Question Comment protéger mon entreprise de mon informaticien? [fermé]


Je vais engager un informaticien pour aider à gérer les ordinateurs et le réseau de mon bureau. Nous sommes un petit magasin, alors il sera le seul à faire de l'informatique.

Bien sûr, je vais interroger soigneusement, vérifier les références et faire une vérification des antécédents. Mais vous ne savez jamais comment les choses vont s'arranger.

Comment puis-je limiter l'exposition de mon entreprise si le type que j'engage s'avère être pervers? Comment puis-je éviter de faire de lui la personne la plus puissante de l'organisation?


76
2018-06-24 18:47


origine


Le moyen sûr est d’apprendre à le faire soi-même. Il semble que vous ayez des problèmes de confiance, ce que le travail exige. Votre titre semble indiquer que vous souhaitez protéger votre ordinateur, mais votre sujet semble appartenir à l'ensemble de votre réseau. - Nixphoe
@ Jesse: Vous dites donc que votre comptable ne pourrait pas vous détourner et vous faire faire faillite? Votre directeur des ventes ne pouvait pas vendre votre liste de clients, causant une telle perte de revenus que vous allez perdre? Personnellement, si j'étais un employé malhonnête, je préférerais de loin avoir accès à votre compte bancaire plutôt qu'à vos ordinateurs. - joeqwerty
Documentation, Documentation, Documentation. - Stuart
@ joeqwerty: le comptable a accès à des ressources financières; le directeur des ventes a accès aux documents de vente; le gars de l'informatique a accès à tout. - Jesse
@TomWij si j'étais votre informaticien et que je savais que vous travailliez derrière mon dos (sauvegardes ou autre) sur le système que vous m'aviez chargé de gérer, je me mettrais à fond. Cela vous coûte plus cher, détruit toute relation que vous entretenez avec votre employé et endommagera votre entreprise à long terme. Ne fais pas ça. - Paul McMillan


Réponses:


Vous le faites de la même manière que vous protégez la société contre la gestion des ventes avec votre liste de clients, ou avec le responsable des fonds détournés de la comptabilité, ou contre le responsable des stocks de la gestion de la moitié des stocks, en grande partie: faites confiance, mais vérifiez.

À tout le moins, j'exigerais que tous les mots de passe de tous les comptes d'administrateur sur des systèmes et des services relevant du service informatique soient conservés dans un coffre sécurisé (soit numériquement, comme KeePass, ou sur une feuille de papier conservée dans un coffre-fort). Périodiquement, vous devrez vérifier que ces comptes sont toujours actifs et disposent des droits d'accès appropriés. La plupart des informaticiens expérimentés appellent cela le scénario "si je suis touché par un bus" et cela fait partie de l'idée générale d'éliminer les points de défaillance.

Dans l’entreprise dans laquelle je travaillais, où j’étais le seul administrateur informatique, nous avons entretenu une relation avec un consultant informatique externe qui l’a remis, principalement parce que la société eu été brûlés dans le passé (par incompétence plus que malice). Ils avaient des mots de passe d'accès à distance et pouvaient, à la demande, réinitialiser les mots de passe administrateur essentiels. Cependant, ils n’avaient aucun accès direct aux données de la société. Ils ne pouvaient que réinitialiser les mots de passe. Bien sûr, puisqu'ils pourraient réinitialiser les mots de passe de l'administrateur d'entreprise, ils pourraient prendre le contrôle des systèmes. Encore une fois, il est devenu "Trust but Verify". Ils se sont assurés de pouvoir accéder aux systèmes. Je me suis assuré qu'ils ne changeaient rien sans que nous le sachions.

Et rappelez-vous: le moyen le plus simple de s’assurer qu’une personne ne brûle pas votre entreprise est de s’assurer de son bonheur. Assurez-vous que votre salaire est au moins égal à la valeur médiane. J'ai entendu parler de trop nombreuses situations dans lesquelles le personnel informatique avait endommagé une entreprise par dépit. Traitez vos employés correctement et ils feront de même.


108
2018-06-24 19:11



Bien dit Bacon. Je n'avais pas lu votre réponse avant de poster la mienne en disant la même chose. - joeqwerty
C'est la meilleure réponse. Obtenez un tiers de confiance sur une base contractuelle. - mfinni
Sur l'intuition, le responsable informatique change les choses pour verrouiller efficacement le tiers la veille de son licenciement. Quoi alors? Mettez tout le réseau hors ligne jusqu'à ce que vous puissiez le faire vérifier, chaque fois que vous congédiez quelqu'un? - Matthew Read
-1 pour: "Je me suis assuré qu'ils ne changeaient rien sans que nous le sachions." - Kzqai
Mieux: faites stocker les informations de compte d'urgence par une personne n'ayant aucun accès à votre réseau. Un service d'entiercement, un avocat externe, le coffre-fort bancaire auquel seuls les partenaires de l'entreprise ont un accès physique. Si vous êtes vraiment paranoïaque, c'est comme ça que vous le faites. Et bien sûr, vous avez un système à double clé dans lequel il faut toujours au moins deux personnes pour se connecter au compte root, les deux connaissant la moitié du mot de passe. - jwenting


Comment empêchez-vous votre comptable de vous détourner? Comment empêchez-vous votre personnel de vente de recevoir des commissions de vos fournisseurs?

Les non-informaticiens ont la fausse idée que nous, informaticiens, pratiquons un art noir que nous exerçons depuis les frontières du bien et du mal et que, sur un coup de tête, nous recourrons à une machination néfaste dans le but de "faire tomber le patron aux cheveux pointus". ".

Gérer un employé informatique revient à gérer n'importe quel autre employé.

Arrêtez de regarder des films qui représentent ceux d’entre nous qui prenons au sérieux la responsabilité de nos positions comme si nous étions des agents voyous déterminés à dominer et / ou à détruire le monde.


32
2018-06-24 19:30



Mon comptable vérifie mon personnel de vente. Mon CPA vérifie mon comptable. Qui audite le gars de l'informatique? Cela n'a rien à voir avec les films, mais plutôt avec l'atténuation des risques liés aux affaires. - Jesse
@ Jesse: je vous entends. Ma réponse contient un peu d'hyperbole, mais vous devez ensuite gérer votre personnel informatique comme le reste de votre personnel. Si vous avez besoin de quelqu'un pour auditer votre personnel informatique, vous devez assumer vous-même cette responsabilité ou embaucher quelqu'un pour l'assumer. - joeqwerty
malheureusement, beaucoup de personnes en dehors du système informatique ont l’idée que chaque informaticien n’a plus qu’à chercher dans ses systèmes et à s'enfuir avec les secrets de la société et les mots de passe du compte bancaire. Ils ne considèrent même jamais que nous sommes juste un autre groupe de personnes, tout comme le reste de leurs employés, et que ces autres personnes ont déjà les moyens de le faire sans avoir à casser quoi que ce soit, car elles ont accès à ces données une partie de leur travail régulier. - jwenting


Oh vraiment? question intrépide à poser sur serverfault, ne vous inquiétez pas si votre question choque certains, même si je comprends.

Ok, des solutions pratiques; vous pouvez insister (et fréquemment tester) avoir votre propre compte administrateur / équivalent root sur tout, ramener au hasard une des sauvegardes hors site et la restaurer, évidemment essayer de recruter des personnes que vous connaissez / en qui vous avez confiance ou de dépenser beaucoup d'argent. temps les employant.

Ma suggestion la plus forte consisterait à embaucher deux personnes - les deux se rapportant à vous, non seulement resteront-elles honnêtes, mais vous aurez une couverture pour une personne en vacances ou malade.


21
2018-06-24 18:57



... Je me demande comment un employé peut faire confiance à un non-technicien pour le surveiller par-dessus son épaule. Cette question reflète des problèmes pour toute entreprise. Mais le responsable informatique aura le pouvoir de faire toutes sortes de choses néfastes. Il DOIT l'avoir pour faire son travail efficacement. - Bart Silverstrim
Je suis un peu grincheux pour avoir des comptes pour tout pour un utilisateur non-tech. Il devrait y avoir des politiques en place pour s'assurer qu'elles ne sont pas là pour que les non-techniciens les utilisent, sauf en cas de besoin réel ... c'est-à-dire si l'administrateur est renvoyé. Pas parce que les non-techniciens ressentent le besoin de commencer à fouiller dans le serveur de messagerie ou à faire quelque chose qui ne relève pas de leur juridiction, pour ainsi dire. - Bart Silverstrim
Un administrateur compétent hésitera à fournir aux utilisateurs non techniques des mots de passe administrateur, sauf en cas d'urgence. Les gens qui ne savent pas ce qu'ils font seront tentés de perdre leur temps avec des choses qu'ils ne devraient pas. Joint eux et les enfermer dans un coffre-fort. - Paul McMillan
En fait, je rencontre souvent ce genre de petites boutiques, un ou deux hommes, qui ne font que traire les petites entreprises pour des sommes ridicules d'argent pour un travail très peu professionnel. Je pense que c'est une excellente question. - SpacemanSpiff


Avez-vous une personne des ressources humaines? Ou un comptable? Comment empêchez-vous vos ressources humaines de faire le mal et de vendre les informations personnelles de chacun? Comment empêchez-vous votre comptable ou vos finances de voler tout ce que la société possède en dessous de vous?

Des procédures devraient être en place pour tous les postes, limitant les dommages qu'une personne peut causer. Votre position par défaut devrait être que vous faites confiance aux personnes que vous embauchez (si vous ne leur faites pas confiance, ne les embauchez pas ou ne les gardez pas), mais il est raisonnable de disposer de freins et contrepoids.

Même pour une petite entreprise, vous ne devriez pas avoir un seul "informaticien" qui est le seul à savoir quoi que ce soit. (comme vous ne devriez pas avoir une seule personne capable de gérer la paie - que se passe-t-il si cette personne tombe malade?). Quelqu'un d'autre a besoin de mots de passe, de vérifier les sauvegardes, etc.

Une chose que vous pouvez faire est de faire de la documentation une priorité. Assurez-vous de donner à la personne que vous engagez du temps pour documenter la manière dont les choses sont organisées et discuter de la documentation lorsque vous interviewez des candidats - demandez ce qu'ils ont fait dans le passé pour documenter leur réseau, demandez à voir un échantillon.

C’est mon habitude de toujours créer un "Guide des systèmes" qui contient plus ou moins de documents. tout - quel équipement avons-nous, comment sont-ils installés, quelles procédures suivons-nous, etc. C'est évidemment un document en constante évolution (série de documents et de dossiers dans la plupart des cas), mais à tout moment, vous pouvez en prendre copie et obtenir une idée de la manière dont l'informaticien a mis les choses en place et des informations critiques qu'une autre personne doit connaître au cas où l'informaticien serait frappé par un bus. Si vous voulez vraiment être préparé, vous pouvez faire appel à un consultant externe pour consulter le manuel du système et vous indiquer ce qu’il faudrait faire si le responsable informatique devait intervenir.

Ou, si vous êtes vraiment paranoïaque, vous pouvez faire appel à un consultant externe pour qu'il compare le contenu du manuel des systèmes à ce qu'il voit s'il examine vos systèmes. Est-ce qu'un autre logiciel est installé? Existe-t-il des comptes administrateur ou d'accès à distance supplémentaires?


11
2018-06-24 19:12





C'est difficile, car l'échec est douloureux ( Comment recherchez-vous les backdoors de la personne précédente informatique? ). Si vous êtes assez petit pour ne pas avoir déjà une présence informatique, le type de structures compartimentées pouvant limiter l'exposition est vraiment, vraiment difficile à mettre en place. Sauf si vous avez quelqu'un d'autre pour faire toutes les activités à haute confiance, telles que celles qui requièrent des informations d'identification d'administrateur de domaine, vous devrez les donner à votre nouvel employé.

Vous embauchez quelqu'un qui bénéficiera d'une grande confiance. Vous devez donc leur faire confiance en retour. Si vous n'êtes pas certain à 100%, ne les embauchez pas. Les vérifications des antécédents peuvent aider. Insister sur les recommandations personnelles de personnage pas seulement compétence; s'ils ont un profil LinkedIn, demandez à certains de leurs contacts ou insistez pour les contacter.

Oui, ce sera très intrusif. Si vous avez vraiment des doutes sur quelqu'un, cela en vaut la peine en raison du coût pour l'entreprise au cas où le pire se produirait. Quand ils commencent, travaillez avec eux très étroitement. Apprenez à les connaître. Laissez toute la société interagir avec eux. Regardez comment ils travaillent avec les gens.

Une fois que la nouvelle lueur a disparu, observez comment ils gèrent les revers inattendus. Est-ce qu'ils ont du ressentiment et sont honteux, ou est-ce qu'ils s'en vont et traitent? Si votre bureau est du genre à bizuter occasionnellement de nouvelles personnes, voyez comment elles réagissent; subtile et calme avec beaucoup d'embarras sur la cible de vengeance, manifeste et flashy, ou rire et haussant les épaules? Ce sont quelques-uns des indices qui peuvent aider à identifier un saboteur potentiel de vengeance.


6
2018-06-24 19:01



Un administrateur hargneux? Vous plaisantez sûrement! - Bart Silverstrim