Sistemes CRM des d'una perspectiva de ciberseguretat: protecció o amenaça?

El 31 de març és el Dia Internacional de les còpies de seguretat i la setmana anterior sempre està plena d'històries relacionades amb la seguretat. Dilluns, ja vam saber sobre l'Asus compromès i "tres fabricants sense nom". Les empreses especialment supersticioses s'asseuen tota la setmana fent còpies de seguretat. I tot perquè tots som una mica descuidats pel que fa a la seguretat: algú s'oblida de cordar-se el cinturó de seguretat al seient del darrere, algú ignora la data de caducitat dels productes, algú emmagatzema el seu inici de sessió i la seva contrasenya sota el teclat, i encara millor, escriu. totes les contrasenyes en un quadern. Alguns individus aconsegueixen desactivar els antivirus “per no alentir l'ordinador” i no utilitzar la separació de drets d'accés als sistemes corporatius (quins secrets en una empresa de 50 persones!). Probablement, la humanitat simplement no ha desenvolupat encara l'instint d'autopreservació cibernètica, que, en principi, pot convertir-se en un nou instint bàsic.

Els negocis tampoc han desenvolupat aquests instints. Una pregunta senzilla: un sistema CRM és una amenaça per a la seguretat de la informació o una eina de seguretat? És poc probable que algú doni una resposta precisa immediatament. Aquí hem de començar, tal com ens van ensenyar a les classes d'anglès: depèn... Depèn de la configuració, la forma de lliurament de CRM, els hàbits i creences del venedor, el grau de menyspreu dels empleats, la sofisticació dels atacants. . Després de tot, tot es pot piratejar. Llavors, com viure?

Sistemes CRM des d'una perspectiva de ciberseguretat: protecció o amenaça?
Això és la seguretat de la informació a les petites i mitjanes empreses De LiveJournal

Sistema CRM com a protecció

Protegir les dades comercials i operatives i emmagatzemar de manera segura la vostra base de clients és una de les tasques principals d'un sistema CRM, i en això està al capdavant de la resta de programari d'aplicació de l'empresa.

Segur que vas començar a llegir aquest article i vas somriure en el fons, dient, qui necessita la teva informació. Si és així, és probable que no hàgiu tractat amb les vendes i no sabeu quina és la demanda "en directe" i les bases de clients d'alta qualitat i la informació sobre els mètodes de treball amb aquesta base. Els continguts del sistema CRM són interessants no només per a la direcció de l'empresa, sinó també per:  

  • Atacants (menys sovint): tenen un objectiu relacionat específicament amb la vostra empresa i utilitzaran tots els recursos per obtenir dades: suborn d'empleats, pirateria, compra de les vostres dades als directius, entrevistes amb directius, etc.
  • Empleats (més sovint) que poden actuar com a persones privilegiades per als vostres competidors. Simplement estan preparats per emportar-se o vendre la seva base de clients amb el seu propi benefici.
  • Per als pirates informàtics aficionats (molt poques vegades): és possible que us pirategin al núvol on es troben les vostres dades o la xarxa es pirateja, o potser algú vol "treure" les vostres dades per diversió (per exemple, dades sobre majoristes farmacèutics o d'alcohol). només interessant de veure).

Si algú entra al teu CRM, tindrà accés a les teves activitats operatives, és a dir, al volum de dades amb què treus la major part dels teus beneficis. I a partir del moment en què s'obté un accés maliciós al sistema CRM, els beneficis comencen a somriure a aquell a les mans del qual acaba la base de clients. Bé, o els seus socis i clients (llegiu - nous empresaris).

Bé, fiable Sistema CRM és capaç de cobrir aquests riscos i oferir un munt de bonificacions agradables en l'àmbit de la seguretat.

Aleshores, què pot fer un sistema CRM en termes de seguretat?

(t'ho expliquem amb un exemple RegionSoft CRM, perquè No podem ser responsables dels altres)

  • Autenticació de dos factors mitjançant una clau USB i una contrasenya. RegionSoft CRM admet el mode d'autorització d'usuari de dos factors quan inicieu sessió al sistema. En aquest cas, en iniciar sessió al sistema, a més d'introduir la contrasenya, cal introduir una clau USB que s'hagi inicialitzat prèviament al port USB de l'ordinador. El mode d'autorització de dos factors ajuda a protegir contra el robatori o la divulgació de contrasenyes.

Sistemes CRM des d'una perspectiva de ciberseguretat: protecció o amenaça? Es pot fer clic

  • Executeu des d'adreces IP i adreces MAC de confiança. Per millorar la seguretat, podeu restringir que els usuaris iniciïn sessió només des d'adreces IP i adreces MAC registrades. Tant les adreces IP internes de la xarxa local com les adreces externes es poden utilitzar com a adreces IP si l'usuari es connecta de manera remota (a través d'Internet).
  • Autorització de domini (autorització Windows). L'inici del sistema es pot configurar de manera que no es requereixi la contrasenya de l'usuari en iniciar la sessió. En aquest cas, es produeix l'autorització. Windows, que identifica l'usuari mitjançant WinAPI. El sistema s'executarà amb l'usuari amb el perfil del qual s'executa l'ordinador a l'inici.
  • Un altre mecanisme és clients privats. Els clients privats són clients que només poden ser vists pel seu supervisor. Aquests clients no apareixeran a les llistes d'altres usuaris, encara que altres usuaris tinguin permisos complets, inclosos els drets d'administrador. D'aquesta manera, podeu protegir, per exemple, un grup de clients especialment importants o un grup per un altre motiu, que es confiarà a un gestor de confiança.
  • Mecanisme de repartiment de drets d'accés — una mesura de seguretat estàndard i primària en CRM. Per simplificar el procés d'administració dels drets d'usuari, in RegionSoft CRM els drets s'assignen no a usuaris específics, sinó a plantilles. I al mateix usuari se li assigna una o una altra plantilla, que té un determinat conjunt de drets. Això permet que cada empleat, des de nous contractats fins a interns i directors, assigni permisos i drets d'accés que els permetran/impediran accedir a dades sensibles i informació empresarial sensible.
  • Sistema automàtic de còpia de seguretat de dades (còpies de seguretat)configurable mitjançant un servidor d'scripts Servidor d'aplicacions RegionSoft.

Aquesta és la implementació de la seguretat utilitzant un únic sistema com a exemple, cada venedor té les seves pròpies polítiques. Tanmateix, el sistema CRM protegeix realment la vostra informació: podeu veure qui va prendre aquest o aquell informe i a quina hora, qui va veure quines dades, qui l'ha baixat i molt més. Encara que t'assabentis de la vulnerabilitat després dels fets, no deixaràs l'acte impune i podràs identificar fàcilment l'empleat que va abusar de la confiança i la lleialtat de l'empresa.

Estàs relaxat? d'hora! Aquesta mateixa protecció pot funcionar en contra vostre si no teniu cura i ignoreu els problemes de protecció de dades.

El sistema CRM com a amenaça

Si la vostra empresa té almenys un ordinador, això ja és una font d'amenaça cibernètica. En conseqüència, el nivell d'amenaça augmenta amb el nombre d'estacions de treball (i empleats) i amb la varietat de programari instal·lat i utilitzat. I les coses no són fàcils amb els sistemes CRM: després de tot, aquest és un programa dissenyat per emmagatzemar i processar l'actiu més important i car: una base de clients i informació comercial, i aquí estem explicant històries de terror sobre la seva seguretat. De fet, no tot és tan ombrívol de prop, i si es maneja correctament, no rebrà més que benefici i seguretat del sistema CRM.

Quins són els signes d'un sistema CRM perillós?

Comencem amb una petita excursió als conceptes bàsics. Els CRM vénen en versions de núvol i d'escriptori. Els de núvol són aquells el SGBD (base de dades) dels quals no es troba a la vostra empresa, sinó en un núvol privat o públic d'algun centre de dades (per exemple, esteu assegut a Chelyabinsk i la vostra base de dades s'executa en un centre de dades fantàstic a Moscou). , perquè el proveïdor de CRM ho va decidir i té un acord amb aquest proveïdor en concret). L'escriptori (també conegut com a servidor local, que ja no és tan cert) basa el seu SGBD en els vostres propis servidors (no, no, no us imagineu una sala de servidors enorme amb bastidors cars, la majoria de les vegades en petites i mitjanes empreses és un sol servidor o fins i tot un PC normal de configuració moderna), és a dir, físicament a la vostra oficina.

És possible obtenir accés no autoritzat a tots dos tipus de CRM, però la velocitat i la facilitat d'accés són diferents, sobretot si parlem de pimes que no es preocupen molt per la seguretat de la informació.

Senyal de perill #1


El motiu de la major probabilitat de problemes amb les dades en un sistema de núvol és la relació connectada per diversos enllaços: vostè (inquilí CRM) - venedor - proveïdor (hi ha una versió més llarga: vostè - venedor - subcontratista de TI del venedor - proveïdor) . 3-4 enllaços d'una relació tenen més riscos que 1-2: es pot produir un problema per part del venedor (canvi de contracte, falta de pagament dels serveis del proveïdor), per part del proveïdor (força major, pirateria, problemes tècnics), per part de l'externalitzador (canvi de gerent o enginyer), etc. Per descomptat, els grans venedors intenten tenir centres de dades de seguretat, gestionar riscos i mantenir el seu departament DevOps, però això no exclou problemes.

El CRM d'escriptori generalment no es lloga, sinó que l'empresa compra en conseqüència, la relació sembla més senzilla i transparent: durant la implementació del CRM, el venedor configura els nivells de seguretat necessaris (des de la diferenciació de drets d'accés i una clau USB física fins a incloure el CRM); servidor en un mur de formigó, etc.) i transfereix el control a l'empresa propietària del CRM, que pot augmentar la protecció, contractar un administrador del sistema o contactar amb el seu proveïdor de programari segons sigui necessari. Els problemes es redueixen a treballar amb els empleats, protegir la xarxa i protegir físicament la informació. Si utilitzeu CRM d'escriptori, fins i tot un tancament complet d'Internet no deixarà de funcionar, ja que la base de dades es troba a l'oficina "de casa".

Un dels nostres empleats, que treballava en una empresa que desenvolupava sistemes d'oficina integrats basats en núvol, inclòs CRM, parla sobre les tecnologies del núvol. “En un dels meus treballs, l'empresa estava creant una cosa molt semblant a un CRM bàsic, i tot estava connectat a documents en línia, etc. Un dia a GA vam veure una activitat anormal d'un dels nostres clients subscriptors. Imagineu-vos la sorpresa de nosaltres, els analistes, quan, no érem desenvolupadors, sinó que teníem un alt nivell d'accés, només vam poder obrir la interfície que utilitzava el client mitjançant un enllaç i veure quin tipus de signe popular tenia. Per cert, sembla que el client no voldria que ningú veiés aquestes dades comercials. Sí, va ser un error i no es va solucionar durant uns quants anys; al meu entendre, les coses encara hi són. Des d'aleshores, sóc un entusiasta de l'escriptori i no confio molt en els núvols, tot i que, és clar, els fem servir a la feina i a la nostra vida personal, on també ens divertim fakaps".

Sistemes CRM des d'una perspectiva de ciberseguretat: protecció o amenaça?
De la nostra enquesta sobre Habré, i aquests són empleats d'empreses avançades

La pèrdua de dades d'un sistema CRM al núvol pot ser deguda a la pèrdua de dades a causa d'una fallada del servidor, la indisponibilitat dels servidors, causes de força major, la finalització de les activitats del proveïdor, etc. El núvol significa un accés constant i ininterromput a Internet, i la protecció ha de ser sense precedents: a nivell de codi, drets d'accés, mesures addicionals de ciberseguretat (per exemple, autenticació de dos factors).

Senyal de perill #2


Ni tan sols parlem d'una característica, sinó d'un conjunt de característiques relacionades amb el venedor i les seves polítiques. Enumerem alguns exemples importants que hem trobat nosaltres i els nostres empleats.

  • El venedor pot triar un centre de dades poc fiable on el SGBD dels clients "girarà". Estalviarà diners, no controlarà el SLA, no calcularà la càrrega i el resultat us serà fatal.
  • El venedor pot negar el dret a transferir el servei al centre de dades que escolliu. Aquesta és una limitació força comuna per a SaaS.
  • El venedor pot tenir un conflicte legal o econòmic amb el proveïdor del núvol i, després, durant l'"enfrontament", les accions de còpia de seguretat o, per exemple, la velocitat poden estar limitades.
  • El servei de creació de còpies de seguretat es pot oferir per un preu addicional. Una pràctica habitual que un client d'un sistema CRM només pot conèixer en el moment en què es necessita una còpia de seguretat, és a dir, en el moment més crític i vulnerable.
  • Els empleats dels proveïdors poden tenir accés sense obstacles a les dades dels clients.
  • Es poden produir filtracions de dades de qualsevol naturalesa (error humà, frau, pirates informàtics, etc.).

Normalment, aquests problemes s'associen amb venedors petits o joves, però, els grans han tingut problemes repetidament (google it). Per tant, sempre hauríeu de tenir maneres de protegir la informació al vostre costat + discutir els problemes de seguretat amb el proveïdor del sistema CRM seleccionat per endavant. Fins i tot el fet mateix del vostre interès pel problema ja obligarà el proveïdor a tractar la implementació de la manera més responsable possible (és especialment important fer-ho si no tracteu amb l'oficina del venedor, sinó amb el seu soci, per a qui és). important concloure un acord i rebre una comissió, i no aquests dos factors... bé ho has entès).

Senyal de perill #3


Organització del treball de seguretat a la vostra empresa. Fa un any, tradicionalment vam escriure sobre seguretat a Habré i vam fer una enquesta. La mostra no era molt gran, però les respostes són orientatives:

Sistemes CRM des d'una perspectiva de ciberseguretat: protecció o amenaça?

Al final de l'article, oferirem enllaços a les nostres publicacions, on vam examinar detalladament la relació en el sistema “empresa-empleat-seguretat”, i aquí us proporcionarem una llista de preguntes les respostes a les quals s'haurien de trobar dins la vostra empresa (encara que no necessiteu CRM).

  • On emmagatzemen les contrasenyes els empleats?
  • Com s'organitza l'accés a l'emmagatzematge als servidors de l'empresa?
  • Com es protegeix el programari que conté informació comercial i operativa?
  • Tots els empleats tenen programari antivirus actiu?
  • Quants empleats tenen accés a les dades dels clients i quin nivell d'accés té?
  • Quantes noves contractacions teniu i quants empleats estan en procés de marxar?
  • Quant de temps us heu comunicat amb els empleats clau i heu escoltat les seves peticions i queixes?
  • Es controlen les impressores?
  • Com s'organitza la política per connectar els vostres propis gadgets al vostre ordinador, així com per utilitzar la Wi-Fi de la feina?

De fet, aquestes són preguntes bàsiques: probablement s'afegirà hardcore als comentaris, però això és el bàsic, els conceptes bàsics dels quals fins i tot un empresari individual amb dos empleats hauria de conèixer.

Llavors, com protegir-se?

  • Les còpies de seguretat són el més important que sovint s'obliden o no es cuiden. Si teniu un sistema d'escriptori, configureu un sistema de còpia de seguretat de dades amb una freqüència determinada (per exemple, per a RegionSoft CRM això es pot fer mitjançant Servidor d'aplicacions RegionSoft) i organitzar l'emmagatzematge adequat de les còpies. Si teniu un CRM al núvol, assegureu-vos d'esbrinar abans de signar un contracte com s'organitza el treball amb còpies de seguretat: necessiteu informació sobre la profunditat i la freqüència, la ubicació d'emmagatzematge, el cost de la còpia de seguretat (sovint només còpies de seguretat de les "últimes dades del període". ” són gratuïtes i es proporciona una còpia de seguretat completa i segura com a servei de pagament). En general, definitivament aquest no és el lloc per a l'estalvi o la negligència. I sí, no us oblideu de comprovar què es restaura de les còpies de seguretat.
  • Separació de drets d'accés a nivell de funció i dades.
  • Seguretat a nivell de xarxa: cal permetre l'ús de CRM només a la subxarxa de l'oficina, limitar l'accés per a dispositius mòbils, prohibir treballar amb el sistema CRM des de casa o, pitjor encara, des de xarxes públiques (espais de coworking, cafeteries, oficines de clients). , etc.). Aneu especialment amb compte amb la versió mòbil: que només sigui una versió molt truncada per a la feina.
  • Cal un antivirus amb escaneig en temps real en qualsevol cas, però sobretot en el cas de la seguretat de les dades corporatives. A nivell de política, prohibeu desactivar-lo vosaltres mateixos.
  • La formació dels empleats en ciberhigiene no és una pèrdua de temps, sinó una necessitat urgent. Cal transmetre a tots els companys que és important no només advertir, sinó també reaccionar correctament davant l'amenaça rebuda. Prohibir l'ús d'Internet o del teu correu electrònic a l'oficina és cosa del passat i causa de negativitat aguda, per la qual cosa hauràs de treballar en la prevenció.

Per descomptat, amb un sistema de núvol, podeu aconseguir un nivell de seguretat suficient: utilitzar servidors dedicats, configurar encaminadors i separar el trànsit a nivell d'aplicació i de base de dades, utilitzar subxarxes privades, introduir regles de seguretat estrictes per als administradors, garantir un funcionament ininterromput mitjançant còpies de seguretat. amb la màxima freqüència i exhaustivitat necessària, per controlar la xarxa durant tot el dia... Si ho penseu, no és tan difícil, sinó més aviat car. Però, com mostra la pràctica, només algunes empreses, la majoria grans, prenen aquestes mesures. Per tant, no dubtem a tornar a dir: tant el núvol com l'escriptori no haurien de protegir les vostres dades.

Alguns consells petits però importants per a tots els casos d'implementació d'un sistema CRM

  • Comproveu si hi ha vulnerabilitats al venedor: busqueu informació utilitzant combinacions de paraules "vulnerabilitat del nom del proveïdor", "nom del proveïdor piratejat", "fuga de dades del nom del proveïdor". Aquest no hauria de ser l'únic paràmetre en la recerca d'un nou sistema CRM, sinó que simplement cal marcar el subcòrtex, i és especialment important entendre els motius dels incidents que s'han produït.
  • Pregunteu al proveïdor sobre el centre de dades: disponibilitat, quants n'hi ha, com s'organitza la migració per error.
  • Configureu fitxes de seguretat al vostre CRM, controleu l'activitat dins del sistema i pics inusuals.
  • Desactiveu l'exportació d'informes i l'accés mitjançant l'API per als empleats no centrals, és a dir, aquells que no necessiten aquestes funcions per a les seves activitats habituals.
  • Assegureu-vos que el vostre sistema CRM estigui configurat per registrar processos i accions de l'usuari.

Són petites coses, però complementen perfectament la imatge general. I, de fet, cap petita cosa és segura.

Amb la implementació d'un sistema CRM, assegureu la seguretat de les vostres dades, però només si la implementació es porta a terme de manera competent i els problemes de seguretat de la informació no queden relegats a un segon pla. D'acord, és estúpid comprar un cotxe i no comprovar els frens, ABS, airbags, cinturons de seguretat, EDS. Al cap i a la fi, el més important no és només anar-hi, sinó anar amb seguretat i arribar-hi sans i estalvis. Amb els negocis passa el mateix.

I recordeu: si les normes de seguretat laboral estan escrites amb sang, les normes de ciberseguretat empresarial s'escriuen amb diners.

Sobre el tema de la ciberseguretat i el lloc del sistema CRM, podeu llegir els nostres articles detallats:

Si esteu buscant un sistema CRM, endavant RegionSoft CRM fins al 31 de març 15% de descompte. Si necessiteu un CRM o un ERP, estudieu detingudament els nostres productes i compareu les seves capacitats amb els vostres objectius i objectius. Si teniu cap pregunta o dificultat, escriviu o truqueu, us organitzarem una presentació individual en línia, sense valoracions ni campanes ni xiulets.

Sistemes CRM des d'una perspectiva de ciberseguretat: protecció o amenaça? El nostre canal a Telegram, en què, sense publicitat, escrivim coses no del tot formals sobre CRM i negocis.

Font: www.habr.com

Compreu allotjament fiable per a llocs amb protecció DDoS, servidors VPS VDS 🔥 Compra allotjament web fiable amb protecció DDoS, servidors VPS VDS | ProHoster