31. březen je Mezinárodní den zálohování a týden předtím je vždy plný příběhů souvisejících s bezpečností. V pondělí jsme se již dozvěděli o kompromitovaném Asusu a „třech nejmenovaných výrobcích“. Zvláště pověrčivé společnosti sedí celý týden na špendlíkách a jehlách a vytvářejí zálohy. A to vše proto, že jsme všichni trochu neopatrní z hlediska bezpečnosti: někdo si zapomene zapnout bezpečnostní pás na zadním sedadle, někdo ignoruje datum expirace produktů, někdo ukládá své přihlašovací jméno a heslo pod klávesnici, a ještě lépe si zapisuje všechna hesla v poznámkovém bloku. Některým jedincům se podaří zakázat antiviry, „aby nezpomaloval počítač“ a nepoužívat oddělení přístupových práv v podnikových systémech (jaká tajemství ve firmě o 50 lidech!). Pravděpodobně si lidstvo prostě ještě nevyvinulo pud kybernetické sebezáchovy, který se v zásadě může stát novým základním pudem.
Ani podnikání takové instinkty nevyvinulo. Jednoduchá otázka: je CRM systém hrozbou pro bezpečnost informací nebo bezpečnostním nástrojem? Je nepravděpodobné, že někdo dá přesnou odpověď hned. Zde je potřeba začít, jak nás učili v hodinách angličtiny: záleží... Záleží na nastavení, formě dodání CRM, zvycích a přesvědčeních dodavatele, míře přehlížení zaměstnanců, sofistikovanosti útočníků. . Všechno se dá přeci hacknout. Jak tedy žít?
Jedná se o informační bezpečnost v malých a středních firmách
CRM systém jako ochrana
Ochrana obchodních a provozních dat a bezpečné uložení vaší zákaznické základny je jedním z hlavních úkolů CRM systému a je v tomto nadřazeno všem ostatním aplikačním softwarům ve firmě.
Určitě jste začali číst tento článek a hluboce se ušklíbli, že kdo potřebuje vaše informace. Pokud ano, pak jste pravděpodobně neřešili prodej a nevíte, jak žádané jsou „živé“ a kvalitní zákaznické báze a informace o způsobech práce s touto bází. Obsah CRM systému je zajímavý nejen pro vedení společnosti, ale také pro:
- Útočníci (méně často) – mají cíl související konkrétně s vaší společností a k získání dat využijí všechny zdroje: uplácení zaměstnanců, hackování, kupování vašich dat od manažerů, rozhovory s manažery atd.
- Zaměstnanci (častěji), kteří mohou působit jako zasvěcení vaši konkurenti. Jsou jednoduše připraveni odebrat nebo prodat svou klientskou základnu pro svůj vlastní zisk.
- Pro amatérské hackery (velmi vzácně) – můžete být nabouráni do cloudu, kde se nacházejí vaše data nebo je hacknuta síť, nebo možná někdo chce „vytáhnout“ vaše data pro zábavu (například data o velkoobchodech s léčivy nebo alkoholem – jen zajímavé vidět).
Pokud se někdo dostane do vašeho CRM, bude mít přístup k vašim provozním aktivitám, tedy k objemu dat, se kterými máte většinu svých zisků. A od okamžiku získání škodlivého přístupu do CRM systému se zisky začnou usmívat na toho, v jehož rukou končí klientská základna. No, nebo jeho partneři a zákazníci (čti - noví zaměstnavatelé).
Dobré, spolehlivé dokáže tato rizika pokrýt a poskytnout hromadu příjemných bonusů v oblasti bezpečnosti.
Co tedy dokáže CRM systém z hlediska bezpečnosti?
(řekneme vám to na příkladu, protože nemůžeme být zodpovědní za ostatní)
- Dvoufaktorová autentizace pomocí USB klíče a hesla. podporuje režim dvoufaktorové autorizace uživatele při přihlašování do systému. V tomto případě musíte při přihlašování do systému kromě zadání hesla vložit do USB portu počítače předem inicializovaný USB klíč. Dvoufaktorový režim autorizace pomáhá chránit před krádeží nebo prozrazením hesla.
Klikací
- Spouštějte z důvěryhodných IP adres a MAC adres. Pro zvýšení bezpečnosti můžete uživatelům omezit přihlašování pouze z registrovaných IP adres a MAC adres. Jako IP adresy lze použít jak interní IP adresy v lokální síti, tak externí adresy, pokud se uživatel připojuje vzdáleně (přes Internet).
- Autorizace domény (autorizace Windows). Spouštění systému lze nakonfigurovat tak, aby při přihlašování nebylo vyžadováno uživatelské heslo. V tomto případě dojde k autorizaci Windows, která identifikuje uživatele pomocí WinAPI. Systém bude spuštěn pod uživatelem, pod jehož profilem počítač v době spuštění systému běží.
- Dalším mechanismem je soukromých klientů. Soukromí klienti jsou klienti, které může vidět pouze jejich nadřízený. Tito klienti se neobjeví v seznamech ostatních uživatelů, i když ostatní uživatelé mají plná oprávnění, včetně práv správce. Můžete tak ochránit například pool zvláště významných klientů nebo z jiného důvodu skupinu, která bude svěřena spolehlivému manažerovi.
- Mechanismus pro dělení přístupových práv — standardní a primární bezpečnostní opatření v CRM. Pro zjednodušení procesu správy uživatelských práv, in práva nejsou přiřazena konkrétním uživatelům, ale šablonám. A samotnému uživateli je přiřazena jedna nebo druhá šablona, která má určitou sadu práv. To umožňuje každému zaměstnanci – od nově přijatých přes stážisty až po ředitele – přidělovat oprávnění a přístupová práva, která mu umožní/zabrání v přístupu k citlivým datům a citlivým obchodním informacím.
- Systém automatického zálohování dat (zálohy)konfigurovatelné pomocí skriptovacího serveru .
Jedná se o implementaci zabezpečení pomocí jediného systému jako příkladu, každý dodavatel má své vlastní zásady. CRM systém však vaše informace skutečně chrání: vidíte, kdo a v jakém čase pořídil ten či onen report, kdo si jaká data prohlížel, kdo si je stáhl a mnoho dalšího. I když se o zranitelnosti dozvíte až dodatečně, nenecháte čin bez trestu a snadno odhalíte zaměstnance, který zneužil důvěru a loajalitu společnosti.
jsi uvolněný? Brzy! Právě tato ochrana může pracovat proti vám, pokud jste neopatrní a ignorujete problémy s ochranou dat.
CRM systém jako hrozba
Pokud má vaše společnost alespoň jeden počítač, je to již zdroj kybernetické hrozby. V souladu s tím se úroveň ohrožení zvyšuje s počtem pracovních stanic (a zaměstnanců) as rozmanitostí instalovaného a používaného softwaru. A se systémy CRM to není jednoduché – koneckonců je to program určený k ukládání a zpracování toho nejdůležitějšího a nejdražšího aktiva: zákaznické základny a komerčních informací, a tady vyprávíme hororové příběhy o jeho zabezpečení. Ve skutečnosti není vše zblízka tak ponuré a při správném zacházení nezískáte od CRM systému nic jiného než užitek a bezpečí.
Jaké jsou příznaky nebezpečného CRM systému?
Začněme krátkou exkurzí do základů. CRM se dodávají v cloudových a desktopových verzích. Cloudové jsou ty, jejichž DBMS (databáze) se nenachází ve vaší společnosti, ale v soukromém nebo veřejném cloudu v nějakém datovém centru (například sedíte v Čeljabinsku a vaše databáze běží v super cool datovém centru v Moskvě , protože se tak rozhodl prodejce CRM a má s tímto konkrétním poskytovatelem smlouvu). Desktop (neboli on-premise, server – což už není tak pravda) založí své DBMS na vašich vlastních serverech (ne, ne, nepředstavujte si obrovskou serverovnu s drahými racky, nejčastěji v malých a středních podnicích je to jeden server nebo i obyčejné PC moderní konfigurace), tedy fyzicky ve vaší kanceláři.
K oběma typům CRM je možné získat neoprávněný přístup, ale rychlost a snadnost přístupu se liší, zvláště pokud se bavíme o malých a středních firmách, kterým na bezpečnosti informací příliš nezáleží.
Nebezpečné znamení #1
Důvodem vyšší pravděpodobnosti problémů s daty v cloudovém systému je vztah propojený několika vazbami: vy (nájemce CRM) - prodejce - poskytovatel (existuje delší verze: vy - prodejce - IT outsourcer dodavatele - poskytovatel) . 3-4 odkazy ve vztahu mají více rizik než 1-2: problém může nastat na straně prodejce (změna smlouvy, neplacení služeb poskytovatele), na straně poskytovatele (vyšší moc, hacking, technické problémy), na straně outsourcingu (změna manažera nebo inženýra) atd. Velcí dodavatelé se samozřejmě snaží mít zálohovaná datová centra, řídit rizika a udržovat své oddělení DevOps, ale to nevylučuje problémy.
Desktop CRM se obecně nepronajímá, ale kupuje si je společnost, vztah proto vypadá jednodušeji a transparentněji: během implementace CRM nakonfiguruje prodejce potřebné úrovně zabezpečení (od rozlišení přístupových práv a fyzického USB klíče až po přiložení server v betonové zdi atd.) a přenese kontrolu na společnost vlastnící CRM, která může zvýšit ochranu, najmout správce systému nebo kontaktovat svého dodavatele softwaru podle potřeby. Problémy se týkají práce se zaměstnanci, ochrany sítě a fyzické ochrany informací. Pokud používáte desktop CRM, ani úplné vypnutí internetu nezastaví práci, protože databáze je umístěna ve vaší „domácí“ kanceláři.
Jeden z našich zaměstnanců, který pracoval ve společnosti, která vyvíjela cloudové integrované kancelářské systémy včetně CRM, hovoří o cloudových technologiích. „Na jedné z mých zakázek společnost vytvářela něco velmi podobného základnímu CRM a vše bylo propojeno s online dokumenty a tak dále. Jednoho dne jsme v GA viděli abnormální aktivitu jednoho z našich předplatitelských klientů. Představte si to překvapení nás, analytiků, když jsme my, ne vývojáři, ale s vysokou úrovní přístupu, mohli jednoduše otevřít rozhraní, které klient používal, přes odkaz a zjistit, jaké má oblíbené označení. Mimochodem, zdá se, že klient by nechtěl, aby tato komerční data někdo viděl. Ano, byla to chyba a několik let nebyla opravena - podle mého názoru tam věci jsou stále. Od té doby jsem nadšenec pro stolní počítače a cloudům moc nevěřím, i když je samozřejmě používáme v práci i v osobním životě, kde jsme si také užili pár zábavných fakaps.“
Z našeho průzkumu na Habré, a to jsou zaměstnanci vyspělých firem
Ztráta dat z cloudového CRM systému může být způsobena ztrátou dat v důsledku selhání serveru, nedostupnosti serverů, vyšší moci, ukončení činností dodavatele atd. Cloud znamená stálý, nepřetržitý přístup k internetu a ochrana musí být bezprecedentní: na úrovni kódu, přístupových práv, dalších opatření kybernetické bezpečnosti (například dvoufaktorové ověřování).
Nebezpečné znamení #2
Nemluvíme ani o jedné charakteristice, ale o skupině charakteristik souvisejících s dodavatelem a jeho politikami. Uveďme některé důležité příklady, se kterými jsme se my a naši zaměstnanci setkali.
- Prodejce si může vybrat nedostatečně spolehlivé datové centrum, kde se bude „točit“ DBMS klientů. Ušetří peníze, nebude ovládat SLA, nespočítá zátěž a výsledek se vám stane osudným.
- Prodejce může odepřít právo na převod služby do datového centra dle vašeho výběru. Toto je poměrně běžné omezení pro SaaS.
- Prodejce může mít právní nebo ekonomický konflikt s poskytovatelem cloudu a během „showdownu“ mohou být omezeny zálohovací akce nebo například rychlost.
- Služba vytváření záloh může být poskytnuta za příplatek. Běžná praxe, o které se klient CRM systému může dozvědět až ve chvíli, kdy je potřeba záloha, tedy v nejkritičtější a nejzranitelnější chvíli.
- Zaměstnanci dodavatele mohou mít neomezený přístup k zákaznickým datům.
- Může dojít k úniku dat jakékoli povahy (lidská chyba, podvod, hackeři atd.).
Obvykle jsou tyto problémy spojeny s malými nebo mladými prodejci, ale velcí se opakovaně dostali do problémů (vygooglujte). Vždy byste tedy měli mít na své straně způsoby ochrany informací + předem prodiskutovat bezpečnostní otázky s vybraným poskytovatelem CRM systému. Již samotný fakt vašeho zájmu o problém donutí dodavatele přistupovat k implementaci co nejzodpovědněji (toto je zvláště důležité, pokud nejednáte s kanceláří prodejce, ale s jeho partnerem, pro kterého je důležité uzavřít dohodu a získat provizi, a ne tyto dvoufaktorové... dobře jste pochopili).
Nebezpečné znamení #3
Organizace zabezpečovacích prací ve vaší společnosti. Před rokem jsme tradičně psali o bezpečnosti na Habré a dělali průzkum. Vzorek nebyl příliš velký, ale odpovědi jsou orientační:
Na konci článku uvedeme odkazy na naše publikace, kde jsme podrobně zkoumali vztah v systému „firma-zaměstnanec-zabezpečení“ a zde uvedeme seznam otázek, na které je třeba najít odpovědi v rámci vaší společnosti (i když CRM nepotřebujete).
- Kde zaměstnanci ukládají hesla?
- Jak je organizován přístup k úložišti na serverech společnosti?
- Jak je chráněn software, který obsahuje obchodní a provozní informace?
- Mají všichni zaměstnanci aktivní antivirový software?
- Kolik zaměstnanců má přístup k datům klientů a jakou úroveň přístupu má?
- Kolik nových zaměstnanců máte a kolik zaměstnanců je v procesu odchodu?
- Jak dlouho komunikujete s klíčovými zaměstnanci a nasloucháte jejich požadavkům a stížnostem?
- Jsou tiskárny monitorovány?
- Jak jsou uspořádány zásady pro připojování vlastních gadgetů k počítači a používání pracovní Wi-Fi?
Ve skutečnosti jsou to základní otázky — hardcore asi přibudou v komentářích, ale to je základ, jehož základy by měl znát i individuální podnikatel se dvěma zaměstnanci.
Jak se tedy chránit?
- Zálohy jsou tím nejdůležitějším, na co se často zapomíná nebo se o ně nestará. Pokud máte stolní systém, nastavte systém zálohování dat s danou frekvencí (například pro RegionSoft CRM to lze provést pomocí ) a zařídit správné uložení kopií. Pokud máte cloudové CRM, určitě si před uzavřením smlouvy zjistěte, jak je práce se zálohami organizována: potřebujete informace o hloubce a frekvenci, umístění úložiště, ceně zálohování (často jen zálohy „nejnovějších dat za období ” jsou zdarma a jako placená služba je poskytováno plnohodnotné, zabezpečené záložní kopírování). Obecně to rozhodně není místo pro úspory nebo nedbalost. A ano, nezapomeňte zkontrolovat, co se obnovuje ze záloh.
- Oddělení přístupových práv na funkční a datové úrovni.
- Zabezpečení na úrovni sítě – je potřeba povolit používání CRM pouze v rámci podsítě kanceláře, omezit přístup pro mobilní zařízení, zakázat práci s CRM systémem z domova nebo v horším případě z veřejných sítí (coworkingy, kavárny, klientské kanceláře , atd.). U mobilní verze buďte obzvlášť opatrní – ať je to jen značně osekaná verze pro práci.
- Antivir s skenováním v reálném čase je potřeba v každém případě, ale zejména v případě zabezpečení firemních dat. Na úrovni zásad zakažte deaktivaci sami.
- Školení zaměstnanců o kybernetické hygieně není ztráta času, ale naléhavá potřeba. Je nutné všem kolegům sdělit, že je důležité, aby nejen varovali, ale také správně reagovali na přijatou hrozbu. Zákaz používání internetu nebo vašeho emailu v kanceláři je minulostí a příčinou akutní negativity, takže budete muset zapracovat na prevenci.
S využitím cloudového systému můžete samozřejmě dosáhnout dostatečné úrovně zabezpečení: používat dedikované servery, konfigurovat routery a oddělovat provoz na úrovni aplikace a databáze, využívat privátní podsítě, zavádět přísná bezpečnostní pravidla pro administrátory, zajišťovat nepřetržitý provoz prostřednictvím záloh s maximální potřebnou frekvencí a úplností, sledovat síť XNUMX hodin denně... Když se nad tím zamyslíte, není to tak obtížné, ale spíše drahé. Jak ale ukazuje praxe, taková opatření přijímají jen některé firmy, většinou velké. Proto neváháme znovu říci: cloud i desktop by neměly žít samy o sobě, chraňte svá data.
Pár malých, ale důležitých tipů pro všechny případy implementace CRM systému
- Zkontrolujte zranitelnost dodavatele – vyhledejte informace pomocí kombinací slov „Zranitelnost názvu dodavatele“, „Napadení názvu dodavatele“, „Únik dat názvu dodavatele“. Neměl by to být jediný parametr při hledání nového CRM systému, ale je prostě potřeba zaškrtnout subkortex a hlavně je důležité pochopit důvody incidentů, které nastaly.
- Zeptejte se dodavatele na datové centrum: dostupnost, kolik jich je, jak je organizováno převzetí služeb při selhání.
- Nastavte bezpečnostní tokeny ve vašem CRM, sledujte aktivitu v systému a neobvyklé špičky.
- Zakázat export reportů a přístup přes API pro non-core zaměstnance – tedy ty, kteří tyto funkce ke své běžné činnosti nepotřebují.
- Ujistěte se, že váš systém CRM je nakonfigurován pro protokolování procesů a protokolování akcí uživatelů.
Jsou to maličkosti, ale dokonale doplňují celkový obraz. A vlastně žádná maličkost není bezpečná.
Implementací CRM systému zajistíte bezpečnost svých dat – ale pouze v případě, že je implementace provedena kompetentně a otázky bezpečnosti informací nejsou odsunuty do pozadí. Souhlas, je hloupé kupovat auto a nekontrolovat brzdy, ABS, airbagy, bezpečnostní pásy, EDS. Koneckonců, hlavní není jen jet, ale jít bezpečně a dostat se tam v pořádku. S podnikáním je to stejné.
A pamatujte: pokud jsou pravidla bezpečnosti práce psána krví, pravidla kybernetické bezpečnosti v podnikání jsou psána penězi.
Na téma kybernetická bezpečnost a místo CRM systému v ní si můžete přečíst naše podrobné články:
- — přehled možných bezpečnostních hrozeb v podnikové sféře a přibližné schéma detekce.
- — podrobná analýza toho, jak mohou zaměstnanci poškodit vaše podnikání a jak to dělají v komerční sféře.
Pokud hledáte CRM systém, pak . Pokud potřebujete CRM nebo ERP, pečlivě si prostudujte naše produkty a porovnejte jejich možnosti s vašimi cíli a záměry. Pokud máte nějaké dotazy nebo potíže, napište nebo zavolejte, zorganizujeme pro vás individuální online prezentaci - bez hodnocení nebo zvonků.
, ve kterém bez reklamy píšeme ne zcela formální věci o CRM a podnikání.
Zdroj: www.habr.com