Anda bercanda!
Bart Silverstrim