Я собираюсь нанять ИТ-парня, чтобы помочь управлять компьютерами и сетью моего офиса. Мы маленький магазин, так что он будет единственным, кто сделает это.
Конечно, я буду тщательно обследовать, проверять ссылки и выполнять проверку фона. Но вы никогда не знаете, как все будет работать.
Как ограничить подверженность моей компании, если парень, которого я нанимаю, оказывается злым? Как мне избежать того, чтобы он стал самым сильным человеком в организации?
Вы делаете это так же, как и вы защищаете компанию от главы Продавца, бегущего со своим списком клиентов, или руководителя Управления по расходованию средств, или Менеджера фондового рынка, который убегает с половиной запасов, в основном: Доверие, но проверяйте.
По крайней мере, я бы потребовал, чтобы все пароли для всех учетных записей Администратора в системах и службах ИТ были сохранены в безопасном пароле (как в цифровом виде, так и в KeePass, или в литеральной бумаге, хранящейся в сейфе). Периодически вам нужно будет проверить, что эти учетные записи по-прежнему активны и имеют соответствующие права доступа. Большинство опытных ИТ-специалистов называют это сценарием «если меня поражает автобус», и это часть общей идеи устранения точек отказа.
В одном бизнесе я работал над тем, где я был единственным ИТ-администратором, мы поддерживали отношения с внешним ИТ-консультантом, который передал это, в первую очередь потому, что компания имел были сожжены в прошлом (некомпетентностью больше, чем злобой). У них были пароли удаленного доступа, и при их запросе можно было сбросить основные пароли администратора. Однако у них не было прямого доступа к данным компании. Они могли только сбросить пароли. Конечно, поскольку они могут сбросить пароли администратора предприятия, они могут взять под контроль системы. Опять же, он стал «Trust, но Verify». Они обеспечили доступ к системам. Я убедился, что они ничего не изменили, не зная об этом.
И помните: самый простой способ убедиться, что человек не сжечь вашу компанию - это убедиться, что они счастливы. Удостоверьтесь, что ваш заработок равен среднему значению. Я слышал о слишком многих ситуациях, когда ИТ-персонал повредил компанию из-за злобы. Относитесь к своим сотрудникам, и они сделают то же самое.
Как вы держите своего бухгалтера от присвоения вам? Как вы держите свой торговый персонал от отката от ваших поставщиков?
У людей, не относящихся к ИТ, есть ошибочное представление о том, что мы, ИТ-специалисты, практикуем черное искусство, которое мы используем на линии, граничащей с добром и злом, и что по прихоти мы прибегнем к какой-то гнусной махинации с целью «сбивать остроконечного шефа ».
Управление ИТ-работником - это управление любым другим сотрудником.
Прекратите смотреть фильмы, которые изображают тех из нас, кто серьезно относится к ответственности за наши позиции, как если бы мы были агентами изгоев, которые тянулись на мировое господство и / или разрушение.
Вау, действительно? Вопрос о том, чтобы спросить на сервере, не волнуйтесь, если некоторые оскорблены вашим вопросом, хотя я понимаю.
Хорошо, практические решения; вы можете настаивать (и часто тестировать) наличие собственных учетных записей с правами администратора / корневого эквивалента во всем, произвольно брать одну из резервных копий за пределами площадки и восстанавливать ее, очевидно, пытаться набирать людей, которых вы знаете / доверяете или тратите много используя их.
Мое самое сильное предложение состояло бы в том, чтобы нанять двух человек - и отчитываясь перед вами, не только они будут держать друг друга честными, но вы будете прикрываться, когда будете в отпуске или больны.
У вас есть человек с персоналом? Или бухгалтер? Как вы держите свою HR-персона в злом и продаете личную информацию? Как вы держите своего бухгалтера или финансируете людей от кражи всего, что принадлежит компании из-под вас?
Для всех позиций у вас должны быть процедуры, ограничивающие количество урона, которое может сделать человек. Ваша позиция по умолчанию должна состоять в том, чтобы вы доверяли людям, которых вы нанимаете (если вы им не доверяете, не нанимаете их или не храните их), но разумно иметь сдержек и противовесов.
Даже для небольшой компании у вас не должно быть только одного «ИТ-персоны», который является единственным, кто знает что-либо. (так же, как у вас не должно быть только одного человека, который может иметь дело с начислением заработной платы - что, если этот человек заболеет?). Кому-то еще нужны пароли, нужно проверить резервные копии и т. Д.
Одна вещь, которую вы можете сделать, - сделать документацию приоритетной. Удостоверьтесь, что вы даете человеку, которого вы нанимаете, чтобы документировать, как все настроено, и обсуждать документацию во время интервью с кандидатами - спросите, что они сделали в прошлом, чтобы документировать свою сеть, попросить просмотреть образец.
Моя привычка всегда собирать «Системное руководство», в котором более или менее документы все - какое оборудование у нас есть, как оно настроено, процедуры, которым мы следуем, и т. д. и т. д. Это, очевидно, постоянно развивающийся документ (серия документов и файлов в большинстве случаев), но в любое время вы можете взять копию и получить идея того, как ИТ-специалист установил вещи и какую важную информацию кому-то еще нужно знать, если ИТ-парень попадет в автобус. Если вы действительно хотите быть готовым, вы можете обратиться к внешнему консультанту за помощью в руководстве по системе и рассказать вам, что им нужно, чтобы вмешаться, если что-то случилось с ИТ-парнем.
Или, если вы действительно параноик, вы можете заставить внешнего консультанта прийти и сравнить то, что находится в руководстве по системе, с тем, что они видят, если они смотрят на ваши системы. Установлено ли другое программное обеспечение? Есть ли дополнительные учетные записи администратора или удаленного доступа?
Это сложно, поскольку неудача приносит боль ( Как искать заднюю часть от предыдущего ИТ-специалиста? ). Если вы достаточно малы, чтобы у вас еще не было ИТ-присутствия, то вроде раздробленных структур, которые могут ограничить экспозицию, действительно очень сложно внедрить. Если у вас есть кто-то еще, чтобы выполнять все действия с высоким доверием, такие как вещи, требующие учетных записей администратора домена, вам придется отдать его на новый прокат.
Вы нанимаете кого-то, у кого будет высокое доверие к ним, поэтому вам нужно доверять им взамен, поэтому, если вы не на 100% уверены, не нанимайте их. Фоновые проверки могут помочь. Настаивайте на личных рекомендациях персонаж не просто компетентность; если у них есть профиль LinkedIn, обратитесь к некоторым из их контактов или настаивайте на том, чтобы связаться с ними.
Да, это будет очень навязчиво. Если у вас действительно есть сомнения в отношении кого-то, то это стоит того, что связано с расходами на бизнес в случае худшего. Когда они начинаются, работайте с ними очень внимательно. Познакомьтесь с ними. Позвольте всей компании взаимодействовать с ними. Смотрите, как они работают с людьми.
Как только свечение новой работы стерлось, посмотрите, как они справляются с неожиданными неудачами. Они становятся обиженными и угрюмыми, или они отмахиваются от него и общаются? Если ваш офис является типом случайного дедовщины новых людей, посмотрите, как они реагируют; тонкий и тихий, с большим смущением на цель мести, откровенный и кричащий, или смех, и пожимает его? Вот некоторые из подсказок, которые могут помочь определить потенциального саботажника.