Pregunta ¿Cómo protejo a mi compañía de mi informático? [cerrado]


Voy a contratar a un empleado de TI para que ayude a administrar las computadoras y la red de mi oficina. Somos una pequeña tienda, así que él será el único que lo haga.

Por supuesto, entrevistaré cuidadosamente, verificaré referencias y haré una verificación de antecedentes. Pero nunca se sabe cómo funcionarán las cosas.

¿Cómo limito la exposición de mi compañía si el tipo que contrate resulta ser malo? ¿Cómo evito convertirlo en la persona más poderosa en la organización?


76
2018-06-24 18:47


origen


La forma segura de comprobarlo es aprenderlo usted mismo. Parece que está teniendo problemas de confianza, que el trabajo requiere. Su título parece indicar que desea proteger su computadora, pero su tema parece ser toda su red. - Nixphoe
@Jesse: ¿Entonces está diciendo que su contable no pudo desviarse de usted y hacer que usted se declarara en bancarrota? ¿Su gerente de ventas no pudo vender su lista de clientes causando tanta pérdida de ingresos que usted sufre? Personalmente, si fuera un empleado deshonesto, preferiría tener acceso a su cuenta bancaria que a sus computadoras. - joeqwerty
Documentación, Documentación, Documentación. - Stuart
@joeqwerty: El contador tiene acceso a asuntos financieros; el gerente de ventas tiene acceso a cosas de ventas; el chico de TI tiene acceso a todo. - Jesse
@TomWij si yo fuera su tipo de TI y supiera que estaba haciendo un trabajo de TI a mis espaldas (copias de seguridad o de otro tipo) en el sistema que me encargó la gestión, me gustaría un ataque. Le cuesta más, destruye cualquier relación que tenga con su empleado y dañará a su compañía a largo plazo. No hagas eso - Paul McMillan


Respuestas:


Lo hace de la misma manera que protege a la compañía del jefe de ventas que se escapa con su lista de clientes, o el jefe de los fondos de malversación de contabilidad, o que el administrador de acciones se salga con la mitad del inventario, principalmente: Confianza, pero verifique.

Como mínimo, requeriría que todas las contraseñas de todas las cuentas de Administrador en los sistemas y servicios bajo TI se mantengan en una contraseña segura (ya sea digitalmente como KeePass, o una hoja de papel literal guardada en una caja fuerte). Periódicamente deberá verificar que estas cuentas aún estén activas y tengan los derechos de acceso adecuados. La mayoría de la gente de TI con experiencia llama a esto el escenario "si soy golpeado por un bus", y es parte de la idea general de eliminar puntos de falla.

En el único negocio en el que trabajé donde era el único administrador de TI, manteníamos una relación con un consultor externo de TI que se lo entregó, principalmente porque la empresa tenía Quemado en el pasado (por incompetencia más que malicia). Tenían contraseñas de acceso remoto y, cuando se les pedía, podían restablecer las contraseñas de administrador esenciales. Sin embargo, no tuvieron acceso directo a ningún dato de la compañía. Sólo pudieron restablecer las contraseñas. Por supuesto, ya que podían restablecer las contraseñas de administrador de la empresa, podían tomar el control de los sistemas. Una vez más, se convirtió en "Confía pero verifica". Se aseguraron de poder acceder a los sistemas. Me aseguré de que no cambiaran nada sin que nosotros lo supiéramos.

Y recuerde: la forma más fácil de asegurarse de que una persona no queme a su compañía es asegurarse de que sea feliz. Asegúrese de que su salario sea al menos del valor medio. He oído hablar de muchas situaciones en las que el personal de TI ha dañado a una empresa por despecho. Trata bien a tus empleados y ellos harán lo mismo.


108
2018-06-24 19:11



Bien dicho Bacon. No había leído tu respuesta antes de publicar la mía diciendo lo mismo. - joeqwerty
Esta es la mejor respuesta. Obtener un tercero de confianza en un contrato. - mfinni
En la intuición, el informático cambia las cosas para bloquear de manera efectiva al tercero el día antes de ser despedido. ¿Entonces que? Desconecte toda la red hasta que pueda auditarla, ¿cada vez que despide a alguien? - Matthew Read
-1 para: "Me aseguré de que no cambiaran nada sin que nosotros lo supiéramos". - Kzqai
mejor: tenga la información de la cuenta de respaldo de emergencia almacenada por alguien sin acceso a su red. Un servicio de depósito en garantía, un abogado externo, la bóveda del banco donde solo los socios en el negocio tienen acceso físico. Si eres realmente paranoico, así es como lo haces. Y, por supuesto, tiene un sistema de doble clave en el que siempre se requieren al menos 2 personas para iniciar sesión en la cuenta de root, ambas con la mitad de la contraseña. - jwenting


¿Cómo evitas que tu contable te malverse? ¿Cómo evita que su personal de ventas reciba sobornos de sus proveedores?

La gente que no trabaja en TI tiene una idea equivocada de que nosotros practicamos un arte negro que manejamos desde la línea que bordea el bien y el mal y que, por capricho, recurriremos a una maquinaria de villanía con el propósito de "derribar al jefe de pelo puntiagudo. ".

Administrar a un empleado de TI es como administrar a cualquier otro empleado.

Deje de ver películas que representan a aquellos de nosotros que tomamos la responsabilidad de nuestras posiciones con seriedad como si fuéramos agentes deshonestos empeñados en dominar y / o destruir el mundo.


32
2018-06-24 19:30



Mi contable audita a mi personal de ventas. Mi CPA audita a mi contable. ¿Quién audita al chico de TI? No tiene nada que ver con las películas, tiene que ver con mitigar los riesgos de hacer negocios. - Jesse
@Jesse: te escucho Hay un poco de hipérbole en mi respuesta, pero al final necesita administrar su personal de TI como lo hace con el resto de su personal. Si necesita que alguien audite a su personal de TI, debe asumir esa responsabilidad usted mismo o contratar a alguien para que lo haga. - joeqwerty
Lamentablemente, muchos fuera de TI tienen la idea de que todas las personas de TI solo pueden explotar sus sistemas y escapar con los secretos de la empresa y las contraseñas de la cuenta bancaria. Ni siquiera consideran que somos solo otro grupo de personas, al igual que el resto de sus empleados, y que esos otros ya tienen los medios para hacerlo sin necesidad de descifrar nada porque tienen acceso a esa información como parte de su trabajo regular. - jwenting


¿Wow en serio? Una pregunta atrevida para hacer en Serverfault, no se alarme si su pregunta le ofende, aunque lo entiendo.

Ok, soluciones prácticas; puede insistir en (y probar con frecuencia) tener su propio administrador / cuentas de raíz equivalentes en todo, llevar al azar una de las copias de seguridad fuera del sitio y restaurarla, obviamente, trate de reclutar personas que conozca o confíe o que gaste una gran cantidad de El tiempo los emplea.

Mi sugerencia más fuerte sería contratar a dos personas, ambas informando a usted, no solo se mantendrán honestas entre sí, sino que también tendrán cobertura cuando uno esté de vacaciones o enfermo.


21
2018-06-24 18:57



... Me pregunto cómo la persona contratada puede confiar en que una persona que no sea de tecnología estará mirando por encima del hombro. Esta pregunta refleja problemas para cualquier negocio. Pero el chico de TI tendrá poder para hacer todo tipo de cosas infames. Él tiene que tenerlo para hacer su trabajo con eficacia. - Bart Silverstrim
De alguna manera me avergüenzo de tener cuentas para todo lo que sea para un usuario no técnico. Debería haber políticas vigentes para asegurarse de que no existan para que las personas que no son de tecnología las utilicen, a menos que exista una necesidad real ... es decir, el administrador que está siendo despedido. No porque las personas que no son de tecnología sienten la necesidad de comenzar a hurgar en el servidor de correo o hacer algo que no esté en su jurisdicción, por así decirlo. - Bart Silverstrim
Un administrador competente se resistirá a que se le solicite a los usuarios no técnicos contraseñas de administrador, excepto en emergencias. Las personas que no saben lo que están haciendo TENDRÁN la tentación de jugar con cosas que no deberían. Sello A ellos y encerrarlos en una caja fuerte. - Paul McMillan
En realidad, me encuentro mucho en esto, pequeñas tiendas de un hombre o dos que solo están ordeñando a las pequeñas empresas en busca de montones de dinero ridículos por trabajos poco profesionales. Creo que esta es una gran pregunta. - SpacemanSpiff


¿Tienes una persona de recursos humanos? O un contador? ¿Cómo evita que su persona de recursos humanos sea malvada y venda la información personal de todos? ¿Cómo evita que su contador o financie a las personas para que no roben todo lo que la compañía posee por debajo de usted?

Para todas las posiciones, debe tener procedimientos establecidos que limiten la cantidad de daño que puede hacer una persona. Su posición predeterminada debe ser que confía en las personas que contrata (si no confía en ellos, no los contrata o no los mantiene), pero es razonable tener cheques y saldos.

Incluso para una pequeña empresa, no debe tener una sola "persona de TI" que sea la única que sepa algo. (Lo mismo que usted no debería tener solo una persona que pueda lidiar con la nómina, ¿qué pasa si esa persona se enferma?). Alguien más necesita contraseñas, necesita verificar las copias de seguridad, etc.

Una cosa que puedes hacer es hacer de la documentación una prioridad. Asegúrese de darle tiempo a la persona que contrate para que documente cómo se configuran las cosas y discuta la documentación cuando entreviste a los candidatos: pregunte qué han hecho en el pasado para documentar su red, pida ver una muestra.

Es mi costumbre armar siempre una "Guía de sistemas" que documente más o menos todo - qué equipo tenemos, cómo está configurado, los procedimientos que seguimos, etc. etc. Obviamente, es un documento en constante evolución (una serie de documentos y archivos en la mayoría de los casos), pero en cualquier momento puede tomar una copia y obtener una idea de cómo el tipo de TI ha configurado las cosas y qué información crítica necesita saber otra persona en caso de que un empleado de TI lo golpee. Si realmente desea estar preparado, puede hacer que un consultor externo revise el manual de sistemas y le diga qué necesitaría para intervenir si algo le sucediera al informático.

O, si está realmente paranoico, podría hacer que el consultor externo venga y compare lo que hay en el manual de sistemas con lo que ven si observan sus sistemas. ¿Hay otro software instalado? ¿Hay cuentas extra de administración o acceso remoto?


11
2018-06-24 19:12





Es difícil, ya que el fracaso trae dolor. ¿Cómo buscar puertas traseras de la persona anterior de TI? ). Si eres lo suficientemente pequeño como para no tener una presencia de TI, el tipo de estructuras compartimentadas que pueden limitar la exposición es realmente muy difícil de poner en práctica. A menos que tenga a alguien más para realizar todas las actividades de alta confianza, como cosas que requieren credenciales de administrador de dominio, deberá dársela a su nuevo empleado.

Usted está contratando a alguien que tendrá una gran confianza en ellos, por lo que debe confiar en ellos a cambio, así que si no está seguro al 100%, no los contrate. Las verificaciones de antecedentes pueden ayudar. Insistir en recomendaciones personales de personaje No solo competencia; Si tienen un perfil de LinkedIn, pregunte a algunos de sus contactos o insista en contactarlos.

Sí, esto será muy intrusivo. Si realmente tiene dudas acerca de alguien, entonces vale la pena debido al costo para el negocio en caso de que suceda lo peor. Cuando empiecen, trabaja con ellos muy de cerca. Conócelos. Deje que toda la empresa interactúe con ellos. Mira cómo trabajan con las personas.

Una vez que el brillo del nuevo trabajo haya desaparecido, observe cómo manejan los contratiempos inesperados. ¿Se ponen resentidos y malhumorados, o se encogen de hombros y tratan? Si su oficina es del tipo que hace novatadas ocasionales a nuevas personas, vea cómo reaccionan; sutil y silencioso, con mucha vergüenza para el objetivo de la venganza, abierto y llamativo, o la risa y el encogimiento de hombros? Estas son algunas de las pistas que pueden ayudar a identificar un potencial saboteador de venganza.


6
2018-06-24 19:01



Un administrador hosco? Seguramente usted bromea! - Bart Silverstrim