In u 2008, aghju pussutu visità una cumpagnia IT. Ogni impiigatu sentia una certa tensione malsana. U mutivu hè diventatu simplice: i telefuni mobili sò in una scatula à l'entrata di l'uffiziu, ci hè una camera daretu à u spinu, 2 grandi camere "looking" supplementari à l'uffiziu è u software di monitoraghju cù un keylogger. È iè, ùn hè micca a cumpagnia chì hà sviluppatu SORM o sistemi di supportu di a vita di l'aeronautica, ma solu un sviluppatore di software d'applicazione cummerciale, avà assorbutu, sfracicatu è ùn esiste più (chì pare logicu). Sè vo site avà stendu è pensendu chì in u vostru uffiziu cù hammocks è M&M in vasi, questu ùn hè certamente micca u casu, pudete esse sbagliatu assai - hè solu chì più di 11 anni u cuntrollu hà amparatu à esse invisibule è currettu, senza showdowns. siti visitati è filmi scaricati.
Allora hè veramente impussibile senza tuttu questu, ma chì ne di a fiducia, a lealtà, a fede in e persone? Cridite o micca, ci sò parechje cumpagnie senza misure di sicurezza. Ma l'impiegati riescenu à scherzà quì è quì - solu perchè u fattore umanu pò distrughje i mondi, micca solu a vostra cumpagnia. Allora, induve i vostri impiegati ponu fà male?
Questu ùn hè micca un postu assai seriu, chì hà esattamente duie funzioni: per rinfurzà un pocu a vita di ogni ghjornu è per ricurdà di e cose basi di sicurezza chì sò spessu scurdate. Oh, è una volta vi ricurdate - Un tali software ùn hè micca u latu di a sicurità? 🙂
Andemu in modu aleatoriu!
Password, password, password...
Parli d'elli è una onda d'indignazione s'avvicina : cumu si pò esse, anu dettu à u mondu tante volte, ma e cose sò sempre quì ! In l'imprese di tutti i livelli, da l'imprenditori individuali à l'imprese multinaziunali, questu hè un locu assai dolente. Calchì volta mi pari chì si dumane custruiscenu una vera stella di a morte, ci sarà qualcosa cum'è admin / admin in u panel admin. Allora chì pudemu aspittà di l'utilizatori ordinali, per quale a so propria pagina VKontakte hè assai più caru ch'è un contu corporativu? Eccu i punti per verificà:
- Scrivite password nantu à pezzi di carta, nantu à u spinu di u teclatu, nantu à u monitor, nantu à a tavula sottu à u teclatu, nantu à un sticker nantu à u fondu di u mouse (astuzia!) - l'impiegati ùn devenu mai fà questu. È micca perchè un pirate pirate terribili entrerà è scaricarà tuttu 1C nantu à una unità flash durante u pranzu, ma perchè pò esse un Sasha offesu in l'uffiziu chì hà da abbandunà è fà qualcosa brutta o caccià l'infurmazioni per l'ultima volta. . Perchè ùn fate micca questu à u vostru prossimu pranzu?
Questu hè chì? Questa cosa guarda tutte e mo password
- Stabbilimentu di password simplici per entre in u PC è i prugrammi di travagliu. Dati di nascita, qwerty123 è ancu asdf sò cumminazzioni chì appartenenu in i scherzi è in bashorg, è micca in u sistema di sicurità corporativu. Definite i requisiti per e password è a so durata, è stabilisce a freccia di rimpiazzamentu.
Una password hè cum'è a biancheria intima: cambiala spessu, ùn sparte micca cù i vostri amichi, una longa hè megliu, sia misteriosa, ùn sparte micca in ogni locu
- I password di login di u prugramma predeterminatu di u venditore sò sbagliati, solu perchè quasi tutti l'impiegati di u venditore li cunnosci, è se tratta di un sistema basatu in u web in u nuvulu, ùn serà micca difficiule per nimu di ottene e dati. In particulare s'ellu avete ancu a sicurità di a rete à u livellu "ùn tirà micca u cordone".
- Spiegà à l'impiegati chì l'indicazione di password in u sistema operatore ùn deve micca cum'è "u mo anniversariu", "nome di a figliola", "Gvoz-dika-78545-ap#1! in inglese". o "quarti è unu è zero".
U mo gattu mi dà grandi password! Ellu cammina nantu à a mo tastiera
Accessu fisicu à i casi
Cumu a vostra cumpagnia urganizeghja l'accessu à a documentazione di cuntabilità è persunale (per esempiu, à i schedarii persunali di l'impiegati)? Lasciami indovinà: s'ellu hè una piccula impresa, allora in u dipartimentu di cuntabilità o in l'uffiziu di u patronu in cartulare nantu à i scaffali o in un armariu s'ellu hè un grande affari, allora in u dipartimentu di HR in scaffali. Ma s'ellu hè assai grande, allura più prubabilmente tuttu hè currettu: un uffiziu separatu o un bloccu cù una chjave magnetica, induve solu certi impiegati anu accessu è per ghjunghje, avete bisognu di chjamà unu di elli è andate in questu node in a so prisenza. Ùn ci hè nunda di difficultà per fà una tale prutezzione in ogni affari, o almenu amparà micca à scrive a password per l'uffiziu sicuru in gessa nantu à a porta o in u muru (tuttu hè basatu annantu à l'avvenimenti veri, ùn ridete micca).
Perchè hè impurtante? Prima, i travagliadori anu un desideriu patologicu di scopre e cose più sicrete l'una di l'altru: u statu maritali, u salariu, i diagnostichi medichi, l'educazione, etc. Questu hè un tali cumprumissu in a cumpetizione di l'uffiziu. È ùn avete assolutamente micca benefiziu di i squabbles chì nasceranu quandu u designer Petya scopre chì guadagna 20 mila menu di u designer Alice. In siconda, l'impiegati ponu accede à l'infurmazioni finanziarii di a cumpagnia (bilanci, rapporti annuali, cuntratti). In terzu, qualcosa pò esse solu persu, dannatu o arrubatu per copre e tracce in a so propria storia di travagliu.
Un magazzinu induve qualchissia hè una perdita, qualchissia hè un tesoru
Sè vo avete un magazzinu, cunzidira chì prima o dopu vi sò garantitu à scuntrà i criminali - questu hè simplicemente cumu travaglia a psiculugia di una persona, chì vede un grande volume di prudutti è ferma fermamente crede chì un pocu di assai ùn hè micca robba, ma. spartera. È una unità di merchenzie da stu munzeddu pò custà 200 mila, o 300 mila, o parechji milioni. Sfortunatamente, nunda ùn pò piantà u furtu, salvu u cuntrollu pedante è tutale è a contabilità: camere, accettazione è cancellazione cù codici à barre, automatizazione di a contabilità di magazzinu (per esempiu, in u nostru situ). a contabilità di u magazzinu hè urganizata in modu chì u manager è u supervisore ponu vede u muvimentu di merchenzie attraversu u magazzinu in tempu reale).
Per quessa, armate u vostru magazzinu à i denti, assicurà a sicurità fisica da u nemicu esternu è a sicurità cumpleta da l'internu. L'impiegati in u trasportu, a logistica è i magazzini anu da capisce chjaramente chì ci hè un cuntrollu, funziona, è guasi si punisceranu.
* ehi, ùn mette micca e mani in l'infrastruttura
Se a storia nantu à a stanza di u servitore è a donna di pulizia hà digià sopravvissutu è hà longu migratu à i racconti di altre industrii (per esempiu, u stessu hè andatu annantu à l'arrestu misticu di u ventilatore in a listessa sala), u restu resta a realità. . A sicurezza di a rete è di l'informatica di i picculi è mediani imprese lascia assai per esse desideratu, è questu spessu ùn dipende micca s'ellu avete u vostru propiu amministratore di sistema o un invitatu. L'ultime spessu copre ancu megliu.
Allora chì sò capaci di l'impiegati quì?
- A cosa più bella è più innocu hè di andà in a sala di u servitore, tug on the wires, look, spill tea, applicà a terra, o pruvate à cunfigurà qualcosa sè stessu. Questu affetta in particulare "utilizatori cunfidenti è avanzati" chì insegnanu eroicamente à i so culleghi à disattivà l'antivirus è a prutezzione di bypass in un PC è sò sicuri chì sò dii innati di a stanza di u servitore. In generale, l'accessu limitatu autorizatu hè u vostru tuttu.
- Furtu di l'equipaggiu è sustituzzioni di cumpunenti. Amate a vostra cumpagnia è avete installatu carte video putenti per tutti per chì u sistema di fatturazione, CRM è tuttu u restu pò travaglià perfettamente? Perfettu! Solu i picciotti astuti (è qualchì volta e ragazze) li rimpiazzaranu facilmente cù un mudellu di casa, è in casa correranu ghjochi nantu à un novu mudellu di l'uffiziu - ma a mità di u mondu ùn sanu micca. Hè a stessa storia cù tastiere, mouse, coolers, UPS è tuttu ciò chì pò esse rimpiazzatu in qualchì modu in a cunfigurazione hardware. In u risultatu, vi porta u risicu di danni à a pruprietà, a so perdita cumpleta, è à u listessu tempu ùn avete micca a vitezza desiderata è a qualità di u travagliu cù i sistemi d'infurmazione è l'applicazioni. Ciò chì salva hè un sistema di monitoraghju (sistema ITSM) cun cuntrollu di cunfigurazione cunfigurata), chì deve esse furnitu cumpletu cù un amministratore di sistema incorruptible è principiatu.
Forsi vulete cercà un sistema di sicurità megliu? Ùn sò micca sicuru chì stu signu hè abbastanza
- Utilizà i vostri modem, punti d'accessu, o qualchì tipu di Wi-Fi spartutu rende l'accessu à i fugliali menu sicuru è praticamenti incontrollable, chì pò esse sfruttatu da l'attaccanti (cumpresu in collusione cù l'impiegati). Eppo, in più, a probabilità chì un impiigatu "cù u so propiu Internet" passerà ore di travagliu in YouTube, siti umoristici è rete suciale hè assai più altu.
- E password unificate è logins per accede à l'area di amministrazione di u situ, CMS, u software di l'applicazione sò cose terribili chì trasformanu un impiigatu ineptu o maliziusu in un vendicatore elusivo. Sì avete 5 persone da a listessa subnet cù u stessu login / password entra per mette un banner, verificate ligami publicitarii è metriche, corregge u layout è caricate un aghjurnamentu, ùn avete mai indovinà quale di elli hà accidentalmente trasformatu u CSS in un zucca. Dunque: diversi logins, diverse password, logging di l'azzioni è differenziazione di diritti d'accessu.
- Inutile di dì di u software senza licenza chì l'impiegati trascinanu nantu à i so PC per edità un paru di foto durante l'ora di travagliu o creà qualcosa assai legatu à l'hobby. Ùn avete micca intesu parlà di l'ispezione di u dipartimentu "K" di a Direzzione Centrale di l'Affari Interni? Allora ella vene à tè !
- L'antivirus deve travaglià. Iè, alcuni di elli ponu rallentà u vostru PC, irritate è in generale parenu un signu di cowardice, ma hè megliu per impediscenu chè di pagà dopu cù tempi di inattività o, peggiu, dati arrubati.
- L'avvertimenti di u sistema operatore nantu à i periculi di installà una applicazione ùn deve esse ignoratu. Oghje, scaricà qualcosa per u travagliu hè una materia di sicondi è minuti. Per esempiu, Direct.Commander o editore AdWords, qualchì parser SEO, etc. Se tuttu hè più o menu chjaru cù i prudutti Yandex è Google, allora un altru picreizer, un pulitore di virus gratuitu, un editore video cù trè effetti, screenshots, registratori Skype è altri "picculi prugrammi" ponu dannà un PC individuale è tutta a reta di a cumpagnia. . Furmà l'utilizatori à leghje ciò chì l'urdinatore vole da elli prima di chjamà l'amministratore di u sistema è dicenu chì "tuttu hè mortu". In certi cumpagnii, u prublema hè risolta simplicemente: assai utilità utili scaricate sò guardati nantu à a reta di a reta, è una lista di suluzioni in linea adattate hè ancu publicata quì.
- A pulitica BYOD o, à u cuntrariu, a pulitica di permette l'usu di l'equipaggiu di travagliu fora di l'uffiziu hè un latu assai male di a sicurità. In questu casu, i parenti, l'amichi, i zitelli, e rete publiche senza prutezzione, etc. anu accessu à a tecnulugia. Questa hè una roulette puramente russa - pudete andà per 5 anni è ghjunghje, ma pudete perde o dannà tutti i vostri documenti è schedarii preziosi. Ebbè, in più, se un impiigatu hà una intenzione maliziosa, hè faciule cum'è mandà dui byte per fughje e dati cù l'equipaggiu "camminatu". Avete ancu bisognu di ricurdà chì l'impiegati spessu trasfirìanu i fugliali trà i so urdinatori persunali, chì dinò ponu creà loopholes di sicurità.
- Bloccà i vostri dispositi mentre site fora hè un bonu abitudine per l'usu corporativu è persunale. In novu, vi prutege da i culleghi curiosi, cunnisciuti è intrusi in i lochi publichi. Hè difficiuli di abituà à questu, ma in unu di i mo lochi di travagliu aghju avutu una sperienza maravigliosa: i culleghi si avvicinavanu à un PC sbloccatu, è Paint hè stata aperta in tutta a finestra cù l'inscription "Lock the computer!" è qualcosa hà cambiatu in u travagliu, per esempiu, l'ultima assemblea pumped up hè stata demolita o l'ultimu bug introduttu hè statu eliminatu (questu era un gruppu di teste). Hè crudele, ma 1-2 volte era abbastanza ancu per i più di lignu. Ancu s'è, suspettu, e persone chì ùn sò micca IT ùn capiscenu micca tali umore.
- Ma u peghju peccatu, sicuru, si trova cù l'amministratore di u sistema è a gestione - se categuricamente ùn anu micca aduprà sistemi di cuntrollu di trafficu, equipaggiu, licenze, etc.
Questu hè, sicuru, una basa, perchè l'infrastruttura IT hè u locu stessu induve più in u boscu, più legnu ci hè. E tutti duverebbe avè sta basa, è micca esse rimpiazzati da e parolle "tutti avemu fiducia", "semu una famiglia", "chì ne hà bisognu" - alas, questu hè per u mumentu.
Questu hè Internet, criatura, ponu sapè assai di voi.
Hè u tempu di intruduce a manipulazione sicura di l'Internet in u cursu di salvezza di vita à a scola - è ùn hè micca in tuttu nantu à e misure in quale simu immersi da l'esternu. Questu hè specificamente nantu à a capacità di distingue un ligame da un ligame, capisce induve hè u phishing è induve hè una scam, micca aperti allegati di email cù u sughjettu "Rapportu di cunciliazione" da un indirizzu scunnisciutu senza capiscenu, etc. Ancu s'ellu pare chì i scolari anu digià maestru di tuttu questu, ma l'impiegati ùn anu micca. Ci hè una mansa di trucchi è sbagli chì ponu mette in periculu tutta a cumpagnia in una volta.
- E rete suciali sò una sezione di Internet chì ùn hà micca postu à u travagliu, ma bluccà à u livellu di l'impresa in 2019 hè una misura impopulare è demotivante. Per quessa, basta à scrive à tutti l'impiegati cumu per verificà l'illegalità di i ligami, dite nantu à i tipi di fraude è dumandate à travaglià in u travagliu.
- U mail hè un locu dolente è forsi u modu più pupulare per arrubbari l'infurmazioni, pianta malware, è infettà un PC è tutta a reta. Alas, assai patroni cunzidenu u cliente di email per esse un strumentu di risparmiu di costu è utilizanu servizii gratuiti chì ricevenu 200 email spam per ghjornu chì passanu per filtri, etc. E certi persone irresponsibile apre tali lettere è annessi, ligami, ritratti - apparentemente, speranu chì u prìncipe neru lasciò un eredità per elli. Dopu chì l'amministratore hà assai, assai travagliu. O era intesu cusì ? Per via, una altra storia crudele: in una cumpagnia, per ogni lettera spam à l'amministratore di u sistema, KPI hè stata ridutta. In generale, dopu à un mesi ùn ci era micca puzzicheghju - a pratica hè stata aduttata da l'urganizazione parentale, è ùn ci hè ancu micca puzzicheghju. Avemu risoltu stu prublema elegantemente - avemu sviluppatu u nostru propiu cliente di e-mail è hà custruitu in u nostru , cusì tutti i nostri clienti ricevenu ancu una funzione cusì conveniente.
A prossima volta chì riceve un email stranu cù un simbulu di clip di carta, ùn cliccate micca!
- I messageri sò ancu una surgente di ogni tipu di ligami insicuri, ma questu hè assai menu male chè u mail (senza cuntà u tempu persu à chattering in chats).
Sembra chì queste sò tutte cose petite. In ogni casu, ognuna di queste cose petite pò avè cunsiquenzi disastrosi, soprattuttu se a vostra cumpagnia hè u mira di l'attaccu di un competitore. È questu pò accade literalmente à qualcunu.
Impiegati chatty
Questu hè u fattore assai umanu chì serà difficiule per voi di sguassà. L'impiegati ponu discutiri di u travagliu in u corridore, in un caffè, in a strada, in a casa di u cliente, parlà à voce alta nantu à un altru cliente, parlendu di rializazioni di travagliu è prughjetti in casa. Di sicuru, a prubabilità chì un cuncurrente si trova daretu à voi hè insignificante (se ùn site micca in u stessu centru cummerciale - questu hè accadutu), ma a pussibilità chì un omu chì dichjara chjaramente i so affari di cummerciale serà filmatu in un smartphone è publicatu nantu à u vostru smartphone. YouTube hè, stranamente, più altu. Ma questu hè ancu una merda. Ùn hè micca una merda quandu i vostri impiegati volenu prisentanu infurmazioni nantu à un pruduttu o una cumpagnia in furmazione, cunferenze, incontri, fori prufessiunali, o ancu in Habré. Inoltre, a ghjente spessu chjama deliberatamente i so avversari à tali conversazioni per fà una intelligenza competitiva.
Una storia rivelatrice. In una cunferenza IT à scala galattica, u parlante di a seccione hà presentatu nantu à una diapositiva un diagramma cumpletu di l'urganizazione di l'infrastruttura IT di una grande cumpagnia (top 20). U schema era mega impressiunanti, simplicemente cosmicu, quasi tutti l'anu fotografiatu, è istantaneamente volò attraversu e rete suciale cù recensioni entusiastiche. Ebbè, allora u parlante li hà pigliatu cù geotags, stands, social media. rete di quelli chì l'anu publicatu è supplicanu per esse sguassati, perchè u chjamanu abbastanza rapidamente è dicenu ah-ta-ta. Un chatterbox hè una manna divina per una spia.
Ignuranza... vi libera da punizioni
Sicondu u rapportu glubale 2017 di Kaspersky Lab di l'imprese chì anu sperimentatu incidenti di cibersicurezza in un periodu di 12 mesi, unu in dieci (11%) di i tipi di incidenti più gravi implicavanu impiegati trascurati è disinformati.
Ùn assumete micca chì l'impiegati sanu tuttu di e misure di sicurezza corporativa, assicuratevi di avvistàli, furnisce furmazione, fate interessanti newsletters periodici nantu à tematiche di sicurezza, tene riunioni nantu à pizza è clarificà i prublemi di novu. È iè, un pirate di vita cool - marca tutte l'infurmazioni stampate è elettroniche cù culori, segni, iscrizioni: sicretu cummerciale, sicretu, per usu ufficiale, accessu generale. Questu travaglia veramente.
U mondu mudernu hà messu l'imprese in una pusizioni assai delicata: hè necessariu di mantene un equilibriu trà u desideriu di l'impiigatu di ùn solu travaglià dura à u travagliu, ma ancu riceve u cuntenutu di divertimentu in u fondu / durante i pause, è e regule strette di sicurità corporativa. Se accende l'ipercontrollu è i prugrammi di seguimentu idiota (sì, micca un typo - questu ùn hè micca a sicurità, questu hè una paranoia) è e càmera daretu à a vostra spalle, allora a fiducia di l'impiegati in a cumpagnia scenderà, ma mantene a fiducia hè ancu un strumentu di sicurezza corporativa.
Dunque, sapete quandu piantà, rispettu i vostri impiegati, è fate backups. E più impurtante, priorità a sicurità, micca a paranoia persunale.
Sè avete bisognu è paragunate e so capacità cù i vostri scopi è ugettivi. Sì avete qualchì quistione o difficultà, scrivite o chjamate, urganizeremu una presentazione individuale in linea per voi - senza valutazioni o campane è fischi.
, in quale, senza publicità, scrivemu micca cose sanu sanu furmali nantu à CRM è cummerciale.
Source: www.habr.com