Security
如何保護我的公司免受 IT 人員的攻擊?
我打算聘請一名 IT 人員來幫助管理我辦公室的電腦和網路。我們是一家小商店,所以他將是唯一一個做 IT 的人。
當然,我會仔細麵試,檢查參考資料,並進行背景調查。但你永遠不知道事情會如何發展。
如果我僱用的人被證明是邪惡的,我如何限制我公司的曝光?我如何避免讓他成為組織中最有權勢的人?
您這樣做的方式與保護公司免受銷售主管與您的客戶名單失控,或會計主管挪用資金,或股票經理免於失控一半庫存的方式相同,主要是:信任,但要核實。
至少,我會要求 IT 系統和服務上的所有管理員帳戶的所有密碼都保存在密碼保險箱中(無論是像 KeePass 一樣的數字密碼,還是保存在保險箱中的一張字面紙)。您需要定期驗證這些帳戶是否仍處於活動狀態並具有適當的訪問權限。大多數有經驗的 IT 人員將此稱為“如果我被公共汽車撞了”場景,這是消除故障點的總體構想的一部分。
在我工作的一家企業中,我是唯一的 IT 管理員,我們與一位外部 IT 顧問保持著關係,後者提供了這個,主要是因為該公司過去曾被燒毀(由於無能而不是惡意)。他們有遠端訪問密碼,並且可以在被要求時重置基本的管理員密碼。但是,他們無法直接訪問任何公司數據。他們只能重置密碼。當然,由於他們可以重置企業管理員密碼,因此他們可以控制系統。再次,它變成了“信任但驗證”。他們確保他們可以訪問這些系統。我確保他們沒有在我們不知情的情況下改變任何東西。
請記住:確保一個人不會燒毀您的公司的最簡單方法是確保他們快樂。確保您的工資至少處於中間值。我聽說過太多 IT 人員出於惡意破壞公司的情況。正確對待您的員工,他們也會這樣做。