¿Cómo protejo a mi empresa de mi chico de TI? [cerrado]

Voy a contratar a un técnico de TI para ayudar a administrar las computadoras y la red de mi oficina. Somos una tienda pequeña, así que él será el único que lo hará.

Por supuesto, entrevistaré cuidadosamente, verifcaré referencias y haré una verificación de antecedentes. Pero nunca se sabe cómo funcionarán las cosas.

¿Cómo limito la exposición de mi empresa si el chico que contrato resulta ser malvado? ¿Cómo evito convertirlo en la persona más poderosa de la organización?

Lo hace de la misma manera que protege a la empresa del jefe de ventas que se escapa con su lista de clientes, o el jefe de malversación de fondos de contabilidad, o el gerente de inventario de la mitad del inventario, en gran parte: Confíe, pero verifique.

Por lo menos, requeriría que todas las contraseñas para todas las cuentas de administrador en sistemas y servicios bajo TI se mantengan en una contraseña segura (ya sea digitalmente como KeePass, o un papel literal guardado en una caja fuerte). Periódicamente deberá verificar que estas cuentas todavía estén activas y tengan los derechos de acceso adecuados. La gente de TI más experimentada llama a esto el escenario "si me atropella un autobús", y es parte de la idea general de eliminar puntos de falla.

En el único negocio en el que trabajaba, donde era el único administrador de TI, mantuvimos una relación con un consultor de TI externo que se encargó de esto, principalmente porque la compañía se había quemado en el pasado (por incompetencia más que malicia). Tenían contraseñas de acceso remoto y podían, cuando se les pedía, restablecer las contraseñas de administrador esenciales. Sin embargo, no tenían acceso directo a los datos de ninguna empresa. Solo podían restablecer las contraseñas. Por supuesto, dado que podrían restablecer las contraseñas de administrador de la empresa, podrían tomar el control de los sistemas. Nuevamente, se convirtió en "Confiar pero verificar". Se aseguraron de poder acceder a los sistemas. Me aseguré de que no cambiaran nada sin que nosotros lo supiéramos.

Y recuerde: la forma más fácil de asegurarse de que una persona no queme su empresa es asegurarse de que sea feliz. Asegúrese de que su pago sea al menos del valor medio. He oído de muchas situaciones en las que el personal de TI ha dañado a una empresa por despecho. Trate bien a sus empleados y ellos harán lo mismo.

¿Cómo evitas que tu contable te maltrate? ¿Cómo evita que su personal de ventas tome sobornos de sus proveedores?

Las personas que no son de TI tienen la noción equivocada de que nosotros, las personas de TI, practicamos un arte negro que ejercemos desde la línea que bordea el bien y el mal y que, por capricho, recurriremos a una nefasta maquinada con el propósito de "derribar al jefe de cabello puntiagudo ".

Administrar a un empleado de TI es como administrar a cualquier otro empleado.

Deje de ver películas que representan a aquellos de nosotros que tomamos en serio la responsabilidad de nuestras posiciones como si fuéramos agentes corruptos empeñados en dominar o destruir el mundo.

¿Wow en serio? pregunta valiente para hacer en el servidor por defecto, no se alarme si algunos se ofenden por su pregunta, aunque lo entiendo.

Ok, soluciones prácticas; puede insistir en (y probar con frecuencia) tener sus propias cuentas equivalentes de administrador / root en todo, tomar aleatoriamente una de las copias de seguridad fuera del sitio y restaurarla, obviamente intente reclutar a personas que conoce / confía o gasta una gran cantidad de tiempo empleándolos.

Mi sugerencia más fuerte sería contratar a dos personas; ambas se reportarán a usted, no solo se mantendrán honestas, sino que tendrá cobertura para cuando una esté de vacaciones o enferma.

¿Tienes una persona de recursos humanos? O un contador? ¿Cómo evita que su persona de recursos humanos sea malvada y venda la información personal de todos? ¿Cómo evita que su contador o su personal financiero roben todo lo que la empresa posee debajo de usted?

Para todas las posiciones, debe tener procedimientos que limiten la cantidad de daño que una persona puede hacer. Su posición predeterminada debería ser que confía en las personas que contrata (si no confía en ellas, no las contrate o no las conserve), pero es razonable tener cheques y saldos.

Incluso para una empresa pequeña, no debe tener una sola "persona de TI" que sea la única que sepa algo. (lo mismo que no debería tener una sola persona que pueda lidiar con la nómina, ¿qué pasa si esa persona se enferma?). Alguien más necesita contraseñas, necesita verificar las copias de seguridad, etc.

Una cosa que puede hacer es hacer de la documentación una prioridad. Asegúrese de darle tiempo a la persona que contrata para documentar cómo están configuradas las cosas y discutir la documentación cuando entreviste a los candidatos: pregunte qué han hecho en el pasado para documentar su red, solicite ver una muestra.

Tengo la costumbre de elaborar siempre una "Guía de sistemas" que documente más o menos todo : qué equipo tenemos, cómo está configurado, los procedimientos que seguimos, etc. etc. Obviamente es un documento en constante evolución (serie de documentos y archivos en la mayoría de los casos), pero en cualquier momento puede tomar una copia y tener una idea de cómo el técnico de TI ha configurado las cosas y la información crítica que otra persona necesita saber en caso de que el técnico de TI sea atropellado por un autobús. Si realmente quiere estar preparado, puede pedirle a un consultor externo que revise el manual de sistemas y le diga qué necesitarían intervenir si algo le sucediera al encargado de TI.

O, si es realmente paranoico, puede hacer que el consultor externo entre y compare lo que está en el manual de sistemas con lo que ven si observan sus sistemas. ¿Hay otro software instalado? ¿Hay cuentas adicionales de administrador o acceso remoto?

Es difícil, ya que el fracaso trae dolor ( ¿Cómo busca puertas traseras de la persona de TI anterior? ). Si eres lo suficientemente pequeño como para no tener una presencia en TI, el tipo de estructuras compartimentadas que pueden limitar la exposición es realmente difícil de implementar. A menos que tenga a alguien más para realizar todas las actividades de alta confianza, como las cosas que requieren credenciales de administrador de dominio, tendrá que dárselo a su nuevo empleado.

Estás contratando a alguien que tendrá una gran confianza puesta en ellos, por lo que debes confiar en ellos a cambio, así que si no estás 100% seguro, no los contrates. Las verificaciones de antecedentes pueden ayudar. Insista en recomendaciones personales de carácter, no solo competencia ; si tienen un perfil de LinkedIn, pregunte a algunos de sus contactos o insista en contactarlos.

Sí, esto será muy intrusivo. Si realmente tiene dudas sobre alguien, entonces vale la pena debido al costo para el negocio en caso de que ocurra lo peor. Cuando comiencen, trabaje con ellos muy de cerca. Conócelos. Deje que toda la empresa interactúe con ellos. Mira cómo trabajan con las personas.

Una vez que el brillo del nuevo trabajo haya desaparecido, observe cómo manejan los contratiempos inesperados. ¿Se ponen resentidos y hoscos, o se encogen de hombros y tratan? Si su oficina es el tipo de hostigamiento casual de nuevas personas, vea cómo reaccionan; ¿sutil y silencioso con mucha vergüenza para el objetivo de venganza, abierto y llamativo, o risas y encogerse de hombros? Estas son algunas de las pistas que pueden ayudar a identificar un posible saboteador de venganza.