Я собираюсь нанять ИТ-специалиста, чтобы он помогал управлять компьютерами и сетью моего офиса. У нас маленький магазин, так что ЭТО будет делать только он.
Конечно, я буду внимательно брать интервью, проверять рекомендации и проверять биографические данные. Но никогда не знаешь, как все сложится.
Как мне ограничить влияние моей компании, если нанятый мной парень оказывается злым? Как мне не сделать его самым влиятельным человеком в организации?
Вы делаете это так же, как защищаете компанию от того, что глава отдела продаж убегает со списком клиентов, или руководитель отдела бухгалтерского учета растрачивает средства, или менеджер по запасам от ухода с половиной запасов, в основном: Доверяйте, но проверяйте.
По крайней мере, я бы потребовал, чтобы все пароли для всех учетных записей администраторов в системах и службах ИТ хранились в сейфе с паролями (либо в цифровом виде, как KeePass, либо на буквальном листе бумаги, хранящемся в сейфе). Периодически вам нужно будет проверять, что эти учетные записи все еще активны и имеют соответствующие права доступа. Большинство опытных ИТ-специалистов называют это сценарием «если меня сбьет автобус», и это часть общей идеи по устранению точек отказа.
В одном бизнесе, в котором я работал, где я был единственным ИТ-администратором, мы поддерживали отношения с внешним ИТ-консультантом, который передал его, прежде всего потому, что компания было были сожжены в прошлом (больше некомпетентностью, чем злобой). У них были пароли удаленного доступа, и они могли по запросу сбросить основные пароли администратора. Однако прямого доступа к данным компании у них не было. Они могли только сбрасывать пароли. Конечно, поскольку они могли сбрасывать пароли корпоративных администраторов, они могли взять под контроль системы. И снова это стало «Доверяй, но проверяй». Они убедились, что у них есть доступ к системам. Я убедился, что они ничего не меняли без нашего ведома.
И помните: самый простой способ убедиться, что человек не сжигает вашу компанию, - это убедиться, что он счастлив. Убедитесь, что ваша заработная плата не ниже среднего. Я слышал слишком много ситуаций, когда ИТ-персонал наносил ущерб компании назло. Относитесь к своим сотрудникам правильно, и они поступят так же.
Как вы удерживаете своего бухгалтера от присвоения вам денег? Как вы удерживаете свой торговый персонал от откатов от поставщиков?
Не-айтишники ошибочно полагают, что мы, ИТ-специалисты, практикуем черное искусство, которое мы используем на грани добра и зла, и что по прихоти мы прибегаем к некоей гнусной махинации только с целью «свергнуть остроконечного начальника ".
Управление ИТ-сотрудником похоже на управление любым другим сотрудником.
Прекратите смотреть фильмы, в которых изображены те из нас, кто серьезно относится к своей должности, как будто мы мошенники, одержимые мировым господством и / или разрушением.
Вау, действительно? смелый вопрос, который нужно задать о сбое сервера, не пугайтесь, если кто-то обидится на ваш вопрос, хотя я понимаю.
Хорошо, практические решения; вы можете настаивать (и часто тестировать) наличие собственных учетных записей администратора / root для всего, случайным образом взять одну из внешних резервных копий домой и восстановить ее, очевидно, попытаться нанять людей, которых вы знаете / которым доверяете, или потратите много время нанять их.
Мое самое сильное предложение - нанять двух человек - оба будут подчиняться вам, они не только будут держать друг друга честными, но и у вас будет прикрытие на случай, если один будет в отпуске или болен.
У вас есть HR? Или бухгалтер? Как вы удерживаете своего сотрудника отдела кадров от злых дел и продажи личной информации каждого? Как вы удерживаете своего бухгалтера или финансистов от кражи всего, чем владеет компания, из-под вас?
Для всех позиций вы должны иметь процедуры, ограничивающие, какой ущерб может нанести человек. Ваша позиция по умолчанию должна заключаться в том, что вы доверяете людям, которых нанимаете (если вы им не доверяете, не нанимайте и не удерживайте их), но разумно иметь систему сдержек и противовесов.
Даже в небольшой компании не должно быть только одного «ИТ-специалиста», который будет единственным, кто что-то знает. (так же, как у вас не должно быть только одного человека, который может заниматься расчетом заработной платы - что, если этот человек заболеет?). Кому-то нужны пароли, нужно проверить резервные копии и т. Д.
Вы можете сделать документацию своим приоритетом. Убедитесь, что вы даете человеку, которого вы нанимаете, время задокументировать, как все устроено, и обсудить документацию при собеседовании с кандидатами - спросите, что они делали в прошлом, чтобы задокументировать свою сеть, попросите показать образец.
У меня есть привычка всегда составлять «Системное руководство», в котором более или менее документируется все - какое оборудование у нас есть, как оно настроено, процедуры, которым мы следуем, и т. д. и т. д. Это, очевидно, постоянно развивающийся документ (в большинстве случаев серия документов и файлов), но в любое время вы можете взять копию и получить представление о том, как ИТ-специалист все настроил и какую важную информацию нужно знать кому-то еще на случай, если ИТ-специалист сбит автобус. Если вы действительно хотите подготовиться, вы можете попросить внешнего консультанта просмотреть руководство по системе и сказать, что ему нужно будет вмешаться, если что-то случится с ИТ-специалистом.
Или, если вы действительно параноик, вы можете пригласить внешнего консультанта и сравнить то, что в руководстве по системе, с тем, что они увидят, если посмотрят на ваши системы. Установлено ли другое программное обеспечение? Есть ли дополнительные учетные записи администратора или удаленного доступа?
Это сложно, так как неудача приносит боль ( Как вы ищите бэкдоры от предыдущего ИТ-специалиста? ). Если вы достаточно малы, что у вас еще нет ИТ-отдела, то разрозненные структуры, которые могут ограничить подверженность риску, действительно, очень сложно создать. Если у вас нет кого-то другого, кто будет выполнять все действия с высоким уровнем доверия, например, требующие учетных данных администратора домена, вам придется передать их новому сотруднику.
Вы нанимаете кого-то, кто будет иметь высокое доверие к нему, поэтому вам нужно доверять ему взамен, поэтому, если вы не уверены на 100%, не нанимайте его. Проверка данных может помочь. Настаивайте на личных рекомендациях персонаж не просто компетентность; если у них есть профиль в LinkedIn, спросите некоторых из их контактов или настаивайте на том, чтобы связаться с ними.
Да, это будет очень навязчиво. Если вы действительно сомневаетесь в ком-то, то это того стоит из-за затрат для бизнеса на случай, если произойдет худшее. Когда они начнут, работайте с ними очень тесно. Познакомьтесь с ними. Пусть с ними взаимодействует вся компания. Посмотрите, как они работают с людьми.
Когда настроение новой работы утихнет, понаблюдайте, как они справляются с неожиданными неудачами. Становятся ли они обиженными и угрюмыми, или же они не обращают внимания на это и соглашаются? Если ваш офис относится к типу людей, которые непринужденно издеваются над новыми людьми, посмотрите, как они отреагируют; тонкий и тихий, с большим замешательством в отношении объекта мести, явный и кричащий, или смех и игнорирование этого? Это некоторые из подсказок, которые могут помочь идентифицировать потенциального саботажника мести.