我将聘请一名IT人员来帮助管理办公室的计算机和网络。我们是一家小商店,所以他将是唯一一家从事IT的商店。
当然,我会仔细面试,核对参考资料并进行背景调查。但是您永远都不知道事情会如何解决。
如果我雇用的那个人是邪恶的人,我该如何限制公司的曝光率?如何避免让他成为组织中最有权力的人?
#1 楼
这样做的方式与保护公司免遭客户名单的销售主管,会计挪用资金的主管,或库存管理人员免于消耗一半库存的主要影响的方法相同:信任,但要进行验证。至少,我要求将IT下系统和服务上所有管理员帐户的所有密码都保存在密码安全的环境中(无论是像KeePass一样以数字方式保存,或者是将纸质文字保存在保险箱中) 。您需要定期验证这些帐户是否仍处于活动状态并具有适当的访问权限。大多数经验丰富的IT人员都将这种情况称为“如果我被公交车撞倒”的情况,这是消除故障点的总体思路的一部分。
我在一家公司工作过作为唯一的IT管理员,我们与处理此问题的外部IT顾问保持了关系,这主要是因为该公司过去曾被烧毁(无能为力而不是恶意)。他们具有远程访问密码,可以在被询问时重置必要的管理员密码。但是,他们没有直接访问任何公司数据的权限。他们只能重设密码。当然,由于他们可以重置企业管理员密码,因此可以控制系统。再次,它变成了“信任但验证”。他们确保可以访问系统。我确保他们在我们不知情的情况下不会进行任何更改。
请记住:确保某人不会烧掉您的公司的最简单方法是确保他们感到高兴。确保您的薪水至少是中位数。我听说过太多情况,其中IT人员无意中破坏了一家公司。正确对待您的员工,他们也会照做。
评论
好吧,培根。在发表自己的说法之前,我还没有阅读您的答案。
–joeqwerty
2011年6月24日19:31
这是最好的答案。根据合同获得可信赖的第三方。
– mfinni
2011年6月24日19:51
凭直觉,IT专员会在他被解雇的前一天改变事情以有效地锁定第三方。然后怎样呢?使整个网络脱机,直到您每次有人解雇都可以对其进行审核之前?
–马修·雷德(Matthew Read)
11年6月24日在21:06
-1表示:“我确保他们在我们不知情的情况下不会进行任何更改。”
– Kzqai
11年6月24日在21:29
更好:让完全无法访问您的网络的人存储紧急备用帐户信息。托管服务,外部律师,银行保险库,只有业务合作伙伴才能实际访问。如果您真的很偏执,那就是您的做法。当然,还有一个双密钥系统,在该系统中,始终至少需要2个人才能登录root帐户,两个人都知道一半的密码。
– jwenting
11年6月27日在6:27
#2 楼
您如何防止簿记员贪污您?您如何防止销售人员从供应商那里收取回扣?非IT人士有一个误导性的观念,即我们IT人士实践的是一种以善恶为界的黑色艺术,一时兴起,我们将诉诸邪恶的阴谋诡计,目的是“解雇尖头的老板”。
管理IT员工就像管理其他任何员工。
停止观看描述我们这些人认真对待自己立场的电影,就像我们是流氓一样专心于世界统治和/或破坏。
评论
我的簿记员审核我的销售人员。我的注册会计师审计我的簿记员。谁审核IT人员?它与电影无关,与减轻经商风险有关。
–杰西
2011年6月24日19:44
@Jesse:我听到了。我的回答有点夸张,但是到最后,您需要像管理其他员工一样管理IT员工。如果您需要某人来审核您的IT员工,那么您需要自己承担这一责任或雇用某人来承担这一责任。
–joeqwerty
2011年6月24日19:50
可悲的是,IT之外的许多人都认为,每个IT人员都只能侵入他们的系统,并利用公司机密和银行帐户的密码来逃跑。他们甚至从不认为我们和他们的其他员工一样只是一群人,而这些其他人已经有能力做到这一点而根本不需要破解任何东西,因为他们已经可以访问这些数据了。是他们正常工作的一部分。
– jwenting
11年6月27日在6:22
#3 楼
哇塞!真的么?关于serverfault的棘手问题,尽管我确实理解,但是如果您的问题冒犯了某些问题,请不要惊慌。您可以坚持(并经常测试)在所有内容上拥有自己的管理员/ root用户等效帐户,随机将其中一个异地备份带回家并进行还原,显然尝试从您认识/信任的人中招募或花费大量的时间我最强烈的建议是雇用两个人-都向你报告,他们不仅会彼此诚实,而且在一个人休假或生病的时候你会得到保障。
评论
...我不知道这名员工如何能信任一个非技术人员来监视他的肩膀。这个问题反映了任何企业的问题。但是,IT专家将有能力做各种邪恶的事情。他必须拥有它才能有效地完成工作。
–巴特·银线
2011年6月24日19:15
我有点不愿为非技术用户提供一切服务。除非有实际需要,否则应该有适当的政策来确保非技术人员无法使用它们,除非管理员被解雇了。可以这么说,这不是因为非技术人员觉得有必要开始在邮件服务器周围戳戳或进行其权限范围之外的事情。
–巴特·银线
2011年6月24日19:17
除紧急情况外,合格的管理员会被要求向非技术用户提供管理员密码。那些不知道自己在做什么的人会被诱惑去摆弄他们不应该做的事情。密封它们并将其锁定在保险箱中。
– Paul McMillan
2011年6月25日在1:04
实际上,我碰到了很多这样的小店,一个人或两个人的商店,这些商店只是在挤小生意,以赚取荒谬的金钱来从事非常不专业的工作。我认为这是一个很好的问题。
–SpacemanSpiff
2011年6月26日14:37
#4 楼
您有人力资源人员吗?还是会计师?您如何防止您的HR人员变得邪恶并出售每个人的个人信息?您如何防止会计师或财务人员从公司内部窃取公司所拥有的一切?对于所有职位,您都应该制定适当的程序来限制人员可能造成的损失。您的默认职位应该是您信任所雇用的人员(如果您不信任他们,不雇用他们或不保留他们),但是拥有制衡能力是合理的。
即使对于一家小型公司,您也不应该只有一个“ IT人员”,他是唯一一无所知的人。 (与您不应该只有一个人可以处理工资的情况相同-如果该人生病了该怎么办?)。其他人需要密码,需要检查备份等。
您可以做的一件事就是将文档作为优先事项。确保给您雇用的人一些时间来记录如何设置,并在面试候选人时讨论文件-询问他们过去做过的事情来记录他们的网络,要求查看示例。
我的习惯是始终编写一份或多或少记录所有内容的“系统指南”,包括我们所拥有的设备,其设置方式,遵循的步骤等,等等。不断发展的文档(大多数情况下是一系列文档和文件),但是在任何时候,您都可以复印并了解IT人员如何进行设置,以及在IT情况下其他人需要知道的重要信息家伙被公共汽车撞了。如果您真的想做好准备,则可以请一位外部顾问来阅读系统手册,并告诉您如果IT人员发生任何问题他们需要采取什么措施。
或者,如果您真的很偏执,您可以请外部顾问进来,将系统手册中的内容与他们查看您的系统时所看到的内容进行比较。是否安装了其他软件?有额外的管理员或远程访问帐户吗?
#5 楼
这很困难,因为失败会带来痛苦(您如何从以前的IT人员那里寻找后门?)。如果您的规模很小,以至于您还没有IT部门,那么那种很难限制曝光的分隔结构真的很难实现。除非您需要其他人来执行所有高信任度活动,例如需要Domain Admin凭据的活动,否则必须将其交给新员工。您正在雇用一个对他们具有高度信任的人,因此您需要信任他们作为回报,因此,如果您不确定100%确定,请不要雇用他们。后台检查可以提供帮助。坚持个性的个人建议,而不仅仅是能力;如果他们有LinkedIn个人资料,请询问其某些联系人或坚持与他们联系。
是的,这将是非常麻烦的。如果您真的对某人有疑问,那么这是完全值得的,因为如果发生最坏的情况,企业会为此付出代价。当他们开始时,请与他们紧密合作。了解他们。让整个公司与他们互动。观看他们如何与人合作。
一旦新人的光芒消失了,请观察他们如何应对意外的挫折。他们会变得愤愤不平和轻率,还是耸耸肩摆脱困境?如果您的办公室是对新人不屑一顾的类型,请查看他们的反应;微妙而安静,对复仇目标感到尴尬,公开而浮华,或者是笑而耸了耸肩?这些是可以帮助识别潜在的复仇破坏者的线索。
评论
管理员吗?你当然开玩笑!
–巴特·银线
2011年6月24日19:18
评论
肯定的方法是学习自己的知识。听起来您遇到了工作需要的信任问题。您的标题似乎表明您想保护计算机,但是您的主题似乎是整个网络。@Jesse:所以你是说你的会计师不能挪用你,导致你破产?您的销售经理无法出售您的客户清单,从而导致您蒙受巨大的收入损失?就我个人而言,如果我是一个流氓员工,我宁愿可以访问您的银行帐户,也不能访问您的计算机。
文档,文档,文档。
@joeqwerty:会计师可以使用财务工具;销售经理可以访问销售资料; IT人员可以访问所有内容。
@TomWij如果我是您的IT专家,并且我知道您在支持我管理的系统上做我的IT工作(备份或其他方式),那我会很合适。这将使您付出更多的代价,破坏您与员工之间的任何融洽关系,从长远来看会损害您的公司。不要那样。