ฉันจะปกป้อง บริษัท ของฉันจากคนไอทีได้อย่างไร [ปิด]

76

ฉันจะจ้างคนไอทีเพื่อช่วยจัดการคอมพิวเตอร์และเครือข่ายสำนักงานของฉัน เราเป็นร้านเล็ก ๆ ดังนั้นเขาจะเป็นคนเดียวที่ทำไอที

แน่นอนฉันจะสัมภาษณ์อย่างรอบคอบตรวจสอบการอ้างอิงและเรียกใช้การตรวจสอบพื้นหลัง แต่คุณไม่เคยรู้ว่าสิ่งที่จะทำงานออกมา

ฉันจะ จำกัด การเปิดเผยของ บริษัท ได้อย่างไรถ้าคนที่ฉันจ้างกลายเป็นคนชั่ว ฉันจะหลีกเลี่ยงการทำให้เขาเป็นบุคคลที่ทรงพลังที่สุดในองค์กรได้อย่างไร

security  best-practices 
เจสซี
แหล่งที่มา
6
วิธีการพิสูจน์ที่แน่นอนคือการเรียนรู้ด้วยตนเอง ดูเหมือนว่าคุณกำลังมีปัญหาความน่าเชื่อถือซึ่งงานต้องการ ชื่อของคุณดูเหมือนจะบอกว่าคุณต้องการปกป้องคอมพิวเตอร์ของคุณ แต่หัวเรื่องของคุณดูเหมือนว่าจะเป็นเครือข่ายทั้งหมดของคุณ
Nixphoe
22
@Jesse: ดังนั้นคุณกำลังบอกว่านักบัญชีของคุณไม่สามารถยักยอกเงินจากคุณและทำให้คุณล้มละลาย ผู้จัดการฝ่ายขายของคุณไม่สามารถขายรายชื่อลูกค้าของคุณทำให้คุณสูญเสียรายได้จำนวนมากไป? โดยส่วนตัวถ้าฉันเป็นพนักงานโกงฉันจะเข้าถึงบัญชีธนาคารของคุณได้มากกว่าคอมพิวเตอร์ของคุณ
joeqwerty
1
เอกสาร, เอกสาร, เอกสาร
Stuart
8
@joeqwerty: นักบัญชีสามารถเข้าถึงข้อมูลทางการเงินได้ ผู้จัดการฝ่ายขายสามารถเข้าถึงข้อมูลการขายได้ คนไอทีสามารถเข้าถึงทุกสิ่งได้
Jesse
3
@TomWij ถ้าฉันเป็นคนที่แต่งตัวประหลาดไอทีของคุณและฉันรู้ว่าคุณกำลังทำงานด้านไอทีอยู่ด้านหลังของฉัน (สำรองหรืออื่น ๆ ) ในระบบที่คุณเรียกเก็บฉันด้วยการจัดการฉันจะพอดี คุณต้องเสียค่าใช้จ่ายมากขึ้นทำลายสายสัมพันธ์ที่คุณมีกับพนักงานของคุณและจะทำให้ บริษัท ของคุณเสียหายในระยะยาว อย่าทำอย่างนั้น
Paul McMillan

คำตอบ:

108

คุณทำแบบเดียวกับที่คุณปกป้อง บริษัท จากหัวหน้าฝ่ายขายที่วิ่งออกไปพร้อมกับรายชื่อลูกค้าของคุณหรือหัวหน้าฝ่ายบัญชียักยอกเงินหรือผู้จัดการสต็อกไม่ให้ทำงานกับสินค้าคงคลังครึ่งหนึ่งส่วนใหญ่: เชื่อถือ แต่ยืนยัน

อย่างน้อยที่สุดฉันจะขอให้รหัสผ่านทั้งหมดสำหรับบัญชีผู้ดูแลระบบและบริการภายใต้ IT ถูกเก็บไว้ในรหัสผ่านที่ปลอดภัย (ไม่ว่าจะเป็นดิจิทัลอย่างเช่น KeePass หรือกระดาษที่เก็บไว้ในที่ปลอดภัย) คุณจะต้องยืนยันเป็นระยะ ๆ ว่าบัญชีเหล่านี้ยังคงใช้งานได้และมีสิทธิ์การเข้าถึงที่เหมาะสม คนส่วนใหญ่ที่มีประสบการณ์ด้านไอทีเรียกสิ่งนี้ว่า "ถ้าฉันโดนรถบัส" และเป็นส่วนหนึ่งของแนวคิดทั่วไปในการขจัดจุดที่ล้มเหลว

ในธุรกิจหนึ่งผมทำงานที่ที่ผมเป็นคนเดียวที่ไอทีธุรการเรารักษาความสัมพันธ์กับที่ปรึกษาด้านไอทีภายนอกที่ส่งนี้เป็นหลักเนื่องจาก บริษัทได้รับการเผาไหม้ในอดีตที่ผ่านมา (โดยไร้ความสามารถมากกว่าการปองร้าย) พวกเขามีรหัสผ่านการเข้าถึงระยะไกลและสามารถรีเซ็ตรหัสผ่านผู้ดูแลระบบที่จำเป็นได้ อย่างไรก็ตามพวกเขาไม่สามารถเข้าถึงข้อมูล บริษัท ใด ๆ ได้โดยตรง พวกเขาสามารถรีเซ็ตรหัสผ่านเท่านั้น แน่นอนเนื่องจากพวกเขาสามารถรีเซ็ตรหัสผ่านผู้ดูแลระบบขององค์กรพวกเขาสามารถควบคุมระบบได้ อีกครั้งมันกลายเป็น "ความน่าเชื่อถือ แต่ยืนยัน" พวกเขาทำให้แน่ใจว่าพวกเขาสามารถเข้าถึงระบบได้ ฉันทำให้แน่ใจว่าพวกเขาจะไม่เปลี่ยนแปลงอะไรเลยถ้าเราไม่รู้เกี่ยวกับมัน

และจำไว้ว่า: วิธีที่ง่ายที่สุดในการทำให้แน่ใจว่าบุคคลไม่ได้เผา บริษัท ของคุณเพื่อให้แน่ใจว่าพวกเขามีความสุข ตรวจสอบให้แน่ใจว่าการจ่ายเงินของคุณเป็นอย่างน้อยที่ค่ามัธยฐาน ฉันได้ยินมาหลายครั้งแล้วว่าบุคลากรด้านไอทีทำให้ บริษัท เสียหาย ปฏิบัติต่อพนักงานของคุณอย่างถูกต้องและพวกเขาจะทำเช่นเดียวกัน

เบคอนบิต
แหล่งที่มา
1
เบคอนพูดดี ฉันไม่ได้อ่านคำตอบของคุณก่อนโพสต์ข้อความที่พูดในสิ่งเดียวกัน
joeqwerty
นี่คือคำตอบที่ดีที่สุด รับบุคคลที่สามที่เชื่อถือได้ตามสัญญา
mfinni
ปรีชาคนไอทีเปลี่ยนสิ่งต่าง ๆ เพื่อล็อคบุคคลที่สามอย่างมีประสิทธิภาพในวันก่อนที่เขาจะถูกไล่ออก ถ้าเช่นนั้นจะเป็นอย่างไร ออฟไลน์เครือข่ายทั้งหมดจนกว่าคุณจะได้รับการตรวจสอบทุกครั้งที่คุณไล่ใครสักคน?
Matthew อ่าน
1
-1 สำหรับ: "ฉันแน่ใจว่าพวกเขาจะไม่เปลี่ยนแปลงอะไรเลยหากเราไม่รู้"
Kzqai
1
ดีกว่า: มีข้อมูลบัญชีสำรองฉุกเฉินซึ่งจัดทำโดยบุคคลที่ไม่สามารถเข้าถึงเครือข่ายของคุณได้เลย บริการรับฝากทรัพย์สิน, ทนายความด้านนอก, ตู้นิรภัยของธนาคารซึ่งมีเพียงคู่ค้าในธุรกิจเท่านั้นที่สามารถเข้าถึงทางกายภาพได้ หากคุณหวาดระแวงจริงๆนั่นเป็นวิธีที่คุณทำ และแน่นอนว่ามีระบบคีย์คู่ซึ่งต้องมีอย่างน้อย 2 คนที่จำเป็นต้องเข้าสู่ระบบในบัญชีรูททั้งรู้รหัสผ่านครึ่งหนึ่ง
jwenting
32

คุณจะป้องกันผู้ทำบัญชีของคุณจากการยักยอกจากคุณได้อย่างไร คุณจะป้องกันพนักงานขายของคุณจากการรับสินบนจากซัพพลายเออร์ของคุณได้อย่างไร

คนที่ไม่ใช่ไอทีมีแนวคิดที่เข้าใจผิดว่าเราคนไอทีฝึกศิลปะสีดำที่เราใช้จากสายที่มีทั้งความดีและความชั่วและเราก็จะหันไปใช้เครื่องจักรที่ชั่วร้ายเพื่อจุดประสงค์ของ "

การจัดการพนักงานด้านไอทีเปรียบเสมือนการจัดการพนักงานคนอื่น ๆ

หยุดดูภาพยนตร์ที่แสดงให้เห็นพวกเราที่รับผิดชอบตำแหน่งของเราอย่างจริงจังราวกับว่าเราเป็นตัวแทนคนพเนจรนรกที่ครอบงำโลกและ / หรือการทำลายล้าง

joeqwerty
แหล่งที่มา
13
ผู้ทำบัญชีของฉันตรวจสอบพนักงานขายของฉัน CPA ของฉันตรวจสอบบัญชีของฉัน ใครเป็นคนตรวจสอบ IT? มันไม่มีส่วนเกี่ยวข้องกับภาพยนตร์ แต่เกี่ยวข้องกับการบรรเทาความเสี่ยงในการทำธุรกิจ
Jesse
3
@Jesse: ฉันได้ยินคุณ คำตอบของฉันมีจำนวนเล็กน้อยมาก แต่ในที่สุดคุณจำเป็นต้องจัดการพนักงานไอทีของคุณเหมือนกับที่พนักงานของคุณทำ หากคุณต้องการใครสักคนในการตรวจสอบเจ้าหน้าที่ไอทีของคุณคุณต้องรับผิดชอบเองหรือจ้างคนอื่นมารับผิดชอบ
joeqwerty
3
ที่น่าเศร้าหลาย ๆ คนที่อยู่ด้านนอกของไอทีนั้นมีความคิดว่าทุกคนใน IT นั้นจะบุกเข้าไปในระบบของพวกเขาและหลบหนีจากความลับของ บริษัท และรหัสผ่านไปยังบัญชีธนาคาร พวกเขาไม่เคยคิดเลยว่าเราเป็นแค่กลุ่มคนอื่น ๆ เหมือนกับพนักงานคนอื่น ๆ และคนอื่น ๆ ก็มีวิธีที่จะทำเช่นนั้นได้โดยไม่จำเป็นต้องแยกแยะอะไรเลยเพราะพวกเขาเข้าถึงข้อมูลดังกล่าวได้ ส่วนหนึ่งของงานประจำของพวกเขา
jwenting
21

ว้าวจริงหรือ? คำถามที่กล้าหาญที่จะถามใน serverfault ไม่ต้องตกใจถ้าบางคำถามของคุณไม่พอใจแม้ว่าฉันจะเข้าใจก็ตาม

ตกลงวิธีแก้ปัญหาในทางปฏิบัติ; คุณสามารถยืนยัน (และทดสอบบ่อยครั้ง) ที่มีบัญชีผู้ดูแลระบบ / รูทเทียบเท่าของคุณในทุกสิ่งสุ่มเลือกหนึ่งในการสำรองข้อมูลนอกสถานที่และคืนค่าให้ชัดเจนพยายามสรรหาจากคนที่คุณรู้จัก / ไว้วางใจหรือใช้จ่ายอย่างมาก เวลาจ้างพวกเขา

ข้อเสนอแนะที่แข็งแกร่งที่สุดของฉันคือการจ้างคนสองคน - ทั้งการรายงานต่อคุณไม่เพียง แต่พวกเขาจะรักษาความซื่อสัตย์ซึ่งกันและกัน แต่คุณจะได้รับความคุ้มครอง

Chopper3
แหล่งที่มา
1
... ฉันสงสัยว่าการเช่าสามารถเชื่อถือคนที่ไม่ใช้เทคโนโลยีให้คอยดูแลไหล่ของเขาได้อย่างไร คำถามนี้สะท้อนถึงปัญหาสำหรับธุรกิจใด ๆ แต่คนที่แต่งตัวประหลาดไอทีจะมีอำนาจในการทำทุกสิ่งที่ชั่วร้าย เขามีมันเพื่อที่จะทำงานของเขาอย่างมีประสิทธิภาพ
Bart Silverstrim
2
ฉันประจบประแจงที่มีบัญชีกับทุกสิ่งสำหรับผู้ใช้ที่ไม่ใช่เทคโนโลยี ควรมีนโยบายในสถานที่เพื่อให้แน่ใจว่าสิ่งเหล่านี้ไม่ได้อยู่ที่นั่นสำหรับผู้ที่ไม่ใช่เทคโนโลยีที่จะใช้พวกเขาเว้นแต่จะมีความต้องการที่แท้จริง ... คือผู้ดูแลระบบถูกไล่ออก ไม่ใช่เพราะคนที่ไม่ใช้เทคโนโลยีรู้สึกจำเป็นที่จะต้องเริ่มแหย่ไปที่เมลเซิร์ฟเวอร์หรือทำสิ่งที่ไม่ได้อยู่ในเขตอำนาจศาลของตนดังนั้นควรพูด
Bart Silverstrim
1
ผู้ดูแลระบบที่มีความเชี่ยวชาญจะหยุดชะงักในการให้รหัสผ่านผู้ดูแลระบบแก่ผู้ใช้ที่ไม่ใช่ด้านเทคนิคยกเว้นในกรณีฉุกเฉิน คนที่ไม่รู้ว่าพวกเขากำลังทำอะไรจะถูกล่อลวงให้ทำสิ่งที่ไม่ควรทำ ปิดผนึกและล็อคไว้ในที่ปลอดภัย
Paul McMillan
3
อันที่จริงฉันพบเจอร้านเล็ก ๆ แห่งนี้เป็นร้านเล็ก ๆ ชายหรือสองร้านที่กำลังรีดนมธุรกิจขนาดเล็กเพื่อเงินที่ไร้สาระสำหรับงานที่ไม่เป็นมืออาชีพ ฉันคิดว่านี่เป็นคำถามที่ดี
SpacemanSpiff
11

คุณมีบุคลากรฝ่ายทรัพยากรบุคคลหรือไม่? หรือนักบัญชี คุณจะป้องกันไม่ให้บุคคล HR ของคุณเป็นคนชั่วร้ายและขายข้อมูลส่วนตัวของทุกคนได้อย่างไร? คุณจะป้องกันไม่ให้คนทำบัญชีหรือคนการเงินขโมยของทุกอย่างที่ บริษัท เป็นเจ้าของอยู่ข้างใต้คุณได้อย่างไร

สำหรับทุกตำแหน่งคุณควรมีขั้นตอนในการจำกัดความเสียหายที่บุคคลสามารถทำได้ ตำแหน่งเริ่มต้นของคุณควรเป็นที่คุณไว้วางใจคนที่คุณจ้าง (ถ้าคุณไม่ไว้ใจพวกเขาไม่จ้างพวกเขาหรือไม่เก็บไว้) แต่ก็สมเหตุสมผลที่จะมีการตรวจสอบและถ่วงดุล

แม้แต่ บริษัท เล็ก ๆ คุณไม่ควรมี "คนไอที" เพียงคนเดียวที่เป็นคนเดียวที่รู้อะไร (เช่นเดียวกับที่คุณไม่ควรมีเพียงคนเดียวเท่านั้นที่สามารถจัดการกับเงินเดือนได้ - จะเป็นอย่างไรถ้าคนนั้นป่วย?) บุคคลอื่นต้องการรหัสผ่านจำเป็นต้องตรวจสอบข้อมูลสำรองเป็นต้น

สิ่งหนึ่งที่คุณสามารถทำได้คือการทำให้เอกสารมีความสำคัญ ตรวจสอบให้แน่ใจว่าคุณให้คนที่คุณจ้างเวลาเพื่อทำเอกสารว่ามีการตั้งค่าสิ่งต่าง ๆ อย่างไรและหารือเกี่ยวกับเอกสารเมื่อคุณสัมภาษณ์ผู้สมัคร - ถามสิ่งที่พวกเขาทำในอดีตเพื่อจัดทำเอกสารเครือข่ายของพวกเขาขอดูตัวอย่าง

มันเป็นนิสัยของฉันที่จะรวบรวม "คู่มือระบบ" ไว้เสมอว่าเอกสารทุกอย่างไม่ว่าจะเป็นอะไรก็ตาม - อุปกรณ์ที่เรามีวิธีการตั้งค่าขั้นตอนที่เราติดตาม ฯลฯ ฯลฯ เห็นได้ชัดว่ามันเป็นเอกสารที่พัฒนาอย่างต่อเนื่อง และไฟล์ในกรณีส่วนใหญ่) แต่เมื่อใดก็ตามที่คุณสามารถคัดลอกและรับความคิดของคนที่แต่งตัวประหลาดไอทีได้จัดตั้งขึ้นและข้อมูลที่สำคัญที่คนอื่นต้องรู้ในกรณีที่คนไอทีถูกรถบัส หากคุณต้องการเตรียมพร้อมคุณสามารถขอคำปรึกษาจากภายนอกเพื่อดูคู่มือระบบและบอกคุณว่าพวกเขาต้องการทำอะไรหากมีอะไรเกิดขึ้นกับฝ่ายไอที

หรือถ้าคุณหวาดระแวงจริงๆคุณสามารถขอคำปรึกษาจากภายนอกเพื่อเปรียบเทียบสิ่งที่อยู่ในคู่มือระบบกับสิ่งที่พวกเขาเห็นว่าพวกเขาดูระบบของคุณหรือไม่ ติดตั้งซอฟต์แวร์อื่นหรือไม่? มีผู้ดูแลระบบหรือบัญชีการเข้าถึงระยะไกลเพิ่มเติมหรือไม่

วอร์ด
แหล่งที่มา
6

มันยากเนื่องจากความล้มเหลวนำความเจ็บปวด ( คุณจะค้นหาแบ็คจากคนไอทีก่อนหน้าหรือไม่ ) หากคุณมีขนาดเล็กพอที่คุณยังไม่มีสถานะด้านไอทีโครงสร้างการจัดแบ่งประเภทที่สามารถ จำกัด การเปิดรับได้นั้นเป็นเรื่องยากที่จะนำมาใช้จริง หากคุณไม่มีใครทำกิจกรรมที่ไว้ใจได้สูงเช่นสิ่งที่ต้องการข้อมูลประจำตัวของผู้ดูแลโดเมนคุณจะต้องมอบมันให้กับการจ้างงานใหม่ของคุณ

คุณกำลังจ้างคนที่จะไว้วางใจพวกเขาสูงดังนั้นคุณต้องเชื่อใจพวกเขาในทางกลับกันดังนั้นหากคุณไม่แน่ใจ 100% อย่าจ้างพวกเขา การตรวจสอบประวัติสามารถช่วยได้ ยืนยันในคำแนะนำส่วนตัวของตัวละครไม่เพียง แต่ความสามารถ ; หากพวกเขามีโปรไฟล์ LinkedIn ถามผู้ติดต่อบางคนหรือยืนยันที่จะติดต่อพวกเขา

ใช่สิ่งนี้จะล่วงล้ำมาก หากคุณมีข้อสงสัยเกี่ยวกับใครบางคนจริง ๆ แล้วมันก็คุ้มค่าโดยสิ้นเชิงเนื่องจากค่าใช้จ่ายในการทำธุรกิจในกรณีที่เลวร้ายที่สุดเกิดขึ้น เมื่อพวกเขาเริ่มทำงานกับพวกเขาอย่างใกล้ชิด ทำความรู้จักกับพวกเขา ให้ทั้ง บริษัท โต้ตอบกับพวกเขา ดูว่าพวกเขาทำงานกับผู้คนอย่างไร

เมื่องานใหม่หมดลงให้ดูวิธีจัดการกับความพ่ายแพ้ที่ไม่คาดคิด พวกเขาโกรธแค้นและโกรธเคืองหรือไม่ หากสำนักงานของคุณเป็นประเภทที่ต้องทำกับคนใหม่ ๆ ให้ดูว่าพวกเขามีปฏิกิริยาอย่างไร บอบบางและเงียบสงบโดยมีความลำบากใจมากต่อเป้าหมายการแก้แค้นอย่างเปิดเผยและฉูดฉาดหรือเสียงหัวเราะและยักไหล่ออก นี่คือเงื่อนงำบางอย่างที่สามารถช่วยระบุการแก้แค้น - ผู้ก่อวินาศกรรม

sysadmin1138
แหล่งที่มา
1
ผู้ดูแลระบบโกรธหรือไม่ แน่นอนว่าคุณล้อเล่น!
Bart Silverstrim
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.