Quali caratteristiche e caratteristiche personali cerchi in un professionista IT Security? [chiuso]

4

I professionisti della sicurezza IT sono persone molto intelligenti che hanno bisogno di dare al proprio ambiente il rispetto e la cura che il business richiede.

Parte 1

  • Quali sono i tratti che cerchi in un dipendente prima di approvarli per l'accesso sensibile (password di root, amministratore di dominio, ecc.)?

  • Quali segnali premonitori ti guardano per quello che potrebbe preoccuparti?

Questa persona di cui stiamo parlando può essere chiunque da un dipendente interno, un revisore esterno o persino un venditore / terza parte con cui intrattieni rapporti commerciali.

Parte 2

  • Tutto questo cambia se la persona in questione ha abilità uniche che nessuno (incluso te stesso) ha e potrebbe avere la capacità di superare in astuzia qualsiasi auditor che potrebbe guardare?
posta random65537 02.12.2010 - 00:26
fonte

2 risposte

6

L'autorizzazione di sicurezza dei dipendenti è un problema importante per le organizzazioni, e ancora di più in posizioni di sensibilità come i ruoli di amministratore, root o superutente. Il mio solito pollice, è di presumere che questi ruoli possono fare molto più danni di un utente normale, proteggendo così pesantemente la vostra organizzazione da loro. I tratti possono essere la parola sbagliata - molti tratti di professionisti altamente qualificati sono gli stessi di criminali altamente qualificati.

In alcuni paesi questo è più facile di altri, ma i permessi di sicurezza di base includono assegni di credito e penali (se un individuo è pesantemente in debito diventano più sensibili alla persuasione da elementi criminali, e una storia criminale dovrebbe escludere gli individui per ruoli sensibili , soprattutto se si trattava di un crimine associato a frodi IT.) Anche gli associati noti dovrebbero essere ricercati.

Per i ruoli altamente sensibili, potrebbero essere richiesti regolari controlli di ricontrollo. E la consapevolezza del comportamento dei dipendenti potrebbe essere un valore aggiunto! Gli stipendi dovrebbero anche essere rivisti - i ruoli sottopagati sono un obiettivo diretto per la corruzione e la corruzione.

Questo non cambia davvero se gli individui hanno abilità uniche, in quanto i ruoli sottostanti dovrebbero essere un'infrastruttura che previene l'abuso, ad esempio la limitazione dei diritti amministrativi solo a quelli richiesti dovrebbe essere un dato. Per la maggior parte delle piattaforme, non è richiesto l'accesso come root o amministratore, quindi se necessario deve essere utilizzato un Power User o inferiore e root deve essere limitato alle occasioni di emergenza, dove richiede l'input da due persone:

un esempio:

Gli amministratori di database spesso richiedono diritti di superutente completi, ma questo non è quasi mai necessario. Esistono molti tipi di ruolo di amministratore che possono essere assegnati come appropriato e root può essere un ruolo di vetro di rottura che richiede il recupero di una password da una cassastrong o da due individui che ne detengono la metà.

Per riassumere - sì, i guru IT sono essenziali ma pericolosi; proteggiti da loro con controlli tecnici e procedurali, analizza il loro background e usa le loro abilità per aggiungere valore.

    
risposta data 02.12.2010 - 01:25
fonte
2

Ad un minimo di controlli di background. Dopo di ciò, cerco istanze in cui hanno bisogno di fare scelte difficili, in particolare guardando come gestiscono l'autorità e il potere. Dato che non ho interesse a gestire micro qualcuno, ho bisogno di qualcuno che non proverà a essere Napoleone.

Se qualcuno fa molte scuse, inizierei a preoccuparmi. Voglio qualcuno che possieda fino agli errori che fanno e spostare la conversazione in avanti. Nessuno dei miei punti di vista lo cambierebbe, la persona aveva abilità uniche dal momento che non abbiamo paura di addestrare le persone. È comune per noi inviare qualcuno alla formazione per la certificazione con il nostro EMR (cartella clinica elettronica) subito dopo l'inizio.

    
risposta data 02.12.2010 - 04:30
fonte