Avez-vous une personne des ressources humaines? Ou un comptable? Comment empêchez-vous vos ressources humaines de faire le mal et de vendre les informations personnelles de chacun? Comment empêchez-vous votre comptable ou vos finances de voler tout ce que la société possède en dessous de vous?
Des procédures devraient être en place pour tous les postes, limitant les dommages qu'une personne peut causer. Votre position par défaut devrait être que vous faites confiance aux personnes que vous embauchez (si vous ne leur faites pas confiance, ne les embauchez pas ou ne les gardez pas), mais il est raisonnable de disposer de freins et contrepoids.
Même pour une petite entreprise, vous ne devriez pas avoir un seul "informaticien" qui est le seul à savoir quoi que ce soit. (comme vous ne devriez pas avoir une seule personne capable de gérer la paie - que se passe-t-il si cette personne tombe malade?). Quelqu'un d'autre a besoin de mots de passe, de vérifier les sauvegardes, etc.
Une chose que vous pouvez faire est de faire de la documentation une priorité. Assurez-vous de donner à la personne que vous engagez du temps pour documenter la manière dont les choses sont organisées et discuter de la documentation lorsque vous interviewez des candidats - demandez ce qu'ils ont fait dans le passé pour documenter leur réseau, demandez à voir un échantillon.
C’est mon habitude de toujours mettre en place un "Guide des systèmes" qui documente plus ou moins tout , quel est le matériel dont nous disposons, comment il est configuré, les procédures que nous suivons, etc. C'est évidemment un document en constante évolution (série de documents et fichiers dans la plupart des cas), mais à tout moment, vous pouvez en prendre une copie et avoir une idée de la façon dont le responsable informatique a mis en place les éléments et quelles informations critiques une personne a besoin de savoir au cas où le responsable informatique serait frappé par un bus. Si vous voulez vraiment être préparé, vous pouvez faire appel à un consultant externe pour consulter le manuel du système et vous indiquer ce qu’il faudrait faire si le responsable informatique devait intervenir.
Ou, si vous êtes vraiment paranoïaque, vous pouvez faire appel à un consultant externe pour qu'il compare le contenu du manuel des systèmes à ce qu'il voit s'il examine vos systèmes. Est-ce qu'un autre logiciel est installé? Existe-t-il des comptes administrateur ou d'accès à distance supplémentaires?