如何保护我的公司免受IT人员的侵害？[关闭]

76

我将聘请一名IT人员来帮助管理办公室的计算机和网络。我们是一家小商店，所以他将是唯一一家从事IT业务的商店。

当然，我会仔细面试，检查参考资料，并进行背景调查。但是你永远不知道事情会如何发展。

如果我雇用的那个人是邪恶的，我如何限制我公司的曝光率？我如何避免使他成为组织中最有权力的人？

security best-practices

— 杰西
source

6

肯定的证明方法是自己学习IT。听起来您遇到了工作需要的信任问题。标题似乎表明您想保护计算机，但主题似乎是整个网络。

— Nixphoe

22

@Jesse：所以你是说你的会计师不能挪用你，导致你破产？您的销售经理无法出售您的客户清单，从而造成太多收入损失，使您蒙受损失？就我个人而言，如果我是一个流氓员工，我宁愿使用您的银行帐户，也不要使用计算机。

— joeqwerty

1

文档，文档，文档。

— 斯图尔特（Stuart）

8

@joeqwerty：会计师可以使用财务工具；销售经理有权访问销售资料；IT人士可以使用一切。

— 杰西（Jesse）

3

@TomWij如果我是您的IT专家，并且我知道您在我要求管理的系统上做我的IT工作（备份或其他方式），那我会很合适。这将使您付出更多的代价，破坏您与员工之间的任何融洽关系，从长远来看会损害您的公司。不要那样做

— Paul McMillan

108

这样做的方式与保护公司免遭客户名单的销售主管，会计挪用资金的主管，或库存管理人员免于消耗一半库存的方式（主要是信任，但要进行验证）一样。

至少，我要求将IT下系统和服务上所有管理员帐户的所有密码都保存在密码安全的环境中（无论是像KeePass那样的数字形式，还是保存在安全的原纸上）。您将需要定期验证这些帐户是否仍处于活动状态并具有适当的访问权限。大多数经验丰富的IT人员将其称为“如果我被公交车撞倒”的情况，这是消除故障点的总体思路的一部分。

在我担任唯一IT管理员的那家公司中，我们与处理此问题的外部IT顾问保持着关系，这主要是因为该公司过去曾被烧毁（无能为力比恶意破坏更多）。他们具有远程访问密码，可以在被询问时重置必要的管理员密码。但是，他们没有直接访问任何公司数据的权限。他们只能重设密码。当然，由于他们可以重置企业管理员密码，因此他们可以控制系统。再次，它变成了“信任但验证”。他们确保可以访问系统。我确保他们在我们不知情的情况下不会进行任何更改。

请记住：确保一个人不会烧掉你的公司的最简单方法是确保他们感到高兴。确保您的薪水至少是中位数。我听说过太多情况，其中IT人员无意中破坏了一家公司。正确对待您的员工，他们也会这样做。

— 培根钻头
source

1

好吧，培根。在发表我自己的说法之前，我还没有阅读您的答案。

— joeqwerty

这是最好的答案。根据合同获得可信赖的第三方。

— mfinni 2011年

凭直觉，IT专员会在他被解雇的前一天改变事情以有效地锁定第三方。然后怎样呢？使整个网络脱机，直到您每次有人解雇都可以对其进行审核之前？

— 马修（Matthew）

1

-1表示：“我确保他们在我们不知情的情况下不会进行任何更改。”

— 2011年

1

更好：让完全无法访问您的网络的人存储紧急备用帐户信息。托管服务，外部律师，银行保险库，只有业务合作伙伴才能实际访问。如果您真的很偏执，那就是您的做法。当然，还有一个双密钥系统，在该系统中，始终至少需要2个人才能登录root帐户，两个人都知道一半的密码。

— jwenting 2011年

32

您如何防止簿记员贪污您？您如何防止销售人员从供应商那里收取回扣？

非IT人士有一个误导性的观念，即我们IT人士实践的是一种以善恶为界的黑色艺术，一时兴起，我们将诉诸邪恶的阴谋诡计，以“制止尖尖的上司。 ”。

管理IT员工就像管理任何其他员工一样。

停止观看描述我们这些人的电影，他们认真地对待自己的立场，就好像我们是流氓一样，专心于世界统治和/或破坏。

— 乔伊维蒂
source

13

我的簿记员审核我的销售人员。我的注册会计师审计我的簿记员。谁审核IT人员？它与电影无关，与减轻经商风险有关。

— Jesse

3

@Jesse：我听到了。我的回答有点夸张，但是到最后，您需要像管理其他员工一样管理IT员工。如果您需要某人来审核您的IT员工，那么您需要自己承担这一责任或雇用某人来承担这一责任。

— joeqwerty

3

可悲的是，IT之外的许多人都想到，每个IT人员都只能侵入他们的系统，并利用公司机密和银行帐户的密码来逃跑。他们甚至从不认为我们和他们的其他员工一样只是一群人，而这些其他人已经有能力做到这一点而根本不需要破解任何东西，因为他们已经可以访问这些数据了。是他们正常工作的一部分。

— jwenting 2011年

21

哇塞！真的么？关于serverfault的棘手问题，尽管我确实理解，但是如果您的问题冒犯了某些问题，请不要惊慌。

好的，可行的解决方案；您可以坚持（并经常测试）在所有内容上拥有自己的管理员/ root等效帐户，随机将其中一个异地备份带回家并进行还原，显然尝试从您认识/信任的人中招募或花费大量的时间时间雇用他们。

我最强烈的建议是雇用两个人-都向您报告，他们不仅会彼此诚实，而且在一个人休假或生病时您会得到保障。

— 斩波器3
source

1

...我不知道这名员工如何能信任一个非技术人员来监视他的肩膀。这个问题反映了任何企业的问题。但是，IT专家将有权执行各种邪恶的事情。他必须拥有它才能有效地完成工作。

— 巴特·西尔弗斯特里姆

2

我有点不愿为非技术用户提供一切服务。除非有实际需要，否则应该有适当的政策来确保非技术人员无法使用它们，除非管理员被解雇了。可以这么说，这不是因为非技术人员觉得有必要开始在邮件服务器周围戳戳或进行其权限范围之外的事情。

— 巴特·

1

除紧急情况外，合格的管理员会被要求向非技术用户提供管理员密码。那些不知道自己在做什么的人会被诱惑去摆弄他们不应该做的事情。密封它们并将其锁定在保险箱中。

— Paul McMillan

3

实际上，我碰到了很多这样的小店，一个或两个人的商店，这些商店只是在为小企业挤奶，以赚取荒谬的金钱来从事非常不专业的工作。我认为这是一个很好的问题。

— SpacemanSpiff

11

您有人力资源人员吗？还是会计师？您如何防止您的HR人员变得邪恶并出售每个人的个人信息？您如何防止会计人员或财务人员从公司内部窃取公司拥有的一切资产？

对于所有职位，您都应该有适当的程序来限制一个人可能造成的损失。您的默认职位应该是您信任所雇用的人员（如果您不信任他们，不要雇用他们或不保留他们），但是进行制衡是合理的。

即使对于一家小型公司，您也不应该只有一个“ IT人员”，它是唯一一无所知的人。（与您不应该只有一个人可以处理工资的情况相同-如果该人生病了该怎么办？）。其他人需要密码，需要检查备份等。

您可以做的一件事是使文档成为优先事项。确保给您雇用的人一些时间来记录如何设置，并在面试候选人时讨论文件-询问他们过去做过的事情来记录他们的网络，要求查看示例。

我的习惯是始终编写一份或多或少记录所有内容的“系统指南”，包括我们拥有的设备，如何设置，遵循的程序等。这显然是一个不断发展的文档（一系列文档）和大多数情况下的文件），但是您随时都可以进行复制，以了解IT专员如何进行设置，以及在IT专员被公共汽车撞到时其他人需要知道的重要信息。如果您真的想做好准备，则可以请一位外部顾问来阅读系统手册，并告诉您如果IT人员发生任何事情，他们需要介入什么。

或者，如果您真的很偏执，可以请外部顾问进来，将系统手册中的内容与他们查看您的系统时所看到的内容进行比较。是否安装了其他软件？是否有额外的管理员或远程访问帐户？

— 病房
source

6

这很困难，因为失败会带来痛苦（您如何从以前的IT人员那里寻找后门？）。如果您的规模很小，以至于您还没有IT部门，那么那种很难限制曝光的分隔结构真的很难实现。除非您需要其他人来执行所有高信任度活动，例如需要Domain Admin凭据的活动，否则必须将其交给新员工。

您正在雇用一个对他们具有高度信任的人，因此您需要回报他们，因此，如果您不确定100％确定，请不要雇用他们。后台检查可以提供帮助。坚持个人建议性格不只是能力 ; 如果他们有LinkedIn个人资料，请询问其某些联系人或坚持与他们联系。

是的，这将非常麻烦。如果您真的对某人有疑问，那么这是完全值得的，因为如果发生最坏的情况，企业会为此付出代价。当他们开始时，与他们紧密合作。了解他们。让整个公司与他们互动。观看他们如何与人合作。

一旦新人的光芒消失了，观察他们如何应对意外的挫折。他们会变得愤愤不平和轻率，还是耸耸肩摆脱困境？如果您的办公室是对新人不屑一顾的类型，请查看他们的反应；微妙而安静，对复仇目标感到尴尬，公开而浮华，或者是欢笑而耸了耸肩？这些是可以帮助识别潜在的复仇破坏者的一些线索。

— sysadmin1138
source

1

管理员吗？你当然开玩笑！

— 巴特·