سؤال كيف يمكنني حماية شركتي من رجل تقنية المعلومات الخاص بي؟ [مغلق]


سوف أقوم بتوظيف شخص متخصص في تكنولوجيا المعلومات للمساعدة في إدارة أجهزة الكمبيوتر وشبكة المكاتب الخاصة بي. نحن متجر صغير ، لذا فهو الوحيد الذي يقوم بذلك.

بالطبع ، سأجري المقابلة بعناية ، وأراجع المراجع ، وأجري فحصًا للخلفية. لكنك لا تعرف أبدًا كيف ستسير الأمور.

كيف يمكنني تحديد التعرض لشركتي إذا تبين أن الرجل الذي استأجرته شرير؟ كيف أتجنب جعله الشخص الأقوى في المنظمة؟


76
2018-06-24 18:47


الأصل


الطريقة المؤكدة المؤكدة هي أن تتعلم بنفسك. يبدو أنك تواجه مشكلات تتعلق بالثقة ، والتي تتطلبها الوظيفة. يبدو أن العنوان الخاص بك هو أنك تريد حماية جهاز الكمبيوتر الخاص بك ، ولكن يبدو أن هدفك هو الشبكة بالكامل. - Nixphoe
@ جيسي: إذن أنت تقول أن المحاسب لا يستطيع أن يختلس منك ويجعلك تفلس؟ لم يتمكن مدير المبيعات من بيع قائمة العملاء الخاصة بك مما تسبب في الكثير من الإيرادات المفقودة التي تذهب إليها؟ شخصياً ، إذا كنت موظفاً مارقاً ، فإنني أفضل الوصول إلى حسابك البنكي من حواسبك. - joeqwerty
وثائق ، وثائق ، وثائق. - Stuart
joeqwerty: المحاسب لديه حق الوصول إلى الأشياء المالية ؛ مدير المبيعات لديه حق الوصول إلى أشياء المبيعات. رجل تكنولوجيا المعلومات لديه حق الوصول إلى كل شىء. - Jesse
TomWij إذا كنت شخصًا في مجال تكنولوجيا المعلومات وكنت أعرف أنك كنت تعمل في مجال تكنولوجيا المعلومات خلف ظهري (النسخ الاحتياطي أو غير ذلك) على النظام الذي اتهمتني بإدارته ، كنت أرمي لياقتك. يكلفك أكثر ، ويدمر أي علاقة لديك مع موظفك ، وسوف يلحق الضرر بشركتك على المدى الطويل. لا تفعل هذا - Paul McMillan


الأجوبة:


يمكنك القيام بذلك بنفس الطريقة التي تحمي بها الشركة من رأس المبيعات التي تنفذ مع قائمة العملاء الخاصة بك ، أو رئيس أموال اختلاس المحاسبة ، أو مدير المخزون من الجري مع نصف المخزون ، إلى حد كبير: الثقة ، ولكن تحقق.

على أقل تقدير ، أطلب من جميع كلمات المرور الخاصة بحسابات المسئول على الأنظمة والخدمات تحت تقنية المعلومات أن تبقى في أمان كلمة المرور (إما رقميا مثل KeePass ، أو قطعة ورق حرفية محفوظة في خزنة). بشكل دوري ، ستحتاج إلى التحقق من أن هذه الحسابات لا تزال نشطة ولها حقوق الوصول المناسبة. يدعوا معظم الناس من ذوي الخبرة في تكنولوجيا المعلومات هذا السيناريو "إذا صدمت بواسطة حافلة" ، وهو جزء من الفكرة العامة لإزالة نقاط الفشل.

في أحد الأعمال التي عملت فيها حيث كنت مسؤول تكنولوجيا المعلومات الوحيد ، حافظنا على علاقة مع مستشار تكنولوجيا معلومات خارجي قام بتسليم ذلك ، في المقام الأول لأن الشركة كان تم حرقها في الماضي (بسبب عدم الكفاءة أكثر من الخبث). كان لديهم كلمات مرور الوصول عن بعد ويمكن ، عند سؤالك ، إعادة تعيين كلمات مرور المسؤول الأساسية. لم يكن لديهم الوصول المباشر إلى أي بيانات الشركة ، ولكن. يمكنهم فقط إعادة تعيين كلمات المرور. وبطبيعة الحال ، نظرًا لأنها يمكن أن تعيد تعيين كلمات مرور المشرف المؤسسي ، فإنها يمكن أن تتحكم في الأنظمة. مرة أخرى ، أصبح "الثقة ولكن تحقق". تأكدوا من إمكانية وصولهم إلى الأنظمة. لقد تأكدت من أنهم لم يغيروا أي شيء دون علمنا بذلك.

وتذكر أن أسهل طريقة للتأكد من أن الشخص لا يحرق شركتك هو التأكد من أنهم سعداء. تأكد من أن راتبك لا يقل عن متوسط ​​القيمة. لقد سمعت عن العديد من المواقف التي أضر فيها موظفو تكنولوجيا المعلومات بشركة على حسابهم. عامل موظفيك بشكل صحيح وسيفعلون نفس الشيء.


108
2018-06-24 19:11



حسنا قال بيكون. لم أكن أقرأ إجابتك قبل أن أنشر رأيي بنفس الشيء. - joeqwerty
هذا هو أفضل إجابة. احصل على طرف ثالث موثوق به على أساس العقد. - mfinni
على الحدس ، يقوم رجل تكنولوجيا المعلومات بتغيير الأشياء ليقوم باحتجاز الطرف الثالث بفعالية قبل يوم من إطلاقه. ماذا بعد؟ خذ الشبكة بالكامل دون الاتصال بالإنترنت حتى يمكنك تدقيقها ، في كل مرة تقوم فيها بإطلاق النار على شخص ما؟ - Matthew Read
-1 لـ: "لقد حرصت على عدم تغيير أي شيء دون علمنا بذلك." - Kzqai
أفضل: الحصول على معلومات الحساب الخلفي لحالات الطوارئ التي تم تخزينها بواسطة شخص لا يمتلك إمكانية الوصول إلى شبكتك على الإطلاق. خدمة الضمان ، ومحامي خارجي ، وقبو البنك حيث يوجد فقط الشركاء في الشركة لديهم إمكانية الوصول الفعلي. إذا كنت حقا بجنون العظمة ، هذه هي الطريقة التي تفعل ذلك. وبالطبع لدينا نظام ثنائي المفتاح حيث يوجد دائمًا ما لا يقل عن شخصين مطلوبين لتسجيل الدخول إلى الحساب الجذر ، وكلاهما يعرف نصف كلمة المرور. - jwenting


كيف تحافظ على صاحب الحساب الخاص بك من الاختلاس منك؟ كيف يمكنك منع موظفي المبيعات من الحصول على عمولات من الموردين؟

الناس غير المتمتعين بتكنولوجيا المعلومات لديهم فكرة مضللة بأننا نحن نمارس فنًا أسودًا نمارسه من الخط المتاخم للشر والخير ، وأننا سنلجأ إلى نزوة شائنة حتى نتمكن من إسقاط رئيسه المدلل ".

إدارة موظف تكنولوجيا المعلومات مثل إدارة أي موظف آخر.

توقفوا عن مشاهدة الأفلام التي تصور أولئك منا الذين يأخذون مسؤولية مواقفنا على محمل الجد كما لو كنا وكلاء مارقين نتعامل مع الهيمنة و / أو التدمير العالمي.


32
2018-06-24 19:30



يقوم صاحب كتابي بتدقيق موظفي المبيعات. تقيس تكلفة الاكتساب لمدير الحسابات الخاص بي. من الذي يدقق في تكنولوجيا المعلومات؟ لا علاقة لها بالأفلام ، بل لها علاقة بتخفيف مخاطر ممارسة الأعمال. - Jesse
@ جيسي: أسمع لك. هناك القليل من الغلو في إجابتي ، ولكن في نهاية الأمر تحتاج إلى إدارة فريق تكنولوجيا المعلومات لديك مثلما تفعل بقية الموظفين لديك. إذا كنت بحاجة إلى شخص ما لتدقيق موظفي تكنولوجيا المعلومات الخاصة بك ، فأنت بحاجة إلى تحمل هذه المسؤولية بنفسك أو استئجار شخص ما لتوليها. - joeqwerty
للأسف العديد من خارج تكنولوجيا المعلومات لديهم فكرة أن كل شخص تكنولوجيا المعلومات هو فقط للخروج إلى أنظمتها وتنفجر مع أسرار الشركة وكلمات المرور إلى حساب مصرفي. فهم لا يفكرون أبداً في أننا مجرد مجموعة أخرى من الناس مثلهم مثل باقي موظفيهم ، وأن هؤلاء الآخرين لديهم بالفعل الوسائل للقيام بذلك فقط دون الحاجة إلى اختراق أي شيء على الإطلاق لأنهم يحصلون على هذه البيانات جزء من وظائفهم العادية. - jwenting


حقا؟ سؤال جاسء لطرحه على خادم ، لا تنزعج إذا كان بعض سخط من سؤالك ، على الرغم من أنني أفهم.

حسناً ، حلول عملية يمكنك الإصرار على (وكثيراً ما تختبر) وجود حساباتك الخاصة بالمشرف / الجذر في كل شيء ، واتخاذ عشوائي لنسخ احتياطية خارج الموقع واستعادتها ، ومن الواضح أنك تحاول تجنيد أشخاص تعرفهم / تثق بهم أو تنفق قدراً كبيراً من الوقت توظيفها.

أقترحي الأقوى هو تعيين شخصين - كلاهما يقدمان لك ، ليس فقط سيبقيان بعضهما البعض صادقين ولكن سيكون لديك تغطية عندما يكون الشخص في إجازة أو مريض.


21
2018-06-24 18:57



... أتساءل كيف يمكن للاعبين الوثوق بشخص غير تكنولوجي أن يراقب على كتفه. هذا السؤال يعكس القضايا لأي عمل تجاري. لكن الشخص المسؤول عن تكنولوجيا المعلومات سيكون لديه القوة للقيام بكل أنواع الأشياء الشائنة. يجب عليه أن يقوم بعمله بفعالية. - Bart Silverstrim
أنا نوع من تذلل في وجود حسابات لكل شيء لمستخدم غير التكنولوجيا. يجب أن تكون هناك سياسات في مكانها للتأكد من عدم وجودها لغير التكنولوجيا لاستخدامها ما لم تكن هناك حاجة فعلية ... على سبيل المثال ، يتم تشغيل المشرف. ليس لأن الناس غير التقنيين يشعرون بالحاجة إلى البدء بدس حول خادم البريد أو القيام بشيء ليس في ولايتهم ، إذا جاز التعبير. - Bart Silverstrim
سيحجم المشرف المختص عن كونه مطلوبًا لتزويد المستخدمين غير التقنيين بكلمات مرور إدارية باستثناء حالات الطوارئ. الناس الذين لا يعرفون ما يفعلونه سوف يميلون إلى الفوضى مع الأشياء التي لا ينبغي عليهم القيام بها. اغلاق محكم لهم وقفلهم في مكان آمن. - Paul McMillan
في الواقع ، أنا واجهت هذا كثيرا ، رجل واحد صغير أو اثنين من المحلات التجارية الرجل التي هي مجرد حلب الشركات الصغيرة لأغبياء سخيفة من المال للعمل غير المهني للغاية. أعتقد أن هذا سؤال رائع. - SpacemanSpiff


هل لديك شخص في الموارد البشرية؟ أو محاسب؟ كيف تحتفظ بشخص الموارد البشرية الخاص بك من الشر وبيع المعلومات الشخصية للجميع؟ كيف تحافظ على محاسبك أو تمول الناس من سرقة كل شيء تملكه الشركة من تحتك؟

بالنسبة لجميع الوظائف ، يجب أن يكون لديك إجراءات تحد من مقدار الضرر الذي يمكن أن يقوم به الشخص. يجب أن يكون وضعك الافتراضي هو أنك تثق في الأشخاص الذين تستأجرهم (إذا لم تكن تثق بهم ، أو لا توظفهم أو لا تحتفظ بهم) ، ولكن من المعقول أن يكون لديك ضوابط وأرصدة.

حتى بالنسبة لشركة صغيرة ، لا ينبغي أن يكون لديك سوى "شخص تكنولوجيا المعلومات" الذي هو الوحيد الذي يعرف أي شيء. (مثلما لا يجب أن يكون لديك شخص واحد فقط يمكنه التعامل مع الرواتب - ماذا لو مرض هذا الشخص؟). يحتاج شخص آخر إلى كلمات مرور ، ويحتاج إلى التحقق من النسخ الاحتياطية ، وما إلى ذلك.

شيء واحد يمكنك القيام به هو جعل الوثائق أولوية. تأكد من إعطاء الشخص الذي تتعاقد معه الوقت لتوثيق كيفية إعداد الأشياء ومناقشة الوثائق عند إجراء مقابلة مع المرشحين - اسأل عما فعلوه في الماضي لتوثيق شبكتهم ، واطلب رؤية عينة.

من عادتي أن أجمع دائمًا "دليل الأنظمة" الذي يحتوي على مستندات أكثر أو أقل كل شىء - ما هي المعدات التي لدينا ، وكيف تم إعدادها ، والإجراءات التي نتبعها ، إلخ. إلخ. إنها وثيقة دائمة التطور (سلسلة من المستندات والملفات في معظم الحالات) ، ولكن في أي وقت يمكنك الحصول على نسخة والحصول على فكرة عن كيفية قيام رجل تكنولوجيا المعلومات بوضع الأشياء وما هي المعلومات الهامة التي يحتاج شخص آخر إلى معرفتها في حالة إصابة شخص تكنولوجيا المعلومات بحافلة. إذا كنت تريد بالفعل أن تكون مستعدًا ، فيمكنك الحصول على خبير استشاري خارجي لتخطي دليل الأنظمة وإخبارك بما يحتاج إليه للتدخل إذا حدث أي شيء لشخص تكنولوجيا المعلومات.

أو ، إذا كنت حقًا مصابًا بجنون العظمة ، يمكنك الحصول على الاستشاري الخارجي للقدوم ومقارنة ما يوجد في دليل الأنظمة مع ما يراه إذا نظروا إلى أنظمتك. هل هناك برامج أخرى مثبتة؟ هل هناك مشرف إضافي أو حسابات وصول عن بعد؟


11
2018-06-24 19:12





من الصعب ، لأن الفشل يجلب الألم ( كيف تبحث عن خلفي من شخص تكنولوجيا المعلومات السابق؟ ). إذا كنت صغيرًا بدرجة كافية بحيث لا يكون لديك بالفعل وجود لتكنولوجيا المعلومات ، فإن هذا النوع من الهياكل المجزأة التي يمكنها الحد من التعرض هو في الواقع أمر يصعب تنفيذه. ما لم يكن لديك شخص آخر للقيام بجميع أنشطة الثقة العالية مثل الأشياء التي تتطلب بيانات اعتماد مسؤول المجال ، سيكون عليك إعطائها إلى مستأجرتك الجديدة.

أنت تستأجر شخصًا يثق به عالٍ ، لذا عليك أن تثق به في المقابل ، لذلك إذا لم تكن متأكدًا بنسبة 100٪ ، فلا تستأجرها. الشيكات الخلفية يمكن أن تساعد. الإصرار على التوصيات الشخصية لل حرف ليس مجرد مهارة. إذا كان لديهم ملف شخصي في LinkedIn ، اطلب من بعض جهات الاتصال الخاصة بهم أو أصر على الاتصال بهم.

نعم ، سيكون هذا تدخليًا للغاية. إذا كان لديك بالفعل شكوك حول شخص ما ، فإن الأمر يستحق ذلك تمامًا نظرًا لتكلفة الأعمال في حالة حدوث الأسوأ. عندما يبدأون العمل معهم عن كثب. تعرف عليهم. دع الشركة بأكملها تتفاعل معهم. شاهد كيف يعملون مع الناس.

بمجرد أن يتوهج توهج العمل الجديد ، شاهد كيف يتعامل مع النكسات غير المتوقعة. هل يشعرون بالاستياء والسخط ، أم أنهم يتجاهلونها ويتعاملون معها؟ إذا كان مكتبك هو النوع الذي يقوم بعمل هزات عارضة لأشخاص جدد ، انظر كيف يتصرفون ؛ خفية وهادئة مع الكثير من الإحراج على الهدف الانتقام ، علانية وبراقة ، أو الضحك والتجاهل به؟ هذه بعض من القرائن التي يمكن أن تساعد في تحديد أي مخاطرة انتقامية محتملة.


6
2018-06-24 19:01



مشرف مشرف؟ من المؤكد أنك لفتة! - Bart Silverstrim