V roce 2008 jsem mohl navštívit IT společnost. V každém zaměstnanci bylo nějaké nezdravé napětí. Důvod se ukázal být jednoduchý: mobilní telefony jsou v krabici u vchodu do kanceláře, za zády je kamera, 2 velké doplňkové „hledací“ kamery v kanceláři a monitorovací software s keyloggerem. A ano, toto není společnost, která vyvinula SORM nebo systémy pro podporu života v letadlech, ale prostě vývojář podnikového aplikačního softwaru, který je nyní absorbován, rozdrcen a již neexistuje (což se zdá logické). Pokud se teď natahujete a říkáte si, že ve vaší kanceláři s houpacími sítěmi a M&M ve vázách to tak rozhodně není, můžete se velmi mýlit – jde jen o to, že za 11 let se ovládání naučilo být neviditelné a správné, bez zúčtování přes navštívené stránky a stažené filmy.
Takže bez toho všeho to opravdu nejde, ale co důvěra, loajalita, víra v lidi? Věřte nebo ne, firem bez bezpečnostních opatření je stejně mnoho. Zaměstnanci ale dokážou zaneřádit i sem tam – jednoduše proto, že lidský faktor může zničit světy, nejen vaši firmu. Kde se tedy mohou vaši zaměstnanci vrhnout na neplechu?
Nejedná se o příliš vážný příspěvek, který má přesně dvě funkce: trochu zpestřit každodenní život a připomenout základní bezpečnostní věci, na které se často zapomíná. Jo a ještě jednou ti to připomenu — Není takový software hranicí bezpečnosti? 🙂
Pojďme v náhodném režimu!
Hesla, hesla, hesla...
Mluvíte o nich a valí se vlna rozhořčení: jak je to možné, říkali světu tolikrát, ale věci tam stále jsou! Ve společnostech všech úrovní, od individuálních podnikatelů po nadnárodní korporace, jde o velmi bolavé místo. Někdy se mi zdá, že pokud zítra postaví skutečnou Hvězdu smrti, bude v admin panelu něco jako admin/admin. Co tedy můžeme čekat od běžných uživatelů, pro které je vlastní stránka VKontakte mnohem dražší než firemní účet? Zde jsou body ke kontrole:
- Psaní hesel na kousky papíru, na zadní stranu klávesnice, na monitor, na stůl pod klávesnici, na nálepku na spodní straně myši (mazaný!) – toto by zaměstnanci nikdy neměli dělat. A ne proto, že přijde hrozný hacker a během oběda si stáhne celé 1C na flash disk, ale proto, že v kanceláři může být uražený Sasha, který skončí a udělá něco špinavého nebo si naposledy vezme informace. . Proč to neudělat při příštím obědě?
Tohle je co? Tato věc ukládá všechna moje hesla
- Nastavení jednoduchých hesel pro vstup do PC a pracovních programů. Data narození, qwerty123 a dokonce i asdf jsou kombinace, které patří do vtipů a na bashorga a ne do podnikového bezpečnostního systému. Nastavte požadavky na hesla a jejich délku a nastavte frekvenci výměny.
Heslo je jako spodní prádlo: měňte ho často, nesdílejte ho s přáteli, dlouhé je lepší, buďte tajemní, nerozházejte je všude
- Výchozí hesla pro přihlášení do programu dodavatele jsou chybná, už jen proto, že je znají téměř všichni zaměstnanci dodavatele, a pokud máte co do činění s webovým systémem v cloudu, nebude pro nikoho těžké data získat. Zvláště pokud máte také zabezpečení sítě na úrovni „netahejte za kabel“.
- Vysvětlete zaměstnancům, že nápověda k heslu v operačním systému by neměla vypadat jako „moje narozeniny“, „jméno dcery“, „Gvoz-dika-78545-ap#1! v angličtině." nebo „kvarty a jedna a nula“.
Moje kočka mi dává skvělá hesla! Jde po mé klávesnici
Fyzický přístup k případům
Jak vaše společnost organizuje přístup k účetní a personální dokumentaci (například k osobním spisům zaměstnanců)? Nechte mě hádat: pokud je to malý podnik, pak v účetním oddělení nebo v kanceláři šéfa ve složkách na policích nebo ve skříni; pokud je to velký podnik, pak v oddělení lidských zdrojů na policích. Ale pokud je to velmi velké, pak je s největší pravděpodobností vše v pořádku: samostatná kancelář nebo blok s magnetickým klíčem, kam mají přístup pouze určití zaměstnanci a abyste se tam dostali, musíte zavolat jednomu z nich a jít do tohoto uzlu v jejich přítomnosti. Na vytvoření takové ochrany v žádném podnikání není nic těžkého, nebo se alespoň naučit nepsat heslo do kancelářského trezoru křídou na dveře nebo na zeď (vše je založeno na skutečných událostech, nesmějte se).
Proč je to důležité? Za prvé, pracovníci mají patologickou touhu zjistit o sobě ty nejtajnější věci: rodinný stav, plat, lékařské diagnózy, vzdělání atd. To je takový kompromis v soutěži kanceláří. A absolutně vám neprospívají tahanice, které vzniknou, když návrhář Péťa zjistí, že vydělává o 20 tisíc méně než návrhářka Alice. Za druhé, zaměstnanci mají přístup k finančním informacím společnosti (rozvahy, výroční zprávy, smlouvy). Za třetí, něco se může jednoduše ztratit, poškodit nebo ukrást, aby se zakryly stopy ve vlastní pracovní historii.
Sklad, kde je někdo ztráta, někdo poklad
Máte-li sklad, počítejte s tím, že dříve nebo později zaručeně narazíte na zločince – tak prostě funguje psychologie člověka, který vidí velké množství produktů a pevně věří, že málo z hodně není loupež, ale sdílení. A jednotka zboží z této hromady může stát 200 tisíc nebo 300 tisíc nebo několik milionů. Krádeži bohužel nezastaví nic kromě pedantské a totální kontroly a účetnictví: kamery, přejímka a odepisování pomocí čárových kódů, automatizace skladového účetnictví (např. v našem skladové účetnictví je organizováno tak, že vedoucí a vedoucí vidí pohyb zboží skladem v reálném čase).
Vyzbrojte proto svůj sklad po zuby, zajistěte fyzické zabezpečení před vnějším nepřítelem a kompletní zabezpečení před vnitřním. Zaměstnanci v dopravě, logistice a skladech musí jasně chápat, že kontrola existuje, funguje a téměř se potrestají.
*Hele, nestrkej ruce do infrastruktury
Pokud se příběh o serverovně a uklízečce již přežil a dávno přešel do příběhů z jiných průmyslových odvětví (například ten stejný mluvil o mystickém vypnutí ventilátoru na stejném oddělení), zbytek zůstává realitou . Zabezpečení sítě a IT malých a středních podniků ponechává mnoho přání, a to často nezávisí na tom, zda máte vlastního správce systému nebo přizvaného. Ten druhý si často poradí ještě lépe.
Čeho jsou tedy zdejší zaměstnanci schopni?
- Nejhezčí a nejnebezpečnější věcí je jít do serverovny, zatahat za dráty, podívat se, rozlít čaj, nanést špínu nebo zkusit něco nakonfigurovat sami. To se týká zejména „sebevědomých a pokročilých uživatelů“, kteří hrdinně učí své kolegy deaktivovat antivirus a obejít ochranu na PC a jsou si jisti, že jsou vrozenými bohy serverovny. Obecně platí, že autorizovaný omezený přístup je pro vás vším.
- Krádeže zařízení a záměna komponentů. Milujete svou společnost a nainstalovali jste výkonné grafické karty pro každého, aby mohl fakturační systém, CRM a vše ostatní perfektně fungovat? Skvělý! Jen mazaní chlapi (a někdy i dívky) je snadno nahradí domácím modelem a doma budou provozovat hry na novém kancelářském modelu – to se ale půlka světa nedozví. Stejný příběh je s klávesnicemi, myšmi, chladiči, UPS a vším, co lze v rámci hardwarové konfigurace nějak nahradit. V důsledku toho nesete riziko poškození majetku, jeho úplné ztráty a zároveň se vám nedostává požadované rychlosti a kvality práce s informačními systémy a aplikacemi. To, co ušetří, je monitorovací systém (ITSM systém) s nakonfigurovaným řízením konfigurace), který je nutné dodat kompletní s neúplatným a zásadovým správcem systému.
Možná chcete hledat lepší bezpečnostní systém? Nejsem si jistý, jestli toto znamení stačí
- Použití vlastních modemů, přístupových bodů nebo nějakého druhu sdílené Wi-Fi činí přístup k souborům méně bezpečným a prakticky nekontrolovatelným, čehož mohou využít útočníci (včetně dohody se zaměstnanci). Kromě toho pravděpodobnost, že zaměstnanec „s vlastním internetem“ stráví pracovní dobu na YouTube, humorných stránkách a sociálních sítích, je mnohem vyšší.
- Jednotná hesla a přihlašovací údaje pro přístup do oblasti pro správu webu, CMS a aplikačního softwaru jsou hrozné věci, které dělají z neschopného nebo zlomyslného zaměstnance nepolapitelného mstitele. Pokud k vám přijde 5 lidí ze stejné podsítě se stejným loginem/heslem, aby umístili banner, zkontrolovali reklamní odkazy a metriky, opravili rozvržení a nahráli aktualizaci, nikdy neuhodnete, kdo z nich omylem změnil CSS na dýně. Proto: různá přihlášení, jiná hesla, logování akcí a rozlišení přístupových práv.
- O nelicencovaném softwaru, který si zaměstnanci přetahují do svých počítačů, aby během pracovní doby upravili pár fotek nebo vytvořili něco, co souvisí s koníčky, netřeba zmiňovat. Neslyšel jste o kontrole odboru „K“ Ústředního ředitelství vnitřních věcí? Pak přijde k vám!
- Antivir by měl fungovat. Ano, některé z nich mohou zpomalit váš počítač, dráždit vás a obecně působí jako projev zbabělosti, ale je lepší tomu zabránit, než později platit výpadky nebo v horším případě ukradenými daty.
- Varování operačního systému o nebezpečích instalace aplikace by neměla být ignorována. Dnes je stažení něčeho do práce otázkou vteřin a minut. Například Direct.Commander nebo AdWords editor, nějaký SEO parser atp. Pokud je vše víceméně jasné s produkty Yandex a Google, pak další picreizer, bezplatný čistič virů, video editor se třemi efekty, screenshoty, Skype rekordéry a další „malé programy“ mohou poškodit jednotlivý počítač i celou firemní síť. . Naučte uživatele, aby si přečetli, co od nich počítač chce, než zavolají správce systému a řeknou, že „všechno je mrtvé“. V některých společnostech je problém vyřešen jednoduše: mnoho stažených užitečných nástrojů je uloženo ve sdílené síťové složce a je tam také zveřejněn seznam vhodných online řešení.
- Politika BYOD nebo naopak politika povolování používání pracovního vybavení mimo kancelář je velmi zlou stránkou bezpečnosti. V tomto případě mají k technologii přístup příbuzní, přátelé, děti, veřejné nechráněné sítě atd. Toto je čistě ruská ruleta - můžete jít 5 let a vyjít, ale můžete ztratit nebo poškodit všechny své dokumenty a cenné soubory. Kromě toho, pokud má zaměstnanec nekalé úmysly, je to stejně snadné jako poslat dva bajty k úniku dat pomocí „chodícího“ zařízení. Musíte také pamatovat na to, že zaměstnanci často přenášejí soubory mezi svými osobními počítači, což opět může vytvářet bezpečnostní mezery.
- Zamykání zařízení, když jste pryč, je dobrým zvykem pro firemní i osobní použití. Opět vás ochrání před zvědavými kolegy, známými a narušiteli na veřejných místech. Je těžké si na to zvyknout, ale na jednom z mých pracovních míst jsem měl úžasný zážitek: kolegové přistoupili k odemčenému počítači a přes celé okno se otevřela Malba s nápisem „Zamkněte počítač! a něco se v práci změnilo, například byla zbourána poslední nadupaná sestava nebo odstraněna poslední zavedená chyba (to byla testovací skupina). Je to kruté, ale 1-2krát to stačilo i těm nejdřevějším. I když mám podezření, že lidé, kteří nejsou IT, možná takový humor nechápou.
- Ale nejhorší hřích samozřejmě leží na správci systému a správě - pokud kategoricky nepoužívají systémy řízení dopravy, zařízení, licence atd.
To je samozřejmě základ, protože IT infrastruktura je právě tím místem, kde čím dál do lesa, tím víc dříví. A tuto základnu by měl mít každý a neměl by ji nahrazovat slovy „všichni si věříme“, „jsme rodina“, „kdo to potřebuje“ - bohužel, prozatím.
Tohle je internet, zlato, mohou o tobě vědět hodně.
Je čas zavést bezpečné zacházení s internetem do kurzu bezpečnosti života ve škole – a to vůbec není o opatřeních, do kterých jsme ponořeni zvenčí. Jedná se konkrétně o schopnost rozlišit odkaz od odkazu, pochopit, kde je phishing a kde podvod, neotevírat přílohy e-mailů s předmětem „Zpráva o sladění“ z neznámé adresy, aniž byste jí rozuměli atd. I když, jak se zdá, školáci už tohle všechno zvládli, ale zaměstnanci ne. Existuje spousta triků a chyb, které mohou ohrozit celou společnost najednou.
- Sociální sítě jsou částí internetu, která nemá v práci místo, ale jejich blokování na firemní úrovni v roce 2019 je nepopulární a demotivující opatření. Proto stačí napsat všem zaměstnancům, jak zkontrolovat nelegálnost odkazů, říct jim o typech podvodů a požádat je, aby pracovali v práci.
- Mail je bolavé místo a možná nejoblíbenější způsob, jak krást informace, zavádět malware a infikovat PC a celou síť. Bohužel, mnoho zaměstnavatelů považuje e-mailového klienta za nástroj pro úsporu nákladů a využívá bezplatné služby, které denně obdrží 200 spamových e-mailů, které projdou filtry atd. A někteří nezodpovědní lidé otevírají takové dopisy a přílohy, odkazy, obrázky - zřejmě doufají, že jim černý princ zanechal dědictví. Načež má správce hodně, hodně práce. Nebo to tak bylo zamýšleno? Mimochodem, další krutý příběh: v jedné společnosti se za každý spamový dopis správci systému snížil KPI. Obecně platí, že po měsíci nedošlo k žádnému spamu – tento postup byl přijat mateřskou organizací a stále se nevyskytuje žádný spam. Tento problém jsme vyřešili elegantně – vyvinuli jsme vlastního e-mailového klienta a zabudovali jej do vlastního , takže všichni naši klienti také získají takovou pohodlnou funkci.
Až příště dostanete podivný e-mail se symbolem kancelářské sponky, neklikejte na něj!
- Messengery jsou také zdrojem nejrůznějších nebezpečných odkazů, ale to je mnohem menší zlo než pošta (nepočítáme-li čas promarněný klábosením v chatech).
Zdá se, že to všechno jsou maličkosti. Každá z těchto maličkostí však může mít katastrofální následky, zvláště pokud je vaše společnost terčem útoku konkurence. A to se může stát doslova každému.
Chatty zaměstnanci
To je právě ten lidský faktor, kterého se budete jen těžko zbavovat. Zaměstnanci mohou diskutovat o práci na chodbě, v kavárně, na ulici, v domě klienta, mluvit nahlas o jiném klientovi, mluvit o pracovních úspěších a projektech doma. Pravděpodobnost, že za vámi stojí konkurent, je samozřejmě mizivá (pokud nejste ve stejném obchodním centru – to se stalo), ale možnost, že chlap, který jasně uvádí své obchodní záležitosti, bude natočen na smartphone a zveřejněn na YouTube je kupodivu vyšší. Ale tohle je taky blbost. Není nesmysl, když vaši zaměstnanci ochotně prezentují informace o produktu nebo společnosti na školeních, konferencích, setkáních, odborných fórech nebo třeba na Habré. Navíc lidé k takovým rozhovorům často záměrně volají své oponenty, aby provedli konkurenční zpravodajství.
Odhalující příběh. Na jedné galaktické IT konferenci představil řečník sekce na snímku kompletní schéma organizace IT infrastruktury velké společnosti (top 20). Schéma bylo mega působivé, prostě kosmické, fotil ho snad každý a okamžitě obletělo sociální sítě s nadšenými recenzemi. No, pak je řečník zachytil pomocí geotagů, stojanů, sociálních sítí. sítě těch, kteří to zveřejnili a prosili o smazání, protože mu docela rychle volali a říkali ah-ta-ta. Chatrč je dar z nebes pro špióna.
Nevědomost... tě osvobozuje od trestu
Podle globální zprávy společnosti Kaspersky Lab z roku 2017 o firmách, které během 12 měsíců zažily kybernetické bezpečnostní incidenty, jeden z deseti (11 %) nejzávažnějších typů incidentů zahrnoval nedbalé a neinformované zaměstnance.
Nepředpokládejte, že zaměstnanci vědí vše o podnikových bezpečnostních opatřeních, nezapomeňte je varovat, poskytovat školení, vydávat zajímavé pravidelné newslettery o bezpečnostních otázkách, pořádat schůzky u pizzy a znovu si vyjasňovat problémy. A ano, cool life hack - označte všechny tištěné a elektronické informace barvami, znaky, nápisy: obchodní tajemství, tajemství, pro oficiální použití, obecný přístup. Tohle opravdu funguje.
Moderní svět postavil společnosti do velmi choulostivé pozice: je nutné udržovat rovnováhu mezi touhou zaměstnanců nejen tvrdě pracovat v práci, ale také přijímat zábavný obsah v pozadí/o přestávkách, a přísnými firemními bezpečnostními pravidly. Pokud zapnete hyperkontrolní a pitomé sledovací programy (ano, ne překlep – to není bezpečnost, to je paranoia) a kamery za vašimi zády, pak důvěra zaměstnanců ve společnost klesne, ale udržení důvěry je také firemním bezpečnostním nástrojem.
Proto vězte, kdy přestat, respektujte své zaměstnance a zálohujte. A hlavně upřednostňujte bezpečnost, ne osobní paranoiu.
Pokud potřebuješ a porovnat jejich schopnosti s vašimi cíli a záměry. Pokud máte nějaké dotazy nebo potíže, napište nebo zavolejte, zorganizujeme pro vás individuální online prezentaci - bez hodnocení nebo zvonků.
, ve kterém bez reklamy píšeme ne zcela formální věci o CRM a podnikání.
Zdroj: www.habr.com