Bagaimana cara melindungi perusahaan saya dari orang IT saya? [Tutup]

Saya akan menyewa orang IT untuk membantu mengelola komputer dan jaringan kantor saya. Kami adalah toko kecil, jadi dia satu-satunya yang melakukan itu.

Tentu saja, saya akan mewawancarai dengan cermat, memeriksa referensi, dan menjalankan pemeriksaan latar belakang. Tapi Anda tidak pernah tahu bagaimana hal itu akan terjadi

Bagaimana cara membatasi eksposur perusahaan saya jika orang yang saya sewa ternyata jahat? Bagaimana saya menghindari menjadikannya satu-satunya orang terkuat di organisasi?

Anda melakukannya dengan cara yang sama Anda melindungi perusahaan dari kepala Penjualan yang melarikan diri dengan daftar klien Anda, atau kepala Akuntansi menggelapkan dana, atau manajer Saham lari dengan setengah persediaan, sebagian besar: Kepercayaan, tetapi verifikasi.

Paling tidak, saya akan meminta agar semua kata sandi untuk semua akun Administrator pada sistem dan layanan di bawah TI disimpan dalam brankas kata sandi (baik secara digital seperti KeePass, atau selembar kertas secara literal disimpan di dalam brankas). Secara berkala Anda perlu memverifikasi bahwa akun ini masih aktif dan memiliki hak akses yang sesuai. Kebanyakan orang IT yang berpengalaman menyebut ini skenario "jika saya ditabrak bus", dan itu adalah bagian dari gagasan umum untuk menghilangkan titik-titik kegagalan.

Di satu bisnis tempat saya bekerja, di mana saya adalah satu-satunya Admin TI, kami memelihara hubungan dengan konsultan TI eksternal yang menyerahkan ini, terutama karena perusahaan tersebut telah dibakar di masa lalu (dengan ketidakmampuan lebih daripada kedengkian). Mereka memiliki kata sandi akses jarak jauh dan, ketika ditanya, dapat mengatur ulang kata sandi administrator yang penting. Namun, mereka tidak memiliki akses langsung ke data perusahaan. Mereka hanya bisa mereset kata sandi. Tentu saja, karena mereka dapat mengatur ulang kata sandi admin perusahaan, mereka dapat mengendalikan sistem. Sekali lagi, itu menjadi "Percaya tapi Verifikasi". Mereka memastikan mereka dapat mengakses sistem. Saya memastikan mereka tidak mengubah apa pun tanpa kita sadari.

Dan ingat: cara termudah untuk memastikan seseorang tidak membakar perusahaan Anda adalah memastikan mereka bahagia. Pastikan gaji Anda setidaknya pada nilai tengah. Saya telah mendengar terlalu banyak situasi di mana personil TI telah merusak sebuah perusahaan karena dendam. Perlakukan karyawan Anda dengan benar dan mereka akan melakukan hal yang sama.

Bagaimana Anda menjaga pembukuan Anda dari menggelapkan dari Anda? Bagaimana Anda menjaga staf penjualan Anda untuk tidak menerima suap dari pemasok Anda?

Orang-orang non-IT memiliki pandangan yang salah bahwa kita, orang-orang IT, mempraktikkan seni hitam yang kami pegang dari garis yang berbatasan dengan baik dan jahat, dan bahwa pada saat yang bersamaan kami akan menggunakan beberapa intrik jahat semata-mata untuk tujuan "menjatuhkan bos berambut runcing" ".

Mengelola karyawan TI sama seperti mengelola karyawan lainnya.

Berhentilah menonton film yang menggambarkan orang-orang di antara kita yang menganggap serius posisi kita seolah-olah kita adalah agen jahat yang ingin menguasai dan / atau menghancurkan dunia.

Wow benarkah? pertanyaan berani untuk bertanya di serverfault, jangan khawatir jika ada yang tersinggung oleh pertanyaan Anda, meskipun saya mengerti.

Ok, solusi praktis; Anda bisa bersikeras (dan sering menguji) memiliki administrator Anda sendiri / akun root yang setara pada semuanya, secara acak membawa pulang salah satu backup di luar situs dan mengembalikannya, jelas mencoba merekrut dari orang yang Anda kenal / percayai atau menghabiskan banyak waktu mempekerjakan mereka.

Saran saya yang paling kuat adalah mempekerjakan dua orang - keduanya melapor kepada Anda, tidak hanya mereka akan menjaga satu sama lain jujur ​​tetapi Anda akan memiliki pertanggungan ketika seseorang sedang berlibur atau sakit.

Apakah Anda memiliki SDM? Atau seorang akuntan? Bagaimana Anda menjaga SDM Anda dari kejahatan dan menjual informasi pribadi semua orang? Bagaimana Anda menjaga akuntan atau orang keuangan Anda mencuri semua yang dimiliki perusahaan di bawah Anda?

Untuk semua posisi, Anda harus memiliki prosedur yang membatasi seberapa banyak kerusakan yang dapat dilakukan seseorang. Posisi default Anda adalah Anda memercayai orang yang Anda pekerjakan (jika Anda tidak memercayai mereka, jangan mempekerjakan mereka atau tidak menyimpannya), tetapi masuk akal untuk memiliki cek dan saldo.

Bahkan untuk perusahaan kecil, Anda tidak boleh hanya memiliki satu "orang IT" yang merupakan satu-satunya yang tahu apa-apa. (Sama seperti Anda seharusnya tidak hanya memiliki satu orang yang dapat menangani penggajian - bagaimana jika orang itu sakit?). Orang lain membutuhkan kata sandi, perlu memeriksa cadangan, dll.

Satu hal yang dapat Anda lakukan adalah menjadikan dokumentasi sebagai prioritas. Pastikan Anda memberi orang yang Anda sewa waktu untuk mendokumentasikan bagaimana hal-hal diatur dan mendiskusikan dokumentasi ketika Anda mewawancarai kandidat - tanyakan apa yang telah mereka lakukan di masa lalu untuk mendokumentasikan jaringan mereka, minta untuk melihat sampel.

Sudah menjadi kebiasaan saya untuk selalu menyusun "Panduan Sistem" yang lebih atau kurang mendokumentasikan semuanya - peralatan apa yang kami punya, bagaimana mengaturnya, prosedur yang kami ikuti, dll. Ini jelas merupakan dokumen yang terus berkembang (serangkaian dokumen dan file dalam banyak kasus), tetapi setiap saat Anda dapat mengambil salinan dan mendapatkan ide tentang bagaimana orang IT telah mengatur hal-hal dan informasi penting apa yang perlu diketahui orang lain jika pria IT ditabrak bus. Jika Anda benar-benar ingin dipersiapkan, Anda bisa meminta konsultan luar untuk membaca manual sistem dan memberi tahu Anda apa yang harus mereka selesaikan jika terjadi sesuatu pada pria IT tersebut.

Atau, jika Anda benar-benar paranoid, Anda bisa meminta konsultan luar untuk masuk dan membandingkan apa yang ada di manual sistem dengan apa yang mereka lihat jika mereka melihat sistem Anda. Apakah ada perangkat lunak lain yang diinstal? Apakah ada admin tambahan atau akun akses jarak jauh?

Sulit, karena kegagalan mendatangkan rasa sakit ( Bagaimana Anda mencari backdoors dari orang IT sebelumnya? ). Jika Anda cukup kecil sehingga Anda belum memiliki kehadiran TI, jenis struktur terkotak yang dapat membatasi paparan benar-benar sulit untuk ditempatkan. Kecuali Anda memiliki orang lain untuk melakukan semua aktivitas kepercayaan tinggi seperti hal-hal yang memerlukan kredensial Admin Domain, Anda harus memberikannya kepada karyawan baru Anda.

Anda merekrut seseorang yang akan memiliki kepercayaan tinggi pada mereka sehingga Anda perlu memercayai mereka sebagai imbalan, jadi jika Anda tidak 100% yakin, jangan mempekerjakan mereka. Pemeriksaan latar belakang dapat membantu. Bersikeras pada rekomendasi pribadi karakter bukan hanya kompetensi ; jika mereka memiliki profil LinkedIn, tanyakan beberapa kontak mereka atau bersikeras untuk menghubungi mereka.

Ya, ini akan sangat mengganggu. Jika Anda benar-benar memiliki keraguan tentang seseorang, maka itu sepenuhnya sepadan karena biaya untuk bisnis jika yang terburuk terjadi. Ketika mereka mulai, bekerjalah dengan mereka dengan sangat cermat. Kenali mereka. Biarkan seluruh perusahaan berinteraksi dengan mereka. Perhatikan bagaimana mereka bekerja dengan orang-orang.

Setelah cahaya pekerjaan baru memudar, perhatikan bagaimana mereka menangani kemunduran yang tidak terduga. Apakah mereka membenci dan bermuka masam, atau apakah mereka mengabaikannya dan berurusan? Jika kantor Anda adalah tipe orang yang melakukan perpeloncoan orang baru, lihat bagaimana mereka bereaksi; halus dan tenang dengan banyak rasa malu pada target balas dendam, terang-terangan dan mencolok, atau tawa dan mengabaikannya? Ini adalah beberapa petunjuk yang dapat membantu mengidentifikasi potensi balas dendam-penyabot.