Manajer TI Meninggalkan - Apa yang harus saya kunci?

Manajer TI mungkin akan pergi, dan ada kemungkinan bahwa cara berpisah mungkin tidak sepenuhnya sipil. Saya tidak akan benar-benar mengharapkan kebencian tetapi untuk berjaga-jaga, apa yang harus saya periksa, ubah, atau kunci?

Contoh:

• Kata sandi admin
• Kata sandi nirkabel
• Aturan akses VPN
• Pengaturan router / Firewall

Jelas keamanan fisik perlu diatasi, tetapi setelah itu ...

Dengan asumsi Anda tidak memiliki prosedur yang terdokumentasi ketika karyawan pergi (lingkungan umum karena Anda tidak menyebutkan platform yang Anda jalankan):

1. Mulai dengan keamanan perimeter. Ubah semua kata sandi pada peralatan perimeter seperti router, firewall, vpn's, dll ... Kemudian kunci semua akun yang dimiliki manajer TI, serta tinjau semua akun yang tersisa untuk apa pun yang tidak lagi digunakan, dan apa pun yang tidak t milik (kalau-kalau dia menambahkan sekunder).
2. Email - menghapus akunnya atau setidaknya menonaktifkan login tergantung pada kebijakan perusahaan Anda.
3. Lalu pergi melalui keamanan host Anda. Semua mesin dan layanan direktori harus menonaktifkan dan / atau menghapus akunnya. (Dihapus lebih disukai, tetapi Anda mungkin perlu mengauditnya jika ia memiliki sesuatu yang berjalan terlebih dahulu yang valid di bawahnya). Sekali lagi, tinjau juga untuk setiap akun yang tidak lagi digunakan, serta akun yang bukan miliknya. Nonaktifkan / hapus juga. Jika Anda menggunakan kunci ssh, Anda harus mengubahnya di admin / akun root.
4. Akun bersama, jika Anda punya, semua kata sandi mereka harus diubah. Anda juga harus melihat menghapus akun bersama atau menonaktifkan login interaktif sebagai praktik umum.
5. Akun aplikasi ... jangan lupa untuk mengubah kata sandi, atau nonaktifkan / hapus akun dari semua aplikasi yang dia akses juga, mulai dengan akun akses admin.
6. Logging ... pastikan Anda memiliki login yang bagus untuk penggunaan akun dan memonitornya dengan cermat untuk mencari aktivitas yang mencurigakan.
7. Cadangkan ... pastikan cadangan Anda terkini, dan aman (lebih disukai di luar lokasi). Pastikan Anda telah melakukan hal yang sama seperti di atas dengan sistem cadangan Anda sejauh akun.
8. Dokumen ... cobalah sebanyak mungkin untuk mengidentifikasi, meminta darinya jika mungkin, dan menyalin di suatu tempat yang aman, semua dokumentasinya.
9. Jika Anda memiliki layanan outsourcing (email, filter spam, hosting jenis apa pun, dll.), Pastikan untuk melakukan semua hal di atas yang sesuai dengan layanan tersebut juga.

Ketika Anda melakukan semua ini, dokumentasikan , sehingga Anda memiliki prosedur untuk penghentian di masa depan.

Juga, jika Anda menggunakan layanan colocation, pastikan namanya dihapus dari daftar akses dan daftar pengiriman tiket. Akan bijaksana untuk melakukan hal yang sama untuk vendor lain di mana dia adalah orang utama yang menangani, sehingga dia tidak dapat membatalkan atau mengacaukan layanan yang Anda dapatkan dari vendor tersebut, dan juga agar vendor tahu siapa yang harus dihubungi untuk pembaruan, masalah, dll ... yang dapat menyelamatkan Anda dari sakit kepala ketika sesuatu yang tidak didokumentasikan oleh manajer TI.

Saya yakin masih ada lagi yang saya rindukan, tapi itu tidak masuk akal.

Jangan lupa keamanan fisik - pastikan dia tidak bisa masuk ke gedung mana pun - sangat menyenangkan bahwa Anda sudah menguasai seluruh kit jaringan tetapi jika ia bisa sampai ke pusat data itu tidak ada gunanya.

Kami menduga bahwa karyawan yang tidak puas yang masih dalam periode pemberitahuan mereka mungkin telah menginstal beberapa program akses jarak jauh, jadi kami membatasi akun masuknya hanya untuk jam kerja, sehingga ia tidak dapat pergi setelah jamnya ketika tidak ada orang yang bisa melakukan hal-hal (selama jam kerja kita bisa melihat layarnya dengan jelas jadi jika dia bangun untuk kerusakan kita akan tahu).

Ternyata menjadi berharga, ia telah menginstal LogMeIn dan benar-benar mencoba akses setelah jam kerja.

(ini adalah jaringan perusahaan kecil, tidak ada ACL atau firewall mewah)

Juga berhati-hatilah untuk tidak mengunci terlalu banyak. Saya ingat situasi di mana seseorang pergi dan sehari kemudian menjadi jelas bahwa beberapa perangkat lunak bisnis penting benar-benar berjalan di bawah akun pengguna pribadinya.

Sekadar menambahkan - juga pastikan Anda telah mengaudit login yang gagal dan berhasil - banyak kegagalan untuk akun yang diikuti oleh kesuksesan dapat menyamai peretasan. Anda mungkin juga membuat orang lain mengganti kata sandi mereka juga jika Manajer TI terlibat dalam pengaturan kata sandi. Jangan lupa kata sandi basis data juga dan Anda mungkin ingin menggosok akun emailnya untuk mendapatkan informasi yang aman. Saya juga akan melakukan pemeriksaan akses pada informasi / database rahasia, dan melarangnya melakukan backup sistem / database.

Semoga ini membantu.

Pastikan juga, sebelum Anda membiarkan orang ini pergi, untuk memahami bahwa segala sesuatu dapat dan akan turun, atau bermasalah sampai Anda mengganti orang itu. Saya berharap bahwa Anda tidak akan menyalahkan mereka untuk segala sesuatu yang turun hanya karena Anda menganggap / tahu itu tidak akan menjadi cara yang baik, atau berpikir mereka meretas Anda entah bagaimana karena toilet meluap.

Semoga skenario itu terdengar tidak masuk akal bagi Anda. Tapi itu adalah kisah nyata dari pekerjaan terakhir saya bahwa sekarang pemilik mencoba menuntut saya untuk sabotase (pada dasarnya karena saya berhenti dan mereka tidak mau benar-benar membayar siapa pun tingkat pasar untuk menggantikan saya) dan kejahatan dunia maya seperti peretasan dan pemerasan internet.

Intinya adalah, mengevaluasi "mengapa" dengan alasan pemecatan mereka. Jika itu selain kebutuhan ekonomis, saya sarankan Anda memperbaiki prosedur perekrutan Anda sehingga Anda dapat mempekerjakan individu yang lebih profesional di mana, secara profesi, harus dapat diandalkan dan dapat dipercaya dengan misi bisnis informasi penting dan biasanya rahasia dan yang dapat menginstal dengan benar prosedur keamanan yang harus diikuti semua orang.

Salah satu cara untuk mengetahui saat Anda mewawancarai adalah seberapa baik mereka mewawancarai Anda dan bisnis Anda sebagai gantinya. Tanggung jawab (Seperti dalam apa yang menurut perusahaan Manajer TI dapat dianggap salah jika terjadi kesalahan - biasanya ada dalam kontrak) dan keamanan jaringan secara keseluruhan adalah salah satu dari 3 hal teratas pada setiap manajer TI / pikiran CTO yang tepat ketika datang untuk wawancara untuk suatu pekerjaan.

Ubah semua kata sandi admin (server, router, sakelar, akses remore, firewall) Hapus semua aturan firewall untuk akses jarak jauh untuk manajer TI. Jika Anda menggunakan token keamanan, lepaskan token manajer TI dari semua akses. Hapus akses TACACS (jika Anda menggunakan ini).

Pastikan untuk melakukan perubahan ini dengan manajer TI di ruang konferensi atau di bawah kontrol fisik, sehingga ia tidak dapat mengamati prosesnya. Saat membaca kata sandi saat diketik di keyboard adalah non-sepele (tidak sulit, tidak sepele), jika ini perlu diulang, ada risiko yang lebih tinggi dari kata sandi yang diperoleh.

Jika memungkinkan, ganti kunci. Jika kunci dapat direplikasi (dan singkatnya, mereka bisa), ini akan menghentikan manajer IT dari mendapatkan akses fisik sesudahnya. Nonaktifkan kartu pass yang tidak dapat Anda pertanggungjawabkan (tidak hanya kartu yang Anda tahu telah dikeluarkan untuk manajer TI).

Jika Anda memiliki beberapa saluran telepon masuk, periksa SEMUA dari mereka, untuk memastikan tidak ada perangkat yang tidak dikenal terpasang padanya.

Periksa kebijakan firewall.
Ubah kata sandi admin dan periksa akun yang tidak lagi digunakan.
Cabut sertifikatnya
Cadangkan workstationnya dan format.
Gunakan kontrol checksum untuk file-file penting di server Anda dan letakkan IDS ke port span di rak Anda untuk sementara waktu.

Hanya 2cts saya.

Periksa akun tambahan juga. Dia bisa dengan mudah menambahkan akun baru begitu dia tahu dia akan pergi. Atau bahkan segera setelah dia tiba.

Itu tergantung seberapa paranoid Anda. Beberapa orang pergi sejauh - jika cukup buruk - untuk mengganti semua kunci dan kunci. Alasan lain untuk bersikap baik kepada sys admin;)

Semua saran yang disebutkan di atas adalah baik - saran lain bahkan memungkinkan semua pengguna untuk mengubah kata sandi mereka (dan jika Windows) menerapkan kebijakan kata sandi yang kompleks.

Juga - jika Anda pernah melakukan dukungan jarak jauh, atau mengatur kantor / klien jarak jauh (mis. Situs lain) - minta mereka untuk mengubah kata sandi mereka juga.

Jangan lupa untuk meledakkan akun tipe ekstranet apa pun yang mungkin ia miliki atas nama perusahaan Anda. Ini sering diabaikan dan sering menjadi penyebab banyak kesedihan post-mortem.

Mungkin (di sepanjang jalur "I'm ultra-paranoid") ingin juga memberi tahu perwakilan penjualan Anda untuk vendor yang berbeda yang bekerja dengan Anda seandainya ia mencoba menghubungi seseorang di sana.

Jika dia punya kendali atas hosting web perusahaan Anda,

• periksa kembali semua jalur akses melalui halaman web
• dapatkan semua kode divalidasi untuk kemungkinan pintu belakang

Kelemahan di area ini dapat memengaruhi berdasarkan cara hosting Anda dilakukan,

• Hosting yang dikurung dengan kontrol administratif - setidaknya, kemungkinan situs rusak
• Hosting lokal dari tempat Anda - akses ke jaringan internal (kecuali Anda memiliki DMZ yang juga dikunci)

Perusahaan saya membiarkan pengembang pergi belum lama ini dan itu adalah situasi yang sama. Dia tahu banyak tentang sistem dan itu adalah yang paling penting untuk memastikan dia terputus begitu dia diberitahu tentang pemecatannya. Selain dari saran yang diberikan di atas, saya juga menggunakan Specter Pro untuk memantau semua pekerjaannya selama 2 minggu sebelum kepergiannya: aktivitas jaringan (IO), jendela obrolan, email, tangkapan layar setiap 2 menit, dll. Itu mungkin berlebihan dan saya tidak pernah bahkan memandang semua itu karena dia pergi dengan baik. Asuransi itu baik.

Dua kunci yang harus segera dikelola adalah:

1. Akses fisik - jika Anda memiliki sistem elektronik, cabut kartunya. Jika semua kunci Anda bersifat fisik, pastikan kunci apa saja yang dikeluarkan kepadanya dikembalikan, atau jika Anda benar-benar khawatir dengan kerusakan, ubah kunci ke area kritis.

2. Akses jarak jauh - memastikan bahwa VPN / Citrix / akun akses jarak jauh lainnya dari admin ini dinonaktifkan. Semoga Anda tidak mengizinkan login jarak jauh dengan akun bersama; jika ya, ubah kata sandi pada semuanya. Pastikan juga untuk menonaktifkan akun AD / NIS / LDAP-nya.

Namun ini hanya mencakup yang sudah jelas; selalu ada kemungkinan misalnya bahwa ia telah menginstal beberapa modem di ruang server, dengan kabel konsol ke perangkat jaringan utama / server. Setelah Anda melakukan penguncian awal, Anda mungkin ingin penggantinya melakukan penyapuan penuh infrastruktur ke A) pastikan dokumentasi sudah mutakhir dan B) sorot apa pun yang terlihat aneh.

Pada pekerjaan sebelumnya di perusahaan yang lebih kecil, sysadmin yang dilepaskan tahu banyak kata sandi karyawan lain. Pagi ia dilepaskan, kami menetapkan properti "pengguna harus mengubah kata sandi" pada akun Active Directory siapa pun yang memiliki akses jarak jauh.

Ini mungkin tidak layak di mana-mana, tetapi mungkin lebih bijaksana tergantung pada situasinya.

Saya akan merekomendasikan prosedur berikut:

• nonaktifkan semua kartu akses keamanan gedung
• nonaktifkan semua akun yang dikenal (terutama VPN dan akun yang dapat digunakan dari luar perusahaan)
• nonaktifkan akun yang tidak dikenal (!)
• ubah semua kata sandi admin
• tinjau aturan firewall

Ini harus mencakup sebagian besar opsi akses yang mungkin. Tinjau semua informasi yang relevan dengan keamanan di minggu-minggu berikutnya, sehingga Anda dapat memastikan tidak ada opsi yang tersisa "terbuka".

Buat semua staf sadar bahwa karyawan ini pergi sehingga mereka rentan terhadap upaya peretasan sosial melalui telepon.

Dia sudah tahu bagaimana sistem bekerja dan apa yang ada di sana. Jadi dia tidak perlu terlalu banyak info untuk bisa kembali jika dia mau.

Jika saya pergi hari ini dalam keadaan yang kurang diinginkan saya percaya bahwa saya dapat memanggil staf, yang harus saya lakukan dari waktu ke waktu, dan mencari tahu info yang cukup untuk kembali ke sistem.

Mungkin saya akan memberikan hak admin pengguna domain yang ada (sebelum pergi). Saya dapat menelepon pengguna ini dan minta dia mengungkapkan kata sandinya kepada saya.

• Nonaktifkan akun pengguna mereka di Direktori Aktif. Periksa akun lain yang manajer TI mungkin tahu kata sandinya dan ubah atau nonaktifkan.
• Nonaktifkan akun lain yang bukan merupakan bagian dari Active Directory karena mereka berada di mesin yang berbeda atau karena mereka ditulis sendiri. Dapatkan pengguna yang sah untuk mengubah kata sandi mereka. (Saya masih bisa masuk sebagai admin ke akun karyawan lain hingga hari ini.)
• Jika situs web perusahaan Anda dihosting di luar gedung, ubah juga kata sandi untuk itu.
• Mungkin juga sepele bagi karyawan yang tidak puas untuk membatalkan layanan Internet dan / atau telepon Anda. Tidak yakin bagaimana mempertahankannya.
• Ubah kunci DAN kode alarm. Pembobolan bisa tanpa diketahui cukup lama sehingga mereka mencuri semua barang Anda.

Satu-satunya cara untuk benar-benar aman dalam hal server, adalah cara yang sama Anda memastikan bahwa kotak yang diretas bersih: instal ulang. Berkat wayang (atau sistem manajemen konfigurasi lain) menginstal ulang server dan membawanya ke keadaan tertentu bisa sangat cepat dan otomatis.