Как провести процедуру увольнения системного администратора так, чтобы минимизировать ущерб, который он может нанести организации? Как защитить при этом информационные системы и данные?
Увольнение системного администратора —проблема, непростая во многих отношениях
Недовольный увольнением системный администратор может оставить «на добрую память» своему руководству массу неприятностей. Как провести процедуру увольнения этого сотрудника, чтобы минимизировать ущерб, который он может нанести организации? Как защитить при этом информационные системы и данные?
Увольнение или смену системного администратора часто можно приравнять к стихийному бедствию. В большинстве случаев он увольняется добровольно и достаточно быстро (хотя по трудовому законодательству должен отработать две недели). Нередко он оставляет после себя недоделанную работу. Случаи же, когда его увольняют, вполне можно приравнять к ЧП. В любом случае объявляется аврал, все плановые работы службы системного администрирования прекращаются, начинается смена паролей, сканирование всего программного обеспечения (во всяком случае, сетевого). Если увольнение произошло действительно неожиданно, то нужно очень быстро войти в курс дела и взять ситуацию под полный контроль. Следует помнить, что системный администратор имеет доступ к чрезвычайно ценной информации — фактически к любой информации, за сохранность которой он отвечает.
Контроль за персоналом
Серьезность проблем, возникающих при увольнении системного администратора, сильно зависит не только от причин увольнения, но и от таких параметров, как размер предприятия, его организационная структура, место в ней службы системного администрирования, и даже от того, как относятся к службе. И конечно же, от компетенции высшего руководства предприятия.
На крупных предприятиях, а также там, где приходится иметь дело с очень ценной, важной, закрытой информацией, связанной, например, с персональными данными клиентов, существуют специализированные службы информационной безопасности. Они определяют правила работы службы системного администрирования по обеспечению безопасности и наблюдают за их выполнением. Эти службы занимаются также аудитом информационной безопасности (разумеется, для этого администраторы службы безопасности не должны уступать системным администраторам по уровню квалификации). При этом системный администратор не входит в состав службы аудита и лишен возможности контролировать ее.
Приходится признать, что организовать эффективное взаимодействие между службой безопасности и службой системного администрирования так, чтобы их полномочия не пересекались, бывает непросто. Однако, как правило, на предприятиях, где удалось выстроить такое взаимодействие, проблем, связанных с увольнением системного администратора, оказывается значительно меньше.
Заметим, что даже в обычных операционных системах и в ряде бизнес-приложений предусмотрена возможность проведения независимого аудита. Но нередко это лишь видимость аудита, поскольку в обычных операционных системах и распространенном программном обеспечении администратор (системный, баз данных и пр.), имея максимум полномочий, с помощью несложных манипуляций может обойти, нейтрализовать или обмануть систему аудита, особенно там, где служба безопасности осуществляет мониторинг нерегулярно. Хотя специализированные программы и некоторые операционные системы ограничивают полномочия администратора.
Если у вас службы нет...
В подавляющем большинстве отечественных организаций нет службы информационной безопасности. С точки зрения проблем, возникающих при увольнении сисадмина, очень важна организационная модель построения службы системного администрирования. В частности, следует учитывать, по какому принципу эта служба строится — по функциональному или по территориальному. На малых предприятиях и предприятиях с небольшими филиалами упор делается на территориальный принцип: один-два администратора «отвечают» за всю ИТ-инфраструктуру, развернутую на их территории (базы данных, операционные системы, приложения и т. д.). В больших организациях, а также там, где развернуты сложные системы, практикуется функциональный принцип, согласно которому разными участками работ по системному администрированию занимаются разные отделы (например, отдел поддержки ключевых бизнес-приложений, или служба администрирования баз данных, или Help Desk и т. п.) Правда, в «чистом» виде такое разделение встречается нечасто.
Рассмотрим в качестве примера организацию, где имеется небольшой центральный офис и два филиала. Вероятнее всего, служба администрирования здесь построена по территориальному принципу: на каждой территории находится системный администратор, который полностью отвечает за все, что у него есть для ИТ-поддержки клиентов, и почти за все, что связано с серверами и сетевыми службами. Как правило, все равно каждый из администраторов имеет дополнительные обязанности: один отвечает еще и за тонкую настройку всех баз данных, в обязанности другого помимо общего круга задач дополнительно входит администрирование Unix-серверов, третий отвечает за средства коллективной работы пользователей. То есть в этой организации наблюдается территориальный принцип, но реализован он не в «чистом» виде.
Очевидно, что наибольшее число проблем при увольнении возникают в том случае, когда служба организована по территориальному принципу: человек, пришедший на замену своему предшественнику, должен войти в курс всего комплекса задач.
При увольнении, найме, замене, расширении или, наоборот, сокращении штата системных администраторов правильная организация работы всей службы способна значительно облегчить жизнь предприятию. Очень хорошим подспорьем при решении не только вопросов, связанных с увольнением сисадминов, но и самых обычных задач службы, является документирование. В частности, очень полезно иметь документацию с подробным описанием пошаговой установки каждого сервера. Также важно заранее готовить руководства для администраторов, содержащие алгоритмы действий в ряде определенных ситуаций (например, в случае обнаружения несанкционированного входа в систему злоумышленников, внезапной аварии, пожара и пр.). Очень важно также постоянно поддерживать в актуальном состоянии журналы событий. Следует напомнить и о такой простой вещи, как административные пароли: их должны знать как минимум два человека. (Это существенно даже не столько при увольнении, сколько на случай болезни, отпуска или даже обычной забывчивости.)
Как уволить системного администратора
Срочность и важность процедур, которые необходимо провести при увольнении, зависят от причин, по которым администратор увольняется.
Однако проблему следует рассмотреть в более широком контексте и внимательно изучить, как построена система не только увольнения сисадминов, но и приема их на работу. Гораздо меньше проблем возникает, когда найм персонала происходит по рекомендации или через знакомых. Человек, зарекомендовавший себя где-то ранее как хороший работник, с большей охотой берется на службу, вдобавок к этому за него кто-то уже несет ответственность. При увольнении рекомендованного сотрудника риск получить неприятные сюрпризы оказывается меньше, чем при увольнении того, кто принят с улицы и без надежной рекомендации.
В любом случае лучше расставаться по-хорошему. Разумеется, для этого и обстановка в коллективе тоже должна быть доброжелательная.
Системный администратор может уволиться сам либо его могут заставить уйти из организации. Возможен и третий вариант: он переходит на другую работу на этом же предприятии. Этот случай самый простой и безопасный: процедуры, связанные с изменениями паролей, наймом нового администратора и передачей ему полномочий, обычно проходят безболезненно и без суеты, а бывший сотрудник, как правило, помогает своему преемнику в освоении информационной инфраструктуры, так как он в этом сам заинтересован.
Меньше риски и в случае, когда системный администратор увольняется в связи с переходом на новую работу с повышением в должности или ради своего карьерного роста. Хотя и в этом случае необходимо провести все мероприятия, предусмотренные при увольнении. Разумеется, нужно найти время, чтобы подобрать преемника и организовать передачу ему дел.
Часто приходится сталкиваться с ситуацией, когда системного администратора увольняют даже не по причине его некомпетентности, а за недисциплинированность, разгильдяйство: за его опоздания на работу, невыполнение приказов и распоряжений, неаккуратное ведение документации, за небрежность (скажем, если системный администратор поставил новое программное обеспечение и отправился в учебный отпуск, так и не проверив его работу). В таких случаях на его место тихо подыскивается преемник. Очень важно, чтобы новый системный администратор вошел в курс дела, не навлекая подозрений и не привлекая к себе внимание кандидата на увольнение. Это не так просто, но необходимо. После того как новый сотрудник войдет в курс дел, в один из ближайших выходных следует провести массовую смену паролей.
При увольнении системного администратора рекомендуется по возможности сгладить ситуацию (если руководство предприятие сочтет это целесообразным): выплатить компенсацию, предоставить дополнительный отпуск, помочь ему в поиске нового места работы — в общем, сделать максимум возможного для того, чтобы уволенный работник не чувствовал себя обиженным. (Разумеется, эта рекомендация не может быть универсальным рецептом, каждое увольнение необходимо рассматривать всесторонне и индивидуально. Более того, подобная мягкость не должна выглядеть как «мягкотелость» или даже трусость.) Но даже в случае «мягкого» увольнения часто приходится отменять все отпуска и срочные дела у остающихся сотрудников служб системного администрирования и информационной безопасности.
Самый сложный случай — когда сотрудник увольняется сам из-за того, что недоволен своей работой, конфликтует с начальством или возмущается по поводу низкой зарплаты. В этой ситуации хороший руководитель службы системного администрирования, зная, каким характером обладает системный администратор, должен предвидеть возможные варианты развития событий и осуществить упреждающие меры. В любом случае лучше не доводить дело до крайностей.
Не стоит особенно надеяться на Уголовный кодекс. Поймать за руку бывшего системного администратора очень непросто, еще сложнее доказать его вину в суде. В нашей стране пока не известно ни одного случая наказания бывшего сотрудника за взлом, если это не повлекло прямых финансовых потерь. Кроме того, не всегда точно известно, почему «завис» ваш главный сервер — от действий злоумышленника (им может быть не только бывший системный администратор) или от ошибок в системном или прикладном программном обеспечении.
Технические хитрости
При увольнении системного администратора необходимо поменять все известные ему пароли, проверить систему на наличие закладок (планировщики, загрузочные скрипты, а также все, что связано с автоматическим обновлением программного обеспечения), провести инвентаризацию операционных систем и приложений с целью выявления потенциально опасных участков. Единственно надежный способ избавиться от проблем — сразу после увольнения переустановить ОС и все системы, так или иначе имеющие входы или выходы в общедоступные компьютерные и телефонные сети. По крайней мере, следует самым тщательным образом их перепроверить.
Нужно также помнить, что очень часто системный администратор может знать пароли других пользователей. Поэтому при замене этого сотрудника надо обязательно сменить пароли всех пользователей, имеющих доступ к особо важной, ценной или конфиденциальной информации — бухгалтерской отчетности, персональным данным сотрудников, документам перспективных проектов, сведениям об организационной структуре компании, информационным объектам, составляющим интеллектуальный капитал и т.п.
Некоторые думают, что шифрование важной информации избавит от проблем. Это большое заблуждение, особенно если системный администратор имеет доступ к серверу и клиенту (хотя бы посредством сети). Не стоит также возлагать особые надежды на резервное копирование как на гарантию того, что системный администратор ничего не натворит при уходе. Из-за специфических особенностей резервного копирования часто трудно бывает проверить системы на наличие закладок.
Работая с распространенными операционными системами и приложениями в пределах своих полномочий, системный администратор в состоянии сделать практически все, особенно, если в компании применяется территориальный принцип организации службы системного администрирования. Он может изменять или перлюстрировать информацию, включая закрытую (например, касающуюся документов о выплате зарплаты сотрудников или переписки некоторых должностных лиц), включать «закладки», создавать потайные входы, в том числе для удаленного доступа. Недовольный системный администратор может все это осуществлять в процессе увольнения. Если этот специалист обладает достаточной квалификацией, то схватить его за руку практически невозможно. Не помогут никакие системы аудита!
Есть еще одна проблема: системный администратор знает (он просто обязан знать) логическую структуру построения сети организации. Он помнит, на каких серверах и какие приложения запущены, как организована система безопасности, как работают межсетевые экраны, где какая информация хранится и как пользователи осуществляют к ней доступ, какие приложения и как взаимодействуют друг с другом.
Таким образом, уволившийся системный администратор представляет потенциальную опасность даже в том случае, если он не прибегает к помощи «закладок» и не знает паролей. Даже через год или два он сможет доставить неприятности. Дело в том, что когда готовится «взлом» сети, то самый первый ход — это собрать информацию. А бывший администратор знает практически все. Даже спустя годы может практически ничего не измениться из того, что он знал о структуре работы предприятия.
Советы по управлению своим персоналом
Вопрос о том, как «безболезненно» для предприятия уволить системного администратора, вызвал неподдельный интерес среди ИТ-сообщества. Активная дискуссия, развернувшаяся в одном из Internet-форумов сайта нашего журнала http://www.osp.ru/w2k/cgi-bin/forum.cgi?action=thread&id=866, показала, насколько разнообразны могут быть подходы к этой проблеме. Вот некоторые рекомендации участников дискуссии.
- Нужен целый «стратегический» план. Сначала подбирается кандидат. Собеседование и проверка проводятся в выходной. После утверждения кандидата решается вопрос о времени замены. Идеально — когда сисадмин находится в отпуске или на учебе. Вернувшись, он уже не имеет доступа к системам. А вообще лучше расходиться по-хорошему. Я, например, нашла своему более высокооплачиваемую работу, и он «сам принял решение».
- Чем ценнее хранимая информация и больше зависимость организации от ИТ, тем сложнее и скрупулезнее процедура увольнения.
Многие администраторы настолько модифицируют настройки системы под себя, что легче бывает просто переустановить ее, чем разбираться в настройках. Особенно это актуально в случае, если новый сотрудник плохо ориентируется в «чужой» системе. Переустановка — грубый метод и мало где проходит, но закладок не останется точно.
Если в конторе есть ГРАМОТНАЯ служба безопасности, нужно увольнять совместными усилиями. Уходящему человеку нужно дать понять, что если что-то случится с программным обеспечением, то первым под подозрение попадет он.
Хотя, с другой стороны, надо признать, что доказательная база в среднестатистической ИТ-системе обычно равна нулю: найти следы деятельности системного администратора можно только при жестко отлаженной и защищенной системе аудита.
- В первую очередь надо потребовать в письменном виде все пароли суперпользователей (администраторов) в вашей системе за подписью увольняемого сисадмина. Сделайте для него копию — на случай, если с паролями что-то будет не так.
Второе: потребуйте от него создать полную резервную копию всех серверов и баз данных, а также всех логов. С него возьмите распечатку системного журнала резервного копирования, путь он заверит его своей подписью. Сделайте для него копию этой распечатки (тоже на всякий случай). Имеющаяся резервная копия и распечатка ее журнала будут служить для вас «слабой» уликой. Заберите носитель с резервной копией ваших систем, после это исключите для него всякую возможность физического доступа к сети. Новый сисадмин при этом должен приступить к процедуре смены паролей и передать вам новый список паролей.
Третье: после того, как первое и второе сделано, надо предупредить увольняемого об уголовной ответственности за умышленную порчу систем и баз данных.
- Можно заказать услуги по переустановке системы у сторонней компании, подписав с ней долгосрочный договор. Все нанимаемые системные администраторы не получают полного доступа к системе, а служат исполнителями компании на месте (соответственно, стоимость их услуг может быть ниже). В то же время ответственность за состояние систем будет нести компания, услугами которой вы пользуетесь. Хотя затраты в этом случае будут больше, но и надежность — выше.
- Не нужно ссориться с администратором. Объясните ему по-человечески, почему он вас не устраивает, оплатите ему уже отработанные дни.
- Во-первых, неплохо было бы разобраться в причинах увольнения. Ведь людей не увольняют «просто так». Во-вторых, зачем брать на работу человека, которому не доверяете и которого приходится увольнять?
- Если увольнять культурно, то проблем не будет. Если же фирма берет сотрудника «с испытательным сроком», в течение которого платит копеечную зарплату, заставляет его проделать огромную работу по расширению сети, устанавливать новые сервисы, а по завершении работ увольняет со словами «извините, вы нам не подходите». В этом случае рассчитывать на то, что все будет работать после ухода сотрудника, по меньшей мере наивно. Бороться с этим можно только путем изменения отношения к работнику, нанимая его именно для выполнения заранее оговоренных работ и заранее предупреждая, что в дальнейшем его услуги не потребуются.
- Системных администраторов не увольнять надо, а уважать. Труд данной категории специалистов очень тяжел и не нормирован. Поэтому, прежде чем увольнять, не лучше ли поднять зарплату?
- Руководитель должен четко знать, что незаменимых не существует. Этой фразой нельзя бросаться в своих подчиненных, но НЕЗАМЕНИМЫХ НЕ СУЩЕСТВУЕТ!!!
- Документирование, документирование и еще раз документирование. И очень быстро поменять пароли.
Главное — предусмотрительность, или Драгоценный камень в лотосе
Однажды буддийского монаха спросили: «Как учение Будды предписывает поступать в сложных жизненных ситуациях?» «Не попадать в них», — ответил монах. Предусмотрительность — вот в чем секрет! Именно так и никак иначе можно избежать многих неприятностей и проблем.
Очевидно, что системный администратор может быть уволен либо по инициативе предприятия, либо по своей собственной. В первом случае к причинам увольнения относятся:
- Халатное отношение к работе, отсутствие должной внимательности и аккуратности.
- Некомпетентность работника (несоответствие служебному положению).
- Аварийная ситуация, имевшая необратимые последствия (невосстановимую потерю информации).
- Потеря доверия.
- Неадекватное психоэмоциональное состояние.
Первая и вторая причины во многим схожи. Различие между ними в том, что некомпетентность (нехватка знаний и умений), поправима, а перевоспитание неаккуратного работника крайне сложно. Если работник не обладает необходимыми знаниями, но готов учиться, то очевидно, что следует создать условия для его обучения. Разумеется, явно некомпетентный человек просто не должен занять вакансию системного администратора — слишком уж ответственна эта работа.
Допустив на эту должность безответственного работника, наниматель «создает себе плохую карму». Если к тому же этот сотрудник является единственным системным администратором, то восстановить контроль над ситуацией трудно.
Авария (причина 3) является естественным и печальным следствием того, что ситуация с информационными системами вышла из-под контроля. Системный администратор наверняка будет уволен (если просто уволен — его счастье...), причем это один из самых простых случаев увольнения. Организация уже потеряла данные, от увольнения этого сотрудника хуже не будет...
Если системного администратора увольняют по четвертой причине, это говорит о том, что наниматель «продвинулся по пути к просветлению». Работа системного администратора связана с обеспечением информационной безопасности, поэтому отстранить от работы сотрудника, не пользующегося доверием, — правильно и вполне предусмотрительно.
Наконец, рассмотрим пятую, самую сложную причину отстранения от работы («только для просветленных»). Системный администратор должен находиться в уравновешенном состоянии. Одним неверным движением (намеренным или непреднамеренным) он может «наломать дров». Между тем работа эта душевному спокойствию отнюдь не способствует. Руководитель должен позаботиться о том, чтобы оградить системного администратора от неврозов. Сделать это, в общем, несложно: обеспечьте работнику условия труда, соответствующие санитарно-гигиеническим нормам организации работы с вычислительной техникой — и большая часть проблемы снимется. (Правда, на практике так бывает далеко не всегда...)
Если вы заметили, что ваш системный администратор часто бывает несдержан или, к примеру, злоупотребляет алкоголем, нужно бить тревогу. Если на предприятии есть психолог, следует обратиться к нему за помощью. Главное — нужно немедленно отреагировать на подобную ситуацию и задуматься о причинах ее возникновения. Если невроз был вызван перегрузкой на работе, значит, работа системного администратора организована неправильно, и нужно что-то менять. Сделать это должен руководитель.
Как же уволить системного администратора, если все-таки приходится это сделать?
1. Заранее взять ситуацию под контроль. Если критический момент наступил, то вы опоздали. Поэтому начинайте уже сейчас.
Однако руководитель предприятия никогда не сможет сделать это самостоятельно. Держать ситуацию с информационными системами под контролем — значит поручить ее доверенному лицу или лицам, обладающим достаточным уровнем компетентности. Работу системного администратора может проконтролировать только другой системный администратор. И никак иначе! Иметь на этой должности человека, пользующегося доверием и обладающего необходимыми личными качествами (ответственностью, аккуратностью, тягой к знаниям) — вот единственный способ держать ситуацию под контролем. Еще лучше — иметь несколько таких специалистов.
2. «Неподходящего» системного администратора уволить без предварительных предупреждений. Нужно просто однажды не допустить сотрудника к работе. Если «ситуация под контролем», то это не составит особого труда.
Таким образом, самый лучший способ уволить системного администратора — это принять его на работу, а потом сделать все, чтобы его не надо было увольнять.
Дмитрий Гончаров, начальник департамента ИТ компании «Гольфстрим», г. Фаниполь Минской обл., dgoncharov@mail.ru