题 我如何保护我的公司不受我的IT人员的影响? [关闭]


我将聘请一名IT人员帮助管理我办公室的计算机和网络。我们是一家小店,所以他将是唯一一个从事IT的人。

当然,我会仔细采访,检查参考资料并进行背景调查。但你永远不知道事情会如何发展。

如果我雇用的那个人变成邪恶,我如何限制我公司的风险呢?我如何避免让他成为组织中最有权势的人?


76
2018-06-24 18:47




确定的证明方式是学习IT自己。听起来你有信任问题,这是工作所需要的。您的标题似乎表示您想要保护您的计算机,但您的主题似乎是您的整个网络。 - Nixphoe
@Jesse:所以你说你的会计师不能贪污你,导致你破产?您的销售经理无法出售您的客户列表,导致您遭受如此多的收入损失?就个人而言,如果我是一名流氓员工,我宁愿访问您的银行帐户而不是您的计算机。 - joeqwerty
文档,文档,文档。 - Stuart
@joeqwerty:会计师可以获得财务资料;销售经理可以访问销售人员; IT人员可以访问 一切。 - Jesse
@TomWij如果我是你的IT人员,而且我知道你在我支持管理的系统上背后的IT工作(备份或其他),我会投入合适的。它会让您付出更多代价,破坏您与员工之间的任何关系,并且从长远来看会损害您的公司。不要那样做。 - Paul McMillan


答案:


你这样做的方式与保护公司免受客户名单或会计贪污资金负责人或者股票经理的负责人以及一半库存的影响一样,主要是:信任,但要验证。

至少,我要求IT下系统和服务上所有管理员帐户的所有密码都保存在密码保险箱中(数字方式如KeePass,或保存在保险箱中的文字纸)。您需要定期验证这些帐户是否仍处于活动状态并具有适当的访问权限。大多数有经验的IT人员称之为“如果我被公共汽车撞到”的情况,这是消除故障点的一般想法的一部分。

在我作为唯一IT管理员工作的一个行业,我们与外部IT顾问保持着关系,他们提交了这个,主要是因为公司  在过去被烧毁(由于无能而不是恶意)。他们有远程访问密码,当被问到时,可以重置必要的管理员密码。但是,他们无法直接访问任何公司数据。他们只能重置密码。当然,由于他们可以重置企业管理员密码,他们可以控制系统。它再次成为“信任但验证”。他们确保他们可以访问系统。如果没有我们的了解,我确保他们没有改变任何事情。

请记住:确保一个人不会烧毁公司的最简单方法是确保他们感到高兴。确保您的工资至少达到中位数值。我听说过太多的情况,IT人员已经不顾一切地损坏了公司。善待您的员工,他们也会这样做。


108
2018-06-24 19:11



好说培根。在发表我自己的同样的话之前,我没有看过你的答案。 - joeqwerty
这是最好的答案。在合同的基础上获得受信任的第三方。 - mfinni
在直觉上,IT人员改变了事情,以便在他被解雇前一天有效地锁定第三方。然后怎样呢?每次解雇某人时,让整个网络脱机,直到您可以对其进行审核? - Matthew Read
-1代表:“我确保在没有我们了解的情况下,他们没有改变任何东西。” - Kzqai
更好:拥有一个根本无法访问您的网络的人存储的紧急回复帐户信息。托管服务,外部律师,银行金库,只有业务合作伙伴才能实际访问。如果你真的是偏执狂,那你就是这样做的。当然还有一个双密钥系统,其中至少有2个人需要登录root帐户,两者都知道密码的一半。 - jwenting


你如何防止你的簿记员贪污你?您如何防止销售人员从供应商那里获得回扣?

非IT人员有一种被误导的观念,即我们IT人员练习的黑色艺术是我们从善与恶的界限中运用的,并且我们会随心所欲地采取一些邪恶的机制以达到“扼杀尖头发的老板”的目的”。

管理IT员工就像管理任何其他员工一样。

停止看电影,描绘我们这些认真对待我们职位的人,好像我们是流氓代理人,他们一心想要世界统治和/或破坏。


32
2018-06-24 19:30



我的簿记员审核我的销售人员。我的注册会计师审核了我的簿记员。谁审核IT人员?它与电影无关,它与减少经营风险有关。 - Jesse
@Jesse:我听到你了。在我的回答中有一点夸张但最后你需要管理你的IT员工,就像你做其他员工一样。如果您需要某人来审核您的IT员工,那么您需要自己承担这一责任或雇用某人来接受它。 - joeqwerty
遗憾的是,IT部门之外的许多人都认为,每个IT人员都只是要破解他们的系统,并将公司机密和密码运行到银行账户。他们甚至从不认为我们只是像其他员工一样只是另一群人,而其他人已经有办法做到这一点而不需要破解任何东西因为他们可以访问这些数据他们正常工作的一部分。 - jwenting


哇塞!真的么?在服务器故障上要问的大胆的问题,如果有些人被你的问题冒犯了,请不要惊慌,尽管我明白了。

好的,实用的解决方案您可以坚持(并经常测试)在所有内容上拥有自己的管理员/ root等效帐户,随机将其中一个异地备份置于主页并恢复它,显然尝试从您认识/信任的人员中招募或花费大量的雇用他们的时间。

我最强烈的建议是聘请两个人 - 两个人都向你报告,他们不仅要保持彼此诚实,而且还要为他们度假或生病时提供保险。


21
2018-06-24 18:57



......我想知道雇佣人员如何相信一个非技术人员可以看着他的肩膀。这个问题反映了任何企业的问题。但IT人员有能力做各种各样的邪恶事情。他必须拥有它才能有效地完成他的工作。 - Bart Silverstrim
对于一个非技术用户而言,我有点担心会议。除非有实际需要,否则应制定政策以确保非技术人员不使用这些政策......即管理员被解雇。不是因为非技术人员觉得有必要开始在邮件服务器周围进行搜索,或者做一些不在其管辖范围内的事情,可以这么说。 - Bart Silverstrim
除紧急情况外,有能力的管理员将不得不向非技术用户提供管理员密码。那些不知道自己在做什么的人会想要把他们不应该做的东西弄得乱七八糟。 密封 他们把它们锁在保险箱里。 - Paul McMillan
实际上,我遇到了很多,一个小男人或两个男人的商店,这些商店只是为了非常不专业的工作而为可怜的小企业挤奶。我认为这是一个很好的问题。 - SpacemanSpiff


你有HR人吗?还是会计师?你如何让你的人力资源人员免于邪恶并出售每个人的个人信息?你如何让你的会计师或财务人员窃取你公司所拥有的一切?

对于所有职位,您应该有适当的程序来限制一个人可以做多少伤害。您的默认立场应该是您信任您雇用的人(如果您不信任他们,不雇用他们或不保留他们),但是检查和平衡是合理的。

即使对于一家小公司来说,也不应该只有一个“IT人员”,他是唯一知道任何事情的人。 (就像你不应该只有一个人可以处理工资单 - 如果那个人生病了怎么办?)。其他人需要密码,需要检查备份等。

您可以做的一件事是将文档作为优先事项。确保你给你雇用的人时间记录事情的设置并在你面试候选人时讨论文件 - 询问他们过去做了什么来记录他们的网络,要求查看样本。

我的习惯是总是把一个或多或少文件的“系统指南”整理在一起 一切  - 我们有什么设备,如何设置,我们遵循的程序等等。这显然是一个不断发展的文件(在大多数情况下是一系列文件和文件),但在任何时候你都可以复制并获得了解IT人员如何设置以及其他人需要知道的重要信息,以防IT人员遭遇公交车。如果你真的想做好准备,你可以找一位外部顾问来阅读系统手册,并告诉你如果IT人员发生任何事情,他们需要介入什么。

或者,如果你真的很偏执,你可以让外面的顾问进来,比较系统手册中的内容和他们看到你的系统时看到的内容。是否安装了其他软件?是否有额外的管理员或远程访问帐户?


11
2018-06-24 19:12





这很难,因为失败会带来痛苦( 你如何从以前的IT人员那里搜索后门? )。如果你足够小以至于你还没有IT存在,那么可以限制暴露的那种分隔结构确实非常难以实施。除非您让其他人参与所有高度信任的活动,例如需要域管理员凭据的事情,否则您必须将其提供给新员工。

你雇用了一个对他们有高度信任的人​​,所以你需要相信他们作为回报,所以如果你不是100%肯定,不要雇佣他们。背景调查可以帮助。坚持个人建议 字符 不只是 权限;如果他们有LinkedIn个人资料,请询问他们的一些联系人或坚持联系他们。

是的,这将非常具有侵入性。如果你真的对某人有疑问,那么由于业务成本以及最坏的情况确实发生,这是完全值得的。当他们开始时,与他们密切合作。了解他们。让整个公司与他们互动。观察他们如何与人合作。

一旦新工作的光芒消失,看看他们如何处理意外的挫折。他们是怨恨和乖乖,还是他们耸耸肩并交易?如果你的办公室是那种偶然欺骗新人的类型,看看他们如何反应;微妙和安静,复仇目标,公开和华丽,或笑声和耸耸肩尴尬的尴尬?这些是一些有助于识别潜在复仇破坏者的线索。


6
2018-06-24 19:01



一个乖密的管理员?当然你开玩笑! - Bart Silverstrim