2008-ci ildə mən İT şirkətinə baş çəkə bildim. Hər bir işçidə bir növ qeyri-sağlam gərginlik var idi. Səbəb sadə oldu: mobil telefonlar ofisin girişində qutudadır, arxada kamera, ofisdə 2 böyük əlavə "baxış" kamerası və keylogger ilə monitorinq proqramı var. Bəli, bu, SORM və ya təyyarələrin həyat dəstəyi sistemlərini inkişaf etdirən şirkət deyil, sadəcə olaraq, indi mənimsənilmiş, əzilmiş və artıq mövcud olmayan (məntiqli görünür) biznes proqram təminatının inkişaf etdiricisidir. Əgər siz indi uzanırsınızsa və düşünürsünüzsə ki, vazalarda hamak və M&M olan ofisinizdə bu, qətiyyən belə deyil, çox səhv edə bilərsiniz - sadəcə olaraq, 11 il ərzində nəzarət görünməz və düzgün olmağı öyrəndi, heç bir nümayiş olmadan. saytları ziyarət etdi və filmləri endirdi.
Yəni doğrudanmı bütün bunlar olmadan mümkün deyil, bəs insanlara inam, sədaqət, inam? İster inanın, istər inanmayın, təhlükəsizlik tədbirləri olmayan bir çox şirkət var. Lakin işçilər həm burada, həm də orada qarışmağı bacarırlar - sadəcə olaraq, insan amili təkcə sizin şirkətinizi deyil, dünyaları məhv edə biləcəyi üçün. Beləliklə, işçiləriniz harada fitnə-fəsad törədə bilər?
Bu, tam olaraq iki funksiyaya malik olan çox ciddi bir yazı deyil: gündəlik həyatı bir az işıqlandırmaq və tez-tez unudulan əsas təhlükəsizlik şeylərini xatırlatmaq. Oh, və bir daha xatırladır — Belə proqram təminatı təhlükəsizliyin kənarı deyilmi? 🙂
Gəlin təsadüfi rejimdə gedək!
Parollar, parollar, parollar...
Siz onlar haqqında danışırsınız və qəzəb dalğası baş qaldırır: necə ola bilər ki, dünyaya dəfələrlə dedilər, amma işlər hələ də var! Fərdi sahibkarlardan tutmuş transmilli korporasiyalara qədər bütün səviyyələrdə olan şirkətlərdə bu, çox ağrılı yerdir. Hərdən mənə elə gəlir ki, sabah əsl Ölüm Ulduzu qursalar, admin panelində admin/admin kimi bir şey olacaq. Beləliklə, öz VKontakte səhifəsi korporativ hesabdan daha bahalı olan adi istifadəçilərdən nə gözləyə bilərik? Yoxlamalı olduğunuz məqamlar bunlardır:
- Parolları kağız parçalarına, klaviaturanın arxasına, monitora, klaviaturanın altındakı stola, siçanın altındakı stikerə yazmaq (hiyləgərlik!) - işçilər heç vaxt bunu etməməlidirlər. Və ona görə deyil ki, dəhşətli bir haker gəlib nahar vaxtı 1C-nin hamısını flash sürücüyə yükləyəcək, ofisdə işdən çıxıb çirkli bir iş görəcək və ya sonuncu dəfə məlumatı götürəcək incimiş Saşa ola bilər. . Növbəti naharda niyə bunu etməyəsiniz?
Bu nədir? Bu şey bütün parollarımı saxlayır
- PC və iş proqramlarına daxil olmaq üçün sadə parolların təyin edilməsi. Doğum tarixləri, qwerty123 və hətta asdf korporativ təhlükəsizlik sisteminə deyil, zarafatlara və bashorg-a aid olan birləşmələrdir. Parollar və onların uzunluğu üçün tələbləri təyin edin və dəyişdirmə tezliyini təyin edin.
Şifrə alt paltarı kimidir: onu tez-tez dəyişin, dostlarınızla paylaşmayın, uzun olanı daha yaxşıdır, sirli olun, hər yerə səpələməyin.
- Təchizatçının defolt proqramına giriş parolları qüsurludur, əgər satıcının demək olar ki, bütün əməkdaşları onları tanıyırsa və əgər siz buludda veb-əsaslı sistemlə məşğul olursunuzsa, məlumatı əldə etmək hər kəs üçün çətin olmayacaq. Xüsusilə də "kabel çəkməyin" səviyyəsində şəbəkə təhlükəsizliyiniz varsa.
- İşçilərə izah edin ki, əməliyyat sistemindəki parol işarəsi “mənim ad günüm”, “qızımın adı”, “Gvoz-dika-78545-ap#1! ingiliscə." və ya "dörddəbir və bir və sıfır."
Pişiyim mənə əla parollar verir! O, mənim klaviaturamda gəzir
Davalara fiziki giriş
Şirkətiniz mühasibat uçotu və kadr sənədlərinə (məsələn, işçilərin şəxsi sənədlərinə) çıxışı necə təşkil edir? Təxmin edim: əgər bu kiçik bir işdirsə, mühasibatlıq şöbəsində və ya müdirin ofisində rəflərdəki qovluqlarda və ya şkafda; böyük bir işdirsə, rəflərdəki kadrlar şöbəsində. Ancaq çox böyükdürsə, çox güman ki, hər şey düzgündür: ayrı bir ofis və ya maqnit açarı olan blok, burada yalnız müəyyən işçilərin girişi var və ora çatmaq üçün onlardan birinə zəng edib onların iştirakı ilə bu node daxil olmaq lazımdır. Hər hansı bir işdə belə bir qorunma yaratmaqda və ya ən azı qapıda və ya divarda təbaşirlə ofis seyfinin parolunu yazmamağı öyrənmək çətin bir şey yoxdur (hər şey real hadisələrə əsaslanır, gülməyin).
Niyə vacibdir? Birincisi, işçilərin bir-birləri haqqında ən gizli şeyləri öyrənmək üçün patoloji istəyi var: ailə vəziyyəti, maaş, tibbi diaqnozlar, təhsil və s. Bu, ofis rəqabətində belə bir kompromisdir. Dizayner Petyanın dizayner Alicedən 20 min az qazandığını biləndə yaranacaq mübahisələrdən qətiyyən fayda görmürsən. İkincisi, orada işçilər şirkətin maliyyə məlumatlarına (balans, illik hesabatlar, müqavilələr) daxil ola bilərlər. Üçüncüsü, öz iş tarixçəsindəki izləri ört-basdır etmək üçün bir şey sadəcə itirilə, zədələnə və ya oğurlana bilər.
Kiminsə itki, kiminsə xəzinə olduğu anbar
Əgər anbarınız varsa, hesab edin ki, gec-tez cinayətkarlarla qarşılaşacağınıza zəmanət verilir - bu, sadəcə olaraq, böyük həcmdə məhsul görən və az şeyin soyğunçuluq olmadığına qəti şəkildə inanan bir insanın psixologiyasıdır. paylaşma. Və bu yığından mal vahidi 200 min, 300 min və ya bir neçə milyona başa gələ bilər. Təəssüf ki, pedantik və ümumi nəzarət və mühasibatlıqdan başqa heç bir şey oğurluğu dayandıra bilməz: kameralar, barkodlardan istifadə edərək qəbul və silinmə, anbar uçotunun avtomatlaşdırılması (məsələn, bizim anbar uçotu elə təşkil olunur ki, müdir və nəzarətçi real vaxt rejimində anbardan malların hərəkətini görə bilsin).
Buna görə anbarınızı dişlərə qədər silahlandırın, xarici düşməndən fiziki təhlükəsizliyi və daxili düşməndən tam təhlükəsizliyi təmin edin. Nəqliyyat, logistika, anbar işçiləri aydın başa düşməlidirlər ki, nəzarət var, işləyir və az qala özlərini cəzalandıracaqlar.
*hey, əllərinizi infrastruktura soxmayın
Server otağı və təmizlikçi xanım haqqında hekayə artıq özünü ötübsə və çoxdan digər sənayelərin nağıllarına köçübsə (məsələn, eyni palatada ventilyatorun mistik bağlanması ilə bağlı olub), qalanları reallıq olaraq qalır. . Kiçik və orta biznesin şəbəkə və İT təhlükəsizliyi arzuolunan şeylər qoyur və bu, çox vaxt öz sistem administratorunuzun və ya dəvət olunmuş birinizin olub-olmamasından asılı deyil. Sonuncu tez-tez daha yaxşı öhdəsindən gəlir.
Bəs buradakı işçilər nəyə qadirdirlər?
- Ən gözəl və zərərsiz şey server otağına getmək, naqilləri çəkmək, baxmaq, çay tökmək, çirklənmək və ya özünüz bir şey konfiqurasiya etməyə çalışmaqdır. Bu, xüsusən də həmkarlarına antivirusu söndürməyi və PC-də müdafiəni keçməyi qəhrəmancasına öyrədən və server otağının fitri tanrıları olduğuna əmin olan “inamlı və qabaqcıl istifadəçilərə” təsir edir. Ümumiyyətlə, səlahiyyətli məhdud giriş sizin hər şeyinizdir.
- Avadanlıqların oğurlanması və komponentlərin dəyişdirilməsi. Siz şirkətinizi sevirsinizmi və hər kəs üçün güclü video kartlar quraşdırmısınız ki, billinq sistemi, CRM və başqa hər şey mükəmməl işləyə bilsin? Əla! Yalnız hiyləgər uşaqlar (və bəzən qızlar) onları asanlıqla ev modeli ilə əvəz edəcəklər və evdə onlar yeni ofis modelində oyunlar keçirəcəklər - lakin dünyanın yarısı bilməyəcək. Klaviaturalar, siçanlar, soyuducular, UPS-lər və aparat konfiqurasiyasında birtəhər əvəz edilə bilən hər şeylə eyni hekayədir. Nəticədə, siz əmlakın zədələnməsi, onun tam itməsi riskini öz üzərinizə götürürsünüz və eyni zamanda informasiya sistemləri və proqramları ilə işləməkdə istədiyiniz sürəti və keyfiyyəti əldə etmirsiniz. Saxlayan şey, konfiqurasiya edilmiş konfiqurasiyaya nəzarəti olan monitorinq sistemidir (ITSM sistemi), tam olaraq pozulmaz və prinsipial sistem administratoru ilə təchiz olunmalıdır.
Bəlkə daha yaxşı təhlükəsizlik sistemi axtarmaq istəyirsiniz? Bu işarənin kifayət olub olmadığına əmin deyiləm
- Öz modemlərinizdən, giriş nöqtələrinizdən və ya bir növ paylaşılan Wi-Fi-dan istifadə edərək, fayllara girişi daha az təhlükəsiz və praktiki olaraq idarəolunmaz edir ki, bu da təcavüzkarların (o cümlədən işçilərlə sövdələşmədə) faydalana bilər. Bundan əlavə, "öz interneti olan" bir işçinin iş saatlarını YouTube, yumoristik saytlar və sosial şəbəkələrdə keçirmə ehtimalı daha yüksəkdir.
- Saytın idarəedici sahəsinə, CMS-ə, proqram təminatına daxil olmaq üçün vahid parollar və loginlər bacarıqsız və ya pis niyyətli işçini çətin bir qisasçıya çevirən dəhşətli şeylərdir. Əgər eyni alt şəbəkədən eyni login/parolla 5 nəfər banner qoymaq, reklam linklərini və ölçülərini yoxlamaq, tərtibatı düzəltmək və yeniləmə yükləmək üçün daxil olursunuzsa, onlardan hansının təsadüfən CSS-i şəbəkəyə çevirdiyini heç vaxt təxmin edə bilməyəcəksiniz. balqabaq. Buna görə də: müxtəlif girişlər, fərqli parollar, hərəkətlərin qeydiyyatı və giriş hüquqlarının fərqləndirilməsi.
- İş saatları ərzində bir neçə fotoşəkili redaktə etmək və ya çox hobbi ilə əlaqəli bir şey yaratmaq üçün işçilərin öz kompüterlərinə sürüklədikləri lisenziyasız proqramlar haqqında danışmağa ehtiyac yoxdur. Baş DİN-in “K” bölməsində yoxlama aparıldığını eşitməmisiniz? Sonra o sənə gəlir!
- Antivirus işləməlidir. Bəli, onlardan bəziləri kompüterinizi yavaşlata bilər, sizi qıcıqlandıra bilər və ümumiyyətlə qorxaqlıq əlaməti kimi görünə bilər, lakin bunun qarşısını almaq daha sonra fasilələrlə və ya daha da pisi, oğurlanmış məlumatlarla ödəməkdən daha yaxşıdır.
- Tətbiqin quraşdırılmasının təhlükələri haqqında əməliyyat sistemi xəbərdarlıqlarına məhəl qoyulmamalıdır. Bu gün iş üçün bir şey yükləmək saniyələr və dəqiqələr məsələsidir. Məsələn, Direct.Commander və ya AdWords redaktoru, bəzi SEO analizatoru və s. Yandex və Google məhsulları ilə hər şey az və ya çox aydındırsa, başqa bir pikreizer, pulsuz virus təmizləyicisi, üç effektli video redaktor, ekran görüntüləri, Skype yazıcıları və digər "kiçik proqramlar" həm fərdi kompüterə, həm də bütün şirkət şəbəkəsinə zərər verə bilər. . İstifadəçiləri sistem administratoruna zəng etmədən və “hər şey ölüb” deməzdən əvvəl kompüterin onlardan nə istədiyini oxumağa öyrədin. Bəzi şirkətlərdə problem sadəcə olaraq həll olunur: bir çox yüklənmiş faydalı kommunal şəbəkə paylaşımında saxlanılır və uyğun onlayn həllərin siyahısı da orada yerləşdirilir.
- BYOD siyasəti və ya əksinə, iş avadanlıqlarının ofisdən kənarda istifadəsinə icazə verilməsi siyasəti təhlükəsizliyin çox pis tərəfidir. Bu halda texnologiyaya qohumlar, dostlar, uşaqlar, ictimai qorunmayan şəbəkələr və s. Bu sırf rus ruletidir - siz 5 il gedə bilərsiniz, ancaq bütün sənədlərinizi və qiymətli fayllarınızı itirə və ya zədələyə bilərsiniz. Bundan əlavə, bir işçinin zərərli niyyəti varsa, "gəzmək" avadanlığı ilə məlumat sızdırmaq üçün iki bayt göndərmək qədər asandır. Siz həmçinin yadda saxlamalısınız ki, işçilər tez-tez öz şəxsi kompüterləri arasında faylları ötürürlər ki, bu da yenidən təhlükəsizlik boşluqları yarada bilər.
- Siz uzaqda olduğunuz zaman cihazlarınızı kilidləmək həm korporativ, həm də şəxsi istifadə üçün yaxşı vərdişdir. Yenə də sizi ictimai yerlərdə maraqlı həmkarlarınızdan, tanışlarınızdan və müdaxilə edənlərdən qoruyur. Buna öyrəşmək çətindir, amma iş yerlərimin birində gözəl təcrübə yaşadım: həmkarlar kilidi açılmış kompüterə yaxınlaşdılar və Paint bütün pəncərədə “Kompüteri kilidlə!” yazısı ilə açıldı. və işdə bir şey dəyişdi, məsələn, sonuncu pompalanan montaj söküldü və ya sonuncu təqdim edilən səhv aradan qaldırıldı (bu bir sınaq qrupu idi). Bu qəddardır, lakin ən taxta olanlar üçün 1-2 dəfə kifayətdir. Baxmayaraq ki, mən şübhələnirəm ki, qeyri-IT insanlar belə yumoru başa düşməyə bilərlər.
- Ancaq ən pis günah, əlbəttə ki, sistem administratoru və idarəçiliyindədir - əgər onlar qəti şəkildə trafikə nəzarət sistemlərindən, avadanlıqlardan, lisenziyalardan və s. istifadə etmirlərsə.
Bu, əlbəttə ki, əsasdır, çünki İT infrastrukturu elə yerdir ki, meşəyə nə qədər uzaq olarsa, odun da bir o qədər çox olur. Və hər kəsin bu bazası olmalıdır və "hamımız bir-birimizə güvənirik", "biz bir ailəyik", "kimə lazımdır" sözləri ilə əvəz edilməməlidir - təəssüf ki, bu hələlik.
Bu İnternetdir, balam, onlar sənin haqqında çox şey bilə bilər.
Məktəbdə həyat təhlükəsizliyi kursuna İnternetin təhlükəsiz idarə edilməsini tətbiq etməyin vaxtı gəldi - və bu, heç də kənardan daxil olduğumuz tədbirlərə aid deyil. Bu, konkret olaraq keçidi keçiddən ayırd etmək, fişinqin harada və fırıldaqçılıq olduğunu başa düşmək bacarığı, başa düşmədən tanımadığı ünvandan “Üzləşdirmə Hesabatı” başlıqlı e-poçt əlavələrini açmamaq və s. Baxmayaraq ki, görünür, məktəblilər bütün bunları artıq mənimsəyiblər, amma işçilər bunu bacarmayıb. Bütün şirkəti bir anda təhlükə altına ala biləcək bir çox hiylə və səhvlər var.
- Sosial şəbəkələr İnternetin iş yeri olmayan bir hissəsidir, lakin 2019-cu ildə onları şirkət səviyyəsində bloklamaq qeyri-populyar və həvəsdən salan bir tədbirdir. Buna görə də, sadəcə olaraq, bütün işçilərə bağlantıların qanunsuzluğunu necə yoxlamaq, fırıldaqçılıq növləri haqqında məlumat vermək və iş yerində işləmələrini xahiş etmək lazımdır.
- Poçt məlumat oğurlamaq, zərərli proqram əkmək və kompüteri və bütün şəbəkəni yoluxdurmaq üçün ağrılı yerdir və bəlkə də ən populyar üsuldur. Təəssüf ki, bir çox işəgötürən e-poçt müştərisini qənaət edən bir vasitə hesab edir və filtrlərdən keçən gündə 200 spam e-poçtu alan pulsuz xidmətlərdən istifadə edir və s. Bəzi məsuliyyətsiz adamlar isə belə məktubları və əlavələri, keçidləri, şəkilləri açır - görünür, qara şahzadənin onlara miras qoyacağına ümid edirlər. Bundan sonra administratorun çox işi, çox işi var. Yoxsa belə nəzərdə tutulmuşdu? Yeri gəlmişkən, başqa bir qəddar hekayə: bir şirkətdə sistem administratoruna hər spam məktubu üçün KPI azaldı. Ümumiyyətlə, bir aydan sonra heç bir spam yox idi - təcrübə ana təşkilat tərəfindən qəbul edildi və hələ də spam yoxdur. Biz bu problemi zərif şəkildə həll etdik - öz e-poçt müştərimizi inkişaf etdirdik və onu özümüzə quraşdırdıq , beləliklə, bütün müştərilərimiz də belə bir rahat xüsusiyyət əldə edirlər.
Növbəti dəfə kağız klipi simvolu olan qəribə e-məktub alsanız, üzərinə klikləməyin!
- Messengerlər həm də hər cür təhlükəli bağlantıların mənbəyidir, lakin bu, poçtdan daha az zərərlidir (çatlarda söhbət etməyə sərf olunan vaxtı nəzərə almasaq).
Deyəsən, bunların hamısı xırda şeylərdir. Bununla belə, bu kiçik şeylərin hər biri fəlakətli nəticələrə səbəb ola bilər, xüsusən də şirkətiniz rəqibin hücumunun hədəfi olarsa. Və bu sözün əsl mənasında hər kəsin başına gələ bilər.
Danışıq işçilər
Bu, sizin üçün çox çətin olacaq insan faktorudur. İşçilər koridorda, kafedə, küçədə, müştərinin evində işi müzakirə edə, başqa bir müştəri haqqında yüksək səslə danışa, evdə iş nailiyyətləri və layihələr haqqında danışa bilər. Əlbəttə ki, rəqibin arxanızda dayanma ehtimalı cüzidir (eyni biznes mərkəzində deyilsinizsə - bu baş verdi), lakin işini açıq şəkildə ifadə edən bir oğlanın smartfonda lentə alınması və yerləşdirilmə ehtimalı YouTube, qəribə də olsa, daha yüksəkdir. Amma bu da cəfəngiyatdır. İşçilərinizin təlimlərdə, konfranslarda, görüşlərdə, peşəkar forumlarda və ya hətta Habré-də məhsul və ya şirkət haqqında məlumatı həvəslə təqdim etməsi boşboğazlıq deyil. Üstəlik, insanlar rəqabətli kəşfiyyat aparmaq üçün tez-tez rəqiblərini qəsdən belə söhbətlərə çağırırlar.
Açıqlayan hekayə. Bir qalaktik miqyaslı İT konfransında bölmə məruzəçisi böyük bir şirkətin İT infrastrukturunun təşkilinin tam diaqramını slaydda təqdim etdi (top 20). Sxem çox təsir edici, sadəcə kosmik idi, demək olar ki, hər kəs onun şəklini çəkdi və o, dərhal sosial şəbəkələrdə rəğbətlə qarşılandı. Yaxşı, sonra spiker onları geoteqlərdən, stendlərdən, sosial mediadan istifadə edərək tutdu. onu yerləşdirən və silinməsini xahiş edənlərin şəbəkələri, çünki ona kifayət qədər tez zəng edib ah-ta-ta dedilər. Danışıq qutusu bir casus üçün bir lütfdür.
Cahillik... səni cəzadan azad edir
Kaspersky Lab-ın 2017-ci il üzrə 12 ay ərzində kibertəhlükəsizlik insidentləri ilə üzləşən bizneslərə dair qlobal hesabatına əsasən, ən ciddi insident növlərinin hər on nəfərindən biri (11%) diqqətsiz və məlumatsız işçilərlə bağlıdır.
İşçilərin korporativ təhlükəsizlik tədbirləri haqqında hər şeyi bildiyini düşünməyin, onları xəbərdar etməyi, təlim keçməyi, təhlükəsizlik məsələləri ilə bağlı maraqlı dövri xəbər bülletenlərini hazırlamağı, pizza üzərində görüşlər keçirməyi və məsələləri yenidən aydınlaşdırmağı unutmayın. Bəli, sərin həyat hiyləsi - bütün çap və elektron məlumatları rənglər, işarələr, yazılar ilə qeyd edin: ticarət sirri, məxfi, rəsmi istifadə üçün, ümumi giriş. Bu, həqiqətən işləyir.
Müasir dünya şirkətləri çox incə bir vəziyyətə salıb: işçinin nəinki işdə çox işləmək, həm də fonda/fasilələr zamanı əyləncə məzmunu almaq istəyi ilə ciddi korporativ təhlükəsizlik qaydaları arasında tarazlığı saxlamaq lazımdır. Hipernəzarət və axmaq izləmə proqramlarını (bəli, yazı səhvi deyil - bu təhlükəsizlik deyil, bu paranoyyadır) və arxanızdakı kameraları yandırsanız, işçilərin şirkətə olan inamı azalacaq, lakin inamı qorumaq da korporativ təhlükəsizlik vasitəsidir.
Buna görə də, nə vaxt dayanacağınızı bilin, işçilərinizə hörmət edin və ehtiyat nüsxələri çıxarın. Və ən əsası, şəxsi paranoyaya deyil, təhlükəsizliyə üstünlük verin.
Əgər ehtiyacın varsa və onların imkanlarını məqsəd və vəzifələrinizlə müqayisə edin. Hər hansı bir sualınız və ya çətinliyiniz varsa, yazın və ya zəng edin, biz sizin üçün fərdi onlayn təqdimat təşkil edəcəyik - reytinqlər və zənglər və fitlər olmadan.
, biz reklam olmadan CRM və biznes haqqında tamamilə rəsmi olmayan şeylər yazırıq.
Mənbə: www.habr.com