¿Cómo protejo a mi empresa de mi chico de TI? [cerrado]

76

Voy a contratar a un técnico de TI para ayudar a administrar las computadoras y la red de mi oficina. Somos una tienda pequeña, así que él será el único que lo hará.

Por supuesto, entrevistaré cuidadosamente, verifcaré referencias y haré una verificación de antecedentes. Pero nunca se sabe cómo funcionarán las cosas.

¿Cómo limito la exposición de mi empresa si el chico que contrato resulta ser malvado? ¿Cómo evito convertirlo en la persona más poderosa de la organización?

security best-practices Jesse
fuente
66
La forma segura de probarlo es aprenderlo usted mismo. Parece que tiene problemas de confianza, lo que requiere el trabajo. Su título parece indicar que desea proteger su computadora, pero su tema parece toda su red.
Nixphoe
22
@Jesse: ¿Entonces estás diciendo que tu contador no pudo malversarte y hacerte caer en bancarrota? ¿Su gerente de ventas no pudo vender su lista de clientes causando tantos ingresos perdidos que usted pierde? Personalmente, si fuera un empleado deshonesto, preferiría tener acceso a su cuenta bancaria que a sus computadoras.
joeqwerty
1
Documentación, Documentación, Documentación.
Stuart
8
@joeqwerty: El contador tiene acceso a cosas financieras; el gerente de ventas tiene acceso a cosas de ventas; El chico de TI tiene acceso a todo .
Jesse
3
@TomWij si yo fuera tu chico de TI y supiera que estás haciendo el trabajo de TI a mis espaldas (copias de seguridad o de otro tipo) en el sistema que me encargaste de administrar, me daría un ataque. Le cuesta más, destruye cualquier relación que tenga con su empleado y dañará su empresa a largo plazo. No hagas eso.
Paul McMillan

Respuestas:

108

Lo hace de la misma manera que protege a la empresa del jefe de ventas que se escapa con su lista de clientes, o el jefe de malversación de fondos de contabilidad, o el gerente de inventario de la mitad del inventario, en gran parte: Confíe, pero verifique.

Por lo menos, requeriría que todas las contraseñas para todas las cuentas de administrador en sistemas y servicios bajo TI se mantengan en una contraseña segura (ya sea digitalmente como KeePass, o un papel literal guardado en una caja fuerte). Periódicamente deberá verificar que estas cuentas todavía estén activas y tengan los derechos de acceso adecuados. La gente de TI más experimentada llama a esto el escenario "si me atropella un autobús", y es parte de la idea general de eliminar puntos de falla.

En el único negocio en el que trabajaba, donde era el único administrador de TI, mantuvimos una relación con un consultor de TI externo que se encargó de esto, principalmente porque la compañía se había quemado en el pasado (por incompetencia más que malicia). Tenían contraseñas de acceso remoto y podían, cuando se les pedía, restablecer las contraseñas de administrador esenciales. Sin embargo, no tenían acceso directo a los datos de ninguna empresa. Solo podían restablecer las contraseñas. Por supuesto, dado que podrían restablecer las contraseñas de administrador de la empresa, podrían tomar el control de los sistemas. Nuevamente, se convirtió en "Confiar pero verificar". Se aseguraron de poder acceder a los sistemas. Me aseguré de que no cambiaran nada sin que nosotros lo supiéramos.

Y recuerde: la forma más fácil de asegurarse de que una persona no queme su empresa es asegurarse de que sea feliz. Asegúrese de que su pago sea al menos del valor medio. He oído de muchas situaciones en las que el personal de TI ha dañado a una empresa por despecho. Trate bien a sus empleados y ellos harán lo mismo.

Pedacitos de tocino
fuente
1
Bien dicho tocino. No había leído tu respuesta antes de publicar la mía diciendo lo mismo.
joeqwerty
Esta es la mejor respuesta. Obtenga un tercero de confianza por contrato.
mfinni
Por intuición, el chico de TI cambia las cosas para bloquear efectivamente a un tercero el día antes de que lo despidan. ¿Entonces que? ¿Desconectar toda la red hasta que pueda auditarla, cada vez que despide a alguien?
Matthew leyó el
1
-1 para: "Me aseguré de que no cambiaran nada sin que nosotros lo supiéramos".
Kzqai
1
mejor: tenga la información de la cuenta de respaldo de emergencia almacenada por alguien sin acceso a su red. Un servicio de custodia, un abogado externo, la bóveda del banco donde solo los socios en el negocio tienen acceso físico. Si eres realmente paranoico, así es como lo haces. Y, por supuesto, tiene un sistema de doble clave en el que siempre se requieren al menos 2 personas para iniciar sesión en la cuenta raíz, ambos conocen la mitad de la contraseña.
Jwenting
32

¿Cómo evitas que tu contable te maltrate? ¿Cómo evita que su personal de ventas tome sobornos de sus proveedores?

Las personas que no son de TI tienen la noción equivocada de que nosotros, las personas de TI, practicamos un arte negro que ejercemos desde la línea que bordea el bien y el mal y que, por capricho, recurriremos a una nefasta maquinada con el propósito de "derribar al jefe de cabello puntiagudo ".

Administrar a un empleado de TI es como administrar a cualquier otro empleado.

Deje de ver películas que representan a aquellos de nosotros que tomamos en serio la responsabilidad de nuestras posiciones como si fuéramos agentes corruptos empeñados en dominar o destruir el mundo.

joeqwerty
fuente
13
Mi contable audita a mi personal de ventas. Mi contador público audita a mi contable. ¿Quién audita al chico de TI? No tiene nada que ver con las películas, tiene que ver con mitigar los riesgos de hacer negocios.
Jesse
3
@Jesse: te escucho. Hay un poco de hipérbole en mi respuesta, pero al final necesita administrar su personal de TI como lo hace con el resto de su personal. Si necesita a alguien para auditar a su personal de TI, debe asumir esa responsabilidad usted mismo o contratar a alguien para que lo asuma.
joeqwerty
3
Lamentablemente, muchos fuera de TI tienen la idea de que cada persona de TI solo está entrometiéndose en sus sistemas y huyendo con los secretos de la compañía y las contraseñas a la cuenta bancaria. Ni siquiera consideran que somos solo un grupo más de personas como el resto de sus empleados, y que esos otros ya tienen los medios para hacerlo sin necesidad de entrar en nada porque tienen acceso a esos datos como parte de su trabajo habitual.
Jwent
21

¿Wow en serio? pregunta valiente para hacer en el servidor por defecto, no se alarme si algunos se ofenden por su pregunta, aunque lo entiendo.

Ok, soluciones prácticas; puede insistir en (y probar con frecuencia) tener sus propias cuentas equivalentes de administrador / root en todo, tomar aleatoriamente una de las copias de seguridad fuera del sitio y restaurarla, obviamente intente reclutar a personas que conoce / confía o gasta una gran cantidad de tiempo empleándolos.

Mi sugerencia más fuerte sería contratar a dos personas; ambas se reportarán a usted, no solo se mantendrán honestas, sino que tendrá cobertura para cuando una esté de vacaciones o enferma.

Chopper3
fuente
1
... Me pregunto cómo el empleado puede confiar en que una persona no técnica esté vigilando por encima del hombro. Esta pregunta refleja problemas para cualquier negocio. Pero el chico de TI tendrá el poder de hacer todo tipo de cosas nefastas. Tiene que tenerlo para hacer su trabajo de manera efectiva.
Bart Silverstrim
2
Me da un poco de miedo tener cuentas de todo para un usuario no técnico. Debería haber políticas establecidas para asegurarse de que no estén allí para que los no técnicos las usen a menos que exista una necesidad real ... es decir, que el administrador sea despedido. No porque las personas no tecnológicas sientan la necesidad de comenzar a hurgar en el servidor de correo o hacer algo que no esté en su jurisdicción, por así decirlo.
Bart Silverstrim
1
Un administrador competente se resistirá a la obligación de proporcionar a los usuarios no técnicos las contraseñas de administrador, excepto en casos de emergencia. Las personas que no saben lo que están haciendo TENDRÁN la tentación de perder el tiempo con cosas que no deberían. Sellarlos y encerrarlos en una caja fuerte.
Paul McMillan
3
En realidad, me encuentro con esto, pequeñas tiendas de uno o dos hombres que están ordeñando a pequeñas empresas por cantidades ridículas de dinero por un trabajo muy poco profesional. Creo que esta es una gran pregunta.
SpacemanSpiff
11

¿Tienes una persona de recursos humanos? O un contador? ¿Cómo evita que su persona de recursos humanos sea malvada y venda la información personal de todos? ¿Cómo evita que su contador o su personal financiero roben todo lo que la empresa posee debajo de usted?

Para todas las posiciones, debe tener procedimientos que limiten la cantidad de daño que una persona puede hacer. Su posición predeterminada debería ser que confía en las personas que contrata (si no confía en ellas, no las contrate o no las conserve), pero es razonable tener cheques y saldos.

Incluso para una empresa pequeña, no debe tener una sola "persona de TI" que sea la única que sepa algo. (lo mismo que no debería tener una sola persona que pueda lidiar con la nómina, ¿qué pasa si esa persona se enferma?). Alguien más necesita contraseñas, necesita verificar las copias de seguridad, etc.

Una cosa que puede hacer es hacer de la documentación una prioridad. Asegúrese de darle tiempo a la persona que contrata para documentar cómo están configuradas las cosas y discutir la documentación cuando entreviste a los candidatos: pregunte qué han hecho en el pasado para documentar su red, solicite ver una muestra.

Tengo la costumbre de elaborar siempre una "Guía de sistemas" que documente más o menos todo : qué equipo tenemos, cómo está configurado, los procedimientos que seguimos, etc. etc. Obviamente es un documento en constante evolución (serie de documentos y archivos en la mayoría de los casos), pero en cualquier momento puede tomar una copia y tener una idea de cómo el técnico de TI ha configurado las cosas y la información crítica que otra persona necesita saber en caso de que el técnico de TI sea atropellado por un autobús. Si realmente quiere estar preparado, puede pedirle a un consultor externo que revise el manual de sistemas y le diga qué necesitarían intervenir si algo le sucediera al encargado de TI.

O, si es realmente paranoico, puede hacer que el consultor externo entre y compare lo que está en el manual de sistemas con lo que ven si observan sus sistemas. ¿Hay otro software instalado? ¿Hay cuentas adicionales de administrador o acceso remoto?

Ward
fuente
6

Es difícil, ya que el fracaso trae dolor ( ¿Cómo busca puertas traseras de la persona de TI anterior? ). Si eres lo suficientemente pequeño como para no tener una presencia en TI, el tipo de estructuras compartimentadas que pueden limitar la exposición es realmente difícil de implementar. A menos que tenga a alguien más para realizar todas las actividades de alta confianza, como las cosas que requieren credenciales de administrador de dominio, tendrá que dárselo a su nuevo empleado.

Estás contratando a alguien que tendrá una gran confianza puesta en ellos, por lo que debes confiar en ellos a cambio, así que si no estás 100% seguro, no los contrates. Las verificaciones de antecedentes pueden ayudar. Insista en recomendaciones personales de carácter, no solo competencia ; si tienen un perfil de LinkedIn, pregunte a algunos de sus contactos o insista en contactarlos.

Sí, esto será muy intrusivo. Si realmente tiene dudas sobre alguien, entonces vale la pena debido al costo para el negocio en caso de que ocurra lo peor. Cuando comiencen, trabaje con ellos muy de cerca. Conócelos. Deje que toda la empresa interactúe con ellos. Mira cómo trabajan con las personas.

Una vez que el brillo del nuevo trabajo haya desaparecido, observe cómo manejan los contratiempos inesperados. ¿Se ponen resentidos y hoscos, o se encogen de hombros y tratan? Si su oficina es el tipo de hostigamiento casual de nuevas personas, vea cómo reaccionan; ¿sutil y silencioso con mucha vergüenza para el objetivo de venganza, abierto y llamativo, o risas y encogerse de hombros? Estas son algunas de las pistas que pueden ayudar a identificar un posible saboteador de venganza.

sysadmin1138
fuente
1
¿Un administrador hosco? Seguramente bromeas!
Bart Silverstrim