L'any 2008 vaig poder visitar una empresa informàtica. Hi havia algun tipus de tensió no saludable en tots els empleats. El motiu va resultar ser senzill: els telèfons mòbils es troben en una caixa a l'entrada de l'oficina, hi ha una càmera a la part posterior, 2 grans càmeres addicionals de "mirar" a l'oficina i un programari de control amb un keylogger. I sí, aquesta no és l'empresa que va desenvolupar SORM o sistemes de suport vital per a aeronaus, sinó simplement un desenvolupador de programari d'aplicacions empresarials, ara absorbit, aixafat i ja desaparegut (cosa que sembla lògic). Si ara us esteu estirant i penseu que a la vostra oficina amb hamaques i M&M en gerros, definitivament no és així, podríeu estar molt equivocat: és que durant 11 anys el control ha après a ser invisible i correcte, sense enfrontaments. llocs visitats i pel·lícules baixades.
Per tant, és realment impossible sense tot això, però què passa amb la confiança, la lleialtat, la fe en les persones? Ho creieu o no, hi ha tantes empreses sense mesures de seguretat. Però els empleats aconsegueixen embolicar tant aquí com allà, simplement perquè el factor humà pot destruir mons, no només la vostra empresa. Llavors, on poden fer mal els teus empleats?
No és un post molt seriós, que té exactament dues funcions: alegrar una mica el dia a dia i recordar coses bàsiques de seguretat que sovint s'obliden. Ah, i un cop més us ho recordo — Aquest programari no és l'avantguarda de la seguretat? 🙂
Anem en mode aleatori!
Contrasenyes, contrasenyes, contrasenyes...
En parles i una onada d'indignació arriba: com pot ser, li van dir tantes vegades al món, però les coses encara hi són! En empreses de tots els nivells, des d'emprenedors individuals fins a corporacions multinacionals, aquest és un punt molt dolorós. De vegades em sembla que si demà construeixen una autèntica estrella de la mort, hi haurà alguna cosa com admin/admin al tauler d'administració. Aleshores, què podem esperar dels usuaris normals, per als quals la seva pròpia pàgina de VKontakte és molt més cara que un compte corporatiu? Aquests són els punts a comprovar:
- Escriure contrasenyes en trossos de paper, a la part posterior del teclat, al monitor, a la taula sota el teclat, en un adhesiu a la part inferior del ratolí (astúcia!): els empleats no haurien de fer-ho mai. I no perquè un pirata informàtic terrible entri i descarregui tot 1C a una unitat flaix durant el dinar, sinó perquè pot haver-hi una Sasha ofesa a l'oficina que abandonarà i farà alguna cosa bruta o s'emportarà la informació per darrera vegada. . Per què no ho feu al proper dinar?
Això és el que? Aquesta cosa emmagatzema totes les meves contrasenyes
- Configuració de contrasenyes senzilles per entrar al PC i als programes de treball. Les dates de naixement, qwerty123 i fins i tot asdf són combinacions que pertanyen a les bromes i al bashorg, i no al sistema de seguretat corporatiu. Establiu els requisits per a les contrasenyes i la seva longitud, i establiu la freqüència de substitució.
Una contrasenya és com la roba interior: canvieu-la sovint, no la compartiu amb els vostres amics, una de llarga és millor, sigueu misteriosa, no l'escampeu per tot arreu.
- Les contrasenyes d'inici de sessió del programa predeterminades del venedor són defectuoses, encara que només sigui perquè gairebé tots els empleats del venedor les coneixen, i si es tracta d'un sistema basat en web al núvol, no serà difícil per a ningú obtenir les dades. Sobretot si també teniu seguretat de xarxa al nivell de "no estireu el cable".
- Expliqueu als empleats que la pista de contrasenya del sistema operatiu no hauria de semblar a "el meu aniversari", "nom de la filla", "Gvoz-dika-78545-ap#1! en anglès." o "quarts i un i un zero".
El meu gat em dóna grans contrasenyes! Està caminant pel meu teclat
Accés físic als casos
Com organitza la vostra empresa l'accés a la documentació comptable i de personal (per exemple, als fitxers personals dels empleats)? Deixeu-me endevinar: si es tracta d'una petita empresa, aleshores al departament de comptabilitat o a l'oficina del cap en carpetes als prestatges o a un armari; si es tracta d'una empresa gran, aleshores al departament de recursos humans a les prestatgeries. Però si és molt gran, el més probable és que tot sigui correcte: una oficina o un bloc separat amb una clau magnètica, on només hi tenen accés determinats empleats i per arribar-hi, cal que truqueu a un d'ells i entreu en aquest node en la seva presència. No hi ha res de difícil fer aquesta protecció en qualsevol negoci, o almenys aprendre a no escriure la contrasenya de la caixa forta de l'oficina amb guix a la porta o a la paret (tot es basa en fets reals, no rigueu).
Per què és important? En primer lloc, els treballadors tenen un desig patològic d'esbrinar les coses més secretes els uns dels altres: estat civil, salari, diagnòstics mèdics, educació, etc. Aquest és un compromís en la competència d'oficines. I no us beneficiareu absolutament de les baralles que sorgiran quan el dissenyador Petya s'assabenti que guanya 20 mil menys que la dissenyadora Alice. En segon lloc, els empleats poden accedir a la informació financera de l'empresa (balanços, informes anuals, contractes). En tercer lloc, alguna cosa simplement es pot perdre, fer malbé o robar per tapar els rastres de la pròpia història laboral.
Un magatzem on algú és una pèrdua, algú és un tresor
Si teniu un magatzem, tingueu en compte que, tard o d'hora, teniu la garantia de trobar-vos amb delinqüents: així és com funciona la psicologia d'una persona, que veu un gran volum de productes i creu fermament que una mica de molt no és robatori, sinó compartint. I una unitat de béns d'aquest munt pot costar 200 mil, o 300 mil, o diversos milions. Malauradament, res pot aturar els robatoris, excepte el control i la comptabilitat pedant i total: càmeres, acceptació i cancel·lació mitjançant codis de barres, automatització de la comptabilitat del magatzem (per exemple, al nostre La comptabilitat del magatzem s'organitza de manera que el gerent i el supervisor puguin veure el moviment de mercaderies pel magatzem en temps real).
Per tant, arma el teu magatzem fins a les dents, garanteix la seguretat física de l'enemic extern i la seguretat total des de l'interior. Els empleats del transport, la logística i els magatzems han d'entendre clarament que hi ha control, funciona i gairebé es castigaran a si mateixos.
*Ei, no fiquis les mans a la infraestructura
Si la història sobre la sala de servidors i la dona de la neteja ja ha sobreviscut i ha migrat durant molt de temps a històries d'altres indústries (per exemple, la mateixa va ser sobre l'aturada mística del ventilador a la mateixa sala), la resta segueix sent realitat. . La seguretat informàtica i de xarxa de les petites i mitjanes empreses deixa molt a desitjar, i això sovint no depèn de si teniu el vostre propi administrador del sistema o un convidat. Aquest últim sovint ho fa encara millor.
Aleshores, de què són capaços els empleats d'aquí?
- El més agradable i inofensiu és anar a la sala de servidors, estirar els cables, mirar, vessar te, aplicar brutícia o intentar configurar alguna cosa tu mateix. Això afecta especialment als "usuaris segurs i avançats" que ensenyen heroicament als seus companys a desactivar l'antivirus i evitar la protecció en un ordinador i estan segurs que són déus innats de la sala de servidors. En general, l'accés limitat autoritzat és tot el vostre.
- Robatori d'equips i substitució de components. T'encanta la teva empresa i has instal·lat potents targetes de vídeo per a tothom perquè el sistema de facturació, CRM i tota la resta funcionin perfectament? Genial! Només els nois astuts (i de vegades les noies) els substituiran fàcilment per un model domèstic, i a casa executaran jocs amb un nou model d'oficina, però mig món no ho sabrà. És la mateixa història amb teclats, ratolins, refrigeradors, SAI i tot el que d'alguna manera es pot substituir dins de la configuració del maquinari. Com a resultat, assumeixes el risc de danys a la propietat, la seva pèrdua total i, al mateix temps, no aconsegueixes la velocitat i qualitat de treball desitjades amb els sistemes d'informació i les aplicacions. El que estalvia és un sistema de monitorització (sistema ITSM) amb control de configuració configurat), que s'ha de subministrar complet amb un administrador del sistema incorruptible i principiant.
Potser voleu buscar un millor sistema de seguretat? No estic segur si aquest senyal és suficient
- L'ús dels vostres propis mòdems, punts d'accés o algun tipus de Wi-Fi compartida fa que l'accés als fitxers sigui menys segur i pràcticament incontrolable, cosa que els atacants poden aprofitar (incloent-hi en connivència amb els empleats). Bé, a més, la probabilitat que un empleat "amb la seva pròpia Internet" passi hores de treball a YouTube, llocs d'humor i xarxes socials és molt més gran.
- Les contrasenyes i els inicis de sessió unificats per accedir a l'àrea d'administració del lloc, el CMS i el programari d'aplicacions són coses terribles que converteixen un empleat inepte o maliciós en un venjador esquivant. Si entreu 5 persones de la mateixa subxarxa amb el mateix inici de sessió/contrasenya per posar un bàner, comprovar enllaços i mètriques publicitàries, corregir el disseny i penjar una actualització, mai no endevinareu quina d'elles va convertir accidentalment el CSS en un CSS. carbassa. Per tant: diferents inicis de sessió, diferents contrasenyes, registre d'accions i diferenciació de drets d'accés.
- No cal dir sobre el programari sense llicència que els empleats arrosseguen als seus ordinadors per editar un parell de fotos durant l'horari laboral o crear alguna cosa molt relacionada amb l'afició. No heu sentit parlar de la inspecció del departament "K" de la Direcció Central d'Afers Interns? Llavors ella ve a tu!
- L'antivirus hauria de funcionar. Sí, alguns d'ells poden alentir el vostre PC, irritar-vos i, en general, semblar un signe de covardia, però és millor prevenir-ho que pagar després amb temps d'inactivitat o, pitjor, dades robades.
- No s'han d'ignorar els avisos del sistema operatiu sobre els perills d'instal·lar una aplicació. Avui, descarregar alguna cosa per treballar és qüestió de segons i minuts. Per exemple, Direct.Commander o editor d'AdWords, algun analitzador de SEO, etc. Si tot està més o menys clar amb els productes Yandex i Google, un altre picreizer, un netejador de virus gratuït, un editor de vídeo amb tres efectes, captures de pantalla, gravadores de Skype i altres "petits programes" poden danyar tant un ordinador individual com tota la xarxa de l'empresa. . Entrena als usuaris perquè llegeixin el que l'ordinador vol d'ells abans de trucar a l'administrador del sistema i dir que "tot està mort". En algunes empreses, el problema es resol simplement: moltes utilitats útils descarregades s'emmagatzemen a la xarxa compartida i també s'hi publica una llista de solucions en línia adequades.
- La política BYOD o, per contra, la política de permetre l'ús d'equips de treball fora de l'oficina és un costat molt dolent de la seguretat. En aquest cas, familiars, amics, fills, xarxes públiques no protegides, etc. tenen accés a la tecnologia. Aquesta és una ruleta purament russa: podeu passar 5 anys i sobreviure, però podeu perdre o danyar tots els vostres documents i fitxers valuosos. Bé, a més, si un empleat té una intenció maliciosa, és tan fàcil com enviar dos bytes per filtrar dades amb un equip "caminant". També heu de recordar que els empleats sovint transfereixen fitxers entre els seus ordinadors personals, cosa que de nou pot crear llacunes de seguretat.
- Bloquejar els vostres dispositius mentre sou fora és un bon hàbit tant per a ús corporatiu com personal. Un cop més, us protegeix de companys curiosos, coneguts i intrusos en llocs públics. És difícil acostumar-s'hi, però en un dels meus llocs de treball vaig tenir una experiència meravellosa: els companys es van apropar a un ordinador desbloquejat i Paint es va obrir a tota la finestra amb la inscripció "Bloqueja l'ordinador!" i alguna cosa va canviar en el treball, per exemple, es va enderrocar l'últim conjunt bombat o es va eliminar l'últim error introduït (aquest era un grup de proves). És cruel, però 1-2 vegades n'hi ha prou fins i tot per als més de fusta. Tot i que, sospito, és possible que la gent no informàtica no entengui aquest humor.
- Però el pitjor pecat, per descomptat, és l'administrador i la gestió del sistema, si no utilitzen categòricament sistemes de control de trànsit, equips, llicències, etc.
Això és, per descomptat, una base, perquè la infraestructura informàtica és el mateix lloc on com més endins al bosc, més llenya hi ha. I tothom hauria de tenir aquesta base, i no ser substituït per les paraules "tots confiem els uns en els altres", "som una família", "qui ho necessita", per desgràcia, això és de moment.
Això és Internet, nena, poden saber molt de tu.
És hora d'introduir el maneig segur d'Internet al curs de seguretat de la vida a l'escola, i no es tracta en absolut de les mesures en què estem immersos des de l'exterior. Es tracta específicament de la capacitat de distingir un enllaç d'un enllaç, d'entendre on hi ha pesca i on és una estafa, no obrir fitxers adjunts de correu electrònic amb l'assumpte "Informe de conciliació" d'una adreça desconeguda sense entendre-ho, etc. Encara que, sembla, els escolars ja ho han dominat tot això, però els empleats no. Hi ha molts trucs i errors que poden posar en perill tota l'empresa alhora.
- Les xarxes socials són una secció d'Internet que no té lloc a la feina, però bloquejar-les a nivell d'empresa el 2019 és una mesura impopular i desmotivadora. Per tant, només cal escriure a tots els empleats com comprovar la il·legalitat dels enllaços, informar-los sobre els tipus de frau i demanar-los que treballin a la feina.
- El correu és un punt dolorós i potser la manera més popular de robar informació, plantar programari maliciós i infectar un ordinador i tota la xarxa. Per desgràcia, molts empresaris consideren que el client de correu electrònic és una eina d'estalvi de costos i utilitzen serveis gratuïts que reben 200 correus electrònics de correu brossa al dia que passen per filtres, etc. I algunes persones irresponsables obren aquestes cartes i fitxers adjunts, enllaços, imatges; pel que sembla, esperen que el príncep negre els deixi una herència. Després d'això, l'administrador té molta, molta feina. O estava pensat així? Per cert, una altra història cruel: en una empresa, per cada carta de correu brossa a l'administrador del sistema, el KPI es va reduir. En general, després d'un mes no hi va haver correu brossa: la pràctica va ser adoptada per l'organització mare i encara no hi ha correu brossa. Hem resolt aquest problema amb elegància: hem desenvolupat el nostre propi client de correu electrònic i el vam incorporar al nostre , de manera que tots els nostres clients també reben una característica tan convenient.
La propera vegada que rebeu un correu electrònic estrany amb el símbol d'un clip de paper, no hi feu clic!
- Els missatgers també són una font de tota mena d'enllaços insegurs, però això és molt menys dolent que el correu electrònic (sense comptar el temps perdut en xerrades als xats).
Sembla que totes són petites coses. Tanmateix, cadascuna d'aquestes petites coses pot tenir conseqüències desastroses, sobretot si la vostra empresa és l'objectiu de l'atac d'un competidor. I això li pot passar literalment a qualsevol.
Empleats conversadors
Aquest és el factor molt humà del que us costarà desfer-vos. Els empleats poden parlar de la feina al passadís, a una cafeteria, al carrer, a casa d'un client, parlar en veu alta d'un altre client, parlar sobre èxits laborals i projectes a casa. Per descomptat, la probabilitat que un competidor estigui darrere teu és insignificant (si no estàs al mateix centre de negocis, això ha passat), però la possibilitat que un noi que expliqui clarament els seus assumptes comercials es filmi en un telèfon intel·ligent i es publiqui a YouTube és, curiosament, més alt. Però això també és una merda. No és una merda quan els vostres empleats presenten de bon grat informació sobre un producte o empresa en formacions, conferències, reunions, fòrums professionals o fins i tot a Habré. A més, sovint la gent truca deliberadament als seus oponents a aquestes converses per tal de dur a terme intel·ligència competitiva.
Una història reveladora. En una conferència informàtica a escala galàctica, el ponent de la secció va presentar en una diapositiva un diagrama complet de l'organització de la infraestructura informàtica d'una gran empresa (les 20 principals). L'esquema era mega impressionant, simplement còsmic, gairebé tothom el va fotografiar i va volar a l'instant per les xarxes socials amb crítiques entusiastes. Bé, llavors l'orador els va atrapar fent servir geoetiquetes, estands, xarxes socials. xarxes d'aquells que el van penjar i van suplicar que l'esborressin, perquè el van trucar amb força rapidesa i li van dir ah-ta-ta. Una xerrada és una benvinguda per a un espia.
La ignorància... t'allibera del càstig
Segons l'informe global de 2017 de Kaspersky Lab sobre les empreses que van experimentar incidents de ciberseguretat en un període de 12 mesos, un de cada deu (11%) dels tipus d'incidents més greus va implicar empleats descuidats i desinformats.
No suposeu que els empleats ho saben tot sobre les mesures de seguretat corporativa, assegureu-vos d'avisar-los, proporcionar formació, fer butlletins periòdics interessants sobre qüestions de seguretat, celebrar reunions per pizza i aclarir els problemes de nou. I sí, un truc de vida fantàstic: marqueu tota la informació impresa i electrònica amb colors, signes, inscripcions: secret comercial, secret, per a ús oficial, accés general. Això realment funciona.
El món modern ha posat les empreses en una posició molt delicada: cal mantenir un equilibri entre el desig de l'empleat no només de treballar dur a la feina, sinó també de rebre continguts d'entreteniment en segon pla/durant les pauses, i les estrictes normes de seguretat corporativa. Si activeu els programes d'hipercontrol i seguiment estúpid (sí, no és un error ortogràfic, això no és seguretat, això és paranoia) i càmeres a l'esquena, la confiança dels empleats en l'empresa baixarà, però mantenir la confiança també és una eina de seguretat corporativa.
Per tant, sàpigues quan aturar-te, respecta els teus empleats i fes còpies de seguretat. I el més important, prioritzeu la seguretat, no la paranoia personal.
Si necessites i compareu les seves capacitats amb les vostres metes i objectius. Si teniu cap pregunta o dificultat, escriviu o truqueu, us organitzarem una presentació individual en línia, sense valoracions ni campanes ni xiulets.
, en què, sense publicitat, escrivim coses no del tot formals sobre CRM i negocis.
Font: www.habr.com