Ich werde einen IT-Mitarbeiter einstellen, der die Computer und das Netzwerk meines Büros verwaltet. Wir sind ein kleiner Laden, also ist er der einzige, der IT macht.
Natürlich werde ich sorgfältig interviewen, Referenzen überprüfen und eine Hintergrundüberprüfung durchführen. Aber Sie wissen nie, wie es weitergehen wird.
Wie kann ich die Gefährdung meines Unternehmens begrenzen, wenn sich der von mir eingestellte Mitarbeiter als böse herausstellt? Wie vermeide ich es, ihn zur mächtigsten Einzelperson in der Organisation zu machen?
security
best-practices
Jesse
quelle
quelle
Antworten:
Sie tun dies auf die gleiche Weise, wie Sie das Unternehmen davor schützen, dass der Leiter des Vertriebs mit Ihrer Kundenliste abläuft, oder dass der Leiter des Rechnungswesens Gelder veruntreut oder der Lagerverwalter mit der Hälfte des Inventars davonläuft, im Wesentlichen: Vertrauen, aber überprüfen.
Zumindest würde ich verlangen, dass alle Passwörter für alle Administratorkonten auf IT-Systemen und -Diensten in einem Passwort-Safe aufbewahrt werden (entweder digital wie KeePass oder ein buchstäbliches Stück Papier in einem Safe). In regelmäßigen Abständen müssen Sie überprüfen, ob diese Konten noch aktiv sind und über die entsprechenden Zugriffsrechte verfügen. Die meisten erfahrenen IT-Mitarbeiter nennen dies das Szenario "Wenn ich von einem Bus getroffen werde", und es ist Teil der allgemeinen Idee, Fehlerquellen zu beseitigen.
An das ein Geschäft , das ich an gearbeitet , wo ich war das einzige IT - Administrator, erhielten wir eine Beziehung mit einem externen IT - Berater, der diese übergaben, vor allem weil das Unternehmen hatte in der Vergangenheit verbrannt worden (durch Inkompetenz mehr als Bosheit). Sie hatten Fernzugriffskennwörter und konnten, wenn sie gefragt wurden, die wesentlichen Administratorkennwörter zurücksetzen. Sie hatten jedoch keinen direkten Zugriff auf Unternehmensdaten. Sie konnten nur Passwörter zurücksetzen. Da sie die Administratorkennwörter des Unternehmens zurücksetzen könnten, könnten sie natürlich die Kontrolle über die Systeme übernehmen. Wieder wurde es "Trust but Verify". Sie stellten sicher, dass sie auf die Systeme zugreifen konnten. Ich habe dafür gesorgt, dass sie nichts geändert haben, ohne dass wir davon erfahren haben.
Und denken Sie daran: Der einfachste Weg, um sicherzustellen, dass eine Person Ihr Unternehmen nicht verbrennt, besteht darin, sicherzustellen, dass sie glücklich ist. Stellen Sie sicher, dass Ihr Gehalt mindestens dem Medianwert entspricht. Ich habe von zu vielen Situationen gehört, in denen IT-Mitarbeiter einem Unternehmen aus Trotz Schaden zugefügt haben. Behandeln Sie Ihre Mitarbeiter richtig und sie werden das Gleiche tun.
quelle
Wie verhindern Sie, dass Ihr Buchhalter Sie unterschlägt? Wie verhindern Sie, dass Ihre Vertriebsmitarbeiter Rückschläge von Ihren Lieferanten erhalten?
Nicht-IT-Leute haben eine irreführende Vorstellung, dass wir IT-Leute eine schwarze Kunst praktizieren, die wir von der Grenze zwischen Gut und Böse ausüben, und dass wir aus einer Laune heraus auf eine schändliche Machinerie zurückgreifen werden, um "den spitzhaarigen Boss zu Fall zu bringen" ".
Das Verwalten eines IT-Mitarbeiters ist mit dem Verwalten eines anderen Mitarbeiters vergleichbar.
Hören Sie auf, Filme zu schauen, die diejenigen von uns zeigen, die die Verantwortung für unsere Positionen ernst nehmen, als wären wir Schurkenagenten, die auf Weltherrschaft und / oder Zerstörung aus sind.
quelle
Wow wirklich? mutige Frage, die Sie bei einem Serverfehler stellen sollten, seien Sie nicht beunruhigt, wenn einige von Ihrer Frage beleidigt sind, obwohl ich das verstehe.
Ok, praktische Lösungen; Sie könnten darauf bestehen (und häufig testen), dass Sie für alles Ihre eigenen Administrator- / Root-Konten haben, eine der externen Sicherungskopien nach dem Zufallsprinzip nach Hause nehmen und wiederherstellen, offensichtlich versuchen, Mitarbeiter zu rekrutieren, die Sie kennen / vertrauen oder für die Sie viel Geld ausgeben Zeit, sie zu beschäftigen.
Mein stärkster Vorschlag wäre, zwei Personen einzustellen - beide melden sich bei Ihnen. Sie bleiben nicht nur ehrlich, sondern Sie sind auch abgesichert, wenn eine Person im Urlaub oder krank ist.
quelle
Haben Sie eine HR-Person? Oder ein Buchhalter? Wie verhindern Sie, dass Ihre HR-Person böse ist und die persönlichen Daten aller verkauft? Wie verhindern Sie, dass Ihr Buchhalter oder Ihre Finanzabteilung alles stiehlt, was das Unternehmen unter Ihnen hat?
Für alle Positionen sollten Verfahren vorhanden sein, die einschränken, wie viel Schaden eine Person anrichten kann. Ihre Standardposition sollte sein, dass Sie den von Ihnen eingestellten Personen vertrauen (wenn Sie ihnen nicht vertrauen, stellen Sie sie nicht ein oder behalten Sie sie nicht), aber es ist vernünftig, über Kontrollen und Abwägungen zu verfügen.
Selbst für ein kleines Unternehmen sollte es nicht nur eine "IT-Person" geben, die als einzige etwas weiß. (genauso wie Sie nicht nur eine Person haben sollten, die mit der Gehaltsabrechnung umgehen kann - was ist, wenn diese Person krank wird?). Jemand anderes benötigt Passwörter, muss die Backups überprüfen usw.
Eine Sache, die Sie tun können, ist, die Dokumentation zu einer Priorität zu machen. Stellen Sie sicher, dass Sie der Person, die Sie einstellen, Zeit geben, um zu dokumentieren, wie die Dinge eingerichtet sind, und diskutieren Sie die Dokumentation, wenn Sie Kandidaten interviewen.
Es ist meine Gewohnheit, immer einen "Systemleitfaden" zusammenzustellen, der mehr oder weniger alles dokumentiert - welche Ausrüstung wir haben, wie sie eingerichtet ist, welche Verfahren wir befolgen usw. usw. Es handelt sich offensichtlich um ein Dokument, das sich ständig weiterentwickelt (eine Reihe von Dokumenten) und Dateien in den meisten Fällen), aber Sie können jederzeit eine Kopie anfertigen und sich ein Bild davon machen, wie der IT-Mitarbeiter die Dinge eingerichtet hat und welche wichtigen Informationen jemand anderes wissen muss, falls der IT-Mitarbeiter von einem Bus angefahren wird. Wenn Sie wirklich darauf vorbereitet sein möchten, können Sie einen externen Berater beauftragen, das Systemhandbuch zu lesen und Ihnen mitzuteilen, was er tun muss, wenn dem IT-Mitarbeiter etwas passiert.
Wenn Sie wirklich paranoid sind, können Sie den externen Berater bitten, die Informationen im Systemhandbuch mit den Informationen zu vergleichen, die er über Ihre Systeme erhält. Ist noch andere Software installiert? Gibt es zusätzliche Administratorkonten oder RAS-Konten?
quelle
Es ist schwierig, da ein Scheitern Schmerzen verursacht ( Wie suchen Sie nach Hintertüren der vorherigen IT-Person? ). Wenn Sie klein genug sind, um noch nicht über eine IT-Präsenz zu verfügen, ist es sehr, sehr schwierig, die Art von unterteilten Strukturen zu implementieren, die die Gefährdung einschränken können. Sofern Sie nicht jemanden haben, der all die Aktivitäten mit hoher Vertrauenswürdigkeit ausführt, z. B. Dinge, die Domänenadministrator-Anmeldeinformationen erfordern, müssen Sie diese Ihrem neuen Mitarbeiter zuweisen.
Sie stellen jemanden ein, der großes Vertrauen in ihn hat, und müssen ihm im Gegenzug vertrauen. Wenn Sie sich also nicht hundertprozentig sicher sind, stellen Sie ihn nicht ein. Hintergrundüberprüfungen können helfen. Bestehen Sie auf persönliche Empfehlungen von Charakter nicht nur Kompetenz ; Wenn sie ein LinkedIn-Profil haben, fragen Sie einige ihrer Kontakte oder bestehen Sie darauf, sie zu kontaktieren.
Ja, das wird sehr aufdringlich sein. Wenn Sie wirklich Zweifel an jemandem haben, lohnt es sich aufgrund der Kosten für das Unternehmen, falls das Schlimmste passiert. Wenn sie anfangen, arbeiten Sie sehr eng mit ihnen zusammen. Sie kennenlernen. Lassen Sie das gesamte Unternehmen mit ihnen interagieren. Beobachten Sie, wie sie mit Menschen arbeiten.
Beobachten Sie, wie die neuen Mitarbeiter mit unerwarteten Rückschlägen umgehen. Werden sie ärgerlich und mürrisch oder schütteln sie es ab und handeln? Wenn Sie in Ihrem Büro gelegentlich neue Leute schikanieren, sehen Sie, wie diese reagieren. subtil und leise mit viel Verlegenheit über das Racheziel, offen und auffällig, oder Gelächter und Achselzucken? Dies sind einige der Hinweise, die helfen können, einen potenziellen Rache-Saboteur zu identifizieren.
quelle