Про ум сис.адимнов

[gs]

З.Ы. Видимо наш народ пока плохо представляет ценность информации, потому и говорят так просто "Админа можно заменить". Незаменимых людей нет, но вот чего может стоить эта замена.

информация это одно.. а вот оперативность на производстве - переоценить нельзя. допустим завод производит быстропортящуюся продукцию.
и ложиться сеть или сервак или еще что. и продажа\отгрузка становится невозможна.
в итоге в канлизацию сливается 10ки тонн продукции.. а я такие случаи знаю.

 

[Gwynn]

информация это одно.. а вот оперативность на производстве - переоценить нельзя. допустим завод производит быстропортящуюся продукцию.
и ложиться сеть или сервак или еще что. и продажа\отгрузка становится невозможна.
в итоге в канлизацию сливается 10ки тонн продукции.. а я такие случаи знаю.

Ну это как одна из частностей. Я просто имел ввиду все в целом. Но ты прав.

 

[Ferox]

Железки конечно нет, а вот информация которая была на этих самых серверах потопать за админом может очень даже легко.

Если у вас в организации такая ситуация, что "информация может потопать за админом" - срочно меняйте и админа и информационную политику организации.

А в один прекрасный момент случается так, что все вместе просто перестает работать, а админа нет. Судя по тому, что все программы спец., новый админ будет с ними разбираться какое-то время, ИМХО прямые убытки.

Не должно так быть. Должна быть документация. Настройки всех программ должны соответствовать отраслевым стандартам. Если админ не умеет так работать - меняйте ***.

З.Ы. Видимо наш народ пока плохо представляет ценность информации, потому и говорят так просто "Админа можно заменить". Незаменимых людей нет, но вот чего может стоить эта замена.

Не надо путать информационную безопасность с системным администрированием. Это существенно разные вещи. И спецалистам в этих областях нужны совершенно разные знания.

Если в организации из-за небольших масштабов нет смысла иметь лишнюю штатную единицу, то должность специалиста по ИБ нужно совмещать не с должностью сисадмина а с должностью руководителя организации или одного из его замов. С должностью админа нельзя совмещать ни при каких обстоятельствах.

P.S. Мне лично приходилось несколько раз разгребать ситуации связанные с совемещением должности сисадмина и специалиста по ИБ. Когда админ уходил на другую работу и по каким-то причинам перед уходом совершал разнообразные диверсии. Например ставил пароли, уничтожал информацию, в одном случае пытался уничтожать информацию удаленно после увольнения. В общем темная ****... Не все можно потом восстановить после таких диверсий. Настоятельно рекомендую, чтобы в мелких фирмах информационной безопасностью занимался директор или его зам. В общем человек, которому можно доверять, а не сисадмин.

 

[relogger]

по-моему более эффективно будет нанять эникейщика для решения постоянных траблов с пользователями, а админ тогда спокойно сможет вести 3-4 конторы получая на каждой по 500-1000 грн.

 

[Gwynn]

P.S. Мне лично приходилось несколько раз разгребать ситуации связанные с совемещением должности сисадмина и специалиста по ИБ. Когда админ уходил на другую работу и по каким-то причинам перед уходом совершал разнообразные диверсии. Например ставил пароли, уничтожал информацию, в одном случае пытался уничтожать информацию удаленно после увольнения. В общем темная ****... Не все можно потом восстановить после таких диверсий. Настоятельно рекомендую, чтобы в мелких фирмах информационной безопасностью занимался директор или его зам. В общем человек, которому можно доверять, а не сисадмин.

Ты много знаешь директоров или замов которые хоть отдаленно понимают как и что работает в их IT ? На моей практике, начальство с трудом находило кнопу пауэр на лэптопе, так что о политике безопасности и речи идти не может.
Если контора нормально относится к сисадмину, то я не вижу причин ему не доверять.

 

[Ferox]

Ты много знаешь директоров или замов которые хоть отдаленно понимают как и что работает в их IT ? На моей практике, начальство с трудом находило кнопу пауэр на лэптопе, так что о политике безопасности и речи идти не может.

Там где я разгребал, все директора понимают. Но этоп онятно не репрезантативно, там директора а) мои знакомые б) у них хватило ума понять, хотя бы, что с диверсией можно бороться. Теперь делают все сами.

А вообще что касается директоров, не надо их недооценивать. Директора обычно джостаточно умные, они бы не были бы директорами если бы не были бы умными. Просто они считают, что ИБ - это не то в чем им надо разбираться. Обычно чтобы они поняли что надо - должна произойти такая диверсия со стороны сисадмина. Потом они быстро все начинают пониать

Если контора нормально относится к сисадмину, то я не вижу причин ему не доверять.

ЛОЛ. Это что-то наподобие того, что сисадмин держит контору в заложниках?

Я вообще не вижу причин в организации кому бы то ни было доверять. Если информация стоит условно 30000 у.е. то распоряжаться ей должно лицо которое потеряет от уничтожения/кражи/порчи информации как минимум не меньше. А это обычно только директор. В общем, каждый должен иметь доступ только к тому, к чему он должен иметь

Так например, зачем админу права тереть корпоративную БД. Они ему не нужны. Соответственно специалист по ИБ должен настроить так, чтобы у админа таких прав НЕ БЫЛО. И т.д. Надо создать новую учетную запись под рутом - создает директор. А админ потом в ней работает. Когда работа окончена - директор меняет права доступа. В общем и целом от диреткора требуется не намного больше, чем знать, где на ноуте кнопка пауэр... Хотя вообще какие бы то ни было права доступа к БД нужны только программисту БД. Админу они вообще не нужны. Это я привел случай когда должность программиста БД совмещена с должностью админа.

 

[gs]

Ferox - ты конечно прав.. документация, распределения обязанностей, итд и тп...
только это идал. а есть реалии жизни.
Фирма закупила один раз оборудование и все. после этого даже мышки жмотит покупать.
а тут хаб начинает время от времени подвисать.. и вроде какую то закономерность админ видит.. если по особенному потрусить - да перезагрузить - вроде работает.
или сервер не справляется с объемами. а менять его - никто не собирается...
вот и приплясывает админ с бубном. вальсирует на грани.
а еще часть сетки была проведена в дореволюционные годы, когда фирма была чп и тянули все тяп ляп.
а в какой то части офиса провалы по питанию, а на упсы никто не разоряется... и так далее и тому подобное..
это что ли документировать?
что модем нужно по особенному встряхнуть? схему может еще нарисовать ?
или сервер который подыхает под тяжестью возложенных на него задач, а тут админ новый приходит , старый уходит. а начальство к базе данных велит подключить еще пару пользователей. старый то знал что делать можно а что нельзя. и какие тормоза теперь чем вызваны. а новый в потерях будет ковыряться пока все окончательно не сломает.
Такая ситуация,как ты описал - она конечно красивая. да от жизни далека.
У нас такое может быть, на данный момент, только в банках да в каких то особо удачных предприятиях.
а если в какой то момент фирма начинает свободно раскошеливаться на новое оборудование по требованию админа - то там и значимость админа видят, обычно. и деньгами не обижают, и удерживаю старательно. чтобы не убег.

 

[gs]

а распределение обязанностей - это вобще цирк. на большинстве предприятий - считай повезло, если на админа нагружают только компьютерные или околокомпьютерные обязанности. есть вон, что и грузчиками фигачат.
У меня есть друг - спец по циско. во всем мире это отдельная специальность.
а у нас? он 90 % времени бегает винды ставит да вёрды.
а что делать то? если народ считает что админ это что то вроде кухонного комбайна?
или распальцовку кинуть , мол - я себя уважаю, я спец по цисско и ничем другим заниматься не буду?
так ведь кушать то хочеться! вот и бегает - винды ставит вместо того чтобы, циски мучать, да документации писать .

 

[Gwynn]

А вообще что касается директоров, не надо их недооценивать. Директора обычно джостаточно умные, они бы не были бы директорами если бы не были бы умными.

Я ни слова не сказал, о глупости директоров. Но и в IT они зачастую не сильны, как например админы в отмывании денег.

ЛОЛ. Это что-то наподобие того, что сисадмин держит контору в заложниках?Я вообще не вижу причин в организации кому бы то ни было доверять. Если информация стоит условно 30000 у.е. то распоряжаться ей должно лицо которое потеряет от уничтожения/кражи/порчи информации как минимум не меньше. А это обычно только директор. В общем, каждый должен иметь доступ только к тому, к чему он должен иметь

Вот тут и начинается самое интересное, что админ тоже должен быть заинтересован в прибыли компании, а не в ее убытках. Тогда и не будет диверсий, если админ не идийот. А если сисадмина дерзать за приниси-подай-протащи кабло-иди на куй, то ясное дело, что он ответит потом соотвествующе.

Так например, зачем админу права тереть корпоративную БД. Они ему не нужны. Соответственно специалист по ИБ должен настроить так, чтобы у админа таких прав НЕ БЫЛО. И т.д. Надо создать новую учетную запись под рутом - создает директор. А админ потом в ней работает. Когда работа окончена - директор меняет права доступа. В общем и целом от диреткора требуется не намного больше, чем знать, где на ноуте кнопка пауэр... Хотя вообще какие бы то ни было права доступа к БД нужны только программисту БД. Админу они вообще не нужны. Это я привел случай когда должность программиста БД совмещена с должностью админа.

Ferox, ты не до оцениваешь способностей админов оставлять себе бэкдоры, типа на всякий пожарный. Да и в описанной тобой выше ситуации эту самую корпоративную БД надо чтоб подымал не админ, и вообще бокс с ней должен быть расположен за пределами физического доступа.

gs +100

 

[gs]

Вот тут и начинается самое интересное, что админ тоже должен быть заинтересован в прибыли компании, а не в ее убытках. Тогда и не будет диверсий, если админ не идийот. А если сисадмина дерзать за приниси-подай-протащи кабло-иди на куй, то ясное дело, что он ответит потом соотвествующе.

у нас обычно, если фирма достаточно большая - то на проценте или просто , так сказать не обижая, держат начальника Айти отдела - и он является довольно значимой фигурой.
Вот он знает пароли имеет доступ и т.д.
а уже подчиненным выдает доступы по мере необходимости и безопастности.
Но это нужно чтобы на фирме понимали значимость админов. и фирма достаточно большая должна быть.
а таких фирм на количество админов - просто ничтожно.

 

[Ferox]

Ferox - ты конечно прав.. документация, распределения обязанностей, итд и тп...
только это идал. а есть реалии жизни.

...

Такая ситуация,как ты описал - она конечно красивая. да от жизни далека.
У нас такое может быть, на данный момент, только в банках да в каких то особо удачных предприятиях.

Такая ситуация может быть в организациях, в которых информация денег стоит.

Я приведу несколько примеров, которые я знаю

1. Организация которая занимается продажами компьютеров. После первой диверсии сисадмина, ИБ занимается один из директоров. Сисадминов там несколько, но навредить они уже не могут. Ущерб от диверсии был 1000-10000 у.е., точно не знаю 1000 пошла на восстановление, и сутки магазин не мог работать. Но тогда магазин был еще маленький, он сейчас большой
2. Организация которая продает элитное не скажу что (ибо таких мало в Харькове, будет сразу понятно) несколько админов (как минимум два) в сговоре с продацами корректировали информацию в БД и грабили организацию. Ущерб никто не знает какой... очень большой... После второго сисадмина который так делал взяли третьим сисамином друга директора, который в компах вообще поначалу ничего не понмал. Постпенно фактически перевели сисадмина в ранг замдиректора.
3. Газета. После диверсии сисадмина (уничтожение БД, ущерб, ну практически никакой, газета работала без перебоев, хотя и на нервах, восстановление БД стоило 100 долл.) главред хранит все важные пароли на листочке в своем бумажнике. Теперь там сидит дешевый сисадмин за 150 долл./месяц, который ни к чему доступа не имеет.
4. Аутсорсерская проектная организация. Диверсию делал не сисадмин, а один из сотрудников. Ущерб не известен, но директор был весь аж зеленый и пил все время лекарства. Восстановить после диверсии удалось не все. После диверсии ИБ занимается директор лично, причем несколько параноидально... кроме разграничения доступа настроен бэкап, криптоконтейнеры и применяется физическая защита.
5. Небольшая программистская контора. После диверсии со стороны сотрудника ответственного за администрирование, руководитель конторы начал заниматься системным администрированием (а не только ИБ) самостоятельно. Ущерб был практически никакой, с учетом того, что восстанавливал все руководитель сам, попросив у меня программки и консультируясь по телефону. Привожу просто факт, что после этого случая администрирует сам, а до этого не хотел.

 

[Gwynn]

Просто у нас получается, менеджеры - они хорошие, они деньги приносят, а админы - бездельники и диверсанты, нафига им платить ?
А требования которые у нас выдвигают админам при приеме на работу ? Это просто абсурд.

Был когда-то боянчек такой, -требования при примеме на работу водителя, если бы их принимали как сисадминов/программистов

 

[Gwynn]

Такая ситуация может быть в организациях, в которых информация денег стоит.

Я приведу несколько примеров, которые я знаю

Ну раз уж на то пошло, то давай еще и примере когда тупые манагеры наглючили, или когда из-за жлобства начальства фирма в целом и коллектив страдает, или когда электрик по пьяни погасил питание на сутки.

Тут не одними админами все ограничевается. Но т.к. тема все таки про админов, то мое мнение - цените админов, не будет таких проколов. Ничего не делается просто так, даже диверсии

 

[Ferox]

Ferox, ты не до оцениваешь способностей админов оставлять себе бэкдоры, типа на всякий пожарный. Да и в описанной тобой выше ситуации эту самую корпоративную БД надо чтоб подымал не админ, и вообще бокс с ней должен быть расположен за пределами физического доступа.

Ну с ситуациями когда админы оставляли бэкдоры я не сталкивался. А вот с ситуациями, когда они пытались по ходу работы получить несанкционированный доступ сталкивался. Наши, отечественные, админы еще к счастью слишком плохо знают, что такое логи особенно в юниксоподобных системах там каждый чих логируется в разных местах три-пять раз

Само собой, бокс с БД за пределами физического доступа сисадмина. Если только он не замдиректора. Да и вообще... что такое "физический доступ"? В боксе с БД не должно быть флопов, сд, хотсвапов, USB портов и подобного. Бокс с БД никогда не должен уходить в ребут (ну по кр. мере уходить в ребут только под контролем). Так что физический доступ не особо много даст

 

[Ferox]

Просто у нас получается, менеджеры - они хорошие, они деньги приносят, а админы - бездельники и диверсанты, нафига им платить ?
А требования которые у нас выдвигают админам при приеме на работу ? Это просто абсурд.

Был когда-то боянчек такой, -требования при примеме на работу водителя, если бы их принимали как сисадминов/программистов

Да не, я не говорю о том, сколько админам платить. Я говорю о том, что не надо им давать лишние права доступа. А примеры вообще приведены не для того, чтобы показать "какие админы плохие", а чтобы показать, что если припечет - руководители справятся с ИБ сами.

 

[gs]

Такая ситуация может быть в организациях, в которых информация денег стоит.

Я приведу несколько примеров, которые я знаю

так я ж и не спорю . есть такое.
только сколько у нас таких организаций? у которых и информация ценная, и мозги на месте?
я таких очень мало знаю. а вот админов - много.
Дело ведь в чем? Я незнаю ни одного админа который бы не хотел построить сеть с нуля, по всем правилам которые он читал в умных книгах. который не хотел бы расширять сеть как того требуют правила и т.д. и т.п.
только в жизни им такой фарт практически не переподает! и это не вина админов, а роботодателей.

 

[gs]

да и в любом случае - на предприятих где твориться бардак - админ просто незаменим по причинам описанных мной ранее.
а на нормальных - просто потому, что у него все работает идеально...

 

[Ferox]

Тут не одними админами все ограничевается. Но т.к. тема все таки про админов, то мое мнение - цените админов, не будет таких проколов. Ничего не делается просто так, даже диверсии

Ну про причины диверсии вообще речи нет. Если грузчику недоплатили часть зарплаты - что ему теперь, склад поджигать?

Просто есть мнение что за компьютерные преступления наказывают меньше чем за поджог склада. На это могу сказать, что в приведенном первом примере на админа подавали в суд. Безуспешно. Во втором примере я всех деталей не знаю, но по-моему там фигурировали темные преулки и бейсбольные биты. В остальных примерах вроде бы полностью сошло с рук.

 

[Владислав]

Господа. Если руководитель предприятия будет вникать в тонкости работы сети, то кто будет деньги зарабатывать?

 

[Ferox]

Господа. Если руководитель предприятия будет вникать в тонкости работы сети, то кто будет деньги зарабатывать?

Менеджер по продажам

А если серьезно - никто и не предлагает в тонкости.