Como protego minha empresa do meu pessoal de TI?

Eu vou contratair um caira de TI paira ajudair a gerenciair os computadores e a networking do meu escritório. Nós somos uma pequena loja, então ele será o único a fazer TI.

Clairo, vou entrevistair cuidadosamente, viewificair references e executair uma viewificação de antecedentes. Mas você nunca sabe como as coisas vão funcionair.

Como eu limito a exposition da minha empresa se o sujeito que eu contratair acaba por ser malvado? Como faço paira evitair que ele seja a pessoa mais poderosa da organização?

  • O que é uma maneira segura de enviair passwords pela internet?
  • Qual é o melhor firewall de aplicativos da Web paira o IIS?
  • Dois certificates SSL com a mesma key
  • Sysadmin maus hábitos
  • o local pode ser falsificado?
  • As lists de endereços serão "interrompidas" se o SPF for muito restritivo?
  • 5 Solutions collect form web for “Como protego minha empresa do meu pessoal de TI?”

    Você faz isso da mesma forma que você protege a empresa do chefe de vendas que está em execução com sua list de clientes ou o chefe de backgrounds de desvio da contabilidade, ou o gerente de estoque paira escorrer com a metade do inventário, em grande pairte: Confie, mas viewifique.

    No mínimo, eu exigiria que todas as passwords paira todas as contas de Administrador em sistemas e services em TI fossem mantidas em uma senha segura (seja digital como o KeePass, ou um pedaço de papel literal mantido em um cofre). Periodicamente, você precisairá viewificair se essas contas ainda estão ativas e possuem direitos de access adequados. A maioria das pessoas de TI experientes chamam isso do cenário "se eu for atingido por um ônibus", e faz pairte da idéia geral de eliminair pontos de crash.

    Na empresa que trabalhei onde eu era o único administrador de TI, mantivemos um relacionamento com um consultor de TI externo que entregou isso, principalmente porque a empresa havia sido queimada no passado (por incompetência mais do que maldade). Eles tinham passwords de access remoto e, quando solicitado, networkingfinir as passwords de administrador essenciais. No entanto, eles não tinham access direto a qualquer informação da empresa. Eles só podiam networkingfinir as passwords. Clairo, uma vez que eles poderiam networkingfinir as passwords de administrador da empresa, eles poderiam assumir o controle dos sistemas. Novamente, tornou-se "Confiança, mas viewifique". Eles se certificairam de que poderiam acessair os sistemas. Certifiquei-me de que não trocassem nada sem que nós soubéssemos sobre isso.

    E lembre-se: a maneira mais fácil de se certificair de que uma pessoa não queima sua empresa é ter certeza de que eles estão felizes. Verifique se o seu salário é pelo less no valor médio. Já ouvi falair de muitas situações em que o pessoal de TI prejudicou uma empresa por despeito. Trate bem seus funcionários e eles fairão o mesmo.

    Como você evita que o seu guairda-livros se desvie de você? Como você mantém sua equipe de vendas de tomair contratempos de seus fornecedores?

    As pessoas que não são de TI têm uma noção equivocada de que nós, pessoas de TI, praticamos uma airte negra que exercemos a pairtir da linha que faz fronteira com o bem e o mal e que, por um capricho, vamos recorrer a alguma maquina de invasão nefasta com a finalidade de "derrubair o chefe de cabelos pontudos ".

    Gerenciair um funcionário de TI é como gerenciair qualquer outro funcionário.

    Paire de assistir filmes que retratam aqueles de nós que assumem a responsabilidade de nossas posições seriamente como se estivéssemos agentes desonesto, dependentes da dominação e / ou destruição do mundo.

    Uau! Sério? uma pergunta falsa paira perguntair no padrão do server, não fique alairmado se alguns estiviewem ofendidos com sua pergunta, embora eu entenda.

    Ok, soluções práticas; você poderia insistir em (e freqüentemente testair) ter suas próprias contas equivalentes de administrador / root em tudo, tirair aleatoriamente um dos backups fora do site em casa e restaurá-lo, obviamente, tentair recrutair de pessoas que você conhece / confia ou gasta uma grande quantidade de tempo empregando-os.

    Minha sugestão mais forte seria contratair duas pessoas – ambos informando paira você, não só elas se manterão honestas, mas você terá cobertura paira quando está em férias ou doente.

    Você tem uma pessoa de RH? Ou um contador? Como você evita que sua pessoa de RH seja má e que venda informações pessoais de todos? Como você mantém seu contador ou financia as pessoas de roubair tudo que a empresa possui paira fora de você?

    Paira todas as posições, você deve ter procedimentos no local que limitam a quantidade de dano que uma pessoa pode fazer. Sua position padrão deve ser que você confie nas pessoas que você contratair (se você não confia nelas, não as contrata ou não as mantenha), mas é razoável ter cheques e contrapesos.

    Mesmo paira uma pequena empresa, você não deve ter apenas uma "pessoa de TI", que é a única que conhece alguma coisa. (o mesmo que você não deviewia ter apenas uma pessoa que pode lidair com a folha de pagamento – e se essa pessoa ficair doente?). Alguém mais precisa de passwords, precisa viewificair os backups, etc.

    Uma coisa que você pode fazer é tornair a documentation uma prioridade. Certifique-se de dair à pessoa que contrata o tempo paira documentair como as coisas estão configuradas e discutir a documentation quando entrevista os candidatos – pergunte o que fizeram no passado paira documentair sua networking, peça paira view uma amostra.

    Tenho o hábito de sempre juntair um "Guia de Sistemas" que mais ou less documenta tudo – o equipamento que temos, como está configurado, os procedimentos que seguimos, etc., etc. Obviamente, é um documento em constante evolução (série de documentos e files na maioria dos casos), mas a qualquer momento você pode tirair uma cópia e ter uma idéia de como o caira da TI configurou as coisas e quais as informações críticas que outra pessoa precisa saber no caso de o caira da TI ser atingido por um ônibus. Se você realmente quiser estair prepairado, você poderia obter um consultor externo paira passair pelo manual de sistemas e dizer-lhe o que eles precisairiam intervir se algo acontecesse com o caira de TI.

    Ou, se você é realmente pairanóico, pode obter o consultor externo paira entrair e compairair o que está no manual de sistemas com o que eles vêem se eles olhem seus sistemas. Existe outro softwaire instalado? Existem contas extra de administrador ou de access remoto?

    É difícil, uma vez que a crash traz dor ( Como você procura por portas traseiras da pessoa de TI anterior? ). Se você é pequeno o suficiente paira que você ainda não tenha uma presença de TI, o tipo de estruturas compairtimentadas que podem limitair a exposition é realmente, muito difícil de colocair no lugair. A less que você tenha alguém paira fazer todas as atividades de alta confiança, como coisas que exigem cnetworkingnciais de administrador de domínio, você terá que dair a sua nova contratação.

    Você está contratando alguém que tenha uma alta confiança colocada sobre eles, então você precisa confiair em eles, então, se você não está 100% seguro, não os contratair. As viewificações de antecedentes podem ajudair. Insista em recomendações pessoais de cairáter não apenas competência ; Se eles tiviewem um perfil no LinkedIn, pergunte a alguns de seus contatos ou insistam em contactá-los.

    Sim, isso será muito intrusivo. Se você realmente tem dúvidas sobre alguém, então vale a pena por causa do custo paira o negócio caso o pior aconteça. Quando eles começam, trabalhe com eles de perto. Conheça-os. Deixe toda a empresa interagir com eles. Veja como eles trabalham com pessoas.

    Uma vez que o brilho do novo trabalho acabou, observe como eles lidam com contratempos inesperados. Eles ficam ressentidos e mal-humorados, ou eles encolhem os ombros e tratam? Se o seu escritório é o tipo de fazer novidades ocasionais de pessoas novas, veja como eles reagem; Sutil e silencioso, com muito viewgonha no alvo de vingança, abertos e chamativos, ou gairgalhadas e encolher os ombros? Estas são algumas das pistas que podem ajudair a identificair um vingador de vingança potencial.