Pasos a seguir cuando el personal técnico se vaya

¿Cómo maneja el proceso de salida cuando el personal privilegiado o técnico renuncia / es despedido? ¿Tiene una lista de verificación de cosas que hacer para garantizar la operación / seguridad continua de la infraestructura de la compañía?

Estoy tratando de encontrar una buena lista canónica de cosas que mis colegas deberían hacer cuando me vaya (renuncié hace una semana, así que tengo un mes para ordenar y GTFO).

Hasta ahora tengo:

1. Escoltarlos fuera de las instalaciones
2. Elimine su bandeja de entrada de correo electrónico (configure todo el correo para reenviarlo a un conjunto)
3. Eliminar sus claves SSH en los servidores

4. Eliminar sus cuentas de usuario mysql

   ...

Qué es lo siguiente. ¿Qué he olvidado mencionar o que podría ser igualmente útil?

(Nota final: ¿Por qué esto está fuera de tema? Soy administrador de sistemas, y esto se refiere a la seguridad empresarial continua, esto definitivamente es sobre el tema).

Sugeriría crear una lista de verificación de las cosas que hace cuando un nuevo administrador del sistema se une a la compañía (sistemas a los que debe agregarlos, grupos a los que debe ingresar su cuenta, etc.) e incluir cosas técnicas y físicas, por ejemplo, llaves físicas y alarma Los códigos son tan importantes como las claves y contraseñas SSH.

Asegúrese de mantener esta lista actualizada: lo sé más fácil que hacerlo, lo sé. Pero hace que sea más fácil procesar a los nuevos miembros del equipo en la empresa y nuevamente procesarlos. Todavía puede hacer esto ahora y obtener al menos algunos de los beneficios de usarlo para ayudar a la persona que se va. La razón por la que menciono una lista de verificación es porque todos tendemos a pensar en nuestras propias esferas de comodidad y, de lo contrario, se perderían diferentes cosas, dependiendo de quién esté procesando el abandono. Por ejemplo: un "administrador de seguridad del edificio" o un "administrador de la oficina" va a pensar más en las llaves de la puerta que en las llaves SSH y una persona de TI será exactamente lo contrario y terminará revocando su acceso al sistema mientras lo deja capaz de entrar al edificio por la noche.

Luego, solo revise su lista de verificación cuando se vayan, úsela como una lista de cosas para deshacer / devolver. Todo su equipo de TI debe estar entusiasmado con esto si son profesionales, ya que un proceso acordado como este los protege de la culpa injustificada de un ex empleador tanto como lo protege al empleador de ellos.

No olvide cosas como el acceso a centros de datos remotos o el acceso físico a un repositorio de datos de respaldo de terceros.

Me sorprende que nadie haya mencionado eso antes, pero ...

Si su red WiFi usa WPA o (espero que no) WEP en lugar de tocar en el servidor Radius, es posible que desee considerar cambiar esa clave.

Es una gran puerta abierta, si usted es el administrador de la red, existe una gran posibilidad de que conozca esa clave de memoria ... imagine lo fácil que sería volver a la red desde el estacionamiento o algo por el estilo. .

Otras cosas que me vienen a la mente:

• Seguridad física: quitar claves / etiquetas de acceso / etiquetas vpn / computadoras portátiles
• Llévate teléfonos / moras
• Eliminar / deshabilitar cualquier cuenta que tengan en servicios / sitios externos
• Bloquear su cuenta de usuario
• Cambie las contraseñas compartidas que puedan conocer (le agradezco que no tenga contraseñas compartidas)
• Deshabilitar cuenta VPN
• Asegúrese de que todos los errores / tickets / problemas, etc. en cualquier sistema de seguimiento se reasignen

• Quítelos del sistema nagios / paginación
• Eliminar sudo (por si acaso)
• Dile al centro de datos
• Deshabilitar / revocar cualquier sistema vpn en la red de la oficina
• Deshabilite las aplicaciones web / apache confs / firewalls que tengan sus direcciones IP codificadas

Si algunos administradores de sistemas abandonan la empresa, cambiamos todas las contraseñas para los usuarios (en lugar del cambio mensual de contraseña). Tenemos ldap y radio, por lo que no es muy difícil. Luego observamos los sistemas en los que estaba trabajando, así como los archivos creados por él / modificados por él. Si hay datos importantes en su estación de trabajo, los limpiamos o archivamos.

Tenemos auditoría de acceso para todos los servicios que tienen usuarios. Si hay algún usuario desconocido usando el servicio, lo bloqueamos, al menos hasta que se pase la identificación.

Otros sistemas se limpiarán en una semana; la mayoría son para fines de desarrollo y no tienen información valiosa, y se limpian regularmente por reinstalación.

Muchas buenas ideas en este hilo ... Algunas otras cosas a considerar:

Estoy de acuerdo en cambiar las contraseñas o deshabilitar las cuentas de usuario a término en lugar de eliminarlas (al menos inicialmente), sin embargo, puede ser una buena idea verificar y ver si la cuenta de usuario se está utilizando para ejecutar servicios / tareas programadas antes de tomar medidas. Esto es probablemente más importante en un entorno Windows / AD que un U

Algunos de los siguientes elementos pueden ser difíciles de hacer si el empleado se va rápidamente o en circunstancias menos que ideales; pero esto puede ser importante (particularmente en esas 2 am WTH momentos que acaban de suceder)

Transferencia de conocimiento: si bien todos mantenemos actualizada toda nuestra documentación (ejem, baraja los pies), puede ser bueno programar el tiempo con el temporizador corto y hacer algunas preguntas y respuestas o tutoriales con otro administrador. Si tiene una gran cantidad de aplicaciones personalizadas en ejecución, o un entorno complejo, puede ser realmente útil hacer preguntas y obtener un tiempo individual.

Junto con eso van las contraseñas. Esperemos que todos estén utilizando algún tipo de almacenamiento cifrado de cuenta / contraseña (KeePass / PassSafe, etc.). Si ese es el caso, esto debería ser bastante fácil: obtenga una copia de su archivo y la clave. Si no, es hora de un poco de dumping cerebral.

Comience cambiando todas las contraseñas "perimetrales" de su red. Cualquier cuenta que pueda usar para ingresar a su red desde su hogar (o desde el estacionamiento con WiFi) debe cambiarse de inmediato.

• Contraseñas de administración remota para enrutadores y firewalls?
• Cuentas VPN? ¿Qué pasa con las cuentas de administrador en la VPN?
• Cifrado WiFi?
• ¿Correo electrónico basado en navegador (OWA)?

Una vez que estén cubiertos, trabaje hacia adentro.

Otras cosas para verificar solo para arreglar las cosas:

• si tenían una dirección IP estática, márquela como disponible
• eliminar / limpiar cualquier registro DNS personalizado si es posible
• eliminar de cualquier tipo de directorio de empleados
• Los telefonos
• eliminar la dirección de correo electrónico de cualquier tipo de informe automatizado enviado por un servidor o un servicio
• si mantiene un inventario de hardware / software, marque las licencias de hardware y software como disponibles (esto realmente depende de cómo gestione estas cosas).

Trate de asegurarse de que todos los cambios de contraseña ocurran entre el "abandono aislado de la red" (tal vez una entrevista de salida en una sala de conferencias, después de que se haya devuelto la computadora portátil del trabajo) y "el abandono se deje en sus propios dispositivos". Esto disminuye drásticamente la posibilidad de que el que abandona esté husmeando las nuevas credenciales (pero con los teléfonos inteligentes y similares, todavía no es nulo).

Las respuestas anteriores son todas muy buenas. Como profesional en ejercicio en la profesión de InfoSec (Auditor de TI), algunos otros puntos que debe considerar:

1. Elimine los derechos administrativos privilegiados, como el administrador de dominio, si usa Active Directory

2. Eliminar las funciones de base de datos privilegiadas que puedan haber tenido (por ejemplo, db_owner)

3. Informe a los clientes externos que el usuario terminado puede haber tenido acceso para que se puedan revocar los privilegios de acceso.

4. Elimine las cuentas de máquinas locales si tenían alguna además del acceso al dominio