Im Jahr 2008 konnte ich ein IT-Unternehmen besuchen. Bei jedem Mitarbeiter herrschte eine Art ungesunde Anspannung. Der Grund war einfach: Mobiltelefone liegen in einer Box am Eingang des Büros, es gibt eine Kamera hinter der Rückseite, 2 große zusätzliche „schauende“ Kameras im Büro und eine Überwachungssoftware mit Keylogger. Und ja, dies ist nicht das Unternehmen, das SORM oder Lebenserhaltungssysteme für Flugzeuge entwickelt hat, sondern einfach ein Entwickler von Geschäftsanwendungssoftware, die jetzt absorbiert, zerschlagen und nicht mehr existiert (was logisch erscheint). Wenn Sie sich jetzt ausstrecken und denken, dass dies in Ihrem Büro mit Hängematten und M&M in Vasen definitiv nicht der Fall ist, könnten Sie sich sehr irren – es ist nur so, dass die Steuerung im Laufe von 11 Jahren gelernt hat, unsichtbar und korrekt zu sein, ohne dass es zu Showdowns kommt besuchte Websites und heruntergeladene Filme.
Ohne all das ist es also wirklich unmöglich, aber wie sieht es mit Vertrauen, Loyalität und dem Glauben an die Menschen aus? Ob Sie es glauben oder nicht, es gibt genauso viele Unternehmen ohne Sicherheitsmaßnahmen. Aber Mitarbeiter schaffen es, hier und da Fehler zu machen – einfach weil der Faktor Mensch Welten zerstören kann, nicht nur Ihr Unternehmen. Wo können Ihre Mitarbeiter also ihr Unwesen treiben?
Dies ist kein sehr ernst gemeinter Beitrag, der genau zwei Funktionen hat: den Alltag ein wenig aufzulockern und an grundlegende Sicherheitsdinge zu erinnern, die oft vergessen werden. Oh, und erinnere dich noch einmal daran — Ist solche Software nicht der Maßstab für Sicherheit? 🙂
Gehen wir in den Zufallsmodus!
Passwörter, Passwörter, Passwörter...
Man spricht über sie und eine Welle der Empörung rollt über: Wie kann es sein, sie haben es der Welt so oft gesagt, aber die Dinge sind immer noch da! In Unternehmen aller Ebenen, vom Einzelunternehmer bis zum multinationalen Konzern, ist dies ein sehr wunder Punkt. Manchmal kommt es mir so vor, als würde es, wenn sie morgen einen echten Todesstern bauen, so etwas wie „admin/admin“ im Admin-Panel geben. Was können wir also von normalen Benutzern erwarten, für die eine eigene VKontakte-Seite viel teurer ist als ein Firmenkonto? Hier sind die Punkte, die Sie überprüfen sollten:
- Passwörter auf Zettel schreiben, auf die Rückseite der Tastatur, auf den Monitor, auf den Tisch unter der Tastatur, auf einen Aufkleber auf der Unterseite der Maus (listig!) – das sollten Mitarbeiter niemals tun. Und das nicht, weil ein schrecklicher Hacker hereinkommt und während des Mittagessens das gesamte 1C auf ein Flash-Laufwerk herunterlädt, sondern weil sich möglicherweise ein beleidigter Sasha im Büro befindet, der aufgibt und etwas Schmutziges tut oder die Informationen zum letzten Mal wegnimmt . Warum machen Sie das nicht bei Ihrem nächsten Mittagessen?
Das ist es? Dieses Ding speichert alle meine Passwörter
- Festlegen einfacher Passwörter für den Zugriff auf PC- und Arbeitsprogramme. Geburtsdaten, qwerty123 und sogar asdf sind Kombinationen, die in Witze und auf Bashorg gehören und nicht in das Sicherheitssystem des Unternehmens. Legen Sie Anforderungen an Passwörter und deren Länge fest und legen Sie die Häufigkeit der Ersetzung fest.
Ein Passwort ist wie Unterwäsche: Wechseln Sie es oft, teilen Sie es nicht mit Ihren Freunden, ein langes ist besser, seien Sie geheimnisvoll, verteilen Sie es nicht überall
- Die Standard-Programm-Anmeldekennwörter des Anbieters sind fehlerhaft, schon allein deshalb, weil sie fast allen Mitarbeitern des Anbieters bekannt sind, und wenn es sich um ein webbasiertes System in der Cloud handelt, wird es für niemanden schwierig sein, an die Daten zu gelangen. Vor allem, wenn Sie auch über eine Netzwerksicherheit auf dem Niveau „Ziehen Sie nicht am Kabel“ verfügen.
- Erklären Sie den Mitarbeitern, dass der Passworthinweis im Betriebssystem nicht wie „mein Geburtstag“, „Name meiner Tochter“, „Gvoz-dika-78545-ap#1!“ aussehen sollte. auf Englisch." oder „Quarts und eine Eins und eine Null.“
Meine Katze gibt mir tolle Passwörter! Er läuft über meine Tastatur
Physischer Zugang zu Fällen
Wie organisiert Ihr Unternehmen den Zugriff auf Buchhaltungs- und Personaldokumente (z. B. auf Personalakten von Mitarbeitern)? Lassen Sie mich raten: Wenn es ein kleines Unternehmen ist, dann in der Buchhaltung oder im Büro des Chefs in Ordnern in Regalen oder im Schrank; wenn es ein großes Unternehmen ist, dann in der Personalabteilung in Regalen. Aber wenn es sehr groß ist, dann ist höchstwahrscheinlich alles in Ordnung: ein separates Büro oder ein Block mit einem Magnetschlüssel, zu dem nur bestimmte Mitarbeiter Zutritt haben und um dorthin zu gelangen, müssen Sie einen von ihnen anrufen und in ihrer Gegenwart diesen Knotenpunkt betreten. Es ist nicht schwierig, in jedem Unternehmen einen solchen Schutz zu schaffen oder zumindest zu lernen, das Passwort für den Bürosafe nicht mit Kreide an die Tür oder an die Wand zu schreiben (alles basiert auf wahren Begebenheiten, lachen Sie nicht).
Warum ist es wichtig? Erstens haben Arbeitnehmer einen pathologischen Wunsch, die geheimsten Dinge über den anderen herauszufinden: Familienstand, Gehalt, medizinische Diagnosen, Bildung usw. Das ist so ein Kompromiss im Bürowettbewerb. Und Sie profitieren absolut nicht von den Streitereien, die entstehen werden, wenn Designer Petya herausfindet, dass er 20 weniger verdient als Designerin Alice. Zweitens haben die Mitarbeiter dort Zugriff auf die Finanzinformationen des Unternehmens (Bilanzen, Geschäftsberichte, Verträge). Drittens kann einfach etwas verloren gehen, beschädigt oder gestohlen werden, um Spuren in der eigenen Arbeitsgeschichte zu verwischen.
Ein Lagerhaus, in dem jemand ein Verlust, jemand ein Schatz ist
Wenn Sie ein Lager haben, bedenken Sie, dass Sie früher oder später garantiert auf Kriminelle stoßen werden – so funktioniert einfach die Psychologie eines Menschen, der eine große Menge an Produkten sieht und fest davon überzeugt ist, dass ein bisschen von viel kein Raub ist, sondern Teilen. Und eine Wareneinheit aus diesem Haufen kann 200 oder 300 oder mehrere Millionen kosten. Leider kann nichts außer einer umständlichen und vollständigen Kontrolle und Abrechnung den Diebstahl stoppen: Kameras, Annahme und Abschreibung mittels Barcodes, Automatisierung der Lagerbuchhaltung (z. B. in unserem Die Lagerbuchhaltung ist so organisiert, dass der Manager und Vorgesetzte die Warenbewegungen durch das Lager in Echtzeit verfolgen kann.
Bewaffnen Sie Ihr Lager daher bis an die Zähne, sorgen Sie für physische Sicherheit vor dem äußeren Feind und vollständige Sicherheit vor dem inneren Feind. Mitarbeiter in den Bereichen Transport, Logistik und Lager müssen sich darüber im Klaren sein, dass es Kontrolle gibt, dass es funktioniert und sie sich fast selbst bestrafen.
*Hey, stecken Sie nicht Ihre Hände in die Infrastruktur
Wenn die Geschichte vom Serverraum und der Putzfrau sich schon längst überlebt hat und längst zu Erzählungen aus anderen Branchen übergegangen ist (die gleiche ging zum Beispiel von der mystischen Abschaltung des Ventilators auf derselben Station), dann bleibt der Rest Realität . Die Netzwerk- und IT-Sicherheit kleiner und mittlerer Unternehmen lässt zu wünschen übrig, und dies hängt oft nicht davon ab, ob Sie einen eigenen oder einen eingeladenen Systemadministrator haben. Letzteres kommt oft noch besser zurecht.
Was können die Mitarbeiter hier also leisten?
- Am schönsten und harmlosesten ist es, in den Serverraum zu gehen, an den Kabeln zu ziehen, hinzuschauen, Tee zu verschütten, Schmutz aufzutragen oder zu versuchen, selbst etwas zu konfigurieren. Dies betrifft insbesondere „selbstbewusste und fortgeschrittene Benutzer“, die ihren Kollegen heldenhaft beibringen, den Virenschutz zu deaktivieren und den Schutz auf einem PC zu umgehen, und sich sicher sind, dass sie angeborene Götter des Serverraums sind. Im Allgemeinen ist autorisierter eingeschränkter Zugriff Ihr Ein und Alles.
- Diebstahl von Geräten und Austausch von Komponenten. Sie lieben Ihr Unternehmen und haben für alle leistungsstarke Grafikkarten installiert, damit das Abrechnungssystem, CRM und alles andere perfekt funktionieren kann? Großartig! Nur schlaue Jungs (und manchmal auch Mädchen) werden sie leicht durch ein Heimmodell ersetzen, und zu Hause werden sie Spiele auf einem neuen Büromodell ausführen – aber die halbe Welt wird es nicht wissen. Das Gleiche gilt für Tastaturen, Mäuse, Kühler, USVs und alles, was innerhalb der Hardwarekonfiguration irgendwie ersetzt werden kann. Dadurch tragen Sie das Risiko einer Sachbeschädigung bis hin zum vollständigen Verlust und erhalten gleichzeitig nicht die gewünschte Geschwindigkeit und Qualität der Arbeit mit Informationssystemen und Anwendungen. Was spart, ist ein Überwachungssystem (ITSM-System) mit konfigurierter Konfigurationssteuerung, das komplett mit einem unbestechlichen und prinzipientreuen Systemadministrator ausgestattet sein muss.
Vielleicht möchten Sie nach einem besseren Sicherheitssystem suchen? Ich bin mir nicht sicher, ob dieses Zeichen ausreicht
- Die Verwendung eigener Modems, Zugangspunkte oder einer Art gemeinsam genutztem WLAN macht den Zugriff auf Dateien weniger sicher und praktisch unkontrollierbar, was von Angreifern (auch in Absprache mit Mitarbeitern) ausgenutzt werden kann. Außerdem ist die Wahrscheinlichkeit, dass ein Mitarbeiter „mit eigenem Internet“ seine Arbeitszeit auf YouTube, humorvollen Seiten und sozialen Netzwerken verbringt, viel höher.
- Einheitliche Passwörter und Logins für den Zugriff auf den Site-Administrationsbereich, das CMS und die Anwendungssoftware sind schreckliche Dinge, die einen unfähigen oder böswilligen Mitarbeiter in einen schwer fassbaren Rächer verwandeln. Wenn fünf Personen aus demselben Subnetz mit demselben Login/Passwort hereinkommen, um ein Banner aufzustellen, Werbelinks und -metriken zu überprüfen, das Layout zu korrigieren und ein Update hochzuladen, werden Sie nie erraten, wer von ihnen versehentlich das CSS in ein umgewandelt hat Kürbis. Deshalb: unterschiedliche Logins, unterschiedliche Passwörter, Protokollierung von Aktionen und Differenzierung der Zugriffsrechte.
- Ganz zu schweigen von der unlizenzierten Software, die sich Mitarbeiter auf den PC schleppen, um während der Arbeitszeit ein paar Fotos zu bearbeiten oder etwas ganz Hobby-bezogenes zu erstellen. Haben Sie noch nichts von der Inspektion der Abteilung „K“ der Hauptverwaltung für innere Angelegenheiten gehört? Dann kommt sie zu dir!
- Das Antivirenprogramm sollte funktionieren. Ja, einige davon können Ihren PC verlangsamen, Sie irritieren und im Allgemeinen wie ein Zeichen von Feigheit wirken, aber es ist besser, dies zu verhindern, als später mit Ausfallzeiten oder, schlimmer noch, gestohlenen Daten zu bezahlen.
- Warnungen des Betriebssystems vor den Gefahren der Installation einer Anwendung sollten nicht ignoriert werden. Heutzutage dauert es nur noch Sekunden und Minuten, etwas für die Arbeit herunterzuladen. Zum Beispiel Direct.Commander oder AdWords-Editor, ein SEO-Parser usw. Wenn bei Yandex- und Google-Produkten alles mehr oder weniger klar ist, können ein weiterer Picreizer, ein kostenloser Virenreiniger, ein Video-Editor mit drei Effekten, Screenshots, Skype-Recorder und andere „winzige Programme“ sowohl einem einzelnen PC als auch dem gesamten Firmennetzwerk schaden . Bringen Sie den Benutzern bei, zu lesen, was der Computer von ihnen will, bevor sie den Systemadministrator anrufen und sagen, dass „alles tot ist“. In einigen Unternehmen lässt sich das Problem einfach lösen: Viele heruntergeladene nützliche Dienstprogramme werden auf der Netzwerkfreigabe gespeichert und dort wird auch eine Liste geeigneter Online-Lösungen veröffentlicht.
- Die BYOD-Richtlinie oder umgekehrt die Richtlinie, die Nutzung von Arbeitsgeräten außerhalb des Büros zu erlauben, ist eine sehr schlechte Seite der Sicherheit. In diesem Fall haben Verwandte, Freunde, Kinder, öffentliche ungeschützte Netzwerke usw. Zugriff auf die Technologie. Das ist reines russisches Roulette – Sie können fünf Jahre lang durchkommen, aber Sie können alle Ihre Dokumente und wertvollen Dateien verlieren oder beschädigen. Wenn ein Mitarbeiter außerdem böswillige Absichten hat, ist es so einfach, zwei Bytes zu senden, um Daten mit „laufender“ Ausrüstung preiszugeben. Sie müssen auch bedenken, dass Mitarbeiter häufig Dateien zwischen ihren PCs übertragen, was wiederum zu Sicherheitslücken führen kann.
- Das Sperren Ihrer Geräte während Ihrer Abwesenheit ist sowohl für den geschäftlichen als auch für den privaten Gebrauch eine gute Angewohnheit. Auch hier schützt es Sie vor neugierigen Kollegen, Bekannten und Eindringlingen an öffentlichen Orten. Es ist schwer, sich daran zu gewöhnen, aber an einem meiner Arbeitsplätze hatte ich ein wunderbares Erlebnis: Kollegen näherten sich einem entsperrten PC und Paint war über das gesamte Fenster geöffnet mit der Aufschrift „Computer sperren!“ und es hat sich etwas an der Arbeit geändert, zum Beispiel wurde die letzte aufgepumpte Baugruppe abgerissen oder der zuletzt eingeführte Fehler entfernt (dies war eine Testgruppe). Es ist grausam, aber 1-2 Mal reichten selbst für die hölzernsten Exemplare. Obwohl ich vermute, dass Nicht-IT-Leute solchen Humor möglicherweise nicht verstehen.
- Aber die schlimmste Sünde liegt natürlich beim Systemadministrator und Management – wenn sie kategorisch keine Verkehrskontrollsysteme, Geräte, Lizenzen etc. nutzen.
Das ist natürlich eine Basis, denn die IT-Infrastruktur ist genau der Ort, an dem es umso mehr Brennholz gibt, je weiter man in den Wald vordringt. Und jeder sollte diese Basis haben und nicht durch die Worte „Wir vertrauen uns alle“, „Wir sind eine Familie“, „Wer es braucht“ ersetzt werden – leider ist dies vorerst der Fall.
Das ist das Internet, Baby, sie können viel über dich wissen.
Es ist an der Zeit, den sicheren Umgang mit dem Internet in den Lebenssicherheitskurs der Schule einzuführen – und dabei geht es keineswegs um die Maßnahmen, in die wir von außen eingetaucht werden. Dabei geht es insbesondere um die Fähigkeit, einen Link von einem Link zu unterscheiden, zu verstehen, wo es sich um Phishing und wo um Betrug handelt, darum, E-Mail-Anhänge mit dem Betreff „Abgleichsbericht“ von einer unbekannten Adresse nicht zu öffnen, ohne es zu verstehen, usw. Zwar scheinen die Schüler das alles bereits zu beherrschen, die Mitarbeiter jedoch nicht. Es gibt viele Tricks und Fehler, die auf einmal das gesamte Unternehmen gefährden können.
- Soziale Netzwerke sind ein Bereich des Internets, der am Arbeitsplatz keinen Platz hat, doch ihre Sperrung auf Unternehmensebene im Jahr 2019 ist eine unpopuläre und demotivierende Maßnahme. Daher müssen Sie lediglich allen Mitarbeitern schreiben, wie sie die Rechtswidrigkeit von Links überprüfen, sie über die Betrugsarten informieren und sie bitten, am Arbeitsplatz zu arbeiten.
- E-Mail ist ein wunder Punkt und vielleicht die beliebteste Methode, um Informationen zu stehlen, Malware einzuschleusen und einen PC und das gesamte Netzwerk zu infizieren. Leider betrachten viele Arbeitgeber den E-Mail-Client als kostensparendes Tool und nutzen kostenlose Dienste, die täglich 200 Spam-E-Mails empfangen, die Filter usw. passieren. Und einige verantwortungslose Menschen öffnen solche Briefe und Anhänge, Links, Bilder – offenbar hoffen sie, dass der schwarze Prinz ihnen ein Erbe hinterlassen hat. Danach hat der Administrator sehr, sehr viel Arbeit. Oder war das so gewollt? Übrigens noch eine grausame Geschichte: In einem Unternehmen wurde der KPI für jeden Spam-Brief an den Systemadministrator reduziert. Im Allgemeinen gab es nach einem Monat keinen Spam – die Praxis wurde von der Mutterorganisation übernommen und es gibt immer noch keinen Spam. Wir haben dieses Problem elegant gelöst – wir haben unseren eigenen E-Mail-Client entwickelt und ihn in unseren eigenen integriert , sodass auch alle unsere Kunden ein solches Komfortfeature erhalten.
Wenn Sie das nächste Mal eine seltsame E-Mail mit einem Büroklammersymbol erhalten, klicken Sie nicht darauf!
- Auch Messenger sind eine Quelle aller möglichen unsicheren Links, aber das ist viel weniger schlimm als E-Mails (die Zeit, die mit Chatten verschwendet wird, nicht mitgerechnet).
Es scheint, dass das alles Kleinigkeiten sind. Allerdings kann jede dieser Kleinigkeiten katastrophale Folgen haben, insbesondere wenn Ihr Unternehmen Ziel eines Angriffs eines Konkurrenten ist. Und das kann buchstäblich jedem passieren.
Geschwätzige Mitarbeiter
Dies ist der sehr menschliche Faktor, den Sie nur schwer loswerden können. Mitarbeiter können auf dem Flur, in einem Café, auf der Straße, bei einem Kunden zu Hause über die Arbeit sprechen, lautstark über einen anderen Kunden sprechen und zu Hause über Arbeitserfolge und Projekte sprechen. Natürlich ist die Wahrscheinlichkeit, dass ein Konkurrent hinter Ihnen steht, vernachlässigbar (wenn Sie sich nicht im selben Geschäftszentrum befinden – das ist schon passiert), aber die Möglichkeit, dass ein Mann, der seine geschäftlichen Angelegenheiten klar darlegt, auf einem Smartphone gefilmt und gepostet wird YouTube ist seltsamerweise höher. Aber das ist auch Blödsinn. Es ist kein Blödsinn, wenn Ihre Mitarbeiter bei Schulungen, Konferenzen, Treffen, Fachforen oder sogar auf Habré bereitwillig Informationen über ein Produkt oder ein Unternehmen präsentieren. Darüber hinaus rufen Menschen ihre Gegner häufig absichtlich zu solchen Gesprächen auf, um Wettbewerbsinformationen zu erhalten.
Eine aufschlussreiche Geschichte. Auf einer IT-Konferenz von galaktischem Ausmaß präsentierte der Sektionsredner auf einer Folie ein vollständiges Diagramm der Organisation der IT-Infrastruktur eines großen Unternehmens (Top 20). Der Entwurf war mega beeindruckend, einfach kosmisch, fast jeder hat ihn fotografiert und er verbreitete sich sofort in den sozialen Netzwerken mit begeisterten Kritiken. Nun, dann hat der Redner sie dabei erwischt, wie sie Geotags, Stände und soziale Medien verwendet haben. Netzwerke derer, die es gepostet und darum gebettelt haben, gelöscht zu werden, weil sie ihn ziemlich schnell angerufen und „Ah-ta-ta“ gesagt haben. Ein Schwätzer ist ein Geschenk des Himmels für einen Spion.
Unwissenheit... befreit dich von Strafe
Laut dem globalen Bericht von Kaspersky Lab aus dem Jahr 2017 über Unternehmen, die in einem Zeitraum von 12 Monaten Cybersicherheitsvorfälle erlebten, betraf jeder zehnte (11 %) der schwerwiegendsten Vorfalltypen unvorsichtige und uninformierte Mitarbeiter.
Gehen Sie nicht davon aus, dass die Mitarbeiter alles über die Sicherheitsmaßnahmen des Unternehmens wissen, sondern warnen Sie sie unbedingt, bieten Sie Schulungen an, erstellen Sie regelmäßig interessante Newsletter zu Sicherheitsthemen, halten Sie Besprechungen bei Pizza ab und klären Sie Probleme erneut. Und ja, ein cooler Life-Hack – markieren Sie alle gedruckten und elektronischen Informationen mit Farben, Zeichen und Aufschriften: Geschäftsgeheimnis, Geheimnis, für den offiziellen Gebrauch, allgemeiner Zugang. Das funktioniert wirklich.
Die moderne Welt hat Unternehmen in eine sehr heikle Lage gebracht: Es gilt, ein Gleichgewicht zwischen dem Wunsch des Mitarbeiters, nicht nur bei der Arbeit hart zu arbeiten, sondern auch Unterhaltungsinhalte im Hintergrund/in den Pausen zu erhalten, und strengen Sicherheitsvorschriften des Unternehmens aufrechtzuerhalten. Wenn Sie Hyperkontrolle und schwachsinnige Tracking-Programme (ja, kein Tippfehler – das ist keine Sicherheit, das ist Paranoia) und Kameras hinter Ihrem Rücken einschalten, sinkt das Vertrauen der Mitarbeiter in das Unternehmen, aber die Aufrechterhaltung des Vertrauens ist auch ein Sicherheitsinstrument für Unternehmen.
Informieren Sie sich daher darüber, wann Sie aufhören müssen, respektieren Sie Ihre Mitarbeiter und machen Sie Backups. Und am wichtigsten: Geben Sie der Sicherheit Vorrang und nicht der persönlichen Paranoia.
Wenn Sie brauchen und vergleichen Sie ihre Fähigkeiten mit Ihren Zielen und Vorgaben. Wenn Sie Fragen oder Schwierigkeiten haben, schreiben Sie oder rufen Sie an, wir organisieren für Sie eine individuelle Online-Präsentation – ohne Bewertungen und Schnickschnack.
, in dem wir ohne Werbung nicht ganz formelle Dinge über CRM und Business schreiben.
Source: habr.com