CRM-stelsels vanuit 'n kubersekuriteitsperspektief: beskerming of bedreiging?

31 Maart is Internasionale Rugsteundag, en die week voor is altyd vol sekuriteitsverwante stories. Maandag het ons reeds geleer van die gekompromitteerde Asus en "drie naamlose vervaardigers." Veral bygelowige maatskappye sit die hele week op spelde en naalde en maak rugsteun. En dit alles omdat ons almal 'n bietjie onverskillig is wat sekuriteit betref: iemand vergeet om hul veiligheidsgordel op die agtersitplek vas te maak, iemand ignoreer die vervaldatum van produkte, iemand bêre hul login en wagwoord onder die sleutelbord, en nog beter, skryf neer al die wagwoorde in 'n notaboek. Sommige individue kry dit reg om antivirusse te deaktiveer "om nie die rekenaar te vertraag nie" en nie skeiding van toegangsregte in korporatiewe stelsels te gebruik nie (watter geheime in 'n maatskappy van 50 mense!). Waarskynlik het die mensdom eenvoudig nog nie die instink van kuber-selfbehoud ontwikkel nie, wat in beginsel 'n nuwe basiese instink kan word.

Besigheid het ook nie sulke instinkte ontwikkel nie. 'n Eenvoudige vraag: is 'n CRM-stelsel 'n inligtingsekuriteitsbedreiging of 'n sekuriteitshulpmiddel? Dit is onwaarskynlik dat iemand dadelik 'n akkurate antwoord sal gee. Hier moet ons begin, soos ons in Engelse lesse geleer is: dit hang af ... Dit hang af van die instellings, die vorm van CRM-lewering, die gewoontes en oortuigings van die verkoper, die mate van verontagsaming van werknemers, die gesofistikeerdheid van aanvallers . Alles kan immers gekap word. So hoe om te lewe?

Dit is inligtingsekuriteit in klein en medium ondernemings Van LiveJournal

CRM-stelsel as beskerming

Om kommersiële en operasionele data te beskerm en jou kliëntebasis veilig te berg is een van die hooftake van 'n CRM-stelsel, en hierin is dit kop en skouers bo alle ander toepassingsagteware in die maatskappy.

Jy het sekerlik hierdie artikel begin lees en diep in jou geglimlag en gesê, wie het jou inligting nodig. Indien wel, dan het jy waarskynlik nie met verkope te doen gehad nie en weet jy nie hoe in aanvraag "lewendige" en hoëgehalte kliëntebasisse en inligting oor metodes is om met hierdie basis te werk nie. Die inhoud van die CRM-stelsel is nie net interessant vir die maatskappy se bestuur nie, maar ook vir:  

• Aanvallers (minder dikwels) - hulle het 'n doelwit wat spesifiek met jou maatskappy verband hou en sal alle hulpbronne gebruik om data te bekom: omkopery van werknemers, inbraak, die koop van jou data van bestuurders, onderhoude met bestuurders, ens.
• Werknemers (meer dikwels) wat as insiders vir jou mededingers kan optree. Hulle is eenvoudig gereed om hul kliëntebasis weg te neem of te verkoop vir hul eie wins.
• Vir amateurkrakers (baie selde) - jy kan in die wolk ingekap word waar jou data geleë is of die netwerk word gehack, of dalk wil iemand jou data vir die pret "uittrek" (byvoorbeeld data oor farmaseutiese of alkoholgroothandelaars - net interessant om te sien).

As iemand in jou CRM kom, sal hulle toegang hê tot jou operasionele aktiwiteite, dit wil sê tot die volume data waarmee jy die meeste van jou wins maak. En vanaf die oomblik dat kwaadwillige toegang tot die CRM-stelsel verkry word, begin winste glimlag op die een in wie se hande die kliëntebasis beland. Wel, of sy vennote en kliënte (lees - nuwe werkgewers).

Goed, betroubaar CRM-stelsel is in staat om hierdie risiko's te dek en bied 'n klomp aangename bonusse op die gebied van sekuriteit.

So, wat kan 'n CRM-stelsel doen in terme van sekuriteit?

(Ons sal jou vertel met 'n voorbeeld RegionSoft CRM, omdat Ons kan nie verantwoordelik wees vir ander nie)

• Twee-faktor-verifikasie met 'n USB-sleutel en wagwoord. RegionSoft CRM ondersteun twee-faktor gebruikersmagtigingsmodus wanneer u by die stelsel aanmeld. In hierdie geval, wanneer u by die stelsel aanmeld, moet u, benewens die invoer van die wagwoord, 'n USB-sleutel wat vooraf geïnisieer is, in die rekenaar se USB-poort plaas. Twee-faktor magtigingsmodus help om teen wagwoorddiefstal of openbaarmaking te beskerm.

Klikbaar

• Begin vanaf betroubare IP-adresse en MAC-adresse. Vir verbeterde sekuriteit kan u gebruikers beperk om slegs vanaf geregistreerde IP-adresse en MAC-adresse aan te meld. Beide interne IP-adresse op die plaaslike netwerk en eksterne adresse kan as IP-adresse gebruik word as die gebruiker op afstand (via die internet) koppel.
• Domeinmagtiging (Windows-magtiging). Die opstart van die stelsel kan so gekonfigureer word dat die gebruikerwagwoord nie vereis word wanneer jy aanmeld nie. In hierdie geval vind Windows-magtiging plaas, wat die gebruiker identifiseer wat WinAPI gebruik. Die stelsel sal geloods word onder die gebruiker onder wie se profiel die rekenaar loop wanneer die stelsel begin.
• Nog 'n meganisme is private kliënte. Privaat kliënte is kliënte wat slegs deur hul toesighouer gesien kan word. Hierdie kliënte sal nie in ander gebruikers se lyste verskyn nie, selfs al het ander gebruikers volle toestemmings, insluitend administrateur regte. Op hierdie manier kan jy byvoorbeeld 'n poel van besonder belangrike kliënte of 'n groep om 'n ander rede beskerm, wat aan 'n betroubare bestuurder toevertrou sal word.
• Meganisme vir die verdeling van toegangsregte — 'n standaard en primêre sekuriteitsmaatreël in CRM. Om die proses van administrasie van gebruikersregte te vereenvoudig, in RegionSoft CRM regte word nie aan spesifieke gebruikers toegeken nie, maar aan sjablone. En aan die gebruiker self word een of ander sjabloon toegeken, wat 'n sekere stel regte het. Dit laat elke werknemer toe – van nuwe aanstellings tot interns tot direkteure – om toestemmings en toegangsregte toe te ken wat hulle sal toelaat/verhinder om toegang tot sensitiewe data en sensitiewe besigheidsinligting te verkry.
• Outomatiese data-rugsteunstelsel (rugsteun)konfigureerbaar via script-bediener RegionSoft-toepassingsbediener.

Dit is die implementering van sekuriteit met behulp van 'n enkele stelsel as 'n voorbeeld, elke verkoper het sy eie beleide. Die CRM-stelsel beskerm egter jou inligting werklik: jy kan sien wie hierdie of daardie verslag en op watter tydstip geneem het, wie watter data bekyk het, wie dit afgelaai het, en nog baie meer. Selfs as jy ná die tyd van die kwesbaarheid uitvind, sal jy nie die daad ongestraf laat nie en kan jy maklik die werknemer identifiseer wat die vertroue en lojaliteit van die maatskappy misbruik het.

Is jy ontspanne? Vroeg! Hierdie einste beskerming kan teen jou werk as jy onverskillig is en databeskermingskwessies ignoreer.

CRM-stelsel as 'n bedreiging

As jou maatskappy ten minste een rekenaar het, is dit reeds 'n bron van kuberbedreiging. Gevolglik neem die bedreigingsvlak toe met die aantal werkstasies (en werknemers) en met die verskeidenheid sagteware wat geïnstalleer en gebruik word. En dinge is nie maklik met CRM-stelsels nie - dit is immers 'n program wat ontwerp is om die belangrikste en duurste bate te stoor en te verwerk: 'n kliëntebasis en kommersiële inligting, en hier vertel ons gruwelstories oor die sekuriteit daarvan. Trouens, nie alles is so somber van naby nie, en as dit reg hanteer word, sal jy niks anders as voordeel en sekuriteit van die CRM-stelsel ontvang nie.

Wat is die tekens van 'n gevaarlike CRM-stelsel?

Kom ons begin met 'n kort uitstappie na die basiese beginsels. CRM's kom in wolk- en rekenaarweergawes. Wolk is diegene wie se DBMS (databasis) nie in jou maatskappy geleë is nie, maar in 'n private of publieke wolk in een of ander datasentrum (jy sit byvoorbeeld in Chelyabinsk, en jou databasis loop in 'n super cool datasentrum in Moskou , omdat die CRM-verkoper so besluit het en hy het 'n ooreenkoms met hierdie spesifieke verskaffer). Desktop (ook bekend as on-premise, bediener - wat nie meer so waar is nie) baseer hul DBBS op jou eie bedieners (nee, nee, moenie 'n groot bedienerkamer met duur rakke voorstel nie, meestal in klein en mediumgrootte besighede is dit 'n enkele bediener of selfs 'n gewone rekenaar met moderne konfigurasie), dit wil sê fisies in jou kantoor.

Dit is moontlik om ongemagtigde toegang tot beide tipes CRM te verkry, maar die spoed en gemak van toegang verskil, veral as ons praat van SMB's wat nie veel omgee vir inligtingsekuriteit nie.

Gevaarteken #1

Die rede vir die groter waarskynlikheid van probleme met data in 'n wolkstelsel is die verhouding wat deur verskeie skakels verbind word: jy (CRM-huurder) - verkoper - verskaffer (daar is 'n langer weergawe: jy - verkoper - IT-uitkontrakteur van die verkoper - verskaffer) . 3-4 skakels in 'n verhouding hou meer risiko's in as 1-2: 'n probleem kan aan die verskaffer se kant voorkom (kontrakverandering, nie-betaling van verskafferdienste), aan die verskaffer se kant (force majeure, inbraak, tegniese probleme), aan die uitkontrakteur se kant (verandering van bestuurder of ingenieur), ens. Natuurlik probeer groot verskaffers om rugsteundatasentrums te hê, risiko's te bestuur en hul DevOps-afdeling in stand te hou, maar dit sluit nie probleme uit nie.

Desktop CRM word oor die algemeen nie gehuur nie, maar deur die maatskappy gekoop; dienooreenkomstig lyk die verhouding eenvoudiger en deursigtiger: tydens die implementering van die CRM konfigureer die verkoper die nodige sekuriteitsvlakke (van differensiasie van toegangsregte en 'n fisiese USB-sleutel tot die omsluit van die CRM). bediener in 'n betonmuur, ens.) en dra beheer oor na die maatskappy wat die CRM besit, wat beskerming kan verhoog, 'n stelseladministrateur kan huur, of sy sagtewareverskaffer kan kontak soos nodig. Die probleme kom daarop neer om met werknemers te werk, die netwerk te beskerm en inligting fisies te beskerm. As jy desktop CRM gebruik, sal selfs 'n volledige afsluiting van die internet nie werk nie, aangesien die databasis in jou "tuis" kantoor geleë is.

Een van ons werknemers, wat in 'n maatskappy gewerk het wat wolkgebaseerde geïntegreerde kantoorstelsels ontwikkel het, insluitend CRM, praat oor wolktegnologieë. “By een van my werke was die maatskappy besig om iets te skep wat baie soortgelyk is aan 'n basiese CRM, en dit was alles gekoppel aan aanlyn dokumente ensovoorts. Eendag in GA het ons abnormale aktiwiteit van een van ons intekenaarkliënte gesien. Stel jou voor die verbasing van ons, ontleders, toe ons, nie ontwikkelaars nie, maar met 'n hoë vlak van toegang, eenvoudig die koppelvlak wat die kliënt gebruik het via 'n skakel kon oopmaak en sien watter soort gewilde teken hy het. Terloops, dit blyk dat die kliënt nie wil hê dat iemand hierdie kommersiële data moet sien nie. Ja, dit was 'n fout, en dit was vir 'n paar jaar nie reggemaak nie - na my mening is dinge nog steeds daar. Sedertdien is ek 'n lessenaar-entoesias en vertrou nie regtig die wolke nie, hoewel ons dit natuurlik in die werk en in ons persoonlike lewens gebruik, waar ons ook 'n paar prettige fakaps gehad het.”

Uit ons opname oor Habré, en dit is werknemers van gevorderde maatskappye

Verlies van data vanaf 'n wolk CRM-stelsel kan wees as gevolg van dataverlies as gevolg van bediener mislukking, onbeskikbaarheid van bedieners, force majeure, beëindiging van verskaffer aktiwiteite, ens. Die wolk beteken konstante, ononderbroke toegang tot die internet, en beskerming moet ongekend wees: op die vlak van kode, toegangsregte, bykomende kuberveiligheidsmaatreëls (byvoorbeeld twee-faktor-verifikasie).

Gevaarteken #2

Ons praat nie eers van een eienskap nie, maar van 'n groep kenmerke wat met die verkoper en sy beleid verband hou. Kom ons lys 'n paar belangrike voorbeelde wat ons en ons werknemers teëgekom het.

• Die verkoper kan 'n onvoldoende betroubare datasentrum kies waar die kliënte se DBBS sal "draai". Hy sal geld spaar, sal nie die SLA beheer nie, sal nie die vrag bereken nie, en die resultaat sal dodelik vir jou wees.
• Die verkoper kan die reg ontken om die diens na die datasentrum van jou keuse oor te dra. Dit is 'n redelik algemene beperking vir SaaS.
• Die verkoper kan 'n wetlike of ekonomiese konflik met die wolkverskaffer hê, en dan kan rugsteunaksies of, byvoorbeeld, spoed tydens die "ontmoeting" beperk word.
• Die diens om rugsteun te skep, kan teen 'n bykomende prys verskaf word. 'n Algemene praktyk waaroor 'n kliënt van 'n CRM-stelsel slegs kan leer op die oomblik wanneer 'n rugsteun nodig is, dit wil sê op die mees kritieke en kwesbare oomblik.
• Verkoper werknemers kan onbelemmerde toegang tot kliëntedata hê.
• Datalekkasies van enige aard kan voorkom (menslike foute, bedrog, kuberkrakers, ens.).

Gewoonlik word hierdie probleme met klein of jong verkopers geassosieer, maar grotes het herhaaldelik in die moeilikheid beland (google dit). Daarom moet u altyd maniere hê om inligting aan u kant te beskerm + vooraf sekuriteitskwessies met die geselekteerde CRM-stelselverskaffer te bespreek. Selfs die feit van jou belangstelling in die probleem sal die verskaffer reeds dwing om die implementering so verantwoordelik as moontlik te hanteer (dit is veral belangrik om dit te doen as jy nie met die verkoper se kantoor te doen het nie, maar met sy vennoot, vir wie dit is belangrik om 'n ooreenkoms te sluit en 'n kommissie te ontvang, en nie hierdie twee-faktore nie ... goed, het jy verstaan).

Gevaarteken #3

Organisasie van sekuriteitswerk in jou onderneming. 'n Jaar gelede het ons tradisioneel oor sekuriteit op Habré geskryf en 'n opname gedoen. Die steekproef was nie baie groot nie, maar die antwoorde is aanduidend:

Aan die einde van die artikel sal ons skakels verskaf na ons publikasies, waar ons die verhouding in die "maatskappy-werknemer-sekuriteit"-stelsel in detail ondersoek het, en hier sal ons 'n lys vrae verskaf waarop die antwoorde binne gevind moet word. jou maatskappy (selfs al het jy nie CRM nodig nie).

• Waar stoor werknemers wagwoorde?
• Hoe word toegang tot berging op die maatskappy se bedieners georganiseer?
• Hoe word sagteware wat kommersiële en operasionele inligting bevat beskerm?
• Het alle werknemers antivirusprogrammatuur aktief?
• Hoeveel werknemers het toegang tot kliëntdata, en watter vlak van toegang het dit?
• Hoeveel nuwe aanstellings het jy en hoeveel werknemers is in die proses om te vertrek?
• Hoe lank het jy al met sleutelwerknemers gekommunikeer en na hul versoeke en klagtes geluister?
• Word drukkers gemonitor?
• Hoe is die beleid georganiseer om jou eie toestelle aan jou rekenaar te koppel, asook om werks-Wi-Fi te gebruik?

Trouens, dit is basiese vrae—harde kern sal waarskynlik in die kommentaar bygevoeg word, maar dit is die basiese beginsels waarvan selfs 'n individuele entrepreneur met twee werknemers behoort te weet.

So hoe om jouself te beskerm?

• Rugsteun is die belangrikste ding wat dikwels óf vergeet óf nie versorg word nie. As jy 'n lessenaarstelsel het, stel 'n datarugsteunstelsel op met 'n gegewe frekwensie (byvoorbeeld, vir RegionSoft CRM kan dit gedoen word deur RegionSoft-toepassingsbediener) en organiseer behoorlike berging van kopieë. As jy 'n wolk CRM het, moet jy seker wees om uit te vind voordat jy 'n kontrak sluit hoe werk met rugsteun georganiseer word: jy benodig inligting oor die diepte en frekwensie, stoorplek, koste van rugsteun (dikwels slegs rugsteun van die "jongste data vir die tydperk ” is gratis, en 'n volwaardige, veilige rugsteunkopieer word as 'n betaalde diens verskaf). Oor die algemeen is dit beslis nie die plek vir besparings of nalatigheid nie. En ja, moenie vergeet om te kyk wat van rugsteun herstel word nie.
• Skeiding van toegangsregte op die funksie- en datavlakke.
• Sekuriteit op netwerkvlak - jy moet die gebruik van CRM slegs binne die kantoorsubnet toelaat, toegang vir mobiele toestelle beperk, verbied om met die CRM-stelsel van die huis af te werk of, nog erger, vanaf publieke netwerke (coworking spaces, kafees, kliëntkantore) , ens.). Wees veral versigtig met die mobiele weergawe - laat dit net 'n sterk afgekapte weergawe wees vir werk.
• ’n Antivirus met intydse skandering is in elk geval nodig, maar veral in die geval van korporatiewe datasekuriteit. Op beleidsvlak, verbied om dit self te deaktiveer.
• Opleiding van werknemers oor kuberhigiëne is nie 'n mors van tyd nie, maar 'n dringende behoefte. Dit is nodig om aan alle kollegas oor te dra dat dit vir hulle belangrik is om nie net te waarsku nie, maar ook om korrek te reageer op die dreigement wat ontvang word. Om die gebruik van die internet of jou e-pos in die kantoor te verbied, is iets van die verlede en 'n oorsaak van akute negatiwiteit, so jy sal aan voorkoming moet werk.

Met behulp van 'n wolkstelsel kan u natuurlik 'n voldoende vlak van sekuriteit bereik: gebruik toegewyde bedieners, konfigureer routers en skei verkeer op toepassingsvlak en databasisvlak, gebruik privaat subnette, stel streng sekuriteitsreëls vir administrateurs in, verseker ononderbroke werking deur rugsteun met die maksimum nodige frekwensie en volledigheid, om die netwerk rondom die klok te monitor ... As jy daaroor dink, is dit nie so moeilik nie, maar eerder duur. Maar, soos die praktyk toon, neem slegs sommige maatskappye, meestal groot ondernemings, sulke maatreëls. Daarom huiwer ons nie om weer te sê: beide die wolk en die lessenaar moet nie op hul eie lewe nie; beskerm jou data.

'n Paar klein maar belangrike wenke vir alle gevalle van implementering van 'n CRM-stelsel

• Gaan die verkoper na vir kwesbaarhede - soek inligting deur kombinasies van woorde "Vendor Name vulnerability", "Vendor Name hacked", "Vendor Name data lek" te gebruik. Dit behoort nie die enigste parameter in die soeke na 'n nuwe CRM-stelsel te wees nie, maar dit is eenvoudig nodig om die subkorteks te merk, en dit is veral belangrik om die redes vir die voorvalle wat plaasgevind het, te verstaan.
• Vra die verkoper oor die datasentrum: beskikbaarheid, hoeveel daar is, hoe failover georganiseer word.
• Stel sekuriteittokens in jou CRM op, monitor aktiwiteit binne die stelsel en ongewone stygings.
• Deaktiveer die uitvoer van verslae en toegang via API vir nie-kernwerknemers - dit wil sê diegene wat nie hierdie funksies nodig het vir hul gereelde aktiwiteite nie.
• Maak seker dat jou CRM-stelsel opgestel is om prosesse aan te teken en gebruikersaksies aan te teken.

Dit is klein dingetjies, maar dit komplementeer die algehele prentjie perfek. En om die waarheid te sê, geen klein dingetjies is veilig nie.

Deur 'n CRM-stelsel te implementeer, verseker jy die sekuriteit van jou data - maar slegs as die implementering bekwaam uitgevoer word, en inligtingsekuriteitskwessies nie na die agtergrond geskuif word nie. Stem saam, dis dom om 'n kar te koop en nie die remme, ABS, lugsakke, veiligheidsgordels, EDS na te gaan nie. Die belangrikste ding is immers nie net om te gaan nie, maar om veilig te gaan en veilig daar te kom. Dit is dieselfde met besigheid.

En onthou: as beroepsveiligheidsreëls in bloed geskryf is, word besigheidskuberveiligheidsreëls in geld geskryf.

Oor die onderwerp van kuberveiligheid en die plek van die CRM-stelsel daarin, kan u ons gedetailleerde artikels lees:

• Basiese besigheidsinstink: die rand van korporatiewe sekuriteit — 'n oorsig van moontlike sekuriteitsbedreigings in die korporatiewe sfeer en 'n benaderde opsporingskema.
• Moet jy data teen werknemers beskerm? — 'n gedetailleerde ontleding van hoe werknemers jou besigheid kan benadeel en hoe hulle dit in die kommersiële sfeer doen.

As jy op soek is na 'n CRM-stelsel, dan RegionSoft CRM tot 31 Maart, 15% afslag. As jy CRM of ERP benodig, bestudeer ons produkte noukeurig en vergelyk hul vermoëns met jou doelwitte en doelwitte. As jy enige vrae of probleme het, skryf of bel, ons sal 'n individuele aanlyn aanbieding vir jou reël - sonder graderings of klokkies en fluitjies.

Ons kanaal in Telegram, waarin ons, sonder om te adverteer, nie heeltemal formele dinge oor CRM en besigheid skryf nie.

Bron: will.com