Como protejo minha empresa do meu pessoal de TI? [fechadas]

76

Vou contratar um técnico de TI para ajudar a gerenciar os computadores e a rede do meu escritório. Como somos uma loja pequena, ele será o único a fazer TI.

Obviamente, vou entrevistar com cuidado, verificar referências e executar uma verificação de antecedentes. Mas você nunca sabe como as coisas vão funcionar.

Como faço para limitar a exposição da minha empresa se o cara que eu contratar acaba sendo mau? Como evito torná-lo a pessoa mais poderosa da organização?

security best-practices Jesse
fonte
6
A maneira mais segura de aprender é aprender a TI. Parece que você está tendo problemas de confiança, exigidos pelo trabalho. Seu título parece indicar que você deseja proteger seu computador, mas seu assunto parece toda a sua rede.
Nixphoe
22
@Jesse: Então você está dizendo que seu contador não pode desviar seu dinheiro e levá-lo à falência? Seu gerente de vendas não conseguiu vender sua lista de clientes, causando tanta receita perdida que você está abaixo? Pessoalmente, se eu fosse um funcionário desonesto, prefiro ter acesso à sua conta bancária do que aos seus computadores.
joeqwerty
1
Documentação, documentação, documentação.
Stuart
8
@joeqwerty: o contador tem acesso a coisas financeiras; o gerente de vendas tem acesso ao material de vendas; o cara de TI tem acesso a tudo .
Jesse
3
@ TomWij, se eu fosse seu técnico de TI e soubesse que você trabalhava com TI nas minhas costas (backups ou outros) no sistema que você me encarregava de gerenciar, eu tentaria. Custa mais, destrói qualquer relacionamento que você tenha com seu funcionário e prejudicará sua empresa a longo prazo. Não faça isso.
Paul McMillan

Respostas:

108

Você faz da mesma maneira que protege a empresa contra o chefe de vendas fugindo com sua lista de clientes, ou o chefe de fundos fraudulentos da Contabilidade, ou o gerente de estoque fugindo com metade do estoque, principalmente: Confie, mas verifique.

No mínimo, eu exigiria que todas as senhas de todas as contas de Administrador nos sistemas e serviços de TI sejam mantidas em uma senha segura (digitalmente como o KeePass ou um pedaço de papel literal em um cofre). Periodicamente, você precisará verificar se essas contas ainda estão ativas e têm direitos de acesso apropriados. O pessoal de TI mais experiente chama esse cenário de "se eu sou atropelado por um ônibus" e faz parte da idéia geral de eliminar pontos de falha.

Na única empresa em que trabalhei onde era o único administrador de TI, mantivemos um relacionamento com um consultor externo de TI que o entregou, principalmente porque a empresa havia sido queimada no passado (por incompetência mais do que malícia). Eles tinham senhas de acesso remoto e, quando solicitado, redefiniram as senhas essenciais do administrador. Eles não tinham acesso direto a nenhum dado da empresa. Eles só podiam redefinir senhas. Obviamente, como eles poderiam redefinir as senhas de administrador da empresa, eles poderiam assumir o controle dos sistemas. Novamente, tornou-se "Confie, mas verifique". Eles garantiram que pudessem acessar os sistemas. Garanti que eles não mudassem nada sem que soubéssemos disso.

E lembre-se: a maneira mais fácil de garantir que uma pessoa não queime sua empresa é garantir que ela seja feliz. Verifique se o seu pagamento é pelo menos no valor médio. Já ouvi muitas situações em que o pessoal de TI danificou uma empresa por despeito. Trate seus funcionários corretamente e eles farão o mesmo.

Pedaços de bacon
fonte
1
Bem disse Bacon. Eu não tinha lido sua resposta antes de postar a minha, dizendo a mesma coisa.
joeqwerty
Esta é a melhor resposta. Adquira um terceiro confiável por contrato.
mfinni
Por intuição, o pessoal de TI muda as coisas para bloquear efetivamente o terceiro dia antes de ser demitido. O que então? Coloque toda a rede offline, até que você possa auditá-la, toda vez que demitir alguém?
Matthew Leia
1
-1 para: "Eu garanti que eles não mudassem nada sem que soubéssemos."
precisa saber é o seguinte
1
melhor: tenha as informações da conta de retorno de emergência armazenadas por alguém sem acesso à sua rede. Um serviço de custódia, um advogado externo, o cofre do banco onde apenas os parceiros da empresa têm acesso físico. Se você é realmente paranóico, é assim que você faz. E, é claro, tem um sistema de chave dupla no qual sempre há pelo menos duas pessoas necessárias para fazer login na conta raiz, ambas sabendo metade da senha.
jwenting
32

Como você evita que seu contador desvie de você? Como você evita que sua equipe de vendas receba propinas de seus fornecedores?

Pessoas que não são de TI têm uma noção equivocada de que nós, praticantes de TI, praticamos uma arte negra que usamos da linha que limita o bem e o mal e que, por capricho, recorreremos a alguma maquinação nefasta só com o objetivo de "derrubar o chefe de cabelos pontudos "

Gerenciar um funcionário de TI é como gerenciar qualquer outro funcionário.

Pare de assistir a filmes que retratam aqueles de nós que levam a sério a responsabilidade de nossas posições como se fôssemos agentes desonestos que se dedicam à dominação e / ou destruição do mundo.

joeqwerty
fonte
13
Meu contador audita minha equipe de vendas. Meu CPA audita meu contador. Quem audita o cara de TI? Não tem nada a ver com filmes, tem a ver com mitigar os riscos de fazer negócios.
Jesse
3
@ Jessie: eu ouço você. Há um pouco de exagero na minha resposta, mas, no final, você precisa gerenciar sua equipe de TI como faz com o restante da equipe. Se você precisar de alguém para auditar sua equipe de TI, precisará assumir essa responsabilidade ou contratar alguém para assumi-la.
joeqwerty
3
infelizmente, muitos fora da TI têm a ideia de que toda pessoa de TI só deseja invadir seus sistemas e fugir com os segredos da empresa e as senhas da conta bancária. Eles nunca consideram que somos apenas mais um grupo de pessoas como o resto de seus funcionários, e que esses outros já têm os meios para fazer exatamente isso sem precisar quebrar nada, porque eles têm acesso a esses dados como parte de seu trabalho regular.
jwenting
21

Uau! Sério? pergunta corajosa a ser feita no serverfault, não se assuste se alguns forem ofendidos por sua pergunta, embora eu entenda.

Ok, soluções práticas; você pode insistir em (e frequentemente testar) ter suas próprias contas de administrador / raiz em tudo, levar aleatoriamente um dos backups externos para casa e restaurá-lo, obviamente, tente recrutar pessoas que você conheça / confie ou gaste bastante tempo empregando-os.

Minha sugestão mais forte seria contratar duas pessoas - ambas se reportando a você, não apenas se manterão honestas, mas você terá cobertura para quando alguém estiver de férias ou doente.

Chopper3
fonte
1
... Gostaria de saber como o contratado pode confiar que uma pessoa não-técnica esteja vigiando por cima do ombro. Esta pergunta reflete problemas para qualquer empresa. Mas o pessoal de TI terá poder para fazer todo tipo de coisa nefasta. Ele tem que ter, a fim de fazer seu trabalho de forma eficaz.
Bart Silverstrim
2
Eu meio que me arrepio por ter contas de tudo para um usuário não técnico. Deve haver políticas em vigor para garantir que elas não existam para os não-técnicos usá-las, a menos que haja uma necessidade real ... ou seja, o administrador ser demitido. Não porque as pessoas não-tecnológicas sintam a necessidade de começar a bisbilhotar o servidor de correio ou fazer algo que não esteja em sua jurisdição, por assim dizer.
Bart Silverstrim
1
Um administrador competente se recusará a fornecer senhas de administrador a usuários não técnicos, exceto em emergências. As pessoas que não sabem o que estão fazendo ficarão tentadas a mexer com coisas que não deveriam. Selá- los e trancá-los em um cofre.
Paul McMillan
3
Na verdade, eu me deparo com isso muito, pequenas lojas de um ou dois homens que estão apenas pedindo pequenas empresas por montes ridículos de dinheiro por trabalhos muito pouco profissionais. Eu acho que essa é uma ótima pergunta.
precisa
11

Você tem uma pessoa de RH? Ou um contador? Como você evita que sua pessoa de RH seja má e venda as informações pessoais de todos? Como você evita que seu contador ou pessoal de finanças roube tudo o que a empresa possui debaixo de você?

Para todas as posições, você deve ter procedimentos para limitar o dano que uma pessoa pode causar. Sua posição padrão deve ser confiar nas pessoas que você contrata (se você não confia nelas, não as contrata ou não as mantém), mas é razoável ter freios e contrapesos.

Mesmo para uma empresa pequena, você não deve ter apenas uma "pessoa de TI" que é a única que sabe alguma coisa. (o mesmo que você não deveria ter apenas uma pessoa que pode lidar com a folha de pagamento - e se essa pessoa ficar doente?). Outra pessoa precisa de senhas, precisa verificar os backups, etc.

Uma coisa que você pode fazer é tornar a documentação uma prioridade. Dê tempo à pessoa contratada para documentar como as coisas são configuradas e discuta a documentação ao entrevistar os candidatos - pergunte o que eles fizeram no passado para documentar sua rede, peça para ver uma amostra.

É meu hábito montar sempre um "Guia de Sistemas" que documenta quase tudo - que equipamento temos, como é configurado, procedimentos que seguimos etc. etc. Obviamente, é um documento em constante evolução (série de documentos e arquivos na maioria dos casos), mas a qualquer momento você pode tirar uma cópia e ter uma idéia de como o técnico de TI configurou as coisas e quais informações críticas alguém precisa saber caso o técnico de TI seja atropelado por um ônibus. Se você realmente quer estar preparado, pode solicitar a um consultor externo que leia o manual de sistemas e diga o que eles precisam para intervir se algo acontecer com o pessoal de TI.

Ou, se você é realmente paranóico, pode solicitar ao consultor externo e comparar o que há no manual de sistemas com o que eles veem se olharem para seus sistemas. Existe outro software instalado? Existem contas extras de administrador ou acesso remoto?

Ala
fonte
6

É difícil, pois a falha traz problemas ( como você pesquisa backdoors da pessoa anterior de TI? ). Se você é pequeno o suficiente para não ter uma presença de TI, o tipo de estruturas compartimentadas que podem limitar a exposição é muito, muito difícil de implementar. A menos que você tenha outra pessoa para realizar todas as atividades de alta confiança, como coisas que exigem credenciais de Administrador de Domínio, será necessário entregá-lo ao seu novo contratado.

Você está contratando alguém com alta confiança depositada neles; portanto, você deve confiar neles em troca. Se não tiver 100% de certeza, não os contrate. Verificações de antecedentes podem ajudar. Insista em recomendações pessoais de caráter e não apenas competência ; se eles têm um perfil no LinkedIn, pergunte a alguns de seus contatos ou insista em contatá-los.

Sim, isso será muito intrusivo. Se você realmente tem dúvidas sobre alguém, vale a pena devido ao custo para os negócios, caso o pior aconteça. Quando eles começarem, trabalhe com eles de muito perto. Conheça-os. Deixe a empresa inteira interagir com eles. Veja como eles trabalham com as pessoas.

Depois que o brilho do novo emprego acabar, observe como eles lidam com contratempos inesperados. Eles ficam ressentidos e mal-humorados, ou dão de ombros e negociam? Se seu escritório é do tipo que faz trotes casuais de novas pessoas, veja como elas reagem; sutil e quieto, com muita vergonha no alvo da vingança, aberto e chamativo, ou gargalhadas e encolhendo os ombros? Estas são algumas das pistas que podem ajudar a identificar um potencial sabotador de vingança.

sysadmin1138
fonte
1
Um administrador ranzinza? Certamente você está brincando!
Bart Silverstrim