2008. godine bio sam u mogućnosti posjetiti IT kompaniju. Postojala je neka vrsta nezdrave napetosti u svakom zaposlenom. Razlog se pokazao jednostavnim: mobilni telefoni su u kutiji na ulazu u kancelariju, iza leđa je kamera, 2 velike dodatne kamere za “gledanje” u kancelariji i softver za praćenje pomoću keyloggera. I da, ovo nije kompanija koja je razvila SORM ili sisteme za održavanje života aviona, već jednostavno programer softvera za poslovne aplikacije, koji je sada apsorbovan, zdrobljen i više ne postoji (što se čini logičnim). Ako se sada protežete i mislite da u vašoj kancelariji sa visećim ležaljkama i M&M u vazama to definitivno nije slučaj, mogli biste se jako prevariti - samo da je tokom 11 godina kontrola naučila da bude nevidljiva i ispravna, bez obračuna posjećenih stranica i preuzimanih filmova.
Pa zar je zaista nemoguće bez svega ovoga, ali šta je sa poverenjem, odanošću, verom u ljude? Vjerovali ili ne, isto toliko je kompanija bez mjera sigurnosti. Ali zaposleni uspijevaju zabrljati i tu i tamo - jednostavno zato što ljudski faktor može uništiti svjetove, a ne samo vašu kompaniju. Dakle, gdje se vaši zaposlenici mogu zamjeriti?
Ovo nije baš ozbiljan post, koji ima tačno dvije funkcije: da malo uljepša svakodnevicu i da vas podsjeti na osnovne sigurnosne stvari koje se često zaboravljaju. Oh, i još jednom vas podsjetiti — Nije li takav softver ivica sigurnosti? 🙂
Idemo na slučajni način!
Lozinke, lozinke, lozinke...
Pričate o njima i nailazi val ogorčenja: kako može, toliko puta su rekli svijetu, ali stvari su i dalje tu! U kompanijama svih nivoa, od individualnih preduzetnika do multinacionalnih korporacija, to je veoma bolna tačka. Ponekad mi se čini da ako sutra naprave pravu Death Star, u admin panelu će biti nešto kao admin/admin. Dakle, šta možemo očekivati od običnih korisnika, za koje je njihova vlastita stranica VKontakte mnogo skuplja od korporativnog računa? Evo tačaka koje treba provjeriti:
- Pisanje lozinki na komadiće papira, na poleđini tastature, na monitoru, na stolu ispod tastature, na naljepnici na dnu miša (lukavo!) - zaposleni to nikada ne bi trebali raditi. I to ne zato što će užasni haker ući i preuzeti sav 1C na fleš disk za vreme ručka, već zato što se u kancelariji može naći uvređeni Saša koji će dati otkaz i učiniti nešto prljavo ili oduzeti informacije poslednji put . Zašto to ne uradite na sledećem ručku?
Ovo je šta? Ova stvar pohranjuje sve moje lozinke
- Postavljanje jednostavnih lozinki za ulazak u PC i radne programe. Datumi rođenja, qwerty123, pa čak i asdf su kombinacije koje spadaju u šale i na bashorg, a ne u korporativni sigurnosni sistem. Postavite zahtjeve za lozinke i njihovu dužinu i podesite učestalost zamjene.
Lozinka je kao donji veš: menjajte je često, ne delite je sa prijateljima, duga je bolja, budite tajanstveni, nemojte je razbacati svuda
- Podrazumevane lozinke za prijavu na program dobavljača su pogrešne, makar samo zato što ih znaju skoro svi zaposlenici prodavca, a ako imate posla sa sistemom zasnovanim na vebu u oblaku, nikome neće biti teško da dođe do podataka. Pogotovo ako imate i mrežnu sigurnost na nivou „ne vucite za uže“.
- Objasnite zaposlenima da nagoveštaj lozinke u operativnom sistemu ne bi trebalo da izgleda kao „moj rođendan“, „ime ćerke“, „Gvoz-dika-78545-ap#1! na engleskom." ili "kvarti i jedan i nula."
Moja mačka mi daje sjajne lozinke! Hoda po mojoj tastaturi
Fizički pristup predmetima
Kako vaša kompanija organizuje pristup računovodstvenoj i kadrovskoj dokumentaciji (na primjer, ličnim dosijeima zaposlenih)? Da pogodim: ako je mala firma, onda u računovodstvu ili u kancelariji šefa u fasciklama na policama ili u ormaru; ako je velika firma, onda u HR odjelu na policama. Ali ako je jako velika, onda je najvjerovatnije sve ispravno: zasebna kancelarija ili blok s magnetnim ključem, gdje samo određeni zaposlenici imaju pristup i da biste tamo stigli, morate pozvati jednog od njih i ući u ovaj čvor u njihovom prisustvu. Nema ništa teško napraviti takvu zaštitu u bilo kom poslu, ili barem naučiti da ne ispisujete šifru za kancelarijski sef kredom na vratima ili na zidu (sve je zasnovano na stvarnim događajima, nemojte se smijati).
Zašto je to važno? Prvo, radnici imaju patološku želju da saznaju najtajnije stvari jedni o drugima: bračni status, platu, medicinske dijagnoze, obrazovanje itd. Ovo je takav kompromis u kancelarijskoj konkurenciji. A vi apsolutno nemate koristi od svađa koje će nastati kada dizajner Petya sazna da zarađuje 20 hiljada manje od dizajnerice Alice. Drugo, tamo zaposleni mogu pristupiti finansijskim informacijama kompanije (bilansi, godišnji izvještaji, ugovori). Treće, nešto se jednostavno može izgubiti, oštetiti ili ukrasti kako bi se prikrili tragovi u vlastitoj radnoj istoriji.
Skladište u kojem je neko gubitak, neko blago
Ako imate skladište, uzmite u obzir da ćete prije ili kasnije sigurno naići na kriminalce - jednostavno tako funkcionira psihologija osobe koja vidi veliku količinu proizvoda i čvrsto vjeruje da malo od puno nije pljačka, već dijeljenje. A jedinica robe sa ove gomile može koštati 200 hiljada, ili 300 hiljada, ili nekoliko miliona. Nažalost, ništa ne može zaustaviti krađu osim pedantne i totalne kontrole i računovodstva: kamere, prijem i otpis pomoću bar kodova, automatizacija skladišnog knjigovodstva (npr. skladišno knjigovodstvo je organizovano na način da rukovodilac i nadzornik mogu da vide kretanje robe kroz skladište u realnom vremenu).
Stoga, naoružajte svoje skladište do zuba, osigurajte fizičku sigurnost od vanjskog neprijatelja i potpunu sigurnost od unutrašnjeg. Zaposleni u transportu, logistici i skladištima moraju jasno da shvate da kontrola postoji, ona funkcioniše i skoro da će sami sebe kazniti.
*hej, ne guraj ruke u infrastrukturu
Ako je priča o serverskoj sobi i čistačici već nadživjela sebe i odavno se preselila u priče o drugim industrijama (npr. ista je o mističnom gašenju ventilatora na istom odjeljenju), onda ostalo ostaje stvarnost . Mrežna i IT bezbednost malih i srednjih preduzeća ostavlja mnogo da se poželi, a to često ne zavisi od toga da li imate svog sistem administratora ili pozvanog. Potonji se često snalazi čak i bolje.
Pa za šta su zaposleni ovde sposobni?
- Najljepše i najbezazlenije je otići u server sobu, povući žice, pogledati, proliti čaj, nanijeti prljavštinu ili pokušati nešto sami konfigurirati. To posebno pogađa “samouvjerene i napredne korisnike” koji herojski uče svoje kolege da onemoguće antivirusnu i zaobilaze zaštitu na PC-u i sigurni su da su oni urođeni bogovi serverske sobe. Općenito, ovlašteni ograničeni pristup je vaše sve.
- Krađa opreme i zamjena komponenti. Volite li svoju kompaniju i instalirali ste moćne video kartice za sve kako bi sistem naplate, CRM i sve ostalo radili savršeno? Odlično! Samo će ih lukavi momci (a ponekad i djevojke) lako zamijeniti kućnim modelom, a kod kuće će pokrenuti igrice na novom uredskom modelu - ali pola svijeta neće znati. Ista je priča i sa tastaturama, miševima, hladnjakima, UPS-ovima i svime što se nekako može zamijeniti unutar hardverske konfiguracije. Kao rezultat toga, snosite rizik oštećenja imovine, njenog potpunog gubitka, a pritom ne dobijate željenu brzinu i kvalitet rada sa informacionim sistemima i aplikacijama. Ono što štedi je sistem za nadzor (ITSM sistem) sa konfigurisanom kontrolom konfiguracije), koji se mora isporučiti u kompletu sa nepotkupljivim i principijelnim administratorom sistema.
Možda želite da potražite bolji sigurnosni sistem? Nisam siguran da li je ovaj znak dovoljan
- Korištenje vlastitih modema, pristupnih tačaka ili neke vrste zajedničkog Wi-Fi-ja čini pristup datotekama manje sigurnim i praktički nekontroliranim, što napadači mogu iskoristiti (uključujući u dosluhu sa zaposlenima). Pa, osim toga, mnogo je veća vjerovatnoća da će zaposlenik „sa vlastitim internetom“ provoditi radno vrijeme na YouTube-u, šaljivim stranicama i društvenim mrežama.
- Objedinjene lozinke i loginovi za pristup administratorskoj zoni stranice, CMS-u, aplikativnom softveru su strašne stvari koje pretvaraju nesposobnog ili zlonamjernog zaposlenika u neuhvatljivog osvetnika. Ako imate 5 ljudi iz iste podmreže sa istim login/lozinkom da postave baner, provjerite reklamne veze i metriku, ispravite izgled i učitate ažuriranje, nikada nećete pogoditi koji je od njih slučajno pretvorio CSS u tikva. Dakle: različite prijave, različite lozinke, evidentiranje akcija i razlikovanje prava pristupa.
- Nepotrebno je govoriti o nelicenciranom softveru koji zaposleni prevlače na svoje računare kako bi uredili nekoliko fotografija tokom radnog vremena ili napravili nešto vrlo hobi. Zar niste čuli za inspekciju odeljenja „K“ CJB? Onda ona dolazi kod tebe!
- Antivirus bi trebao raditi. Da, neki od njih mogu usporiti vaš PC, iritirati vas i općenito izgledaju kao znak kukavičluka, ali bolje je to spriječiti nego kasnije plaćati zastojima ili, još gore, ukradenim podacima.
- Upozorenja operativnog sistema o opasnostima instaliranja aplikacije ne treba zanemariti. Danas je preuzimanje nečega za posao pitanje sekundi i minuta. Na primjer, Direct.Commander ili AdWords editor, neki SEO parser, itd. Ako je sve manje-više jasno sa Yandex i Google proizvodima, onda još jedan picreizer, besplatni čistač virusa, video editor sa tri efekta, screenshotovi, Skype snimači i drugi „sićušni programi“ mogu naštetiti kako pojedinačnom računaru tako i cijeloj mreži kompanije . Naučite korisnike da pročitaju šta računar želi od njih prije nego što pozovu administratora sistema i kažu da je "sve mrtvo". U nekim kompanijama problem je jednostavno riješen: mnogi preuzeti korisni uslužni programi pohranjeni su na mrežnom dijeljenju, a tamo je objavljena i lista odgovarajućih online rješenja.
- BYOD politika ili, obrnuto, politika dopuštanja korištenja radne opreme izvan ureda je vrlo loša strana sigurnosti. U ovom slučaju, rođaci, prijatelji, djeca, javne nezaštićene mreže itd. imaju pristup tehnologiji. Ovo je čisto ruski rulet - možete ići 5 godina i izdržati, ali možete izgubiti ili oštetiti sve svoje dokumente i vrijedne datoteke. Pa, osim toga, ako zaposlenik ima zlonamjerne namjere, to je jednostavno kao slanje dva bajta za curenje podataka pomoću opreme za „hodanje“. Takođe morate imati na umu da zaposleni često prenose datoteke između svojih ličnih računara, što opet može stvoriti sigurnosne rupe.
- Zaključavanje uređaja dok ste odsutni dobra je navika kako za korporativnu tako i za ličnu upotrebu. Opet vas štiti od radoznalih kolega, poznanika i uljeza na javnim mjestima. Teško je naviknuti se na ovo, ali na jednom od mojih radnih mjesta doživio sam divno iskustvo: kolege su prišle otključanom računaru, a Paint se otvorio preko cijelog prozora s natpisom „Zaključaj računar!“ i nešto se promijenilo u radu, na primjer, posljednji napumpani sklop je srušen ili je uklonjen posljednji uvedeni bag (ovo je bila grupa za testiranje). Surovo je, ali 1-2 puta je bilo dovoljno i za one najdrvenije. Iako pretpostavljam da ljudi koji nisu informatičari možda neće razumjeti takav humor.
- Ali najgori grijeh, naravno, leži na administratoru i menadžmentu sistema - ako kategorički ne koriste sisteme kontrole prometa, opremu, licence itd.
Ovo je, naravno, baza, jer je informatička infrastruktura upravo mjesto gdje što dalje u šumu ima više drva za ogrev. I tu bazu treba svako da ima, a ne da je zamenjuju reči „svi verujemo jedni drugima“, „mi smo porodica“, „kome to treba“ - avaj, za sada je tako.
Ovo je internet, dušo, oni mogu znati mnogo o tebi.
Vrijeme je da bezbedno rukovanje internetom uvedemo u kurs bezbednosti života u školi – a tu se uopšte ne radi o merama u koje smo uronjeni izvana. Ovdje se konkretno radi o mogućnosti razlikovanja linka od linka, razumijevanju gdje je phishing, a gdje prevara, ne otvaranju priloga e-pošte s predmetom „Izvještaj o pomirenju“ s nepoznate adrese bez razumijevanja, itd. Iako su, čini se, školarci sve ovo već savladali, a zaposleni nisu. Mnogo je trikova i grešaka koje mogu ugroziti cijelu kompaniju odjednom.
- Društvene mreže su dio interneta kojem nije mjesto na poslu, ali njihovo blokiranje na nivou kompanije u 2019. je nepopularna i demotivišuća mjera. Stoga samo trebate pisati svim zaposlenima kako provjeriti nezakonitost linkova, reći im o vrstama prevara i zamoliti ih da rade na poslu.
- Pošta je bolna tačka i možda najpopularniji način za krađu informacija, podmetanje zlonamjernog softvera i zarazu PC-a i cijele mreže. Nažalost, mnogi poslodavci smatraju da je e-mail klijent alat za uštedu i koriste besplatne usluge koje dnevno primaju 200 neželjenih e-poruka koje prolaze kroz filtere itd. A neki neodgovorni ljudi otvaraju takva pisma i priloge, linkove, slike - očigledno, nadaju se da im je crni princ ostavio nasledstvo. Nakon toga administrator ima puno, puno posla. Ili je tako bilo zamišljeno? Inače, još jedna surova priča: u jednoj kompaniji, za svako neželjeno pismo administratoru sistema, smanjen je KPI. Općenito, nakon mjesec dana nije bilo neželjene pošte - praksu je usvojila matična organizacija, a spama još uvijek nema. Ovaj problem smo riješili na elegantan način - razvili smo vlastiti email klijent i ugradili ga u svoj vlastiti , tako da svi naši klijenti takođe dobijaju tako zgodnu funkciju.
Sljedeći put kada dobijete čudnu e-poštu sa simbolom spajalice, nemojte kliknuti na nju!
- Messengeri su također izvor svih vrsta nesigurnih veza, ali to je mnogo manje zlo od pošte (ne računajući vrijeme izgubljeno ćaskanjem u četovima).
Čini se da su to sve sitnice. Međutim, svaka od ovih sitnica može imati katastrofalne posljedice, posebno ako je vaša kompanija meta napada konkurencije. A ovo se može dogoditi bukvalno svakome.
Brbljivi zaposleni
Ovo je upravo ljudski faktor kojeg ćete se teško riješiti. Zaposleni mogu razgovarati o radu u hodniku, u kafiću, na ulici, u kući klijenta, glasno pričati o drugom klijentu, pričati o radnim postignućima i projektima kod kuće. Naravno, vjerovatnoća da iza vas stoji konkurent je zanemarljiva (ako niste u istom poslovnom centru - to se desilo), ali mogućnost da se tip koji jasno kaže svoje poslovne afere snimi na pametnom telefonu i objavi na YouTube je, začudo, viši. Ali i ovo je sranje. Nije sranje kada vaši zaposlenici voljno iznose informacije o proizvodu ili kompaniji na treninzima, konferencijama, sastancima, profesionalnim forumima ili čak na Habréu. Štaviše, ljudi često namjerno pozivaju svoje protivnike na takve razgovore kako bi vodili konkurentsku obavještajnu djelatnost.
Priča koja otkriva. Na jednoj IT konferenciji galaktičkih razmera, govornik sekcije je izložio na slajd kompletan dijagram organizacije IT infrastrukture velike kompanije (top 20). Šema je bila mega impresivna, jednostavno kosmička, skoro svi su je fotografisali, a ona je istog trena obletjela društvene mreže s oduševljenim kritikama. Pa, onda ih je govornik uhvatio koristeći geotagove, štandove, društvene mreže. mreže onih koji su to objavili i molili da ga izbrišu, jer su ga vrlo brzo pozvali i rekli ah-ta-ta. Brbljivac je božji dar za špijuna.
Neznanje... oslobađa vas kazne
Prema globalnom izvještaju kompanije Kaspersky Lab za 2017. o preduzećima koja su doživjela incidente sajber bezbjednosti u periodu od 12 mjeseci, svaki deseti (11%) najozbiljnijih tipova incidenata uključivao je nemarne i neobaviještene zaposlenike.
Nemojte pretpostavljati da zaposleni znaju sve o korporativnim sigurnosnim mjerama, obavezno ih upozorite, obezbijedite obuku, pravite zanimljive periodične biltene o sigurnosnim pitanjima, održavajte sastanke uz pizzu i ponovo razjasnite probleme. I da, cool life hack - sve štampane i elektronske informacije označite bojama, znakovima, natpisima: poslovna tajna, tajna, za službenu upotrebu, opšti pristup. Ovo stvarno radi.
Moderni svijet je kompanije doveo u vrlo delikatan položaj: potrebno je održavati ravnotežu između želje zaposlenika da ne samo naporno radi na poslu, već i prima zabavne sadržaje u pozadini/u pauzama i strogih korporativnih sigurnosnih pravila. Ako uključite hiperkontrolu i programe za moronsko praćenje (da, nije greška u kucanju - ovo nije sigurnost, ovo je paranoja) i kamere iza leđa, tada će pasti povjerenje zaposlenih u kompaniju, ali održavanje povjerenja je i alat za korporativnu sigurnost .
Stoga, znajte kada stati, poštujte svoje zaposlenike i pravite rezervne kopije. I što je najvažnije, dajte prednost sigurnosti, a ne ličnoj paranoji.
Ako trebaš i uporedite njihove sposobnosti sa vašim ciljevima i ciljevima. Ako imate bilo kakvih pitanja ili poteškoća, pišite ili pozovite, mi ćemo za vas organizirati individualnu online prezentaciju - bez ocjena i zvona.
, u kojoj, bez reklama, pišemo ne sasvim formalne stvari o CRM-u i poslovanju.
izvor: www.habr.com