75 votes

Optimesh avatar

Comment protéger mon entreprise de mon informaticien ?

Demandé el 24 de Juin, 2011
Quand la question a-t-elle été
9659 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je vais engager un informaticien pour m'aider à gérer les ordinateurs et le réseau de mon bureau. Nous sommes une petite entreprise, il sera donc le seul à s'occuper de l'informatique.

Bien sûr, je ferai des entretiens minutieux, je vérifierai les références et les antécédents. Mais on ne sait jamais comment les choses vont se passer.

Comment limiter l'exposition de mon entreprise si le type que j'embauche s'avère être mauvais ? Comment éviter de faire de lui la personne la plus puissante de l'organisation ?

Demandé el 24 de Juin, 2011 par Optimesh

Réponses

Trop de publicités?

106voto

Bacon Bits avatar
Bacon Bits Points 1501

Vous le faites de la même manière que vous protégez l'entreprise contre le chef des ventes qui s'enfuit avec votre liste de clients, ou le chef de la comptabilité qui détourne des fonds, ou le gestionnaire de stock qui s'enfuit avec la moitié de l'inventaire, en grande partie : faites confiance, mais vérifiez.

À tout le moins, j'exigerais que tous les mots de passe de tous les comptes d'administrateur des systèmes et services relevant de l'informatique soient conservés dans un coffre-fort pour mots de passe (soit sous forme numérique comme KeePass, soit sous forme de papier conservé dans un coffre-fort). Vous devrez périodiquement vérifier que ces comptes sont toujours actifs et disposent des droits d'accès appropriés. La plupart des informaticiens expérimentés appellent cela le scénario "si je suis renversé par un bus", et cela fait partie de l'idée générale d'éliminer les points de défaillance.

Dans l'entreprise où j'ai travaillé et où j'étais le seul administrateur informatique, nous avons entretenu une relation avec un consultant informatique externe qui nous a remis cette tâche, principalement parce que l'entreprise avait ont été brûlés dans le passé (par incompétence plus que par malveillance). Ils disposaient des mots de passe d'accès à distance et pouvaient, sur demande, réinitialiser les mots de passe essentiels des administrateurs. Ils n'avaient cependant pas d'accès direct aux données de l'entreprise. Ils ne pouvaient que réinitialiser les mots de passe. Bien entendu, puisqu'ils pouvaient réinitialiser les mots de passe des administrateurs de l'entreprise, ils pouvaient prendre le contrôle des systèmes. Là encore, il s'agissait de "faire confiance mais vérifier". Ils se sont assurés qu'ils pouvaient accéder aux systèmes. Je me suis assuré qu'ils ne changeaient rien sans que nous le sachions.

Et n'oubliez pas : le moyen le plus simple de s'assurer qu'une personne ne brûle pas votre entreprise est de s'assurer qu'elle est heureuse. Assurez-vous que votre rémunération se situe au moins au niveau de la valeur médiane. J'ai entendu parler de trop de situations dans lesquelles le personnel informatique a nui à une entreprise par dépit. Traitez vos employés correctement et ils feront de même.

Répondu el 24 de Juin, 2011 par Bacon Bits (1501 Points )

32voto

joeqwerty avatar
joeqwerty Points 106914

Comment empêcher votre comptable de vous détourner de vos fonds ? Comment empêcher votre personnel de vente d'accepter des pots-de-vin de vos fournisseurs ?

Les non-informaticiens ont l'impression erronée que nous, informaticiens, pratiquons un art noir que nous manions à la frontière du bien et du mal et que, sur un coup de tête, nous aurons recours à une machination infâme dans le seul but de "faire tomber le patron aux cheveux pointus".

La gestion d'un employé des TI est comme la gestion de n'importe quel autre employé.

Arrêtez de regarder des films qui dépeignent ceux d'entre nous qui prennent la responsabilité de leur poste au sérieux comme si nous étions des agents rebelles prêts à tout pour dominer et/ou détruire le monde.

Répondu el 24 de Juin, 2011 par joeqwerty (106914 Points )

21voto

Chopper3 avatar
Chopper3 Points 99341

Wow - vraiment ? une question courageuse à poser sur serverfault, ne vous inquiétez pas si certains sont offensés par votre question, bien que je comprenne.

Ok, des solutions pratiques ; vous pourriez insister (et tester fréquemment) pour avoir vos propres comptes administrateurs/root équivalents sur tout, prendre au hasard une des sauvegardes hors site et la restaurer, essayer évidemment de recruter des personnes que vous connaissez/en qui vous avez confiance ou passer beaucoup de temps à les employer.

Ma suggestion la plus forte serait d'engager deux personnes - toutes deux sous votre responsabilité, non seulement elles se garderont mutuellement honnêtes mais vous aurez une couverture lorsque l'une d'entre elles sera en vacances ou malade.

Répondu el 24 de Juin, 2011 par Chopper3 (99341 Points )

11voto

Ward - Reinstate Monica avatar
Ward - Reinstate Monica Points 12698

Avez-vous un responsable des ressources humaines ? Ou un comptable ? Comment empêcher votre responsable des ressources humaines d'être maléfique et de vendre les informations personnelles de chacun ? Comment empêcher votre comptable ou vos financiers de voler tout ce que l'entreprise possède sous votre nez ?

Pour tous les postes, vous devez mettre en place des procédures limitant les dommages qu'une personne peut causer. Votre position par défaut devrait être de faire confiance aux personnes que vous embauchez (si vous ne leur faites pas confiance, ne les embauchez pas ou ne les gardez pas), mais il est raisonnable d'avoir des contrôles et des contrepoids.

Même pour une petite entreprise, il ne faut pas avoir un seul "informaticien" qui soit le seul à savoir quelque chose. (de même que vous ne devriez pas avoir une seule personne qui puisse s'occuper des salaires - que se passe-t-il si cette personne tombe malade ?) Quelqu'un d'autre a besoin des mots de passe, doit vérifier les sauvegardes, etc.

Une chose que vous pouvez faire est de faire de la documentation une priorité. Assurez-vous de donner à la personne que vous embauchez le temps de documenter la façon dont les choses sont mises en place et discutez de la documentation lorsque vous interrogez les candidats - demandez-leur ce qu'ils ont fait dans le passé pour documenter leur réseau, demandez à voir un échantillon.

J'ai l'habitude de toujours rédiger un "Guide des systèmes" qui documente plus ou moins les éléments suivants tout - quel équipement nous avons, comment il est installé, les procédures que nous suivons, etc. etc. Il s'agit évidemment d'un document en constante évolution (une série de documents et de fichiers dans la plupart des cas), mais à tout moment, vous pouvez en prendre une copie et vous faire une idée de la manière dont le responsable informatique a organisé les choses et des informations essentielles que quelqu'un d'autre doit connaître au cas où le responsable informatique serait renversé par un bus. Si vous voulez vraiment être prêt, vous pouvez demander à un consultant externe de parcourir le manuel des systèmes et de vous dire ce dont il aurait besoin pour intervenir si quelque chose arrivait au technicien informatique.

Ou, si vous êtes vraiment paranoïaque, vous pouvez demander à un consultant extérieur de venir et de comparer ce qui figure dans le manuel des systèmes avec ce qu'il voit lorsqu'il examine vos systèmes. D'autres logiciels sont-ils installés ? Y a-t-il des comptes d'administration ou d'accès à distance supplémentaires ?

Répondu el 24 de Juin, 2011 par Ward - Reinstate Monica (12698 Points )

6voto

sysadmin1138 avatar
sysadmin1138 Points 129885

C'est difficile, car l'échec entraîne la douleur ( Comment rechercher les backdoors de l'informaticien précédent ? ). I

Vous engagez quelqu'un à qui vous accorderez une grande confiance, vous devez donc lui faire confiance en retour. Si vous n'êtes pas sûr à 100 %, ne l'engagez pas. La vérification des antécédents peut vous aider. Insistez sur les recommandations personnelles de caractère pas seulement compétence ; s'ils ont un profil LinkedIn, demandez à certains de leurs contacts ou insistez pour les contacter.

Oui, ce sera très intrusif. Si vous avez vraiment des doutes sur quelqu'un, cela en vaut la peine, car cela coûtera cher à l'entreprise au cas où le pire se produirait. Lorsqu'ils commencent, travaillez avec eux de très près. Apprenez à les connaître. Laissez toute l'entreprise interagir avec lui. Observez comment ils travaillent avec les gens.

Une fois que l'éclat du nouvel emploi s'est dissipé, observez comment ils gèrent les revers inattendus. Sont-ils rancuniers et maussades, ou haussent-ils les épaules et font-ils face à la situation ? Si votre bureau est du genre à faire des bizutages occasionnels aux nouveaux employés, voyez comment ils réagissent : subtils et silencieux, avec beaucoup d'embarras pour la personne visée par la vengeance, ouverts et voyants, ou riant et se défilant ? Ce sont quelques-uns des indices qui peuvent aider à identifier un saboteur de vengeance potentiel.

Répondu el 24 de Juin, 2011 par sysadmin1138 (129885 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X