मैं अपनी कंपनी को अपने आईटी आदमी से कैसे बचा सकता हूं? [बन्द है]

76

मैं अपने कार्यालय के कंप्यूटर और नेटवर्क को प्रबंधित करने में मदद करने के लिए एक आईटी व्यक्ति को काम पर रखने जा रहा हूं। हम एक छोटी सी दुकान कर रहे हैं, इसलिए वह केवल एक ही आईटी करेगा।

बेशक, मैं ध्यान से साक्षात्कार करूंगा, संदर्भों की जांच करूंगा और पृष्ठभूमि की जांच करूंगा। लेकिन आप कभी नहीं जानते कि चीजें कैसे काम करेंगी।

मैं अपनी कंपनी के जोखिम को कैसे सीमित कर सकता हूं यदि मैं जिस व्यक्ति को किराए पर लेता हूं वह बुराई है? मैं उसे संगठन का अकेला सबसे शक्तिशाली व्यक्ति बनाने से कैसे बचूँ?

security  best-practices 
जेसी
स्रोत
6
यह सुनिश्चित करने के लिए निश्चित तरीका है कि आप स्वयं को जानें। ऐसा लगता है कि आपके पास भरोसेमंद मुद्दे हैं, जिन्हें नौकरी की आवश्यकता है। आपका शीर्षक ऐसा लगता है कि आप अपने कंप्यूटर की सुरक्षा करना चाहते हैं, लेकिन आपका विषय आपका पूरा नेटवर्क है।
निक्फो
22
@ जेसे: तो आप कह रहे हैं कि आपका अकाउंटेंट आपसे गबन नहीं कर सकता और आपको दिवालिया होने का कारण बना सकता है? आपका विक्रय प्रबंधक आपकी ग्राहक सूची को इतना खो राजस्व नहीं बेच सकता है कि आप किसके अधीन जाते हैं? निजी तौर पर, अगर मैं एक दुष्ट कर्मचारी था तो आपके कंप्यूटर की तुलना में आपके बैंक खाते तक मेरी पहुँच होगी।
जोवेवर्टी
1
प्रलेखन, प्रलेखन, प्रलेखन।
स्टुअर्ट
8
@joeqwerty: अकाउंटेंट के पास वित्तीय सामान है; बिक्री प्रबंधक की बिक्री सामग्री तक पहुँच होती है; यह सब कुछ करने के लिए उपयोग किया है
जेसी
3
@TomWij अगर मैं आपका आईटी आदमी था और मुझे पता था कि आप मेरी पीठ (बैकअप या अन्यथा) के पीछे आईटी काम कर रहे थे, तो आपने मुझे प्रबंधन के साथ चार्ज किया, मैं एक फिट फेंक दूंगा। यह आपको अधिक लागत देता है, आपके कर्मचारी के साथ किसी भी संबंध को नष्ट कर देता है, और लंबे समय में आपकी कंपनी को नुकसान पहुंचाएगा। ऐसा मत करो।
पॉल मैकमिलन

जवाबों:

108

आप इसे उसी तरह से करते हैं जैसे आप अपनी क्लाइंट सूची के साथ चल रहे सेल्स के प्रमुख, या अकाउंटिंग गबन धन के प्रमुख, या स्टॉक मैनेजर को आधी इन्वेंट्री के साथ चलने से रोकते हैं, बड़े पैमाने पर: ट्रस्ट, लेकिन सत्यापित करें।

बहुत कम से कम, मुझे यह आवश्यक होगा कि आईटी के तहत सिस्टम और सेवाओं पर सभी प्रशासक खातों के लिए सभी पासवर्ड एक पासवर्ड सुरक्षित (या तो डिजिटल रूप से KeePass, या एक सुरक्षित रूप से रखा गया कागज का एक शाब्दिक टुकड़ा) में रखा जाए। समय-समय पर आपको यह सत्यापित करना होगा कि ये खाते अभी भी सक्रिय हैं और उनके पास उचित अधिकार हैं। अधिकांश अनुभवी आईटी लोग इसे "अगर मैं बस से टकराता हूं" परिदृश्य कहते हैं, और यह विफलता के बिंदुओं को खत्म करने के सामान्य विचार का हिस्सा है।

जिस व्यवसाय में मैंने काम किया, जहां मैं अकेला आईटी एडमिन था, हमने एक बाहरी आईटी सलाहकार के साथ संबंध बनाए रखा, जिसने इसे सौंपा, मुख्य रूप से क्योंकि कंपनी अतीत में जल चुकी थी (दुर्भावना से अधिक अक्षमता से)। उनके पास रिमोट एक्सेस पासवर्ड थे और पूछे जाने पर, आवश्यक व्यवस्थापक पासवर्ड रीसेट कर सकते थे। हालांकि, किसी भी कंपनी के डेटा तक उनकी सीधी पहुंच नहीं थी। वे केवल पासवर्ड रीसेट कर सकते थे। बेशक, चूंकि वे एंटरप्राइज़ व्यवस्थापक पासवर्ड रीसेट कर सकते थे, वे सिस्टम का नियंत्रण ले सकते थे। फिर से, यह "विश्वास लेकिन सत्यापित करें" बन गया। उन्होंने सुनिश्चित किया कि वे सिस्टम तक पहुंच बना सकते हैं। मैंने यह सुनिश्चित किया कि वे हमारे बारे में जाने बिना कुछ भी नहीं बदलते।

और याद रखें: यह सुनिश्चित करने का सबसे आसान तरीका है कि कोई व्यक्ति आपकी कंपनी को जलाए नहीं, यह सुनिश्चित करने के लिए कि वे खुश हैं। सुनिश्चित करें कि आपका वेतन कम से कम माध्य मूल्य पर है। मैंने बहुत सी स्थितियों के बारे में सुना है जहाँ आईटी कर्मियों ने किसी कंपनी को नुकसान पहुँचाया है। अपने कर्मचारियों के साथ सही व्यवहार करें और वे भी ऐसा ही करेंगे।

बेकन के टुकड़ा
स्रोत
1
अच्छा कहा बेकन। मैंने अपनी बात पोस्ट करने से पहले आपका जवाब नहीं पढ़ा था।
जोवेवर्टी
यह सबसे अच्छा जवाब है। एक अनुबंध के आधार पर एक विश्वसनीय 3 पार्टी प्राप्त करें।
mfinni
अंतर्ज्ञान पर, आईटी व्यक्ति चीजों को प्रभावी ढंग से तीसरे पक्ष को बाहर करने से पहले दिन निकाल देता है। फिर क्या? जब तक आप इसे ऑडिट नहीं करवाते, तब तक पूरे नेटवर्क को ऑफलाइन ही लें, हर बार जब आप किसी को फायर करते हैं?
मैथ्यू
1
-1 के लिए: "मुझे यकीन है कि उन्होंने हमारे बारे में जानने के बिना कुछ भी नहीं बदला।"
21 सितंबर को Kzqai
1
बेहतर: किसी के द्वारा आपके नेटवर्क पर बिना किसी पहुंच के आपातकालीन बैक खाता जानकारी संग्रहीत की गई है। एक एस्क्रो सेवा, एक बाहरी वकील, बैंक वॉल्ट जहां व्यवसाय में केवल भागीदारों की भौतिक पहुंच होती है। यदि आप वास्तव में पागल हैं, तो आप इसे कैसे करते हैं। और निश्चित रूप से एक दोहरी कुंजी प्रणाली है जिसमें रूट अकाउंट पर लॉग इन करने के लिए हमेशा कम से कम 2 लोगों की आवश्यकता होती है, दोनों आधे पासवर्ड को जानते हैं।
27'11 को शाम
32

आप अपने मुनीम को आपसे गबन कैसे करवाते हैं? आप अपने सप्लायर्स को अपने आपूर्तिकर्ताओं से किकबैक लेने से कैसे रोकते हैं?

गैर-आईटी लोगों में एक गलत धारणा है कि हम आईटी के लोग एक ऐसी काली कला का अभ्यास करते हैं जिसे हम अच्छी और बुरी सीमा रेखा से मिटाते हैं और जिस पर हम "नुकीले बालों वाले बॉस" को लाने के उद्देश्य से कुछ नापाक मूसली का सहारा लेते हैं "।

आईटी कर्मचारी का प्रबंधन किसी अन्य कर्मचारी को प्रबंधित करने जैसा है।

उन फिल्मों को देखना बंद करें जो हममें से उन लोगों को दर्शाती हैं जो हमारे पदों की जिम्मेदारी को गंभीरता से लेते हैं जैसे कि हम दुष्ट एजेंट हैं जो दुनिया के वर्चस्व और / या विनाश पर आमादा हैं।

joeqwerty
स्रोत
13
मेरा मुनीम मेरे सेल्स स्टाफ का ऑडिट करता है। मेरा CPA मेरे मुनीम का ऑडिट करता है। आईटी व्यक्ति का ऑडिट कौन करता है? इसका फिल्मों से कोई लेना-देना नहीं है, इसका व्यवसाय करने के जोखिमों को कम करने से है।
जेसी
3
@ जेसे: मैं आपको सुनता हूं। मेरे जवाब में थोड़ा बहुत हाइपरबोले है लेकिन फिर आपको अपने आईटी कर्मचारियों को प्रबंधित करने की आवश्यकता है जैसे आप अपने बाकी कर्मचारियों को करते हैं। यदि आपको अपने आईटी कर्मचारियों के ऑडिट के लिए किसी की आवश्यकता है तो आपको स्वयं उस जिम्मेदारी को लेने की आवश्यकता है या इसे लेने के लिए किसी को नियुक्त करें।
जोवेवर्टी
3
दुख की बात है कि आईटी के बाहर के कई लोगों को पता है कि प्रत्येक आईटी व्यक्ति केवल अपने सिस्टम में दरार करने के लिए बाहर है और कंपनी के रहस्यों और बैंक खाते के पासवर्ड के साथ भाग जाता है। वे कभी यह भी नहीं मानते हैं कि हम लोगों के बाकी कर्मचारियों की तरह सिर्फ एक और झुंड हैं, और उन अन्य लोगों के पास पहले से ही बस ऐसा करने का साधन है कि बिना किसी चीज के दरार पड़ने की आवश्यकता है क्योंकि उनके पास उस डेटा तक पहुंच है उनकी नियमित नौकरी का हिस्सा।
27'11
21

क्या सच में? सर्वरफॉल्ट पर पूछने के लिए भीषण सवाल, अगर आपके सवाल से कुछ नाराज हैं, तो मैं चिंतित नहीं हूं।

ठीक है, व्यावहारिक समाधान; आप (और अक्सर परीक्षण) हर चीज पर अपने स्वयं के व्यवस्थापक / रूट समतुल्य खाते रखने पर जोर दे सकते हैं, बेतरतीब ढंग से ऑफ-साइट बैकअप में से एक को ले सकते हैं और इसे पुनर्स्थापित कर सकते हैं, जाहिर है कि उन लोगों से भर्ती करने का प्रयास करें जिन्हें आप जानते / विश्वास करते हैं या बहुत अच्छा खर्च करते हैं उन्हें रोजगार।

मेरा सबसे मजबूत सुझाव दो लोगों को काम पर रखना होगा - दोनों आपको रिपोर्ट करते हैं, न केवल वे एक-दूसरे को ईमानदार रखेंगे बल्कि जब आप छुट्टी पर या बीमार होंगे तो आपके पास कवर होगा।

Chopper3
स्रोत
1
... मुझे आश्चर्य है कि कैसे किराया एक गैर-तकनीकी व्यक्ति पर भरोसा कर सकता है कि वह अपने कंधे पर देख रहा है। यह प्रश्न किसी भी व्यवसाय के लिए मुद्दों को दर्शाता है। लेकिन IT आदमी के पास हर तरह की नापाक हरकत करने की शक्ति होगी। वह अपने काम को प्रभावी ढंग से करने के लिए इसके पास है।
बार्ट सिल्वरस्ट्रिम
2
मैं एक गैर-तकनीकी उपयोगकर्ता के लिए सब कुछ करने के लिए क्रैंग की तरह हूं। जब तक कोई वास्तविक आवश्यकता न हो, तब तक उनका उपयोग करने के लिए गैर-तकनीक के लिए ये सुनिश्चित करने के लिए नीतियां नहीं होनी चाहिए ... अर्थात, व्यवस्थापक को निकाल दिया जा रहा है। इसलिए नहीं कि गैर-तकनीकी लोगों को मेल सर्वर के आसपास पोकिंग शुरू करने की जरूरत महसूस होती है या कुछ करना उनके अधिकार क्षेत्र में नहीं है, इसलिए बोलने के लिए।
बार्ट सिल्वरस्ट्रिम
1
एक सक्षम व्यवस्थापक आपात स्थिति में छोड़कर गैर-तकनीकी उपयोगकर्ताओं को व्यवस्थापक पासवर्ड प्रदान करने के लिए आवश्यक होगा। जो लोग नहीं जानते कि वे क्या कर रहे हैं वे सामान के साथ खिलवाड़ करने के लिए ललचाएंगे उन्हें नहीं करना चाहिए। उन्हें सील करें और एक तिजोरी में बंद कर दें।
पॉल मैकमिलन
3
दरअसल, मैं इसमें बहुत छोटे, एक आदमी या दो आदमी की दुकानें चलाता हूं, जो बहुत ही अनप्रोफेशनल काम के लिए पैसे के हास्यास्पद गोरखधंधे के लिए छोटे-मोटे कारोबार करते हैं। मुझे लगता है कि यह एक महान प्रश्न है।
SpacemanSpiff
11

क्या आपके पास एक एचआर व्यक्ति है? या एक एकाउंटेंट? आप अपने एचआर व्यक्ति को कैसे बुराई होने और हर किसी की व्यक्तिगत जानकारी बेचने से रोकते हैं? आप अपने अकाउंटेंट या फाइनेंस के लोगों को कंपनी के स्वामित्व वाली हर चीज को चोरी करने से कैसे रोक सकते हैं?

सभी पदों के लिए, आपके पास यह सुनिश्चित करने की प्रक्रिया होनी चाहिए कि कोई व्यक्ति कितना नुकसान कर सकता है। आपकी डिफ़ॉल्ट स्थिति यह होनी चाहिए कि आप उन लोगों पर भरोसा करते हैं जिन्हें आप किराए पर लेते हैं (यदि आप उन पर भरोसा नहीं करते हैं, तो उन्हें काम पर न रखें या उन्हें न रखें), लेकिन चेक और बैलेंस रखना उचित है।

यहां तक ​​कि एक छोटी सी कंपनी के लिए, आपके पास सिर्फ एक "आईटी व्यक्ति" नहीं होना चाहिए, जो केवल वही हो जो कुछ भी जानता हो। (जैसा कि आपके पास सिर्फ एक व्यक्ति नहीं होना चाहिए जो पेरोल से निपट सकता है - क्या होगा यदि वह व्यक्ति बीमार हो?)। किसी और को पासवर्ड की जरूरत है, बैकअप की जांच करने की आवश्यकता है, आदि।

एक चीज जो आप कर सकते हैं वह है प्रलेखन को प्राथमिकता देना। सुनिश्चित करें कि आप उस व्यक्ति को दस्तावेज देने के लिए समय देते हैं जो चीजें सेट करता है और जब आप उम्मीदवारों का साक्षात्कार करते हैं तो दस्तावेज पर चर्चा करते हैं - पूछें कि उन्होंने अपने नेटवर्क का दस्तावेज बनाने के लिए अतीत में क्या किया है, एक नमूना देखने के लिए कहें।

यह मेरी आदत है कि हमेशा "सिस्टम गाइड" को एक साथ रखा जाए, जो कमोबेश हर चीज का दस्तावेज हो - हमें कौन सा उपकरण मिला है, इसे कैसे सेट किया जाता है, प्रक्रियाएं जिनका हम पालन करते हैं, आदि। यह स्पष्ट रूप से एक सतत विकसित दस्तावेज है (दस्तावेजों की श्रृंखला) और ज्यादातर मामलों में फाइलें), लेकिन किसी भी समय आप एक कॉपी ले सकते हैं और यह पता लगा सकते हैं कि आईटी आदमी ने चीजों को कैसे सेट किया है और आईटी व्यक्ति को बस से टक्कर मारने की स्थिति में किसी और व्यक्ति को क्या महत्वपूर्ण जानकारी चाहिए। यदि आप वास्तव में तैयार होना चाहते हैं, तो आप सिस्टम मैनुअल के माध्यम से जाने के लिए एक बाहरी सलाहकार प्राप्त कर सकते हैं और आपको बता सकते हैं कि यदि आईटी व्यक्ति के साथ कुछ हुआ तो उन्हें कदम बढ़ाने की आवश्यकता होगी।

या, यदि आप वास्तव में पागल हैं, तो आप बाहर आने वाले सलाहकार से मिल सकते हैं और तुलना कर सकते हैं कि सिस्टम मैनुअल में वे क्या देखते हैं अगर वे आपके सिस्टम को देखते हैं। क्या कोई अन्य सॉफ़्टवेयर स्थापित है? क्या अतिरिक्त व्यवस्थापक या दूरस्थ पहुँच खाते हैं?

वार्ड
स्रोत
6

यह कठिन है, क्योंकि विफलता दर्द लाती है ( आप पिछले आईटी व्यक्ति से बैकडोर कैसे खोजते हैं? )। यदि आप इतने छोटे हैं कि आपके पास पहले से आईटी उपस्थिति नहीं है, तो कंपोजिटलाइज्ड स्ट्रक्चर्स का प्रकार जो एक्सपोजर को सीमित कर सकता है, वास्तव में वास्तव में कठिन है। जब तक आपके पास किसी और व्यक्ति को सभी उच्च विश्वास वाली गतिविधियाँ करने की आवश्यकता नहीं है, जैसे कि डोमेन एडमिन क्रेडेंशियल्स की आवश्यकता होती है, तो आपको इसे अपने नए भाड़े पर देना होगा।

आप किसी ऐसे व्यक्ति को काम पर रख रहे हैं, जिनके पास उच्च भरोसा है, इसलिए आपको बदले में उन पर भरोसा करने की आवश्यकता है, इसलिए यदि आप 100% निश्चित नहीं हैं, तो उन्हें काम पर न रखें। बैकग्राउंड चेक मदद कर सकते हैं। चरित्र की व्यक्तिगत सिफारिशों पर जोर न केवल क्षमता ; यदि उनके पास लिंक्डइन प्रोफ़ाइल है, तो उनके कुछ संपर्कों से पूछें या उनसे संपर्क करने पर जोर दें।

हां, यह बहुत घुसपैठ होगा। यदि आपको वास्तव में किसी के बारे में संदेह है, तो यह व्यवसाय की लागत के कारण पूरी तरह से इसके लायक है अगर सबसे खराब होता है। जब वे शुरू हों, तो उनके साथ मिलकर काम करें। उन्हें जाने। पूरी कंपनी को उनके साथ बातचीत करने दें। देखो कि वे लोगों के साथ कैसे काम करते हैं।

एक बार जब नई नौकरी की चमक खराब हो जाती है, तो देखें कि वे अप्रत्याशित असफलताओं को कैसे संभालते हैं। क्या वे नाराजगी और मज़बूत हो जाते हैं, या वे इसे छोड़ देते हैं और निपट जाते हैं? यदि आपका कार्यालय नए लोगों के आकस्मिक ठंड करने का प्रकार है, तो देखें कि वे कैसे प्रतिक्रिया करते हैं; बदला-निशाना, अति और भड़कीला, या हँसी और इसे बंद करने पर बहुत शर्मिंदगी के साथ सूक्ष्म और शांत? ये कुछ सुराग हैं जो एक संभावित बदला-सबोटूर की पहचान करने में मदद कर सकते हैं।

sysadmin1138
स्रोत
1
एक शक्तिशाली व्यवस्थापक? निश्चित रूप से आप jest!
बार्ट सिल्वरस्ट्रिम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.