আমি কীভাবে আমার সংস্থাকে আমার আইটি লোকের হাত থেকে রক্ষা করব? [বন্ধ]

76

আমি আমার অফিসের কম্পিউটার এবং নেটওয়ার্ক পরিচালনা করতে আইটি লোক নিয়োগ করতে যাচ্ছি। আমরা একটি ছোট দোকান, সুতরাং তিনিই কেবল আইটি করছেন।

অবশ্যই, আমি সাবধানতার সাথে সাক্ষাত্কার করব, রেফারেন্স চেক করব এবং একটি ব্যাকগ্রাউন্ড চেক চালাব। তবে কীভাবে জিনিসগুলি কার্যকর হবে তা আপনি কখনই জানেন না।

আমি যে ব্যক্তি ভাড়া করি সেটিকে মন্দ বলে প্রমাণিত হলে আমি কীভাবে আমার সংস্থার এক্সপোজারকে সীমাবদ্ধ করব? কীভাবে আমি তাকে সংস্থার একক সবচেয়ে শক্তিশালী ব্যক্তি বানাতে পারি?

security  best-practices 
জেসি
সূত্র
6
নিশ্চিত প্রমাণের উপায় হ'ল এটি আপনার নিজের এটি শেখা। মনে হচ্ছে আপনার বিশ্বাসের সমস্যা রয়েছে, যা কাজের প্রয়োজন। আপনার শিরোনাম বলে মনে হচ্ছে আপনি নিজের কম্পিউটারকে সুরক্ষিত করতে চান তবে আপনার বিষয়টিকে আপনার পুরো নেটওয়ার্ক বলে মনে হচ্ছে।
নিক্সফো
22
@ জেসি: তাই আপনি বলছেন যে আপনার হিসাবরক্ষক আপনার কাছ থেকে আত্মসাৎ করতে পারে না এবং আপনাকে দেউলিয়া হয়ে যেতে পারে? আপনার বিক্রয় ব্যবস্থাপক আপনার ক্লায়েন্টের তালিকাটি এতটা ক্ষতিগ্রস্ত আয়ের কারণে ক্ষতিগ্রস্থ হতে পারেন যা আপনি অধীনে চলে যান? ব্যক্তিগতভাবে, আমি যদি একজন দুর্বৃত্ত কর্মচারী হতাম তবে আমি আপনার কম্পিউটারগুলির চেয়ে আপনার ব্যাংক অ্যাকাউন্টে অ্যাক্সেস পেয়েছি।
joeqwerty
1
ডকুমেন্টেশন, ডকুমেন্টেশন, ডকুমেন্টেশন।
স্টুয়ার্ট
8
@ জোয়কওয়ার্টি: অ্যাকাউন্ট্যান্টের আর্থিক জিনিসগুলির অ্যাক্সেস রয়েছে; বিক্রয় পরিচালকের বিক্রয় সামগ্রীতে অ্যাক্সেস রয়েছে; আইটি লোকের কাছে সমস্ত কিছুতে অ্যাক্সেস রয়েছে ।
জেসি
3
@ টমউইজ যদি আমি আপনার আইটি লোক হয়ে থাকতাম এবং আমি জানতাম যে আপনি আমাকে যে ব্যবস্থাপনার জন্য আমাকে চার্জ করেছেন তার সিস্টেমে আপনি আমার পিছনের পিছনে (ব্যাকআপ বা অন্যথায়) কাজ করছেন, আমি ফিট হয়ে যাব। এটি আপনার জন্য আরও ব্যয় করে, আপনার কর্মচারীর সাথে থাকা কোনও সম্পর্ককে ধ্বংস করে দেয় এবং দীর্ঘমেয়াদে আপনার সংস্থার ক্ষতি করবে। এটা করবেন না।
পল ম্যাকমিলান

উত্তর:

108

আপনার ক্লায়েন্টের তালিকার সাথে থাকা বিক্রয় প্রধান, বা অ্যাকাউন্টিং আত্মসাৎ তহবিলের প্রধান বা স্টক ম্যানেজারকে অর্ধেক ইনভেন্টরি দিয়ে চালানো থেকে স্টক ব্যবস্থাপককে মূলত: ভরসা করুন, তবে যাচাই বাছাই করে আপনি একইভাবে এটি করেন।

খুব কমপক্ষে, আমার প্রয়োজন হবে যে আইটি এর অধীনে সিস্টেম এবং পরিষেবাদিতে সমস্ত প্রশাসক অ্যাকাউন্টের সমস্ত পাসওয়ার্ড একটি পাসওয়ার্ডকে নিরাপদে রাখতে হবে (হয় ডিজিটালি কেপাসের মতো, বা একটি আক্ষরিক কাগজের টুকরোটি নিরাপদে রাখা হয়েছে)। পর্যায়ক্রমে আপনাকে যাচাই করতে হবে যে এই অ্যাকাউন্টগুলি এখনও সক্রিয় রয়েছে এবং যথাযথ অ্যাক্সেসের অধিকার রয়েছে। বেশিরভাগ অভিজ্ঞ আইটি লোকেরা এটিকে "যদি আমি একটি বাসে ধাক্কা খায়" দৃশ্যে ডেকে আনে এবং এটি ব্যর্থতার পয়েন্টগুলি মুছে ফেলার সাধারণ ধারণার অংশ।

এক ব্যবসায়িক আমি কোথায় আমি একমাত্র IT প্রশাসকের ছিল এ কাজ এ, আমরা একটি বহিস্থিত আইটি পরামর্শক এই হস্তান্তর সঙ্গে একটি সম্পর্ক বজায় রাখা, প্রাথমিকভাবে কারন তার কোম্পানি ছিল (আক্রোশ চেয়ে বেশি অযোগ্যতা দ্বারা) অতীতে পোড়া হয়েছে। তাদের কাছে দূরবর্তী অ্যাক্সেসের পাসওয়ার্ড ছিল এবং যখন জিজ্ঞাসা করা হয় তখন প্রয়োজনীয় প্রশাসকের পাসওয়ার্ডগুলি পুনরায় সেট করতে পারে। তবে কোনও কোম্পানির ডেটাতে তাদের সরাসরি অ্যাক্সেস ছিল না। তারা কেবল পাসওয়ার্ড পুনরায় সেট করতে পারে। অবশ্যই, যেহেতু তারা এন্টারপ্রাইজ প্রশাসকের পাসওয়ার্ডগুলি পুনরায় সেট করতে পারে তাই তারা সিস্টেমগুলির নিয়ন্ত্রণ নিতে পারে। আবার এটি "বিশ্বাস তবে যাচাই করুন" হয়ে যায়। তারা সিস্টেমগুলিতে অ্যাক্সেস করতে পারে তা নিশ্চিত করেছে। আমি নিশ্চিত করেছিলাম যে এগুলি সম্পর্কে আমাদের না জেনে তারা কোনও পরিবর্তন করেনি।

এবং মনে রাখবেন: কোনও ব্যক্তি আপনার সংস্থাকে পোড়াচ্ছে না তা নিশ্চিত করার সবচেয়ে সহজ উপায় হ'ল তারা খুশি। আপনার বেতন কমপক্ষে মধ্যম মানের রয়েছে কিনা তা নিশ্চিত করুন। আমি এমন অনেক পরিস্থিতিতে শুনেছি যেখানে আইটি কর্মীরা তবুও কোনও সংস্থাকে ক্ষতিগ্রস্থ করেছে। আপনার কর্মীদের সাথে ঠিক আচরণ করুন এবং তারাও একই কাজ করবেন।

বেকন বিটস
সূত্র
1
ঠিক আছে বেকন। আমি নিজের উত্তরটি একই জিনিস বলার আগে আপনার উত্তরটি পড়িনি।
joeqwerty
এটি সেরা উত্তর। একটি চুক্তির ভিত্তিতে একটি বিশ্বস্ত তৃতীয় পক্ষ পান।
এমফিনি
অন্তর্দৃষ্টি দিয়ে, আইটি লোকটি বরখাস্ত হওয়ার আগের দিন তৃতীয় পক্ষকে কার্যকরভাবে লক আউট করার জন্য জিনিসগুলি পরিবর্তন করে। তখন কি? যতক্ষণ না আপনি এটির নিরীক্ষণ করতে পারবেন, যতক্ষণ না আপনি প্রতি বার কাউকে গুলি করেন?
ম্যাথু
1
-1 এর জন্য: "আমি নিশ্চিত করেছি যে এটি সম্পর্কে আমাদের না জেনে তারা কোনও কিছু পরিবর্তন না করে।"
Kzqai
1
আরও ভাল: আপনার নেটওয়ার্কটিতে অ্যাক্সেস নেই এমন কারও দ্বারা জরুরী জরুরী অ্যাকাউন্টের তথ্য সংরক্ষণ করুন। একটি এসক্রো পরিষেবা, বাইরের আইনজীবী, ব্যাংক ভল্ট যেখানে কেবল ব্যবসায়ের অংশীদারদের শারীরিক অ্যাক্সেস থাকে। আপনি যদি সত্যিই ভৌতিক হয়ে থাকেন তবে আপনি এটি করেন। এবং অবশ্যই একটি দ্বৈত কী সিস্টেম রয়েছে যার মধ্যে সর্বদা কমপক্ষে 2 জনকে রুট অ্যাকাউন্টে লগ ইন করতে হয়, উভয় অর্ধেক পাসওয়ার্ডই জেনে রাখা উচিত।
6:30 এ জেভেন্টিং
32

আপনি কীভাবে আপনার বুককিপারকে আপনার কাছ থেকে আত্মসারণ থেকে রক্ষা করবেন? কীভাবে আপনি আপনার সরবরাহকারীদের কাছ থেকে কিকব্যাক নিতে আপনার বিক্রয় কর্মীদের রাখবেন?

আইটি-বিবিহীন লোকদের একটি বিভ্রান্ত ধারণা রয়েছে যে আমরা আইটি লোকেরা একটি কালো শিল্পকে অনুশীলন করি যা আমরা ভাল এবং মন্দকে সীমাবদ্ধ করে লাইন থেকে চালিত করি এবং একটি ঝকঝকে আমরা "ক্ষতিকারক কেশিক বসকে নামিয়ে আনার উদ্দেশ্যে" কিছু অবলোচনামূলক যান্ত্রিক পদক্ষেপ গ্রহণ করব the "।

আইটি কর্মচারীকে পরিচালনা করা অন্য যে কোনও কর্মচারীকে পরিচালনা করার মতো।

এমন সিনেমা দেখা বন্ধ করুন যা আমাদের মধ্যে যারা আমাদের অবস্থানের দায়িত্বকে গুরুত্বের সাথে গ্রহণ করে তাদের চিত্রিত করে যেন আমরা দুর্বৃত্ত এজেন্টরা পৃথিবীর আধিপত্য এবং / অথবা ধ্বংসের দিকে ঝুঁকে পড়েছি।

joeqwerty
সূত্র
13
আমার খাতা আমার বিক্রয় কর্মীদের নিরীক্ষণ করে। আমার সিপিএ আমার বুককিপারকে অডিট করে। কে আইটি লোকের অডিট করে? সিনেমাগুলির সাথে এর কোনও যোগসূত্র নেই, এটি ব্যবসা করার ঝুঁকি হ্রাস করার সাথে সম্পর্কযুক্ত।
জেসি
3
@ জেসি: আমি শুনছি। আমার উত্তরে কিছুটা হাইপারবোল রয়েছে তবে তারপরে আপনার নিজের আইটি কর্মীদের যেমন আপনার বাকী কর্মীদের পরিচালনা করার দরকার হয় তেমনভাবে। আপনার আইটি কর্মীদের নিরীক্ষণের জন্য যদি আপনার কারও প্রয়োজন হয় তবে আপনার নিজের সেই দায়িত্ব নিজেই নিতে হবে বা এটিকে সম্পাদনের জন্য কাউকে নিয়োগ দেওয়া উচিত।
joeqwerty
3
দুর্ভাগ্যক্রমে আইটির বাইরের অনেকেরই ধারণা রয়েছে যে প্রতিটি আইটি ব্যক্তি কেবল তাদের সিস্টেমে ফাটল ধরতে এবং কোম্পানির গোপনীয়তা এবং পাসওয়ার্ডগুলি ব্যাঙ্ক অ্যাকাউন্টে চালিয়ে যাওয়ার জন্য বেরিয়ে আসে। তারা কখনও এও বিবেচনা করে না যে আমরা তাদের অন্য কর্মীদের মতোই কেবল আরও একগুচ্ছ মানুষ, এবং অন্যরা ইতিমধ্যে কিছু করার জন্য বিনা প্রয়োজনে কেবল তা করার উপায় আছে কারণ তাদের সেই ডেটাতে অ্যাক্সেস রয়েছে তাদের নিয়মিত কাজের অংশ।
জওয়ান
21

বাহ - সত্যি? সার্ভারফল্টে জিজ্ঞাসা করার সাহসী প্রশ্ন, যদি কেউ আপনার প্রশ্ন থেকে বিরক্ত হন তবে শঙ্কিত হবেন না, যদিও আমি বুঝতে পারি।

ঠিক আছে, ব্যবহারিক সমাধান; আপনি প্রতিটি বিষয়ে নিজের প্রশাসক / মূল সমতুল্য অ্যাকাউন্ট থাকার বিষয়ে (এবং প্রায়শই পরীক্ষা করা) জোর দিয়েছিলেন, এলোমেলোভাবে অফ-সাইট ব্যাকআপের একটি বাড়িতে নিয়ে যান এবং এটি পুনরুদ্ধার করতে পারেন, সম্ভবত আপনার পরিচিত / বিশ্বাসী ব্যক্তির কাছ থেকে নিয়োগের চেষ্টা করবেন বা প্রচুর পরিমাণে ব্যয় করবেন সময় তাদের নিয়োগ।

আমার শক্তিশালী পরামর্শটি হ'ল দু'জনকে নিয়োগ দেওয়া - উভয়ই আপনাকে জানানো, তারা কেবল একে অপরকে সৎ রাখবে না তবে যখন কোনও ছুটিতে বা অসুস্থ থাকবে তখন আপনার কভার থাকবে।

Chopper3
সূত্র
1
... আমি অবাক হই যে ভাড়াটি কোনও নন-টেক ব্যক্তিকে তার কাঁধের উপরে নজর রাখার জন্য কীভাবে বিশ্বাস করতে পারে। এই প্রশ্নটি যে কোনও ব্যবসায়ের জন্য সমস্যাগুলি প্রতিফলিত করে। তবে আইটি লোকের মধ্যে সব ধরণের খারাপ কাজ করার ক্ষমতা থাকবে। তার কাজটি কার্যকরভাবে করার জন্য তার এটি থাকতে হবে।
বার্ট সিলভারস্ট্রিম
2
একটি প্রযুক্তিবিহীন ব্যবহারকারীর জন্য সমস্ত কিছুর অ্যাকাউন্ট থাকাতে আমি ক্রাইংয়ের মতো। কোনও প্রকৃত প্রয়োজন না হওয়া পর্যন্ত নন-টেক তাদের ব্যবহার করার জন্য এগুলি সেখানে নেই তা নিশ্চিত করার জন্য নীতিগুলি থাকতে হবে ... যেমন অ্যাডমিনকে বরখাস্ত করা হচ্ছে। অ-কারিগরি লোকেরা মেল সার্ভারের চারপাশে হাঁসফাঁস শুরু করার বা তাদের এখতিয়ারে না থাকার মতো কিছু করার প্রয়োজন বোধ করার কারণে নয় speak
বার্ট সিলভারস্ট্রিম
1
একজন দক্ষ প্রশাসক জরুরি অবস্থা ব্যতীত অ-প্রযুক্তিগত ব্যবহারকারীদের অ্যাডমিন পাসওয়ার্ড সরবরাহ করার জন্য প্রয়োজনীয় পদক্ষেপ নেবে। যে লোকেরা জানেন না যে তারা কী করছেন তারা তাদের যে জিনিসগুলি না করা উচিত তা নিয়ে গণ্ডগোলের প্রলুব্ধ হবে। সেগুলি সিল করুন এবং সেফটিতে লক করুন।
পল ম্যাকমিলান
3
প্রকৃতপক্ষে, আমি এটিকে প্রচুর পরিমাণে চালিয়েছি, একটি ছোট বা দুটি লোকের দোকান যা কেবলমাত্র অসাধু কাজের জন্য হাস্যকর ছলে অর্থের জন্য ছোট ব্যবসায়কে দুধ দিচ্ছে। আমি মনে করি এটি একটি দুর্দান্ত প্রশ্ন।
স্পেসম্যানস্পিফ
11

আপনার কি এইচআর ব্যক্তি আছে? নাকি হিসাবরক্ষক? আপনি কীভাবে আপনার এইচআর ব্যক্তিকে দুষ্ট হতে এবং প্রত্যেকের ব্যক্তিগত তথ্য বিক্রয় করা থেকে বিরত রাখেন? সংস্থার মালিকানাধীন সমস্ত কিছু আপনার নীচে থেকে চুরি করা থেকে আপনি কীভাবে আপনার হিসাবরক্ষক বা লোকদের অর্থায়ন করেন?

সমস্ত অবস্থানের জন্য, কোনও ব্যক্তির কতটা ক্ষতি করতে পারে তা সীমাবদ্ধ করে আপনার জায়গায় পদ্ধতি থাকা উচিত। আপনার ডিফল্ট অবস্থানটি এমনটি হওয়া উচিত যা আপনি ভাড়া নিয়েছেন এমন লোকদের উপর আপনি বিশ্বাস রাখেন (যদি আপনি তাদের উপর নির্ভর করেন না, তাদের নিয়োগ দেবেন না বা রাখবেন না) তবে চেক এবং ব্যালেন্স থাকা যুক্তিসঙ্গত।

এমনকি একটি ছোট সংস্থার জন্য, আপনার কেবলমাত্র "আইটি ব্যক্তি" থাকা উচিত নয় যিনি একমাত্র যিনি কিছু জানেন। (যেমন আপনার কেবলমাত্র একজন ব্যক্তির উচিত নয় যাঁরা বেতন নিয়ে কাজ করতে পারবেন - সেই ব্যক্তি অসুস্থ হলে কী হবে?)। অন্য কারও কাছে পাসওয়ার্ড প্রয়োজন, ব্যাকআপগুলি পরীক্ষা করা প্রয়োজন ইত্যাদি etc.

আপনি যা করতে পারেন তা হ'ল ডকুমেন্টেশনকে অগ্রাধিকার দেওয়া। আপনি প্রার্থীদের সাক্ষাত্কারকালে কীভাবে জিনিসগুলি সেট আপ করা হয় এবং ডকুমেন্টেশন নিয়ে আলোচনা করার জন্য আপনি যে ব্যক্তিকে ভাড়া দিয়েছেন তার বিষয়ে নিশ্চিত হন - তাদের নেটওয়ার্ক ডকুমেন্ট করার জন্য অতীতে তারা কী করেছে তা জিজ্ঞাসা করুন, একটি নমুনা দেখতে বলুন।

আমার অভ্যাস সর্বদা একটি "সিস্টেম গাইড" রাখার জন্য যা কমবেশি সবকিছু নথি করে দেয় - আমরা কী কী সরঞ্জাম পেয়েছি, এটি কীভাবে সেটআপ করা হয়, পদ্ধতিগুলি আমরা অনুসরণ করি ইত্যাদি ইত্যাদি। এটি অবশ্যই একটি ক্রমাগত বিকশিত নথি (নথিগুলির ধারাবাহিক) এবং ফাইলগুলি বেশিরভাগ ক্ষেত্রে) তবে কোনও সময় আপনি একটি অনুলিপি নিতে পারেন এবং আইটি লোকটি কীভাবে জিনিসগুলি সেট আপ করেছে এবং আইটি লোকটি বাসের ধাক্কায় আক্রান্ত হলে অন্য কোন ব্যক্তিকে কী সমালোচনা করা দরকার তা সম্পর্কে ধারণা পেতে পারেন। আপনি যদি সত্যিই প্রস্তুত হতে চান তবে আপনি সিস্টেমের ম্যানুয়ালটি ব্যবহার করার জন্য কোনও বাইরের পরামর্শদাতাকে পেয়ে যেতে পারেন এবং তথ্যপ্রযুক্তি লোকটির সাথে যদি কিছু ঘটে থাকে তবে তাদের কী পদক্ষেপ নিতে হবে তা বলতে পারেন।

অথবা, যদি আপনি সত্যিই ভৌতিক হয়ে থাকেন তবে আপনি বাইরের পরামর্শদাতাকে নিয়ে আসতে পারেন এবং সিস্টেম ম্যানুয়ালটিতে যা আছে তা তারা আপনার সিস্টেমে তাকান কিনা তার সাথে তুলনা করতে পারেন। অন্যান্য সফ্টওয়্যার ইনস্টল করা আছে? অতিরিক্ত প্রশাসক বা দূরবর্তী অ্যাক্সেস অ্যাকাউন্ট আছে?

ওয়ার্ড
সূত্র
6

এটি শক্ত, যেহেতু ব্যর্থতা ব্যথা নিয়ে আসে ( আপনি কীভাবে পূর্ববর্তী আইটি ব্যক্তির পিছনে দরজা অনুসন্ধান করবেন? ) যদি আপনি এতটা ছোট হন যে আপনার কাছে ইতিমধ্যে কোনও আইটি উপস্থিতি নেই, তবে ধরণের ধরণের কাঠামোগত কাঠামোগুলি যেগুলি এক্সপোজারকে সীমাবদ্ধ করতে পারে তা সত্যিই সত্যই কার্যকর place ডোমেন অ্যাডমিন শংসাপত্রগুলির প্রয়োজনীয় জিনিসের মতো সমস্ত উচ্চ আস্থার ক্রিয়াকলাপ করার মতো অন্য কেউ না করা থাকলে আপনাকে এটি আপনার নতুন ভাড়াতে হবে।

আপনি এমন কাউকে নিয়োগ দিচ্ছেন যার উপরে উচ্চ আস্থা রাখা হবে যাতে আপনাকে তার বিনিময়ে তাদের উপর নির্ভর করা দরকার, সুতরাং আপনি যদি 100% নির্দিষ্ট না হন তবে তাদেরকে ভাড়া দেবেন না। পটভূমি চেকগুলি সহায়তা করতে পারে। চরিত্রের ব্যক্তিগত সুপারিশগুলিকে কেবল যোগ্যতা না বলে জোর দিন ; যদি তাদের লিঙ্কডইন প্রোফাইল থাকে তবে তাদের কিছু পরিচিতি জিজ্ঞাসা করুন বা তাদের সাথে যোগাযোগ করার জন্য জোর দিন।

হ্যাঁ, এটি খুব অনুপ্রবেশকারী হবে। যদি আপনার সত্যিই কারও সম্পর্কে সন্দেহ থাকে তবে ব্যবসায়ের জন্য সবচেয়ে খারাপ ঘটনা ঘটলে এটি ব্যয় করার কারণে এটি পুরোপুরি মূল্যবান। যখন তারা শুরু করে, তাদের সাথে খুব ঘনিষ্ঠভাবে কাজ করুন। তাদের সম্পর্কে জানতে। পুরো সংস্থাটি তাদের সাথে যোগাযোগ করুন। তারা কীভাবে লোকদের সাথে কাজ করে দেখুন।

একবার নতুন কাজের চাকচিক্য বন্ধ হয়ে যাওয়ার পরে তারা কীভাবে অপ্রত্যাশিত বাধা মোকাবেলা করবে তা দেখুন। তারা কি অসন্তুষ্ট এবং চটজলদি হয়ে যায়, না তারা এটাকে সরিয়ে দিয়ে লেনদেন করে? যদি আপনার অফিসে নতুন লোকদের নৈমিত্তিকভাবে হ্যাজ করার ধরণ হয় তবে দেখুন তারা কীভাবে প্রতিক্রিয়া দেখায়; সূক্ষ্ম এবং প্রতিশোধ-টার্গেটে খুব বিব্রত সহকারে চুপচাপ, বা হাস্যকর, বা হাসি এবং এটিকে বন্ধ করে দেওয়া? এগুলি এমন কিছু ক্লু যা একটি সম্ভাব্য প্রতিশোধ-নাশককে সনাক্ত করতে সহায়তা করতে পারে।

sysadmin1138
সূত্র
1
একজন উগ্র প্রশাসক? নিশ্চয়ই তামাশা!
বার্ট সিলভারস্ট্রিম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.