Wie schütze ich mein Unternehmen vor meinem IT-Mitarbeiter? [geschlossen]

76

Ich werde einen IT-Mitarbeiter einstellen, der die Computer und das Netzwerk meines Büros verwaltet. Wir sind ein kleiner Laden, also ist er der einzige, der IT macht.

Natürlich werde ich sorgfältig interviewen, Referenzen überprüfen und eine Hintergrundüberprüfung durchführen. Aber Sie wissen nie, wie es weitergehen wird.

Wie kann ich die Gefährdung meines Unternehmens begrenzen, wenn sich der von mir eingestellte Mitarbeiter als böse herausstellt? Wie vermeide ich es, ihn zur mächtigsten Einzelperson in der Organisation zu machen?

security  best-practices 
Jesse
quelle
6
Der sichere Weg ist, IT selbst zu lernen. Es hört sich so an, als hätten Sie Vertrauensprobleme, die für den Job erforderlich sind. Ihr Titel scheint zu sagen, dass Sie Ihren Computer schützen möchten, aber Ihr Thema scheint Ihr gesamtes Netzwerk.
Nixphoe
22
@Jesse: Du sagst also, dass dein Buchhalter dich nicht unterschlagen und dich in die Insolvenz führen könnte? Ihr Verkaufsleiter konnte Ihre Kundenliste nicht verkaufen und hat so viel Umsatz verloren, dass Sie darunter leiden? Persönlich hätte ich als Schurkenangestellter lieber Zugang zu Ihrem Bankkonto als zu Ihren Computern.
Joeqwerty
1
Dokumentation, Dokumentation, Dokumentation.
Stuart
8
@ joeqwerty: Der Buchhalter hat Zugang zu Finanzmaterial. der Verkaufsleiter hat Zugang zu Verkaufsmaterial; Der IT-Mitarbeiter hat Zugriff auf alles .
Jesse
3
@TomWij Wenn ich Ihr IT-Typ wäre und ich wüsste, dass Sie hinter meinem Rücken (Backups oder auf andere Weise) IT-Arbeiten an dem System ausführen, für dessen Verwaltung Sie mich beauftragt haben, würde ich einen Anfall auslösen. Es kostet Sie mehr, zerstört jegliches Verhältnis zu Ihrem Mitarbeiter und schadet Ihrem Unternehmen auf lange Sicht. Tu das nicht.
Paul McMillan

Antworten:

108

Sie tun dies auf die gleiche Weise, wie Sie das Unternehmen davor schützen, dass der Leiter des Vertriebs mit Ihrer Kundenliste abläuft, oder dass der Leiter des Rechnungswesens Gelder veruntreut oder der Lagerverwalter mit der Hälfte des Inventars davonläuft, im Wesentlichen: Vertrauen, aber überprüfen.

Zumindest würde ich verlangen, dass alle Passwörter für alle Administratorkonten auf IT-Systemen und -Diensten in einem Passwort-Safe aufbewahrt werden (entweder digital wie KeePass oder ein buchstäbliches Stück Papier in einem Safe). In regelmäßigen Abständen müssen Sie überprüfen, ob diese Konten noch aktiv sind und über die entsprechenden Zugriffsrechte verfügen. Die meisten erfahrenen IT-Mitarbeiter nennen dies das Szenario "Wenn ich von einem Bus getroffen werde", und es ist Teil der allgemeinen Idee, Fehlerquellen zu beseitigen.

An das ein Geschäft , das ich an gearbeitet , wo ich war das einzige IT - Administrator, erhielten wir eine Beziehung mit einem externen IT - Berater, der diese übergaben, vor allem weil das Unternehmen hatte in der Vergangenheit verbrannt worden (durch Inkompetenz mehr als Bosheit). Sie hatten Fernzugriffskennwörter und konnten, wenn sie gefragt wurden, die wesentlichen Administratorkennwörter zurücksetzen. Sie hatten jedoch keinen direkten Zugriff auf Unternehmensdaten. Sie konnten nur Passwörter zurücksetzen. Da sie die Administratorkennwörter des Unternehmens zurücksetzen könnten, könnten sie natürlich die Kontrolle über die Systeme übernehmen. Wieder wurde es "Trust but Verify". Sie stellten sicher, dass sie auf die Systeme zugreifen konnten. Ich habe dafür gesorgt, dass sie nichts geändert haben, ohne dass wir davon erfahren haben.

Und denken Sie daran: Der einfachste Weg, um sicherzustellen, dass eine Person Ihr Unternehmen nicht verbrennt, besteht darin, sicherzustellen, dass sie glücklich ist. Stellen Sie sicher, dass Ihr Gehalt mindestens dem Medianwert entspricht. Ich habe von zu vielen Situationen gehört, in denen IT-Mitarbeiter einem Unternehmen aus Trotz Schaden zugefügt haben. Behandeln Sie Ihre Mitarbeiter richtig und sie werden das Gleiche tun.

Speckwürfel
quelle
1
Gut gesagt, Bacon. Ich hatte Ihre Antwort nicht gelesen, bevor ich mein eigenes Sprichwort veröffentlicht hatte.
Joeqwerty
Das ist die beste Antwort. Holen Sie sich eine vertrauenswürdige dritte Partei auf Vertragsbasis.
Mfinni
Auf Anhieb ändert der IT-Mitarbeiter Dinge, um den Dritten am Tag vor seiner Entlassung effektiv auszusperren. Was dann? Schalten Sie das gesamte Netzwerk offline, bis Sie es überprüfen lassen können, jedes Mal, wenn Sie jemanden entlassen?
Matthew Read
1
-1 für: "Ich habe dafür gesorgt, dass sie nichts geändert haben, ohne dass wir davon erfahren haben."
Kzqai
1
Besser: Lassen Sie die Notfall-Back-Kontoinformationen von jemandem speichern, der überhaupt keinen Zugriff auf Ihr Netzwerk hat. Ein Treuhandservice, ein externer Anwalt, der Banktresor, zu dem nur die Geschäftspartner physischen Zugang haben. Wenn du wirklich paranoid bist, machst du es so. Und natürlich haben Sie ein Dual-Key-System, bei dem immer mindestens 2 Personen erforderlich sind, um sich auf dem Root-Konto anzumelden, wobei beide die Hälfte des Passworts kennen.
27.
32

Wie verhindern Sie, dass Ihr Buchhalter Sie unterschlägt? Wie verhindern Sie, dass Ihre Vertriebsmitarbeiter Rückschläge von Ihren Lieferanten erhalten?

Nicht-IT-Leute haben eine irreführende Vorstellung, dass wir IT-Leute eine schwarze Kunst praktizieren, die wir von der Grenze zwischen Gut und Böse ausüben, und dass wir aus einer Laune heraus auf eine schändliche Machinerie zurückgreifen werden, um "den spitzhaarigen Boss zu Fall zu bringen" ".

Das Verwalten eines IT-Mitarbeiters ist mit dem Verwalten eines anderen Mitarbeiters vergleichbar.

Hören Sie auf, Filme zu schauen, die diejenigen von uns zeigen, die die Verantwortung für unsere Positionen ernst nehmen, als wären wir Schurkenagenten, die auf Weltherrschaft und / oder Zerstörung aus sind.

Joeqwerty
quelle
13
Mein Buchhalter prüft meine Vertriebsmitarbeiter. Mein CPA überprüft meinen Buchhalter. Wer prüft den IT-Mitarbeiter? Es hat nichts mit Filmen zu tun, es hat mit der Minderung des Geschäftsrisikos zu tun.
Jesse
3
@ Jesse: Ich höre dich. In meiner Antwort steckt ein bisschen Übertreibung, aber am Ende müssen Sie Ihre IT-Mitarbeiter genauso verwalten wie den Rest Ihrer Mitarbeiter. Wenn Sie jemanden benötigen, der Ihre IT-Mitarbeiter überprüft, müssen Sie diese Verantwortung selbst übernehmen oder jemanden damit beauftragen.
Joeqwerty
3
Leider haben viele außerhalb der IT die Idee, dass jede IT-Person nur darauf aus ist, in ihre Systeme einzudringen und mit den Unternehmensgeheimnissen und den Passwörtern auf dem Bankkonto davonzulaufen. Sie denken nicht einmal daran, dass wir nur eine Gruppe von Menschen sind, genau wie der Rest ihrer Angestellten, und dass diese anderen bereits die Mittel haben, um genau das zu tun, ohne sich in irgendetwas einmischen zu müssen, weil sie Zugriff auf diese Daten haben Teil ihrer regulären Arbeit.
27.
21

Wow wirklich? mutige Frage, die Sie bei einem Serverfehler stellen sollten, seien Sie nicht beunruhigt, wenn einige von Ihrer Frage beleidigt sind, obwohl ich das verstehe.

Ok, praktische Lösungen; Sie könnten darauf bestehen (und häufig testen), dass Sie für alles Ihre eigenen Administrator- / Root-Konten haben, eine der externen Sicherungskopien nach dem Zufallsprinzip nach Hause nehmen und wiederherstellen, offensichtlich versuchen, Mitarbeiter zu rekrutieren, die Sie kennen / vertrauen oder für die Sie viel Geld ausgeben Zeit, sie zu beschäftigen.

Mein stärkster Vorschlag wäre, zwei Personen einzustellen - beide melden sich bei Ihnen. Sie bleiben nicht nur ehrlich, sondern Sie sind auch abgesichert, wenn eine Person im Urlaub oder krank ist.

Chopper3
quelle
1
... Ich frage mich, wie die Einstellung darauf vertrauen kann, dass ein Nicht-Techniker über seine Schulter schaut. Diese Frage spiegelt Probleme für jedes Unternehmen wider. Aber der IT-Mann wird die Macht haben, alle möglichen schändlichen Dinge zu tun. Er MUSS es haben, um seine Arbeit effektiv zu erledigen.
Bart Silverstrim
2
Ich erschrecke, wenn ich für einen Nicht-Tech-Benutzer Accounts für alles habe. Es sollten Richtlinien vorhanden sein, die sicherstellen, dass diese nicht für Nicht-Techniker zur Verfügung stehen, es sei denn, es besteht ein tatsächlicher Bedarf, dh der Administrator wird entlassen. Nicht, weil die Nicht-Tech-Leute das Bedürfnis verspüren, den Mail-Server zu durchsuchen oder sozusagen etwas zu tun, das nicht in ihrem Zuständigkeitsbereich liegt.
Bart Silverstrim
1
Ein zuständiger Administrator ist nicht verpflichtet, nicht-technischen Benutzern, außer in Notfällen, Administratorkennwörter zur Verfügung zu stellen. Menschen, die nicht wissen, was sie tun, werden versucht sein, mit Dingen herumzuspielen, die sie nicht sollten. Versiegeln Sie sie und schließen Sie sie in einem Safe ein.
Paul McMillan
3
Tatsächlich treffe ich viele kleine Ein-Mann- oder Zwei-Mann-Läden, die gerade kleine Unternehmen für lächerliche Geldklumpen für sehr unprofessionelle Arbeit melken. Ich denke, das ist eine gute Frage.
SpacemanSpiff
11

Haben Sie eine HR-Person? Oder ein Buchhalter? Wie verhindern Sie, dass Ihre HR-Person böse ist und die persönlichen Daten aller verkauft? Wie verhindern Sie, dass Ihr Buchhalter oder Ihre Finanzabteilung alles stiehlt, was das Unternehmen unter Ihnen hat?

Für alle Positionen sollten Verfahren vorhanden sein, die einschränken, wie viel Schaden eine Person anrichten kann. Ihre Standardposition sollte sein, dass Sie den von Ihnen eingestellten Personen vertrauen (wenn Sie ihnen nicht vertrauen, stellen Sie sie nicht ein oder behalten Sie sie nicht), aber es ist vernünftig, über Kontrollen und Abwägungen zu verfügen.

Selbst für ein kleines Unternehmen sollte es nicht nur eine "IT-Person" geben, die als einzige etwas weiß. (genauso wie Sie nicht nur eine Person haben sollten, die mit der Gehaltsabrechnung umgehen kann - was ist, wenn diese Person krank wird?). Jemand anderes benötigt Passwörter, muss die Backups überprüfen usw.

Eine Sache, die Sie tun können, ist, die Dokumentation zu einer Priorität zu machen. Stellen Sie sicher, dass Sie der Person, die Sie einstellen, Zeit geben, um zu dokumentieren, wie die Dinge eingerichtet sind, und diskutieren Sie die Dokumentation, wenn Sie Kandidaten interviewen.

Es ist meine Gewohnheit, immer einen "Systemleitfaden" zusammenzustellen, der mehr oder weniger alles dokumentiert - welche Ausrüstung wir haben, wie sie eingerichtet ist, welche Verfahren wir befolgen usw. usw. Es handelt sich offensichtlich um ein Dokument, das sich ständig weiterentwickelt (eine Reihe von Dokumenten) und Dateien in den meisten Fällen), aber Sie können jederzeit eine Kopie anfertigen und sich ein Bild davon machen, wie der IT-Mitarbeiter die Dinge eingerichtet hat und welche wichtigen Informationen jemand anderes wissen muss, falls der IT-Mitarbeiter von einem Bus angefahren wird. Wenn Sie wirklich darauf vorbereitet sein möchten, können Sie einen externen Berater beauftragen, das Systemhandbuch zu lesen und Ihnen mitzuteilen, was er tun muss, wenn dem IT-Mitarbeiter etwas passiert.

Wenn Sie wirklich paranoid sind, können Sie den externen Berater bitten, die Informationen im Systemhandbuch mit den Informationen zu vergleichen, die er über Ihre Systeme erhält. Ist noch andere Software installiert? Gibt es zusätzliche Administratorkonten oder RAS-Konten?

Ward
quelle
6

Es ist schwierig, da ein Scheitern Schmerzen verursacht ( Wie suchen Sie nach Hintertüren der vorherigen IT-Person? ). Wenn Sie klein genug sind, um noch nicht über eine IT-Präsenz zu verfügen, ist es sehr, sehr schwierig, die Art von unterteilten Strukturen zu implementieren, die die Gefährdung einschränken können. Sofern Sie nicht jemanden haben, der all die Aktivitäten mit hoher Vertrauenswürdigkeit ausführt, z. B. Dinge, die Domänenadministrator-Anmeldeinformationen erfordern, müssen Sie diese Ihrem neuen Mitarbeiter zuweisen.

Sie stellen jemanden ein, der großes Vertrauen in ihn hat, und müssen ihm im Gegenzug vertrauen. Wenn Sie sich also nicht hundertprozentig sicher sind, stellen Sie ihn nicht ein. Hintergrundüberprüfungen können helfen. Bestehen Sie auf persönliche Empfehlungen von Charakter nicht nur Kompetenz ; Wenn sie ein LinkedIn-Profil haben, fragen Sie einige ihrer Kontakte oder bestehen Sie darauf, sie zu kontaktieren.

Ja, das wird sehr aufdringlich sein. Wenn Sie wirklich Zweifel an jemandem haben, lohnt es sich aufgrund der Kosten für das Unternehmen, falls das Schlimmste passiert. Wenn sie anfangen, arbeiten Sie sehr eng mit ihnen zusammen. Sie kennenlernen. Lassen Sie das gesamte Unternehmen mit ihnen interagieren. Beobachten Sie, wie sie mit Menschen arbeiten.

Beobachten Sie, wie die neuen Mitarbeiter mit unerwarteten Rückschlägen umgehen. Werden sie ärgerlich und mürrisch oder schütteln sie es ab und handeln? Wenn Sie in Ihrem Büro gelegentlich neue Leute schikanieren, sehen Sie, wie diese reagieren. subtil und leise mit viel Verlegenheit über das Racheziel, offen und auffällig, oder Gelächter und Achselzucken? Dies sind einige der Hinweise, die helfen können, einen potenziellen Rache-Saboteur zu identifizieren.

sysadmin1138
quelle
1
Ein mürrischer Admin? Sicher scherzen Sie!
Bart Silverstrim
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.