¿Qué rasgos y características personales busca en un profesional de seguridad de TI? [cerrado]

La autorización de seguridad de los empleados es un problema importante para las organizaciones, y más aún en las posiciones de sensibilidad, como roles de administrador, raíz o superusuario. Mi opinión habitual es suponer que estos roles pueden hacer mucho más daño que un usuario normal que protege tan fuertemente a su organización de ellos. Sin embargo, los rasgos pueden ser la palabra equivocada, ya que muchos rasgos de profesionales altamente calificados son los mismos que los criminales altamente calificados.

En algunos países esto es más fácil que en otros, pero las autorizaciones básicas de seguridad incluyen el crédito y los controles criminales (si una persona está muy endeudada, se vuelve más susceptible a la persuasión de los elementos criminales, y los antecedentes penales deben descartar a las personas por roles sensibles , especialmente si fue un delito asociado con el fraude de TI.) Los asociados conocidos también deben investigarse.

Para roles altamente sensibles, se pueden requerir revisiones regulares. ¡Y una conciencia del comportamiento de sus empleados podría ser un valor agregado! Los salarios también deben revisarse: los roles mal pagados son un objetivo directo para el soborno y la corrupción.

Esto realmente no cambia si los individuos tienen habilidades únicas, ya que los roles subyacentes deben ser una infraestructura que evite el uso indebido, por ejemplo, la restricción de los derechos administrativos solo a los requeridos debería estar dada. Para la mayoría de las plataformas, no se requiere acceso a la raíz o al administrador, por lo que, cuando sea relevante, se debe usar un usuario avanzado o inferior, y la raíz debe restringirse a las situaciones de emergencia, donde se requiere la participación de dos personas:

un ejemplo:

Los administradores de bases de datos a menudo exigen derechos de superusuario completos, pero esto casi nunca es necesario. Hay muchos tipos de funciones de administrador que pueden asignarse según sea apropiado, y la raíz puede ser una función de ruptura que requiere la recuperación de una contraseña de una caja fuerte, o de dos individuos que tienen la mitad.

Para resumir: sí, los gurús de TI son esenciales pero peligrosos; protéjase de ellos con controles técnicos y de procedimientos, investigue sus antecedentes y utilice sus habilidades para agregar valor.

En un mínimo de verificación de antecedentes. Después de eso busco instancias donde necesitaban tomar decisiones difíciles, específicamente viendo cómo manejan la autoridad y el poder. Como no tengo interés en administrar a alguien, necesito a alguien que no va a intentar ser Napoleón.

Si alguien hace muchas excusas, empezaría a preocuparme. Quiero a alguien que sea responsable de los errores que cometen y haga avanzar la conversación. Ninguno de mis puntos de vista lo cambiaría, ya que la persona tenía habilidades únicas, ya que no tememos capacitar a las personas. Es común que enviemos a alguien a la capacitación para la certificación con nuestro EMR (registro médico electrónico) justo después de comenzar.