I 2008 kunne jeg besøge en it-virksomhed. Der var en form for usund spænding i hver medarbejder. Årsagen viste sig at være enkel: Mobiltelefoner er i en boks ved indgangen til kontoret, der er et kamera bagved, 2 store ekstra "se" kameraer på kontoret og overvågningssoftware med en keylogger. Og ja, dette er ikke virksomheden, der udviklede SORM eller fly-livstøttesystemer, men blot en udvikler af forretningsapplikationssoftware, nu absorberet, knust og ikke længere eksisterer (hvilket virker logisk). Hvis du nu strækker dig ud og tænker, at det på dit kontor med hængekøjer og M&M i vaser bestemt ikke er tilfældet, kan du tage meget fejl - det er bare sådan, at kontrollen over 11 år har lært at være usynlig og korrekt, uden opgør over besøgte sider og downloadede film.
Så er det virkelig umuligt uden alt dette, men hvad med tillid, loyalitet, tro på mennesker? Tro det eller ej, der er lige så mange virksomheder uden sikkerhedsforanstaltninger. Men medarbejderne formår at rode både her og der – simpelthen fordi den menneskelige faktor kan ødelægge verdener, ikke kun din virksomhed. Så, hvor kan dine medarbejdere komme op i ballade?
Dette er ikke et særligt seriøst indlæg, som har præcis to funktioner: At lyse lidt op i hverdagen og at minde dig om grundlæggende sikkerhedsting, som ofte glemmes. Åh, og endnu en gang minde dig om — Er sådan software ikke kanten af sikkerhed? 🙂
Lad os gå i tilfældig tilstand!
Adgangskoder, adgangskoder, adgangskoder...
Man taler om dem, og en bølge af indignation ruller ind: hvordan kan det være, fortalte de verden så mange gange, men tingene er der stadig! I virksomheder på alle niveauer, fra individuelle iværksættere til multinationale selskaber, er dette et meget ømt sted. Nogle gange forekommer det mig, at hvis de i morgen bygger en rigtig Death Star, vil der være noget som admin/admin i admin panelet. Så hvad kan vi forvente af almindelige brugere, for hvem deres egen VKontakte-side er meget dyrere end en virksomhedskonto? Her er de punkter, du skal tjekke:
- At skrive adgangskoder på stykker papir, på bagsiden af tastaturet, på skærmen, på bordet under tastaturet, på et klistermærke i bunden af musen (udspekuleret!) - det bør medarbejdere aldrig gøre. Og ikke fordi en frygtelig hacker vil komme ind og downloade hele 1C til et flashdrev over frokosten, men fordi der kan være en fornærmet Sasha på kontoret, som vil holde op og gøre noget beskidt eller tage informationen væk for sidste gang . Hvorfor ikke gøre dette til din næste frokost?
Det er hvad? Denne ting gemmer alle mine adgangskoder
- Indstilling af enkle adgangskoder for at komme ind på pc'en og arbejdsprogrammer. Fødselsdatoer, qwerty123 og endda asdf er kombinationer, der hører hjemme i jokes og på bashorg, og ikke i virksomhedens sikkerhedssystem. Indstil krav til adgangskoder og deres længde, og indstil hyppigheden af udskiftning.
Et kodeord er som undertøj: skift det ofte, del det ikke med dine venner, et langt er bedre, vær mystisk, spred det ikke overalt
- Leverandørens standardprogrammer til login-adgangskoder er fejlbehæftede, om ikke andet fordi næsten alle leverandørens medarbejdere kender dem, og hvis du har med et webbaseret system i skyen at gøre, vil det ikke være svært for nogen at få fat i dataene. Især hvis du også har netværkssikkerhed på niveauet "træk ikke i ledningen".
- Forklar medarbejderne, at adgangskodehintet i operativsystemet ikke skal ligne "min fødselsdag", "datters navn", "Gvoz-dika-78545-ap#1! på engelsk." eller "quarts og en et og et nul."
Min kat giver mig fantastiske adgangskoder! Han går hen over mit tastatur
Fysisk adgang til sager
Hvordan organiserer din virksomhed adgangen til regnskabs- og personaledokumentation (f.eks. til medarbejderes personlige filer)? Lad mig gætte: hvis det er en lille virksomhed, så i regnskabsafdelingen eller på chefens kontor i mapper på hylder eller i et skab; hvis det er en stor virksomhed, så i HR-afdelingen på hylderne. Men hvis det er meget stort, så er alt sandsynligvis korrekt: et separat kontor eller blok med en magnetisk nøgle, hvor kun visse medarbejdere har adgang, og for at komme dertil, skal du ringe til en af dem og gå ind i denne node i deres tilstedeværelse. Der er intet svært ved at lave en sådan beskyttelse i enhver virksomhed, eller i det mindste lære ikke at skrive adgangskoden til pengeskabet på kontoret med kridt på døren eller på væggen (alt er baseret på virkelige begivenheder, grin ikke).
Hvorfor er det vigtigt? For det første har arbejdere et patologisk ønske om at finde ud af de mest hemmelige ting om hinanden: civilstand, løn, medicinske diagnoser, uddannelse osv. Dette er sådan et kompromis i kontorkonkurrence. Og du har absolut ikke gavn af de skænderier, der vil opstå, når designeren Petya finder ud af, at han tjener 20 mindre end designeren Alice. For det andet kan medarbejderne her få adgang til virksomhedens økonomiske oplysninger (balancer, årsrapporter, kontrakter). For det tredje kan noget simpelthen gå tabt, beskadiget eller stjålet for at dække over spor i ens egen arbejdshistorie.
Et lager, hvor nogen er et tab, nogen er en skat
Hvis du har et lager, så tænk på, at du før eller siden med garanti vil støde på kriminelle - det er simpelthen sådan en persons psykologi fungerer, som ser en stor mængde produkter og er overbevist om, at lidt af meget ikke er røveri, men deling. Og en enhed af varer fra denne bunke kan koste 200 tusinde eller 300 tusinde eller flere millioner. Desværre kan intet stoppe tyveri undtagen pedantisk og total kontrol og regnskab: kameraer, accept og afskrivning ved hjælp af stregkoder, automatisering af lagerregnskab (f.eks. i vores lagerregnskab er organiseret på en sådan måde, at leder og supervisor kan se varebevægelsen gennem lageret i realtid).
Bevæbn derfor dit lager til tænderne, sørg for fysisk sikkerhed fra den ydre fjende og komplet sikkerhed fra den indre. Medarbejdere i transport, logistik og lagre skal klart forstå, at der er kontrol, det virker, og de vil nærmest straffe sig selv.
*hej, stik ikke dine hænder ind i infrastrukturen
Hvis historien om serverrummet og rengøringsdamen allerede har overlevet sig selv og for længst har migreret til fortællinger om andre industrier (for eksempel, den samme gik på den mystiske nedlukning af ventilatoren på samme afdeling), så forbliver resten virkelighed . Netværks- og IT-sikkerhed hos små og mellemstore virksomheder lader meget tilbage at ønske, og det afhænger ofte ikke af, om du har din egen systemadministrator eller en inviteret. Sidstnævnte klarer sig ofte endnu bedre.
Så hvad er medarbejderne her i stand til?
- Det hyggeligste og mest harmløse er at gå til serverrummet, trække i ledningerne, kigge, spilde te, påføre snavs eller prøve at konfigurere noget selv. Dette påvirker især "sikre og avancerede brugere", som heroisk lærer deres kolleger at deaktivere antivirus og omgå beskyttelse på en pc og er sikre på, at de er medfødte guder i serverrummet. Generelt er autoriseret begrænset adgang dit alt.
- Tyveri af udstyr og udskiftning af komponenter. Elsker du din virksomhed og har installeret kraftfulde videokort til alle, så faktureringssystemet, CRM og alt muligt andet kan fungere perfekt? Store! Kun snedige fyre (og nogle gange piger) vil nemt erstatte dem med en hjemmemodel, og derhjemme vil de køre spil på en ny kontormodel - men halvdelen af verden vil ikke vide det. Det er den samme historie med tastaturer, mus, kølere, UPS'er og alt det, der på en eller anden måde kan erstattes i hardwarekonfigurationen. Som følge heraf bærer du risikoen for skade på ejendom, dets fuldstændige tab, og samtidig får du ikke den ønskede hastighed og kvalitet i arbejdet med informationssystemer og applikationer. Det, der sparer, er et overvågningssystem (ITSM-system) med konfigureret konfigurationskontrol), som skal leveres komplet med en ubestikkelig og principfast systemadministrator.
Måske vil du lede efter et bedre sikkerhedssystem? Jeg er ikke sikker på, om dette tegn er nok
- Brug af dine egne modemer, adgangspunkter eller en slags delt Wi-Fi gør adgangen til filer mindre sikker og praktisk talt ukontrollerbar, hvilket kan udnyttes af angribere (inklusive i hemmelig aftale med medarbejdere). Tja, desuden er sandsynligheden for, at en medarbejder "med sit eget internet" vil bruge arbejdstimer på YouTube, humoristiske sider og sociale netværk meget højere.
- Samlede adgangskoder og logins til at få adgang til webstedets administrationsområde, CMS, applikationssoftware er forfærdelige ting, der gør en uduelig eller ondsindet medarbejder til en undvigende hævner. Hvis du har 5 personer fra det samme undernet med samme login/adgangskode, der kommer ind for at sætte et banner op, tjekke annonceringslinks og målinger, rette layoutet og uploade en opdatering, vil du aldrig gætte, hvem af dem ved et uheld gjorde CSS'en til en græskar. Derfor: forskellige logins, forskellige adgangskoder, logning af handlinger og differentiering af adgangsrettigheder.
- Det er overflødigt at sige om den ulicenserede software, som medarbejderne trækker ind på deres pc'er for at redigere et par billeder i arbejdstiden eller lave noget meget hobbyrelateret. Har du ikke hørt om inspektionen af afdeling "K" i det centrale indre direktorat? Så kommer hun til dig!
- Antivirus skal virke. Ja, nogle af dem kan bremse din pc, irritere dig og generelt virke som et tegn på fejhed, men det er bedre at forhindre det end senere at betale med nedetid eller endnu værre, stjålne data.
- Operativsystemadvarsler om farerne ved at installere et program bør ikke ignoreres. I dag er det et spørgsmål om sekunder og minutter at downloade noget til arbejdet. For eksempel Direct.Commander eller AdWords editor, en eller anden SEO-parser osv. Hvis alt er mere eller mindre klart med Yandex- og Google-produkter, så kan en anden picreizer, en gratis virusrenser, en videoeditor med tre effekter, skærmbilleder, Skype-optagere og andre "små programmer" skade både en individuel pc og hele virksomhedens netværk . Træn brugerne til at læse, hvad computeren vil have af dem, før de ringer til systemadministratoren og siger, at "alt er dødt." I nogle virksomheder løses problemet ganske enkelt: mange downloadede nyttige hjælpeprogrammer er gemt på netværksdelingen, og en liste over egnede onlineløsninger er også offentliggjort der.
- BYOD-politikken eller omvendt politikken med at tillade brug af arbejdsudstyr uden for kontoret er en meget ond side af sikkerheden. I dette tilfælde har pårørende, venner, børn, offentlige ubeskyttede netværk osv. adgang til teknologien. Dette er rent russisk roulette - du kan gå i 5 år og klare dig, men du kan miste eller beskadige alle dine dokumenter og værdifulde filer. Tja, desuden, hvis en medarbejder har ondsindede hensigter, er det lige så nemt som at sende to bytes til at lække data med "gående" udstyr. Du skal også huske, at medarbejdere ofte overfører filer mellem deres personlige computere, hvilket igen kan skabe sikkerhedshuller.
- At låse dine enheder, mens du er væk, er en god vane til både firma- og privatbrug. Igen beskytter det dig mod nysgerrige kolleger, bekendte og ubudne gæster på offentlige steder. Det er svært at vænne sig til dette, men på et af mine arbejdspladser havde jeg en vidunderlig oplevelse: Kolleger henvendte sig til en ulåst pc, og Paint blev åbnet over hele vinduet med inskriptionen "Lås computeren!" og noget ændrede sig i arbejdet, f.eks. blev den sidste oppumpede enhed revet ned eller den sidst indførte fejl blev fjernet (dette var en testgruppe). Det er grusomt, men 1-2 gange var nok selv for de mest træ. Selvom jeg formoder, ikke-IT-folk måske ikke forstår sådan humor.
- Men den værste synd ligger selvfølgelig hos systemadministratoren og ledelsen – hvis de kategorisk ikke bruger trafikstyringssystemer, udstyr, licenser mv.
Det er selvfølgelig en base, for IT-infrastrukturen er netop det sted, hvor jo længere ind i skoven, jo mere brænde er der. Og alle burde have denne base, og ikke blive erstattet af ordene "vi stoler alle på hinanden", "vi er en familie", "hvem har brug for det" - desværre, det er for tiden.
Dette er internettet, skat, de kan vide meget om dig.
Det er på tide at indføre sikker håndtering af internettet i livssikkerhedskurset på skolen - og det handler slet ikke om de tiltag, vi er fordybet i udefra. Dette handler specifikt om muligheden for at skelne et link fra et link, forstå hvor der er phishing og hvor der er et svindelnummer, ikke åbne e-mailvedhæftede filer med emnet "Afstemningsrapport" fra en ukendt adresse uden at forstå det osv. Selvom det ser ud til, at skolebørn allerede har mestret alt dette, men medarbejderne har ikke. Der er mange tricks og fejl, der kan bringe hele virksomheden i fare på én gang.
- Sociale netværk er en del af internettet, der ikke har nogen plads på arbejdet, men at blokere dem på virksomhedsniveau i 2019 er en upopulær og demotiverende foranstaltning. Derfor skal du bare skrive til alle medarbejdere, hvordan du tjekker ulovligheden af links, fortælle dem om typerne af svindel og bede dem om at arbejde på arbejdet.
- Mail er et ømt sted og måske den mest populære måde at stjæle information, plante malware og inficere en pc og hele netværket. Ak, mange arbejdsgivere anser e-mail-klienten for at være et omkostningsbesparende værktøj og bruger gratis tjenester, der modtager 200 spam-e-mails om dagen, der kommer gennem filtre osv. Og nogle uansvarlige mennesker åbner sådanne breve og vedhæftede filer, links, billeder - tilsyneladende håber de, at den sorte prins efterlod en arv til dem. Hvorefter administratoren har meget, meget arbejde. Eller var det tænkt sådan? Forresten en anden grusom historie: I et firma blev KPI reduceret for hvert spambrev til systemadministratoren. Generelt var der efter en måned ingen spam - praksis blev vedtaget af moderorganisationen, og der er stadig ingen spam. Vi løste dette problem elegant - vi udviklede vores egen e-mail-klient og indbyggede den i vores egen , så alle vores kunder får også sådan en praktisk funktion.
Næste gang du modtager en mærkelig e-mail med et papirclips-symbol, skal du ikke klikke på det!
- Messengers er også en kilde til alle mulige usikre links, men det er meget mindre ondt end mail (bortset fra den spildte tid på chats).
Det lader til, at det alle er småting. Men hver af disse små ting kan have katastrofale konsekvenser, især hvis din virksomhed er målet for en konkurrents angreb. Og dette kan ske for bogstaveligt talt enhver.
Snaskede medarbejdere
Dette er den meget menneskelige faktor, som vil være svær for dig at slippe af med. Medarbejdere kan diskutere arbejde i korridoren, på en cafe, på gaden, hos en klient, tale højt om en anden klient, tale om arbejdsresultater og projekter derhjemme. Selvfølgelig er sandsynligheden for, at en konkurrent står bag dig, ubetydelig (hvis du ikke er i samme forretningscenter - det er sket), men muligheden for, at en fyr, der tydeligt angiver sine forretningsanliggender, vil blive filmet på en smartphone og lagt ud på YouTube er mærkeligt nok højere. Men det er også noget lort. Det er ikke noget bullshit, når dine medarbejdere villigt præsenterer information om et produkt eller en virksomhed på kurser, konferencer, møder, professionelle fora eller endda på Habré. Desuden kalder folk ofte bevidst deres modstandere til sådanne samtaler for at udføre konkurrencemæssig intelligens.
En afslørende historie. Ved en it-konference i galaktisk skala lagde sektionstaleren på et dias et komplet diagram over organiseringen af en stor virksomheds it-infrastruktur (top 20). Ordningen var mega imponerende, simpelthen kosmisk, næsten alle fotograferede den, og den fløj med det samme på tværs af sociale netværk med rosende anmeldelser. Nå, så fangede taleren dem ved hjælp af geotags, standere, sociale medier. netværk af dem, der postede det og bad om at blive slettet, fordi de ringede til ham ret hurtigt og sagde ah-ta-ta. En chatterbox er en gave fra gud til en spion.
Uvidenhed... frigør dig fra straf
Ifølge Kaspersky Labs globale rapport for 2017 om virksomheder, der oplever cybersikkerhedshændelser i en 12-måneders periode, involverede hver tiende (11 %) af de mest alvorlige hændelsestyper skødesløse og uinformerede medarbejdere.
Gå ikke ud fra, at medarbejderne ved alt om virksomhedens sikkerhedsforanstaltninger, sørg for at advare dem, sørge for træning, lave interessante periodiske nyhedsbreve om sikkerhedsspørgsmål, holde møder over pizza og afklare problemer igen. Og ja, et fedt life hack - mærk alle trykte og elektroniske oplysninger med farver, skilte, påskrifter: forretningshemmelighed, hemmelighed, til officiel brug, generel adgang. Dette virker virkelig.
Den moderne verden har sat virksomheder i en meget ømtålelig situation: det er nødvendigt at opretholde en balance mellem medarbejderens ønske om ikke kun at arbejde hårdt på arbejdet, men også modtage underholdningsindhold i baggrunden/i pauserne og strenge virksomheders sikkerhedsregler. Hvis du tænder for hyperkontrol og idiotiske sporingsprogrammer (ja, ikke en tastefejl – det er ikke sikkerhed, det er paranoia) og kameraer bag din ryg, så vil medarbejdernes tillid til virksomheden falde, men at bevare tilliden er også et sikkerhedsværktøj i virksomheden.
Ved derfor, hvornår du skal stoppe, respekter dine medarbejdere og lav backups. Og vigtigst af alt, prioriter sikkerhed, ikke personlig paranoia.
Hvis du har brug for og sammenligne deres evner med dine mål og målsætninger. Hvis du har spørgsmål eller vanskeligheder, så skriv eller ring, vi tilrettelægger en individuel online præsentation for dig - uden vurderinger eller ringer og fløjter.
, hvor vi uden reklamer skriver ikke helt formelle ting om CRM og forretning.
Kilde: www.habr.com