CRM-systemer fra et cybersikkerhedsperspektiv: beskyttelse eller trussel?

Den 31. marts er International Backup Day, og ugen før er altid fuld af sikkerhedsrelaterede historier. I mandags lærte vi allerede om den kompromitterede Asus og "tre unavngivne producenter." Særligt overtroiske virksomheder sidder på nåle hele ugen og laver sikkerhedskopier. Og alt sammen fordi vi alle er lidt skødesløse med hensyn til sikkerhed: nogen glemmer at spænde sikkerhedsselen på bagsædet, nogen ignorerer produkternes udløbsdato, nogen gemmer deres login og adgangskode under tastaturet, og endnu bedre, skriver ned alle adgangskoder i en notesbog. Nogle enkeltpersoner formår at deaktivere antivirus "for ikke at bremse computeren" og ikke bruge adskillelse af adgangsrettigheder i virksomhedssystemer (hvilke hemmeligheder i et firma på 50 personer!). Sandsynligvis har menneskeheden simpelthen endnu ikke udviklet instinktet for cyber-selvbevarelse, som i princippet kan blive et nyt grundlæggende instinkt.

Erhvervslivet har heller ikke udviklet sådanne instinkter. Et simpelt spørgsmål: er et CRM-system en trussel mod informationssikkerhed eller et sikkerhedsværktøj? Det er usandsynligt, at nogen vil give et præcist svar med det samme. Her skal vi starte, som vi blev undervist i engelsktimerne: det afhænger af... Det afhænger af indstillingerne, formen for CRM-levering, leverandørens vaner og overbevisninger, graden af ​​tilsidesættelse af medarbejdere, angribernes sofistikerede . Alt kan jo hackes. Så hvordan skal man leve?

Dette er informationssikkerhed i små og mellemstore virksomheder Fra LiveJournal

CRM-system som beskyttelse

Beskyttelse af kommercielle og operationelle data og sikker opbevaring af din kundebase er en af ​​hovedopgaverne i et CRM-system, og her er det hoved og skuldre over al anden applikationssoftware i virksomheden.

Du begyndte helt sikkert at læse denne artikel og grinede dybt nede og sagde, hvem har brug for dine oplysninger. Hvis ja, så har du sandsynligvis ikke beskæftiget dig med salg og ved ikke, hvor efterspurgt "live" og højkvalitets kundebaser og information om metoder til at arbejde med denne base er. Indholdet af CRM-systemet er interessant ikke kun for virksomhedens ledelse, men også for:  

• Angribere (mindre ofte) - de har et mål specifikt relateret til din virksomhed og vil bruge alle ressourcer til at indhente data: bestikkelse af medarbejdere, hacking, køb af dine data fra ledere, interviews med ledere osv.
• Medarbejdere (oftere), som kan fungere som insidere for dine konkurrenter. De er simpelthen klar til at tage væk eller sælge deres kundebase for deres egen fortjeneste.
• For amatørhackere (meget sjældent) - du kan blive hacket ind i skyen, hvor dine data er placeret, eller netværket er hacket, eller måske vil nogen "trække" dine data ud for sjov (f.eks. data om medicinal- eller alkoholgrossister - bare interessant at se).

Hvis nogen kommer ind i dit CRM, vil de have adgang til dine operationelle aktiviteter, det vil sige til mængden af ​​data, som du tjener det meste af dit overskud med. Og fra det øjeblik, der opnås ondsindet adgang til CRM-systemet, begynder overskuddet at smile til den, i hvis hænder klientgrundlaget ender. Nå, eller hans partnere og kunder (læs - nye arbejdsgivere).

God, pålidelig CRM system er i stand til at dække disse risici og give en masse behagelige bonusser på sikkerhedsområdet.

Så hvad kan et CRM-system gøre med hensyn til sikkerhed?

(vi fortæller dig med et eksempel RegionSoft CRM, fordi Vi kan ikke være ansvarlige for andre)

• To-faktor-godkendelse ved hjælp af en USB-nøgle og adgangskode. RegionSoft CRM understøtter to-faktor brugerautorisationstilstand, når du logger på systemet. I dette tilfælde, når du logger på systemet, skal du ud over at indtaste adgangskoden indsætte en USB-nøgle, der er initialiseret på forhånd, i computerens USB-port. To-faktor autorisationstilstand hjælper med at beskytte mod adgangskodetyveri eller afsløring.

Klikbar

• Kør fra pålidelige IP-adresser og MAC-adresser. For øget sikkerhed kan du begrænse brugere i kun at logge på fra registrerede IP-adresser og MAC-adresser. Både interne IP-adresser på det lokale netværk og eksterne adresser kan bruges som IP-adresser, hvis brugeren fjernopretter forbindelse (via internettet).
• Domæneautorisation (Windows-autorisation). Systemstarten kan konfigureres, så brugeradgangskoden ikke er påkrævet ved login. I dette tilfælde sker Windows-autorisation, som identificerer brugeren, der bruger WinAPI. Systemet vil blive lanceret under den bruger, under hvis profil computeren kører på det tidspunkt, hvor systemet starter.
• En anden mekanisme er private kunder. Privatkunder er kunder, som kun kan ses af deres vejleder. Disse klienter vises ikke på andre brugeres lister, selvom andre brugere har fulde tilladelser, inklusive administratorrettigheder. På denne måde kan du beskytte for eksempel en pulje af særligt vigtige kunder eller en gruppe af en anden årsag, som vil blive overdraget til en pålidelig leder.
• Mekanisme til opdeling af adgangsrettigheder — en standard og primær sikkerhedsforanstaltning i CRM. For at forenkle processen med at administrere brugerrettigheder, i RegionSoft CRM rettigheder tildeles ikke til specifikke brugere, men til skabeloner. Og brugeren selv får tildelt en eller anden skabelon, som har et bestemt sæt rettigheder. Dette giver hver medarbejder - fra nyansatte til praktikanter til direktører - mulighed for at tildele tilladelser og adgangsrettigheder, der tillader/forhindrer dem i at få adgang til følsomme data og følsomme forretningsoplysninger.
• Automatisk data backup system (sikkerhedskopiering)kan konfigureres via scriptserver RegionSoft Application Server.

Dette er implementeringen af ​​sikkerhed ved hjælp af et enkelt system som et eksempel, hver leverandør har sine egne politikker. Men CRM-systemet beskytter virkelig dine oplysninger: du kan se, hvem der har taget denne eller hin rapport og på hvilket tidspunkt, hvem der har set hvilke data, hvem der har downloadet dem og meget mere. Selvom du finder ud af sårbarheden bagefter, vil du ikke lade handlingen ustraffet og kan nemt identificere den medarbejder, der misbrugte virksomhedens tillid og loyalitet.

Er du afslappet? Tidlig! Netop denne beskyttelse kan virke imod dig, hvis du er skødesløs og ignorerer databeskyttelsesproblemer.

CRM-system som en trussel

Hvis din virksomhed har mindst én pc, er dette allerede en kilde til cybertrussel. Følgelig stiger trusselsniveauet med antallet af arbejdsstationer (og ansatte) og mangfoldigheden af ​​software installeret og brugt. Og det er ikke nemt med CRM-systemer – dette er trods alt et program designet til at gemme og behandle det vigtigste og dyreste aktiv: en kundebase og kommerciel information, og her fortæller vi skrækhistorier om dets sikkerhed. Faktisk er alt ikke så dystert tæt på, og hvis det håndteres rigtigt, får du ikke andet end gavn og sikkerhed fra CRM-systemet.

Hvad er tegnene på et farligt CRM-system?

Lad os starte med en kort udflugt til det grundlæggende. CRM'er kommer i cloud- og desktopversioner. Cloud ones er dem, hvis DBMS (database) ikke er placeret i din virksomhed, men i en privat eller offentlig sky i et eller andet datacenter (du sidder f.eks. i Chelyabinsk, og din database kører i et super fedt datacenter i Moskva , fordi CRM-leverandøren besluttede det, og han har en aftale med netop denne udbyder). Desktop (aka on-premise, server - hvilket ikke længere er så sandt) baser deres DBMS på dine egne servere (nej, nej, se ikke for dig et enormt serverrum med dyre racks, oftest i små og mellemstore virksomheder er det en enkelt server eller endda en almindelig pc med moderne konfiguration), det vil sige fysisk på dit kontor.

Det er muligt at få uautoriseret adgang til begge typer CRM, men hastigheden og lette adgangen er forskellig, især hvis vi taler om SMB'er, der ikke bekymrer sig meget om informationssikkerhed.

Fareskilt #1

Årsagen til den højere sandsynlighed for problemer med data i et cloud-system er et forhold forbundet med flere links: dig (CRM-lejer) - leverandør - udbyder (der er en længere version: dig - leverandør - IT-outsourcer af leverandøren - udbyder) . 3-4 links i forholdet har flere risici end 1-2: et problem kan opstå på leverandørens side (kontraktændring, manglende betaling af udbydertjenester), på udbyderens side (force majeure, hacking, tekniske problemer), på outsourcers side (skifte af leder eller ingeniør) mv. Selvfølgelig forsøger store leverandører at have backup af datacentre, styre risici og vedligeholde deres DevOps-afdeling, men det udelukker ikke problemer.

Desktop CRM lejes generelt ikke, men købes af virksomheden; følgelig ser forholdet enklere og mere gennemsigtigt ud: under implementeringen af ​​CRM'et konfigurerer leverandøren de nødvendige sikkerhedsniveauer (fra differentiering af adgangsrettigheder og en fysisk USB-nøgle til at omslutte server i en betonvæg osv.) og overfører kontrollen til virksomheden, der ejer CRM, som kan øge beskyttelsen, ansætte en systemadministrator eller kontakte sin softwareleverandør efter behov. Problemerne kommer ned til at arbejde med medarbejdere, beskytte netværket og fysisk beskytte information. Hvis du bruger desktop CRM, vil selv en fuldstændig lukning af internettet ikke stoppe arbejdet, da databasen er placeret på dit "hjemme" kontor.

En af vores medarbejdere, som arbejdede i en virksomhed, der udviklede cloud-baserede integrerede kontorsystemer, herunder CRM, fortæller om cloud-teknologier. ”På et af mine job lavede virksomheden noget, der ligner et grundlæggende CRM, og det hele var forbundet med online dokumenter og så videre. En dag i GA så vi unormal aktivitet fra en af ​​vores abonnentkunder. Forestil dig overraskelsen af ​​os, analytikere, da vi, ikke som udviklere, men med et højt adgangsniveau, simpelthen var i stand til at åbne den grænseflade, som klienten brugte via et link og se, hvilken slags populært skilt han havde. Forresten ser det ud til, at kunden ikke ønsker, at nogen skal se disse kommercielle data. Ja, det var en fejl, og det blev ikke rettet i flere år – efter min mening er tingene der stadig. Siden da har jeg været desktop-entusiast og stoler ikke rigtig på skyerne, selvom vi selvfølgelig bruger dem på arbejde og i vores personlige liv, hvor vi også havde nogle sjove fakaps.”

Fra vores undersøgelse om Habré, og disse er ansatte i avancerede virksomheder

Tab af data fra et cloud CRM-system kan skyldes datatab på grund af serverfejl, utilgængelighed af servere, force majeure, opsigelse af leverandøraktiviteter osv. Skyen betyder konstant, uafbrudt adgang til internettet, og beskyttelsen skal være hidtil uset: på kodeniveau, adgangsrettigheder, yderligere cybersikkerhedsforanstaltninger (for eksempel to-faktor autentificering).

Fareskilt #2

Vi taler ikke engang om en funktion, men om en gruppe funktioner relateret til leverandøren og dens politikker. Lad os nævne nogle vigtige eksempler, som vi og vores medarbejdere er stødt på.

• Sælgeren kan vælge et utilstrækkeligt pålideligt datacenter, hvor klienternes DBMS vil "revolvere". Han vil spare penge, vil ikke kontrollere SLA, vil ikke beregne belastningen, og resultatet vil være fatalt for dig.
• Sælgeren kan nægte retten til at overføre tjenesten til det datacenter efter eget valg. Dette er en ret almindelig begrænsning for SaaS.
• Sælgeren kan have en juridisk eller økonomisk konflikt med cloud-udbyderen, og under "opgøret" kan backup-handlinger eller for eksempel hastighed være begrænset.
• Tjenesten med at oprette sikkerhedskopier kan leveres mod en merpris. En almindelig praksis, som en klient af et CRM-system kun kan lære om i det øjeblik, hvor en backup er nødvendig, det vil sige på det mest kritiske og sårbare tidspunkt.
• Leverandørens medarbejdere kan få uhindret adgang til kundedata.
• Datalækager af enhver art kan forekomme (menneskelige fejl, bedrageri, hackere osv.).

Normalt er disse problemer forbundet med små eller unge leverandører, men store er gentagne gange kommet i problemer (google det). Derfor bør du altid have måder at beskytte oplysninger på din side + diskutere sikkerhedsproblemer med den valgte CRM-systemudbyder på forhånd. Selv det faktum, at du er interesseret i problemet, vil allerede tvinge leverandøren til at behandle implementeringen så ansvarligt som muligt (det er især vigtigt at gøre dette, hvis du ikke har at gøre med leverandørens kontor, men med hans partner, for hvem det er vigtigt at indgå en aftale og modtage en kommission, og ikke disse to-faktorer... godt forstod du).

Fareskilt #3

Tilrettelæggelse af sikkerhedsarbejdet i din virksomhed. For et år siden skrev vi traditionelt om sikkerhed på Habré og lavede en undersøgelse. Stikprøven var ikke særlig stor, men svarene er vejledende:

I slutningen af ​​artiklen vil vi give links til vores publikationer, hvor vi i detaljer undersøgte forholdet i "virksomhed-medarbejder-sikkerhed"-systemet, og her vil vi give en liste over spørgsmål, som svarene bør findes indenfor din virksomhed (også selvom du ikke har brug for CRM).

• Hvor gemmer medarbejderne adgangskoder?
• Hvordan er adgangen til lager på virksomhedens servere organiseret?
• Hvordan beskyttes software, der indeholder kommercielle og operationelle oplysninger?
• Har alle medarbejdere aktiv antivirussoftware?
• Hvor mange medarbejdere har adgang til kundedata, og hvilket adgangsniveau har dette?
• Hvor mange nyansættelser har du, og hvor mange medarbejdere er i gang med at forlade?
• Hvor længe har du kommunikeret med nøglemedarbejdere og lyttet til deres anmodninger og klager?
• Overvåges printere?
• Hvordan er politikken organiseret for tilslutning af dine egne gadgets til din pc samt brug af arbejds-Wi-Fi?

Faktisk er disse grundlæggende spørgsmål - hardcore vil sandsynligvis blive tilføjet i kommentarerne, men dette er det grundlæggende, som selv en individuel iværksætter med to ansatte bør kende til.

Så hvordan beskytter du dig selv?

• Sikkerhedskopier er det vigtigste, der ofte enten glemmes eller ikke bliver taget hånd om. Hvis du har et desktop-system, så opsæt et databackup-system med en given frekvens (for RegionSoft CRM kan dette f.eks. gøres vha. RegionSoft Application Server) og organisere korrekt opbevaring af kopier. Hvis du har et cloud-CRM, så sørg for at finde ud af, inden du indgår en kontrakt, hvordan arbejdet med sikkerhedskopier er organiseret: du har brug for information om dybde og hyppighed, lagerplacering, omkostninger ved backup (ofte kun sikkerhedskopier af de "seneste data for perioden ” er gratis, og en fuldgyldig, sikker sikkerhedskopiering leveres som en betalingstjeneste). Generelt er dette bestemt ikke stedet for besparelser eller uagtsomhed. Og ja, glem ikke at tjekke, hvad der er gendannet fra sikkerhedskopier.
• Adskillelse af adgangsrettigheder på funktions- og dataniveau.
• Sikkerhed på netværksniveau - du skal kun tillade brugen af ​​CRM inden for kontorets undernet, begrænse adgangen til mobile enheder, forbyde arbejde med CRM-systemet hjemmefra eller endnu værre, fra offentlige netværk (coworking spaces, cafeer, klientkontorer) , etc.). Vær især forsigtig med mobilversionen - lad det kun være en stærkt afkortet version til arbejdet.
• En antivirus med scanning i realtid er under alle omstændigheder nødvendig, men især i tilfælde af virksomhedens datasikkerhed. På politikniveau skal du forbyde at deaktivere det selv.
• Uddannelse af medarbejdere i cyberhygiejne er ikke spild af tid, men et presserende behov. Det er nødvendigt at formidle til alle kolleger, at det er vigtigt for dem ikke kun at advare, men også at reagere korrekt på den modtagne trussel. At forbyde brugen af ​​internettet eller din e-mail på kontoret er fortid og en årsag til akut negativitet, så du bliver nødt til at arbejde med forebyggelse.

Selvfølgelig kan du ved hjælp af et cloud-system opnå et tilstrækkeligt sikkerhedsniveau: Brug dedikerede servere, konfigurer routere og adskil trafik på applikationsniveau og databaseniveau, brug private undernet, indfør strenge sikkerhedsregler for administratorer, sørg for uafbrudt drift gennem sikkerhedskopier med den maksimalt nødvendige frekvens og fuldstændighed, for at overvåge netværket døgnet rundt... Hvis du tænker over det, er det ikke så svært, men ret dyrt. Men som praksis viser, er det kun nogle virksomheder, for det meste store, der træffer sådanne foranstaltninger. Derfor tøver vi ikke med at sige igen: både skyen og skrivebordet bør ikke leve alene; beskyt dine data.

Et par små, men vigtige tips til alle tilfælde af implementering af et CRM-system

• Tjek leverandøren for sårbarheder - søg efter information ved hjælp af kombinationer af ord "Vendor Name vulnerability", "Vendor Name hacked", "Vendor Name data leak". Dette bør ikke være den eneste parameter i søgningen efter et nyt CRM-system, men det er simpelthen nødvendigt at sætte kryds i undercortex, og det er især vigtigt at forstå årsagerne til de hændelser, der opstod.
• Spørg leverandøren om datacentret: tilgængelighed, hvor mange der er, hvordan failover er organiseret.
• Konfigurer sikkerhedstokens i dit CRM, overvåg aktivitet i systemet og usædvanlige spidser.
• Deaktiver eksport af rapporter og adgang via API for ikke-kernemedarbejdere - altså dem, der ikke har brug for disse funktioner til deres almindelige aktiviteter.
• Sørg for, at dit CRM-system er konfigureret til at logge processer og logge brugerhandlinger.

Det er små ting, men de supplerer perfekt det overordnede billede. Og faktisk er ingen småting sikre.

Ved at implementere et CRM-system sikrer du sikkerheden af ​​dine data – men kun hvis implementeringen udføres kompetent, og informationssikkerhedsspørgsmål ikke henlægges i baggrunden. Enig, det er dumt at købe en bil og ikke tjekke bremser, ABS, airbags, sikkerhedsseler, EDS. Det vigtigste er trods alt ikke bare at gå, men at gå sikkert og komme dertil i god behold. Det er det samme med forretning.

Og husk: Hvis reglerne for sikkerhed på arbejdspladsen er skrevet med blod, er cybersikkerhedsreglerne for virksomheder skrevet i penge.

Om emnet cybersikkerhed og CRM-systemets plads i det, kan du læse vores detaljerede artikler:

• Grundlæggende forretningsinstinkt: Edge of Corporate Security — en oversigt over mulige sikkerhedstrusler på virksomhedsområdet og en omtrentlig afsløringsplan.
• Skal du beskytte data mod medarbejdere? — en detaljeret analyse af, hvordan medarbejdere kan skade din virksomhed, og hvordan de gør dette i den kommercielle sfære.

Hvis du leder efter et CRM-system, så på RegionSoft CRM indtil 31. marts 15% rabat. Hvis du har brug for CRM eller ERP, skal du omhyggeligt studere vores produkter og sammenligne deres muligheder med dine mål og målsætninger. Hvis du har spørgsmål eller vanskeligheder, så skriv eller ring, vi tilrettelægger en individuel online præsentation for dig - uden vurderinger eller ringer og fløjter.

Vores kanal i Telegram, hvor vi uden reklamer skriver ikke helt formelle ting om CRM og forretning.

Kilde: www.habr.com