ผู้จัดการฝ่ายไอทีอาจจะออกไปและเป็นไปได้ว่าการแบ่งส่วนของวิธีอาจไม่เป็นไปอย่างสมบูรณ์ ฉันไม่คาดหวังความอาฆาตพยาบาทใด ๆ แต่ในกรณีนี้ฉันจะตรวจสอบเปลี่ยนแปลงหรือล็อคสิ่งใด
ตัวอย่าง:
คำตอบ:
เห็นได้ชัดว่าความปลอดภัยทางกายภาพต้องได้รับการแก้ไข แต่หลังจากนั้น ...
สมมติว่าคุณไม่มีขั้นตอนการบันทึกเมื่อพนักงานออก (สภาพแวดล้อมทั่วไปที่คุณไม่ได้กล่าวถึงแพลตฟอร์มที่คุณใช้):
เมื่อคุณทำสิ่งนี้ทั้งหมดให้บันทึกเพื่อที่คุณจะได้มีขั้นตอนสำหรับการยกเลิกในอนาคต
นอกจากนี้หากคุณใช้บริการ colocation ใด ๆ ตรวจสอบให้แน่ใจว่าได้ลบชื่อของเขาออกจากรายการเข้าถึงและรายการส่งตั๋ว ควรทำเช่นเดียวกันกับผู้ขายรายอื่น ๆ ที่เขาเป็นคนหลักในการจัดการเพื่อที่เขาจะไม่สามารถยกเลิกหรือยุ่งเกี่ยวกับบริการที่คุณได้รับจากผู้ขายเหล่านั้นและเพื่อให้ผู้ขายทราบว่าจะติดต่อใครเพื่อต่ออายุ ปัญหา ฯลฯ ... ซึ่งสามารถช่วยคุณประหยัดอาการปวดหัวเมื่อมีบางสิ่งที่ผู้จัดการไอทีไม่ได้เกิดขึ้น
ฉันแน่ใจว่ามีมากกว่าที่ฉันพลาด แต่นั่นอยู่ด้านบนของหัวของฉัน
อย่าลืมความปลอดภัยทางกายภาพ - ตรวจสอบให้แน่ใจว่าเขาไม่สามารถเข้าไปในอาคารใด ๆ - มันยอดเยี่ยมที่คุณอยู่ในชุดเครือข่าย แต่ถ้าเขาสามารถไปยังศูนย์ข้อมูลมันไม่มีประโยชน์
เราสงสัยว่าพนักงานที่ไม่พอใจซึ่งยังอยู่ในช่วงประกาศของพวกเขาอาจติดตั้งโปรแกรมการเข้าถึงระยะไกลบางอย่างดังนั้นเราจึง จำกัด บัญชีการเข้าสู่ระบบของเขาไว้ที่ชั่วโมงการทำงานเท่านั้น สิ่งต่าง ๆ (ในระหว่างชั่วโมงทำงานเราสามารถเห็นหน้าจอของเขาอย่างชัดเจนดังนั้นถ้าเขาลุกขึ้นมาก่อความเสียหายเราจะได้รู้)
กลายเป็นสิ่งที่มีค่าเขาได้ติดตั้ง LogMeIn และพยายามเข้าถึงนอกเวลาจริง
(นี่เป็นเครือข่าย บริษัท ขนาดเล็กไม่มี ACL หรือไฟร์วอลล์ที่สวยงาม)
ยังระวังไม่ให้ล็อคมากเกินไป ฉันจำสถานการณ์ที่มีคนออกไปและอีกหนึ่งวันต่อมาก็เห็นได้ชัดว่าซอฟต์แวร์ที่สำคัญทางธุรกิจบางอย่างกำลังทำงานอยู่ภายใต้บัญชีผู้ใช้ส่วนตัวของเขา
เพียงเพิ่ม - ตรวจสอบให้แน่ใจว่าคุณได้ตรวจสอบการเข้าสู่ระบบที่ล้มเหลวและสำเร็จ - ความล้มเหลวของบัญชีที่ตามมาด้วยความสำเร็จอาจเท่ากับการแฮ็ค คุณอาจทำให้คนอื่นเปลี่ยนรหัสผ่านด้วยเช่นกันหาก IT Manager มีส่วนเกี่ยวข้องกับการตั้งค่ารหัสผ่าน อย่าลืมรหัสผ่านฐานข้อมูลด้วยและคุณอาจต้องการขัดบัญชีอีเมลของตนเพื่อรับข้อมูลที่ปลอดภัย ฉันจะทำการตรวจสอบการเข้าถึงข้อมูล / ฐานข้อมูลที่เป็นความลับและไม่อนุญาตให้เขา / เธอทำการสำรองข้อมูลระบบ / ฐานข้อมูล
หวังว่านี่จะช่วยได้
ตรวจสอบให้แน่ใจด้วยก่อนที่คุณจะปล่อยให้บุคคลนี้ไปทำความเข้าใจกับสิ่งต่าง ๆ ที่สามารถทำได้และจะลงไปหรือมีปัญหาจนกว่าคุณจะเปลี่ยนบุคคลนั้น ฉันหวังว่าคุณจะไม่ตำหนิพวกเขาสำหรับทุกสิ่งที่เกิดขึ้นเพียงเพราะคุณคิด / รู้ว่ามันไม่ได้เป็นวิธีที่ดีในการแยกทางหรือคิดว่าพวกเขากำลังแฮกคุณอย่างใดเพราะห้องน้ำล้น
หวังว่าสถานการณ์จะฟังดูเป็นเรื่องแปลกสำหรับคุณ แต่มันเป็นเรื่องจริงจากงานล่าสุดของฉันที่ตอนนี้เจ้าของพยายามที่จะฟ้องฉันเพื่อก่อวินาศกรรม (โดยทั่วไปเพราะฉันออกจากและพวกเขาไม่เต็มใจจ่ายค่าอัตราการตลาดเพื่อแทนที่ฉัน) และอาชญากรรมไซเบอร์เช่นการแฮ็คและ การฉ้อโกงอินเทอร์เน็ต
บรรทัดล่างคือประเมิน "ทำไม" สำหรับเหตุผลของการเลิกจ้างของพวกเขา หากเป็นสิ่งอื่นนอกเหนือจากความต้องการทางเศรษฐกิจฉันขอแนะนำให้คุณปรับแต่งขั้นตอนการจ้างงานของคุณเพื่อให้คุณสามารถจ้างบุคคลที่มีความเป็นมืออาชีพมากขึ้นซึ่งอาชีพจำเป็นต้องเชื่อถือได้และเชื่อถือได้กับภารกิจทางธุรกิจที่สำคัญและมักจะเป็นข้อมูลลับ ขั้นตอนความปลอดภัยที่ทุกคนต้องปฏิบัติตาม
วิธีหนึ่งในการรู้เมื่อคุณสัมภาษณ์คือพวกเขาสัมภาษณ์คุณและธุรกิจของคุณดีแค่ไหน ความรับผิด (เช่นเดียวกับที่ บริษัท คิดว่าผู้จัดการไอทีสามารถถือเป็นความผิดได้หากมีสิ่งผิดปกติ - มักจะอยู่ในสัญญา) และความปลอดภัยของเครือข่ายโดยรวมเป็นหนึ่งในสามสิ่งที่สำคัญที่สุดในใจผู้จัดการ IT / CTO ที่เหมาะสม ในการสัมภาษณ์งาน
เปลี่ยนรหัสผ่านผู้ดูแลระบบทั้งหมด (เซิร์ฟเวอร์เราเตอร์สวิตช์การเข้าถึงการเข้าถึงซ้ำไฟร์วอลล์) ลบกฎไฟร์วอลล์ทั้งหมดสำหรับการเข้าถึงระยะไกลสำหรับผู้จัดการ IT หากคุณใช้โทเค็นการรักษาความปลอดภัยให้ยกเลิกการเชื่อมโยงโทเค็นของผู้จัดการ IT จากการเข้าถึงทั้งหมด ลบการเข้าถึง TACACS (หากคุณใช้สิ่งนี้)
ตรวจสอบให้แน่ใจว่าได้ทำการเปลี่ยนแปลงเหล่านี้กับผู้จัดการ IT ในห้องประชุมหรือภายใต้การควบคุมทางกายภาพดังนั้นเขา / เธอจึงไม่สามารถสังเกตกระบวนการได้ ในขณะที่อ่าน poassword เนื่องจากมันถูกพิมพ์ลงบนแป้นพิมพ์ก็ไม่ใช่เรื่องไม่สำคัญ (ไม่ยากเพียงแค่ไม่สำคัญ) ถ้าจำเป็นต้องทำซ้ำมันจะมีความเสี่ยงสูงที่จะถูกรวบรวมรหัสผ่าน
ถ้าเป็นไปได้เปลี่ยนล็อค หากสามารถคัดลอกกุญแจได้ (และในระยะสั้นก็สามารถทำได้) สิ่งนี้จะหยุดการจัดการด้านไอทีจากการเข้าถึงทางกายภาพหลังจากนั้น ปิดใช้งาน Passcard ใด ๆ ที่คุณไม่สามารถบัญชีได้ (ไม่เพียง แต่บัตรที่คุณรู้ว่าได้รับการออกให้กับผู้จัดการ IT แล้ว)
หากคุณมีสายโทรศัพท์เข้าหลายสายให้ตรวจสอบทุกสายเพื่อให้แน่ใจว่าไม่มีอุปกรณ์ที่ไม่รู้จักเชื่อมต่ออยู่
ตรวจสอบนโยบายไฟร์วอลล์
เปลี่ยนรหัสผ่านของผู้ดูแลระบบและตรวจสอบบัญชีที่ไม่ได้ใช้งานอีกต่อไป
เพิกถอนใบรับรองของเขา / เธอ
สำรองเวิร์กสเตชันของเขา / เธอและจัดรูปแบบมัน
ใช้การควบคุมการตรวจสอบสำหรับไฟล์สำคัญบนเซิร์ฟเวอร์ของคุณและใส่ IDS ไปยังพอร์ต span ในชั้นวางของคุณในขณะที่
เพียง 2cts ของฉัน
ตรวจสอบบัญชีพิเศษด้วย เขาสามารถเพิ่มบัญชีใหม่ได้อย่างง่ายดายเมื่อเขารู้ว่าเขาจากไป หรือแม้แต่หลังจากเขามาถึง
ขึ้นอยู่กับว่าคุณเป็นคนหวาดระแวง บางคนไปถึงขนาด - ถ้ามันไม่ดีพอ - การแทนที่กุญแจและล็อคทั้งหมด อีกเหตุผลที่ดีสำหรับผู้ดูแลระบบ sys;)
คำแนะนำที่ถูกต้องทั้งหมดนั้นดี - อีกอันหนึ่งอาจทำให้ผู้ใช้ทุกคนเปลี่ยนรหัสผ่าน (และถ้า Windows) บังคับใช้นโยบายรหัสผ่านที่ซับซ้อน
นอกจากนี้หากคุณเคยสนับสนุนระยะไกลหรือตั้งค่าสำนักงาน / ลูกค้าระยะไกล (เช่นเว็บไซต์อื่น) - ให้พวกเขาเปลี่ยนรหัสผ่านด้วย
อย่าลืมที่จะระเบิดบัญชีประเภทเอกซ์ทราเน็ตใด ๆ ที่เขาอาจมีในนามของ บริษัท ของคุณ สิ่งเหล่านี้มักถูกมองข้ามและมักเป็นสาเหตุของความเศร้าโศกหลังการตาย
อาจ (ตามเส้นทาง "ฉันอัลตร้า - หวาดระแวง") ยังต้องการแจ้งพนักงานขายของคุณสำหรับผู้ขายต่างๆที่คุณทำงานด้วยในกรณีที่เขาพยายามติดต่อใครบางคนที่นั่น
หากเขามีอำนาจควบคุม บริษัท เว็บโฮสติ้งของคุณ
จุดอ่อนในพื้นที่นี้อาจส่งผลกระทบต่อวิธีการโฮสต์ของคุณ
บริษัท ของฉันปล่อยให้นักพัฒนาไปไม่นานและมันก็เป็นสถานการณ์ที่คล้ายกัน เขารู้ระบบมากและมันมีความสำคัญสูงสุดเพื่อให้แน่ใจว่าเขาถูกตัดออกในวินาทีที่เขาได้รับแจ้งจากการเลิกจ้างของเขา นอกเหนือจากคำแนะนำที่ให้ไว้ข้างต้นฉันยังใช้ Specter Pro เพื่อตรวจสอบการทำงานทั้งหมดของเขาเป็นเวลา 2 สัปดาห์ก่อนที่เขาจะจากไป: กิจกรรมเครือข่าย (IO), หน้าต่างแชท, อีเมล, ภาพหน้าจอทุก 2 นาทีเป็นต้น แม้แต่มองที่มันเพราะเขาทิ้งในแง่ดี มันเป็นประกันที่ดี
สิ่งสำคัญสองอย่างที่ต้องจัดการทันทีคือ:
การเข้าถึงทางกายภาพ - หากคุณมีระบบอิเล็กทรอนิกส์ให้เพิกถอนบัตรของเขา หากล็อคของคุณมีอยู่จริงให้ตรวจสอบให้แน่ใจว่าได้ส่งคืนกุญแจใด ๆ ที่ส่งคืนให้เขาหรือหากคุณกังวลเกี่ยวกับความเสียหายให้เปลี่ยนกุญแจเป็นพื้นที่สำคัญ
การเข้าถึงระยะไกล - ตรวจสอบว่า VPN / Citrix / บัญชีการเข้าถึงระยะไกลอื่น ๆ ของผู้ดูแลระบบนี้ถูกปิดใช้งาน หวังว่าคุณจะไม่อนุญาตให้เข้าสู่ระบบระยะไกลด้วยบัญชีที่ใช้ร่วมกัน หากคุณเป็นเช่นนั้นให้เปลี่ยนรหัสผ่านทั้งหมด และอย่าลืมปิดการใช้งานบัญชี AD / NIS / LDAP ของเขาด้วย
นี้ครอบคลุมถึงชัดเจนอย่างไรก็ตาม มีความเป็นไปได้อยู่เสมอเช่นเขาได้ติดตั้งโมเด็มสองสามตัวในห้องเซิร์ฟเวอร์ด้วยสายเคเบิลคอนโซลในอุปกรณ์ / เซิร์ฟเวอร์เครือข่ายหลัก เมื่อคุณล็อคครั้งแรกเสร็จแล้วคุณอาจต้องการให้ผู้แทนของเขาทำการกวาดโครงสร้างพื้นฐานทั้งหมดไปที่ A) ตรวจสอบให้แน่ใจว่าเอกสารนั้นเป็นข้อมูลล่าสุดและ B) เน้นสิ่งที่ดูแปลก ๆ
ในงานก่อนหน้านี้ที่ บริษัท เล็ก ๆ ระบบดูแลระบบกำลังถูกปล่อยให้รู้รหัสผ่านของพนักงานคนอื่นมากมาย ตอนเช้าเขาปล่อยวางเราตั้งค่าคุณสมบัติ "ผู้ใช้ต้องเปลี่ยนรหัสผ่าน" ในบัญชี Active Directory ของทุกคนที่มีการเข้าถึงระยะไกล
สิ่งนี้อาจไม่เป็นไปได้ทุกที่ แต่อาจสุขุมขึ้นอยู่กับสถานการณ์
ฉันอยากจะแนะนำขั้นตอนต่อไปนี้:
สิ่งนี้จะครอบคลุมตัวเลือกการเข้าถึงที่เป็นไปได้ส่วนใหญ่ ตรวจสอบข้อมูลที่เกี่ยวข้องกับความปลอดภัยทั้งหมดในสัปดาห์ต่อไปนี้เพื่อให้คุณมั่นใจได้ว่าไม่มีตัวเลือกใดถูก "เปิด"
แจ้งให้พนักงานทุกคนทราบว่าพนักงานคนนี้ออกไปเพื่อให้พวกเขาทราบว่ามีความเสี่ยงต่อการถูกแฮ็กทางโทรศัพท์
เขารู้อยู่แล้วว่าระบบทำงานอย่างไรและมีอะไรบ้าง ดังนั้นเขาจึงไม่ต้องการข้อมูลมากเกินไปเพื่อที่จะได้กลับมาถ้าเขาต้องการ
หากฉันออกไปทำงานภายใต้สถานการณ์ที่ไม่เป็นที่ต้องการฉันเชื่อว่าฉันสามารถโทรหาพนักงานซึ่งฉันต้องทำเป็นครั้งคราวและหาข้อมูลที่เพียงพอเพื่อกลับเข้าสู่ระบบ
บางทีฉันจะให้สิทธิ์ผู้ดูแลระบบโดเมนผู้ใช้ที่มีอยู่ (ก่อนออก) ฉันสามารถโทรศัพท์ถึงผู้ใช้นี้และให้เขา / เธอเปิดเผยรหัสผ่านให้ฉัน
วิธีเดียวที่จะปลอดภัยอย่างสมบูรณ์ในกรณีของเซิร์ฟเวอร์คือวิธีเดียวกับที่คุณรับรองว่ากล่องที่แฮ็กสะอาดแล้ว: ติดตั้งใหม่ ขอบคุณหุ่นเชิด (หรือระบบการจัดการการกำหนดค่าอื่น ๆ ) ติดตั้งเซิร์ฟเวอร์ใหม่และทำให้พวกเขาอยู่ในสถานะที่ระบุได้อย่างรวดเร็วและอัตโนมัติ