שאלה כיצד להגן על החברה שלי מה- IT שלי? [סגור]


אני הולך לשכור איש IT כדי לעזור לנהל את המחשבים של המשרד שלי ברשת. אנחנו חנות קטנה, אז הוא יהיה היחיד שעושה את זה.

כמובן, אני אראיין בקפידה, לבדוק הפניות, ולהריץ בדיקת רקע. אבל אתה אף פעם לא יודע איך הדברים יסתדרו.

איך אני מגביל את החשיפה של החברה שלי אם הבחור שאני שוכרת מתברר שהוא רע? כיצד ניתן למנוע ממנו להפוך לאדם החשוב ביותר בארגון?


76
2018-06-24 18:47




הדרך הוכחה בטוחה היא ללמוד את ה- IT שלך. זה נשמע כאילו יש לך בעיות אמון, אשר דורש את העבודה. הכותרת שלך כנראה אומר שאתה רוצה להגן על המחשב שלך, אבל הנושא שלך נראה את הרשת כולה. - Nixphoe
@Jesse: אז אתה אומר כי רואה החשבון שלך לא יכול מעילה ממך ולגרום לך להיכנס לפשיטת רגל? מנהל המכירות שלך לא יכול למכור את רשימת הלקוחות שלך גורם כל כך הרבה איבד הכנסות שאתה הולך תחת? באופן אישי, אם הייתי עובד נוכלים הייתי מעדיף לגשת לחשבון הבנק שלך מאשר למחשבים שלך. - joeqwerty
תיעוד, תיעוד, תיעוד. - Stuart
@ joeqwerty: לרואה החשבון יש גישה לדברים פיננסיים; למנהל המכירות יש גישה למכירות; איש IT יש גישה הכל. - Jesse
@TomWij אם הייתי בחור ה- IT שלך וידעתי שאתה עושה את העבודה מאחורי הגב שלי (גיבויים או אחרת) על המערכת אתה מחויב לי עם ניהול, הייתי לזרוק התקף. זה עולה לך יותר, הורסת כל קרבה יש לך עם העובד שלך, יפגע החברה שלך בטווח הארוך. אל תעשה את זה. - Paul McMillan


תשובות:


אתה עושה את זה כמו שאתה להגן על החברה מ ראש המכירות פועל עם רשימת הלקוחות שלך, או את הראש של קרנות מעילה חשבונאית, או מנהל מלאי לברוח עם חצי המלאי, בעיקר: אמון, אבל לאמת.

לכל הפחות, הייתי דורש שכל סיסמאות עבור כל חשבונות מנהל מערכת במערכות ושירותים תחת IT להישמר סיסמה בטוח (או דיגיטלית כמו KeePass, או פיסת נייר מילולי שמרו בכספת). מדי פעם יהיה עליך לאמת שחשבונות אלה עדיין פעילים ויש להם זכויות גישה מתאימות. רוב אנשי ה- IT המנוסים מכנים זאת בתרחיש "אם נפגעתי מאוטובוס", וזה חלק מהרעיון הכללי של ביטול נקודות כישלון.

בעסק אחד עבדתי במקום שבו הייתי מנהל IT יחיד, שמרנו על קשר עם יועץ IT חיצוני אשר מסר את זה, בעיקר בגלל החברה היה נשרפו בעבר (על ידי חוסר כשירות יותר מזדון). היו להם סיסמאות גישה מרחוק ויכולה, כאשר התבקשה, לאפס את סיסמאות הניהול החיוניות. הם לא היו גישה ישירה לנתוני החברה, עם זאת. הם יכלו רק לאפס סיסמאות. כמובן, מאז הם יכולים לאפס סיסמאות מנהל הארגון, הם יכולים להשתלט על המערכות. שוב, זה הפך "אמון אבל אמת". הם דאגו שהם יוכלו לגשת למערכות. וידאתי שהם לא ישנו דבר בלי שנדע על כך.

וזכור: הדרך הקלה ביותר לוודא אדם לא לשרוף את החברה שלך היא לוודא שהם מאושרים. ודא כי התשלום שלך הוא לפחות ערך החציון. שמעתי על מצבים רבים מדי, שבהם אנשי IT פגמו בחברה מתוך זדון. פנקו את העובדים שלך נכון והם יעשו את אותו הדבר.


108
2018-06-24 19:11



טוב אמר בייקון. לא קראתי את תשובתך לפני שכתבתי את אותו הדבר. - joeqwerty
זו התשובה הטובה ביותר. קבל צד שלישי מהימן על בסיס חוזה. - mfinni
באינטואיציה, איש ה- IT משנה דברים כדי לנעול ביעילות את הצד השלישי יום לפני שהוא ירה. מה אז? קח את כל הרשת באופן לא מקוון עד שתוכל לקבל את זה מבוקר, בכל פעם שאתה אש מישהו? - Matthew Read
-1: "וידאתי שלא שינו דבר מבלי שנדע על כך". - Kzqai
טוב יותר: יש את פרטי החירום חזרה החשבון מאוחסן על ידי מישהו ללא גישה לרשת שלך בכלל. שירות נאמנות, עורך דין חיצוני, קמרון הבנק שבו רק את השותפים בעסק יש גישה פיזית. אם אתה באמת פרנואידית, ככה אתה עושה את זה. וכמובן יש מערכת מפתח כפול שבו תמיד יש לפחות 2 אנשים נדרש להיכנס לחשבון השורש, הן לדעת חצי הסיסמה. - jwenting


איך אתה שומר את מנהל החשבונות שלך מעילה ממך? איך אתה שומר על צוות המכירות שלך לקחת שוחד מהספקים שלך?

לאנשים שאינם אנשי IT יש רעיון מוטעה שאנחנו אנשי IT מתרגלים אמנות שחורה שאנחנו מפעילים מהקו הגובל טוב ורע, וכי על גחמה נשתמש בכמה סולידינג במכשול נועז במטרה "להביא את הבוס המשעמם המחודד ".

ניהול עובד IT הוא כמו ניהול כל עובד אחר.

תפסיק לצפות בסרטים המתארים את אלה מאיתנו שלוקחים את האחריות על העמדות שלנו ברצינות כאילו אנחנו סוכנים סוררים לעזאזל כפוף על השליטה בעולם ו / או הרס.


32
2018-06-24 19:30



מנהל החשבונות שלי בודק את צוות המכירות שלי. רואה החשבון שלי בודק את מנהל החשבונות שלי. מי מבקר את איש ה- IT? זה אין שום קשר עם סרטים, זה צריך לעשות עם מקטין את הסיכונים של עסקים. - Jesse
@Jesse: אני שומע אותך. יש קצת hyperbole בתשובה שלי, אבל בסופו של דבר אתה צריך לנהל את צוות ה- IT שלך כמו שאתה עושה את שאר הצוות שלך. אם אתה צריך מישהו כדי לבדוק את צוות ה- IT שלך אז אתה צריך לקחת על עצמך את האחריות או לשכור מישהו לקחת את זה. - joeqwerty
למרבה הצער רבים מחוץ IT יש את הרעיון כי כל איש IT הוא רק החוצה כדי לפצח לתוך המערכות שלהם לברוח עם סודות החברה ואת הסיסמאות לחשבון הבנק. הם אף פעם לא חושבים שאנחנו סתם עוד חבורה של אנשים בדיוק כמו שאר העובדים שלהם, ושאחרים כבר יש להם את האמצעים לעשות בדיוק את זה בלי צורך לפצח משהו בכלל כי יש להם גישה לנתונים אלה חלק מן העבודה הרגילה שלהם. - jwenting


וואו באמת? שאלה gutsy לשאול על serverfault, לא להיבהל אם כמה נעלבים על ידי השאלה שלך, אם כי אני מבין.

בסדר, פתרונות מעשיים; אתה יכול להתעקש על (ולבחון לעתים קרובות) שיש מנהל משלך / השווה חשבונות שווה על הכל, באופן אקראי לקחת את אחד מחוץ לאתר גיבויים הביתה ולשחזר אותו, ברור לנסות לגייס מאנשים שאתה מכיר / אמון או לבזבז הרבה מעסיקים אותם.

ההצעה החזק ביותר שלי יהיה לשכור שני אנשים - הן דיווחו לך, לא רק שהם ישמרו זה על זה ישר אבל יהיה לך כיסוי כאשר אחד הוא בחופשה או חולה.


21
2018-06-24 18:57



... אני תוהה איך לשכור יכול לסמוך על אדם שאינו טק להיות צופה מעבר לכתפו. שאלה זו משקפת בעיות עבור כל עסק. אבל לבחור ה- IT יהיה כוח לעשות כל מיני דברים מרושעים. הוא צריך לעשות את זה כדי לעשות את העבודה שלו בצורה יעילה. - Bart Silverstrim
אני סוג של cringe שיש חשבונות לכל משתמש שאינו טק. לא צריך להיות מדיניות במקום כדי לוודא אלה אינם שם עבור שאינם טק להשתמש בהם אלא אם כן יש צורך בפועל ... כלומר, מנהל להיות ירה. לא כי אנשים שאינם טק מרגיש את הצורך להתחיל לדפדף בשרת הדואר או לעשות משהו לא בתחום השיפוט שלהם, אם אפשר לדבר. - Bart Silverstrim
מנהל מוסמך יעמוד על כך שהוא נדרש לספק למשתמשים שאינם טכניים עם סיסמאות מנהל למעט במקרים חירום. אנשים שאינם יודעים מה הם עושים יתפתו להתעסק עם דברים שהם לא צריכים. חותם אותם ולנעול אותם בכספת. - Paul McMillan
למעשה, אני רץ לתוך זה הרבה, אדם אחד קטן או שתי חנויות אדם כי הם פשוט חליבה עסקים קטנים עבור גובני כסף מגוחך לעבודה מאוד לא מקצועי. אני חושב שזו שאלה גדולה. - SpacemanSpiff


האם יש לך אדם HR? או רואה חשבון? איך אתה שומר על אדם HR שלך מלהיות רשע ומכר את המידע האישי של כולם? איך אתה שומר את רואה החשבון שלך או לממן אנשים לגנוב את כל מה שהחברה מחזיקה מתחת לך?

עבור כל עמדות, אתה צריך להיות נהלים במקום להגביל כמה נזק אדם יכול לעשות. מיקום ברירת המחדל שלך צריך להיות שאתה סומך על האנשים שאתה שוכרים (אם אתה לא סומך עליהם, לא להעסיק אותם או לא לשמור אותם), אבל זה סביר יש בדיקות ויתרות.

גם עבור חברה קטנה, אתה לא צריך רק אחד "אדם IT" מי הוא היחיד שיודע משהו. (כמו שאתה לא צריך רק אדם אחד שיכול להתמודד עם שכר - מה אם זה אדם חולה?). מישהו אחר זקוק לסיסמאות, צריך לבדוק את הגיבויים וכו '.

דבר אחד שאתה יכול לעשות הוא לעשות תיעוד עדיפות. ודא שאתה נותן את האדם שאתה לשכור זמן כדי לתעד כיצד דברים מוגדרים ולדון בתיעוד בעת ראיון המועמדים - לשאול מה הם עשו בעבר לתעד את הרשת שלהם, לבקש לראות דוגמה.

זה הרגל שלי תמיד להרכיב "מדריך מערכות" כי פחות או יותר מסמכים הכל - איזה ציוד יש לנו, איך זה מוגדר, נהלים אנחנו עוקבים, וכו 'וכו' זה כמובן מסמך מתפתח כל הזמן (סדרה של מסמכים וקבצים ברוב המקרים), אבל בכל עת אתה יכול לקחת עותק ולקבל רעיון של איך הבחור IT יש להגדיר את הדברים ומה מידע קריטי מישהו אחר צריך לדעת במקרה הבחור IT הוא נפגע על ידי אוטובוס. אם אתה באמת רוצה להיות מוכן, אתה יכול לקבל יועץ חיצוני לעבור את המדריך מערכות לספר לך מה שהם צריכים כדי להיכנס אם משהו קרה איש IT.

או, אם אתה באמת פרנואידית, אתה יכול לקבל את היועץ החיצוני לבוא ולהשוות מה במדריך המערכות עם מה שהם רואים אם הם מסתכלים על המערכות שלך. האם מותקנת תוכנה אחרת? האם יש חשבונות ניהול נוספים או גישה מרחוק?


11
2018-06-24 19:12





זה קשה, שכן כישלון מביא כאב ( איך אתה מחפש backdoors מן אדם IT הקודם? ). אם אתה קטן מספיק, כי אין לך כבר נוכחות IT, סוג של מבנים comparmentalized שיכולים להגביל את החשיפה הוא באמת, ממש קשה לשים במקום. אלא אם כן יש לך מישהו אחר לעשות את כל פעולות אמון גבוהה כמו דברים הדורשים אישורים מנהל תחום, תצטרך לתת אותו לשכור החדש שלך.

אתה שכירת מישהו יהיה אמון גבוה להציב אותם אז אתה צריך לסמוך עליהם בתמורה, אז אם אתה לא בטוח 100%, לא להעסיק אותם. בדיקות רקע יכולות לעזור. להתעקש על המלצות אישיות של אופי לא רק יכולת; אם יש להם פרופיל LinkedIn, לשאול כמה אנשי הקשר שלהם או להתעקש על פנייה אליהם.

כן, זה יהיה פולשני מאוד. אם יש לך ספקות לגבי מישהו, אז זה בהחלט שווה את זה בגלל העלות לעסק במקרה הגרוע ביותר קורה. כאשר הם מתחילים, לעבוד איתם מאוד מקרוב. להכיר אותם. תן את כל החברה אינטראקציה איתם. צפה כיצד הם עובדים עם אנשים.

לאחר זוהר עבודה חדשה יש שחוקים, לראות איך הם להתמודד עם נסיגות בלתי צפויות. האם הם נעשים טינופים וגסים, או שהם מושכים בכתפיו ומסתדרים? אם המשרד שלך הוא סוג לעשות הצגה מזדמנים של אנשים חדשים, לראות איך הם מגיבים; עדין ושקט עם מבוכה רבה על יעד הנקמה, גלוי ונוצץ, או צחוק ומשיכתו? אלה הם חלק מן הרמזים שיכולים לסייע בזיהוי נקמת נקמה פוטנציאלית.


6
2018-06-24 19:01



מנהל מזעזע? לבטח אתה צוחק! - Bart Silverstrim