Pertanyaan Bagaimana cara melindungi perusahaan saya dari orang IT saya? [Tutup]


Saya akan merekrut orang IT untuk membantu mengelola komputer dan jaringan kantor saya. Kami adalah toko kecil, jadi dia akan menjadi satu-satunya yang melakukan IT.

Tentu saja, saya akan mewawancarai dengan hati-hati, memeriksa referensi, dan menjalankan pemeriksaan latar belakang. Tetapi Anda tidak pernah tahu bagaimana hal-hal akan berhasil.

Bagaimana saya membatasi eksposur perusahaan saya jika orang yang saya sewa ternyata jahat? Bagaimana saya menghindari membuatnya menjadi orang yang paling berkuasa dalam organisasi?


76
2018-06-24 18:47




Cara buktinya adalah belajar IT Anda sendiri. Kedengarannya seperti Anda memiliki masalah kepercayaan, yang membutuhkan pekerjaan. Judul Anda tampaknya mengatakan Anda ingin melindungi komputer Anda, tetapi subjek Anda tampaknya seluruh jaringan Anda. - Nixphoe
@Jesse: Jadi Anda mengatakan bahwa akuntan Anda tidak dapat menggelapkan dari Anda dan menyebabkan Anda bangkrut? Manajer penjualan Anda tidak dapat menjual daftar klien Anda menyebabkan begitu banyak kehilangan pendapatan yang Anda dapatkan di bawah? Secara pribadi, jika saya adalah karyawan nakal saya lebih suka memiliki akses ke rekening bank Anda daripada komputer Anda. - joeqwerty
Dokumentasi, Dokumentasi, Dokumentasi. - Stuart
@joeqwerty: Akuntan memiliki akses ke barang keuangan; manajer penjualan memiliki akses ke hal penjualan; orang IT memiliki akses ke segala sesuatu. - Jesse
@TomWij jika saya adalah orang IT Anda dan saya tahu Anda melakukan pekerjaan TI di belakang saya (cadangan atau sebaliknya) pada sistem yang Anda kenakan dengan pengelolaan, saya akan melemparkannya. Biayanya lebih besar, menghancurkan hubungan apa pun yang Anda miliki dengan karyawan Anda, dan akan merusak perusahaan Anda dalam jangka panjang. Jangan lakukan itu. - Paul McMillan


Jawaban:


Anda melakukannya dengan cara yang sama seperti Anda melindungi perusahaan dari kepala Penjualan yang lari dengan daftar klien Anda, atau kepala Akuntansi menggelapkan dana, atau manajer Bursa melarikan diri dengan setengah persediaan, sebagian besar: Kepercayaan, tetapi verifikasi.

Paling tidak, saya akan mengharuskan semua kata sandi untuk semua akun Administrator pada sistem dan layanan di bawah TI disimpan dalam kata sandi yang aman (baik secara digital seperti KeePass, atau secarik kertas yang disimpan dalam brankas). Secara berkala Anda perlu memverifikasi bahwa akun ini masih aktif dan memiliki hak akses yang sesuai. Kebanyakan orang IT yang berpengalaman menyebutnya skenario "jika saya terkena bus", dan itu adalah bagian dari gagasan umum untuk menghilangkan titik-titik kegagalan.

Di satu bisnis saya bekerja di mana saya adalah satu-satunya Admin IT, kami mempertahankan hubungan dengan konsultan IT eksternal yang menyerahkan ini, terutama karena perusahaan punya dibakar di masa lalu (oleh ketidakmampuan lebih dari kebencian). Mereka memiliki kata sandi akses jarak jauh dan dapat, ketika diminta, mereset kata sandi administrator penting. Mereka tidak memiliki akses langsung ke data perusahaan mana pun. Mereka hanya bisa mereset kata sandi. Tentu saja, karena mereka dapat mengatur ulang kata sandi admin perusahaan, mereka dapat mengendalikan sistem. Sekali lagi, itu menjadi "Kepercayaan tetapi Verifikasi". Mereka memastikan mereka dapat mengakses sistem. Saya memastikan mereka tidak mengubah apa pun tanpa kita sadari.

Dan ingat: cara termudah untuk memastikan seseorang tidak membakar perusahaan Anda adalah memastikan bahwa mereka bahagia. Pastikan gaji Anda setidaknya mencapai nilai median. Saya telah mendengar terlalu banyak situasi di mana personil TI telah merusak perusahaan karena dengki. Perlakukan karyawan Anda dengan benar dan mereka akan melakukan hal yang sama.


108
2018-06-24 19:11



Yah kata Bacon. Saya belum membaca jawaban Anda sebelum posting saya sendiri mengatakan hal yang sama. - joeqwerty
Ini adalah jawaban terbaik. Dapatkan pihak ketiga yang terpercaya berdasarkan kontrak. - mfinni
Pada intuisi, orang IT mengubah hal-hal untuk secara efektif mengunci pihak ketiga sehari sebelum dia dipecat. Lalu bagaimana? Ambil seluruh jaringan secara offline sampai Anda bisa mendapatkannya diaudit, setiap kali Anda memecat seseorang? - Matthew Read
-1 untuk: "Saya memastikan mereka tidak mengubah apa pun tanpa kita sadari." - Kzqai
lebih baik: memiliki info akun darurat yang disimpan oleh seseorang tanpa akses ke jaringan Anda sama sekali. Layanan escrow, pengacara luar, brankas bank di mana hanya mitra bisnis yang memiliki akses fisik. Jika Anda benar-benar paranoid, begitulah cara Anda melakukannya. Dan tentu saja memiliki sistem kunci ganda di mana selalu ada setidaknya 2 orang yang diperlukan untuk masuk ke akun root, keduanya mengetahui setengah kata sandi. - jwenting


Bagaimana Anda menjaga pembukuan Anda dari menggelapkan dari Anda? Bagaimana Anda menjaga staf penjualan agar tidak mengambil suap dari pemasok Anda?

Orang-orang non-TI memiliki pandangan yang salah bahwa kita orang-orang IT mempraktekkan seni hitam yang kita gunakan dari garis yang berbatasan baik dan jahat dan bahwa dengan tingkah kita akan menggunakan beberapa tipu muslihat keji untuk tujuan "menjatuhkan bos berambut runcing ".

Mengelola karyawan TI sama seperti mengelola karyawan lain.

Berhentilah menonton film yang menggambarkan kita yang bertanggung jawab atas posisi kita dengan serius seolah-olah kita adalah agen jahat yang berkutat pada dominasi dan / atau penghancuran dunia.


32
2018-06-24 19:30



Pembukuan saya mengaudit staf penjualan saya. CPA saya mengaudit pemegang buku saya. Siapa yang mengaudit orang IT? Ini tidak ada hubungannya dengan film, itu ada hubungannya dengan mengurangi risiko melakukan bisnis. - Jesse
@Jesse: Aku mendengarmu. Ada sedikit hiperbola dalam jawaban saya tetapi pada akhirnya Anda perlu mengelola staf TI Anda seperti Anda melakukan sisa staf Anda. Jika Anda membutuhkan seseorang untuk mengaudit staf TI Anda maka Anda perlu mengambil tanggung jawab itu sendiri atau menyewa seseorang untuk mengambilnya. - joeqwerty
Sayangnya banyak pihak di luar TI yang memiliki gagasan bahwa setiap orang IT hanya keluar untuk membobol sistem mereka dan kabur dengan rahasia perusahaan dan kata sandi ke rekening bank. Mereka bahkan tidak pernah menganggap bahwa kita hanyalah sekelompok orang lain seperti karyawan mereka yang lain, dan bahwa orang-orang lain sudah memiliki sarana untuk melakukan hal itu tanpa perlu memecahkan apa pun karena mereka memiliki akses ke data tersebut sebagai bagian dari pekerjaan tetap mereka. - jwenting


Wow benarkah? pertanyaan berani untuk bertanya pada serverfault, jangan khawatir jika ada yang tersinggung dengan pertanyaan Anda, meskipun saya mengerti.

Ok, solusi praktis; Anda dapat memaksa (dan sering menguji) memiliki akun administrator / root Anda sendiri yang setara dalam segala hal, secara acak mengambil salah satu cadangan off-site dan mengembalikannya, jelas mencoba merekrut dari orang yang Anda kenal / percayai atau menghabiskan banyak waktu mempekerjakan mereka.

Saran saya yang paling kuat adalah menyewa dua orang - keduanya melaporkan kepada Anda, bukan saja mereka akan saling menjaga dengan jujur ​​tetapi Anda juga akan memiliki perlindungan ketika seseorang sedang berlibur atau sakit.


21
2018-06-24 18:57



... Saya bertanya-tanya bagaimana karyawan sewaan bisa mempercayai orang non-tech untuk mengawasi bahunya. Pertanyaan ini mencerminkan masalah untuk bisnis apa pun. Tetapi orang IT akan memiliki kekuatan untuk melakukan segala macam hal jahat. Dia HARUS memilikinya untuk melakukan pekerjaannya secara efektif. - Bart Silverstrim
Saya merasa ngeri karena memiliki akun untuk semua untuk pengguna non-tech. Harus ada kebijakan di tempat untuk memastikan ini tidak ada untuk non-teknologi untuk menggunakannya kecuali ada kebutuhan yang sebenarnya ... yaitu admin yang dipecat. Bukan karena orang-orang non-tech merasa perlu untuk mulai mengaduk-aduk server email atau melakukan sesuatu yang tidak ada di yurisdiksi mereka, sehingga untuk berbicara. - Bart Silverstrim
Admin yang kompeten akan menolak diminta untuk menyediakan pengguna non-teknis dengan kata sandi admin kecuali dalam keadaan darurat. Orang yang tidak tahu apa yang mereka lakukan AKAN tergoda untuk mengacaukan hal-hal yang seharusnya tidak mereka lakukan. Segel mereka dan kunci mereka di brankas. - Paul McMillan
Sebenarnya, saya mengalami banyak hal ini, toko kecil satu orang atau dua orang yang hanya memerah bisnis kecil demi uang konyol untuk pekerjaan yang sangat tidak profesional. Saya pikir ini adalah pertanyaan yang bagus. - SpacemanSpiff


Apakah Anda memiliki SDM? Atau seorang akuntan? Bagaimana Anda membuat SDM Anda menjadi jahat dan menjual informasi pribadi semua orang? Bagaimana Anda menjaga akuntan Anda atau membiayai orang dari mencuri segala sesuatu yang dimiliki perusahaan dari bawah Anda?

Untuk semua posisi, Anda harus memiliki prosedur yang membatasi seberapa banyak kerusakan yang dapat dilakukan seseorang. Posisi default Anda adalah Anda mempercayai orang yang Anda rekrut (jika Anda tidak mempercayai mereka, tidak mempekerjakan mereka atau tidak menjaganya), tetapi masuk akal untuk memiliki checks and balances.

Bahkan untuk perusahaan kecil, Anda tidak boleh hanya memiliki satu "orang IT" yang adalah satu-satunya yang tahu apa pun. (Sama seperti Anda seharusnya tidak hanya memiliki satu orang yang dapat menangani penggajian - bagaimana jika orang itu sakit?). Orang lain membutuhkan kata sandi, perlu memeriksa pencadangan, dll.

Satu hal yang dapat Anda lakukan adalah menjadikan dokumentasi sebagai prioritas. Pastikan Anda memberi orang yang Anda bayarkan waktu untuk mendokumentasikan bagaimana hal-hal disiapkan dan diskusikan dokumentasi ketika Anda mewawancarai kandidat - tanyakan apa yang telah mereka lakukan di masa lalu untuk mendokumentasikan jaringan mereka, mintalah untuk melihat sampel.

Adalah kebiasaan saya untuk selalu menyusun "Panduan Sistem" yang lebih atau kurang dokumen segala sesuatu - peralatan apa yang kami miliki, bagaimana pengaturannya, prosedur yang kami ikuti, dll. Ini jelas merupakan dokumen yang terus berubah (serangkaian dokumen dan file dalam banyak kasus), tetapi kapan saja Anda dapat mengambil salinan dan mendapatkan ide bagaimana orang IT telah mengatur segalanya dan informasi penting apa yang perlu diketahui orang lain jika orang IT terkena bus. Jika Anda benar-benar ingin bersiap-siap, Anda bisa mendapatkan konsultan luar untuk memeriksa manual sistem dan memberi tahu Anda apa yang perlu mereka lakukan jika terjadi sesuatu pada orang IT.

Atau, jika Anda benar-benar paranoid, Anda bisa mendapatkan konsultan luar untuk datang dan membandingkan apa yang ada di sistem manual dengan apa yang mereka lihat jika mereka melihat sistem Anda. Apakah ada perangkat lunak lain yang diinstal? Apakah ada admin ekstra atau akun akses jarak jauh?


11
2018-06-24 19:12





Sulit, karena kegagalan membawa rasa sakit ( Bagaimana Anda mencari backdoors dari orang IT sebelumnya? ). Jika Anda cukup kecil bahwa Anda belum memiliki kehadiran TI, semacam struktur terkotak-kotak yang dapat membatasi eksposur benar-benar sangat sulit untuk diterapkan. Kecuali Anda memiliki orang lain untuk melakukan semua aktivitas kepercayaan tinggi seperti hal-hal yang membutuhkan kredensial Admin Domain, Anda harus memberikannya kepada karyawan baru Anda.

Anda mempekerjakan seseorang yang memiliki kepercayaan yang tinggi terhadap mereka sehingga Anda harus memercayai mereka sebagai imbalan, jadi jika Anda tidak yakin 100%, jangan mempekerjakan mereka. Pemeriksaan latar belakang dapat membantu. Bersikeras rekomendasi pribadi karakter tidak hanya kompetensi; jika mereka memiliki profil LinkedIn, tanyakan beberapa kontak mereka atau bersikeras untuk menghubungi mereka.

Ya, ini akan sangat mengganggu. Jika Anda benar-benar memiliki keraguan tentang seseorang, maka itu sepenuhnya sepadan karena biaya untuk bisnis jika yang terburuk terjadi. Ketika mereka mulai, bekerja dengan mereka sangat erat. Kenali mereka. Biarkan seluruh perusahaan berinteraksi dengan mereka. Perhatikan bagaimana mereka bekerja dengan orang lain.

Setelah cahaya pekerjaan baru memudar, perhatikan bagaimana mereka menangani kemunduran yang tidak terduga. Apakah mereka merasa kesal dan masam, atau apakah mereka mengabaikannya dan setuju? Jika kantor Anda adalah tipe orang yang melakukan perpeloncoan kasual terhadap orang-orang baru, lihat bagaimana mereka bereaksi; halus dan tenang dengan banyak rasa malu pada target balas dendam, terang-terangan dan mencolok, atau tawa dan mengangkatnya? Ini adalah beberapa petunjuk yang dapat membantu mengidentifikasi penyabot balas dendam potensial.


6
2018-06-24 19:01



Admin yang masam? Tentunya Anda bercanda! - Bart Silverstrim