Comment protéger mon entreprise de mon informaticien? [fermé]

76

Je vais engager un informaticien pour aider à gérer les ordinateurs et le réseau de mon bureau. Nous sommes un petit magasin, alors il sera le seul à faire de l'informatique.

Bien sûr, je vais interroger soigneusement, vérifier les références et faire une vérification des antécédents. Mais vous ne savez jamais comment les choses vont s'arranger.

Comment puis-je limiter l'exposition de mon entreprise si le type que j'engage s'avère être pervers? Comment puis-je éviter de faire de lui la personne la plus puissante de l'organisation?

security best-practices Jesse
la source
6
Le moyen sûr est d’apprendre à le faire soi-même. Il semble que vous ayez des problèmes de confiance, ce que le travail exige. Votre titre semble indiquer que vous souhaitez protéger votre ordinateur, mais votre sujet semble appartenir à l'ensemble de votre réseau.
Nixphoe
22
@ Jesse: Vous dites donc que votre comptable ne pourrait pas vous détourner et vous faire faire faillite? Votre directeur des ventes ne pouvait pas vendre votre liste de clients, causant une perte de revenus si importante que vous tombiez? Personnellement, si j'étais un employé malhonnête, je préférerais de loin avoir accès à votre compte bancaire plutôt qu'à vos ordinateurs.
joeqwerty
1
Documentation, Documentation, Documentation.
Stuart
8
@ joeqwerty: le comptable a accès à des ressources financières; le directeur des ventes a accès aux documents de vente; le gars de l'informatique a accès à tout .
Jesse
3
@TomWij si j'étais votre informaticien et que je savais que vous travailliez derrière mon dos (sauvegardes ou autre) sur le système que vous m'aviez chargé de gérer, je me mettrais à fond. Cela vous coûte plus cher, détruit toute relation que vous entretenez avec votre employé et nuira à votre entreprise à long terme. Ne fais pas ça.
Paul McMillan

Réponses:

108

Vous le protégez de la même manière que vous protégez la société contre la gestion des ventes avec votre liste de clients, ou avec le responsable des fonds détournés de la comptabilité, ou contre le responsable des stocks de la gestion de la moitié des stocks, en grande partie: faites confiance, mais vérifiez.

À tout le moins, j'exigerais que tous les mots de passe de tous les comptes d'administrateur sur des systèmes et des services relevant du service informatique soient conservés dans un coffre sécurisé (soit numériquement comme KeePass, ou sur une feuille de papier conservée dans un coffre-fort). Vous devrez périodiquement vérifier que ces comptes sont toujours actifs et disposent des droits d'accès appropriés. La plupart des informaticiens expérimentés appellent cela le scénario "si je suis touché par un bus", et cela fait partie de l'idée générale d'éliminer les points de défaillance.

Dans la seule entreprise dans laquelle je travaillais, j'étais l'unique administrateur informatique, nous entretenions une relation avec un consultant informatique externe qui le lui avait confié, principalement parce que l'entreprise avait été incendiée dans le passé (par incompétence plus que par malice). Ils avaient des mots de passe d'accès à distance et pouvaient, à la demande, réinitialiser les mots de passe administrateur essentiels. Cependant, ils n’avaient aucun accès direct aux données de la société. Ils ne pouvaient que réinitialiser les mots de passe. Bien sûr, puisqu'ils pourraient réinitialiser les mots de passe de l'administrateur d'entreprise, ils pourraient prendre le contrôle des systèmes. Encore une fois, il est devenu "Trust but Verify". Ils se sont assurés qu'ils pourraient accéder aux systèmes. Je me suis assuré qu'ils ne changeaient rien sans que nous le sachions.

Et rappelez-vous: le moyen le plus simple de s'assurer qu'une personne ne brûle pas votre entreprise est de vous assurer qu'elle est heureuse. Assurez-vous que votre salaire est au moins égal à la valeur médiane. J'ai entendu parler de trop nombreuses situations dans lesquelles le personnel informatique avait endommagé une entreprise par dépit. Traitez vos employés correctement et ils feront de même.

Lardons
la source
1
Bien dit Bacon. Je n'avais pas lu votre réponse avant de poster la mienne disant la même chose.
joeqwerty
C'est la meilleure réponse. Obtenez un tiers de confiance sur une base contractuelle.
Mfinni
Sur l'intuition, le responsable informatique change les choses pour verrouiller efficacement le tiers la veille de son licenciement. Quoi alors? Mettez tout le réseau hors ligne jusqu'à ce que vous puissiez le faire vérifier, chaque fois que vous congédiez quelqu'un?
Matthew Lu
1
-1 pour: "Je me suis assuré qu'ils ne changeaient rien sans que nous le sachions."
Kzqai
1
Mieux: faites stocker les informations de compte d'urgence par une personne n'ayant aucun accès à votre réseau. Un service d'entiercement, un avocat externe, le coffre-fort bancaire auquel seuls les partenaires de l'entreprise ont un accès physique. Si vous êtes vraiment paranoïaque, c'est comme ça que vous le faites. Et bien sûr, vous avez un système à double clé dans lequel il faut toujours au moins deux personnes pour se connecter au compte root, les deux connaissant la moitié du mot de passe.
Jwenting
32

Comment empêchez-vous votre comptable de vous détourner? Comment empêchez-vous votre personnel de vente de recevoir des commissions de vos fournisseurs?

Les non-informaticiens ont la fausse idée que nous, informaticiens, pratiquons un art noir que nous exerçons depuis les frontières du bien et du mal et que, sur un coup de tête, nous recourrons à une machination néfaste dans le but de "faire tomber le patron pointu" ".

Gérer un employé informatique revient à gérer n'importe quel autre employé.

Arrêtez de regarder des films qui décrivent ceux d’entre nous qui prenons au sérieux la responsabilité de nos positions comme si nous étions des agents voyous déterminés à dominer et / ou à détruire le monde.

joeqwerty
la source
13
Mon comptable vérifie mon personnel de vente. Mon CPA vérifie mon comptable. Qui audite le gars de l'informatique? Cela n'a rien à voir avec les films, mais plutôt avec la réduction des risques liés aux affaires.
Jesse
3
@ Jesse: je vous entends. Ma réponse contient un peu d'hyperbole, mais vous devez gérer votre personnel informatique de la même manière que le reste de votre personnel. Si vous avez besoin de quelqu'un pour auditer votre personnel informatique, vous devez assumer vous-même cette responsabilité ou embaucher quelqu'un pour l'assumer.
joeqwerty
3
malheureusement, beaucoup de personnes en dehors du service informatique pensent que chaque informaticien n'a plus qu'à se mêler de ses systèmes et à s'enfuir avec les secrets de l'entreprise et les mots de passe du compte bancaire. Ils ne considèrent même jamais que nous sommes juste un autre groupe de personnes, tout comme le reste de leurs employés, et que ces autres personnes ont déjà les moyens de le faire sans avoir à casser quoi que ce soit, car elles ont accès à ces données en tant que une partie de leur travail régulier.
jwenting
21

Oh vraiment? Gutsy question à poser sur serverfault, ne vous inquiétez pas si votre question choque certains, même si je comprends.

Ok, des solutions pratiques; vous pouvez insister (et fréquemment tester) avoir votre propre compte administrateur / équivalent root sur tout, ramener au hasard une des sauvegardes hors site et la restaurer, évidemment essayer de recruter des personnes que vous connaissez / en qui vous avez confiance ou de dépenser beaucoup d'argent. temps les employant.

Ma suggestion la plus forte consisterait à embaucher deux personnes - les deux se rapportant à vous, non seulement resteront-elles honnêtes, mais vous aurez une couverture pour l'une d'elles en vacances ou malade.

Chopper3
la source
1
... Je me demande comment un employé peut faire confiance à un non-technicien pour le surveiller par-dessus son épaule Cette question reflète des problèmes pour toute entreprise. Mais le technicien informatique aura le pouvoir de faire toutes sortes de choses néfastes. Il DOIT l'avoir pour faire son travail efficacement.
Bart Silverstrim
2
J'ai un peu envie de disposer de comptes pour tout pour un utilisateur non-tech. Il devrait y avoir des politiques en place pour s'assurer qu'elles ne sont pas là pour que les non-techniciens les utilisent, sauf en cas de besoin réel ... c'est-à-dire si l'administrateur est renvoyé. Pas parce que les non-techniciens ressentent le besoin de commencer à fouiller dans le serveur de messagerie ou à faire quelque chose qui ne relève pas de leur juridiction, pour ainsi dire.
Bart Silverstrim
1
Un administrateur compétent hésitera à demander aux utilisateurs non techniques un mot de passe administrateur, sauf en cas d'urgence. Les gens qui ne savent pas ce qu'ils font vont être tentés de perdre leur temps avec des choses qu'ils ne devraient pas. Scellez- les et enfermez-les dans un coffre-fort.
Paul McMillan
3
En fait, je rencontre souvent ce genre de petites boutiques, un ou deux hommes, qui ne font que traire les petites entreprises pour des sommes ridicules d'argent pour un travail très peu professionnel. Je pense que c'est une excellente question.
SpacemanSpiff
11

Avez-vous une personne des ressources humaines? Ou un comptable? Comment empêchez-vous vos ressources humaines de faire le mal et de vendre les informations personnelles de chacun? Comment empêchez-vous votre comptable ou vos finances de voler tout ce que la société possède en dessous de vous?

Des procédures devraient être en place pour tous les postes, limitant les dommages qu'une personne peut causer. Votre position par défaut devrait être que vous faites confiance aux personnes que vous embauchez (si vous ne leur faites pas confiance, ne les embauchez pas ou ne les gardez pas), mais il est raisonnable de disposer de freins et contrepoids.

Même pour une petite entreprise, vous ne devriez pas avoir un seul "informaticien" qui est le seul à savoir quoi que ce soit. (comme vous ne devriez pas avoir une seule personne capable de gérer la paie - que se passe-t-il si cette personne tombe malade?). Quelqu'un d'autre a besoin de mots de passe, de vérifier les sauvegardes, etc.

Une chose que vous pouvez faire est de faire de la documentation une priorité. Assurez-vous de donner à la personne que vous engagez du temps pour documenter la manière dont les choses sont organisées et discuter de la documentation lorsque vous interviewez des candidats - demandez ce qu'ils ont fait dans le passé pour documenter leur réseau, demandez à voir un échantillon.

C’est mon habitude de toujours mettre en place un "Guide des systèmes" qui documente plus ou moins tout , quel est le matériel dont nous disposons, comment il est configuré, les procédures que nous suivons, etc. C'est évidemment un document en constante évolution (série de documents et fichiers dans la plupart des cas), mais à tout moment, vous pouvez en prendre une copie et avoir une idée de la façon dont le responsable informatique a mis en place les éléments et quelles informations critiques une personne a besoin de savoir au cas où le responsable informatique serait frappé par un bus. Si vous voulez vraiment être préparé, vous pouvez faire appel à un consultant externe pour consulter le manuel du système et vous indiquer ce qu’il faudrait faire si le responsable informatique devait intervenir.

Ou, si vous êtes vraiment paranoïaque, vous pouvez faire appel à un consultant externe pour qu'il compare le contenu du manuel des systèmes à ce qu'il voit s'il examine vos systèmes. Est-ce qu'un autre logiciel est installé? Existe-t-il des comptes administrateur ou d'accès à distance supplémentaires?

Quartier
la source
6

C'est difficile, car un échec est douloureux ( Comment recherchez-vous des portes dérobées de la part du précédent informaticien? ). Si vous êtes assez petit pour ne pas avoir déjà une présence informatique, le type de structures compartimentées pouvant limiter l'exposition est vraiment, vraiment difficile à mettre en place. Sauf si vous avez quelqu'un d'autre pour faire toutes les activités à haute confiance, telles que celles qui requièrent des informations d'identification d'administrateur de domaine, vous devrez les donner à votre nouvel employé.

Vous embauchez quelqu'un qui bénéficiera d'une grande confiance. Vous devez donc lui faire confiance en retour. Si vous n'êtes pas certain à 100%, ne les embauchez pas. Les vérifications des antécédents peuvent aider. Insister sur les recommandations personnelles de caractère et pas seulement sur la compétence ; s'ils ont un profil LinkedIn, demandez à certains de leurs contacts ou insistez pour les contacter.

Oui, ce sera très intrusif. Si vous avez vraiment des doutes sur quelqu'un, cela en vaut la peine en raison du coût pour l'entreprise au cas où le pire se produirait. Quand ils commencent, travaillez avec eux très étroitement. Apprenez à les connaître. Laissez toute la société interagir avec eux. Regardez comment ils travaillent avec les gens.

Une fois que le nouvel emploi a disparu, observez comment ils gèrent les revers inattendus. Est-ce qu'ils ont du ressentiment et sont hargneux, ou est-ce qu'ils s'en vont et traitent? Si votre bureau est du genre à bizuter occasionnellement de nouvelles personnes, voyez comment elles réagissent; subtile et calme avec beaucoup d'embarras sur la cible de vengeance, manifeste et flashy, ou de rire et de hausser les épaules? Ce sont quelques-uns des indices qui peuvent aider à identifier un saboteur potentiel de vengeance.

sysadmin1138
la source
1
Un administrateur hargneux? Vous plaisantez sûrement!
Bart Silverstrim