El 31 de marzo es el Día Internacional de la Copia de Seguridad y la semana anterior siempre está llena de historias relacionadas con la seguridad. El lunes ya supimos sobre Asus comprometido y "tres fabricantes anónimos". Las empresas particularmente supersticiosas se sientan en ascuas toda la semana, haciendo copias de seguridad. Y todo porque todos somos un poco descuidados en términos de seguridad: alguien olvida abrocharse el cinturón de seguridad en el asiento trasero, alguien ignora la fecha de caducidad de los productos, alguien guarda su nombre de usuario y contraseña debajo del teclado, y mejor aún, anota Todas las contraseñas en un cuaderno. Algunas personas logran desactivar los antivirus “para no ralentizar el ordenador” y no utilizar la separación de derechos de acceso en los sistemas corporativos (¡qué secretos en una empresa de 50 personas!). Probablemente, la humanidad simplemente aún no ha desarrollado el instinto de autoconservación cibernética, que, en principio, puede convertirse en un nuevo instinto básico.
Las empresas tampoco han desarrollado tales instintos. Una pregunta sencilla: ¿un sistema CRM es una amenaza a la seguridad de la información o una herramienta de seguridad? Es poco probable que alguien dé una respuesta precisa de inmediato. Aquí tenemos que empezar, como nos enseñaron en las lecciones de inglés: depende... Depende de la configuración, la forma de entrega de CRM, los hábitos y creencias del proveedor, el grado de desprecio de los empleados, la sofisticación de los atacantes. . Al fin y al cabo, todo se puede hackear. Entonces ¿cómo vivir?
Así es la seguridad de la información en las pequeñas y medianas empresas
Sistema CRM como protección
Proteger los datos comerciales y operativos y almacenar de forma segura su base de clientes es una de las principales tareas de un sistema CRM, y en esto está muy por encima de cualquier otro software de aplicación de la empresa.
Seguramente empezaste a leer este artículo y sonreiste en el fondo, diciendo, ¿quién necesita tu información? Si es así, entonces probablemente no se haya ocupado de ventas y no sepa qué demanda tienen las bases de clientes "en vivo" y de alta calidad ni la información sobre los métodos de trabajo con esta base. Los contenidos del sistema CRM son interesantes no sólo para la dirección de la empresa, sino también para:
- Los atacantes (con menos frecuencia): tienen un objetivo relacionado específicamente con su empresa y utilizarán todos los recursos para obtener datos: soborno de empleados, piratería, compra de sus datos a gerentes, entrevistas con gerentes, etc.
- Empleados (más a menudo) que pueden actuar como información privilegiada para sus competidores. Simplemente están dispuestos a quitarles o vender su base de clientes para su propio beneficio.
- Para los piratas informáticos aficionados (muy raramente): es posible que lo pirateen en la nube donde se encuentran sus datos o que pirateen la red, o tal vez alguien quiera "sacar" sus datos por diversión (por ejemplo, datos sobre mayoristas de productos farmacéuticos o alcohol). simplemente interesante de ver).
Si alguien entra en tu CRM, tendrá acceso a tus actividades operativas, es decir, al volumen de datos con el que obtienes la mayor parte de tus beneficios. Y desde el momento en que se obtiene acceso malicioso al sistema CRM, las ganancias comienzan a sonreír a aquel en cuyas manos termina la base de clientes. Bueno, o sus socios y clientes (léase - nuevos empleadores).
Bueno, confiable es capaz de cubrir estos riesgos y ofrecer un montón de agradables bonificaciones en el ámbito de la seguridad.
Entonces, ¿qué puede hacer un sistema CRM en términos de seguridad?
(te lo contamos con un ejemplo, porque No podemos ser responsables de los demás)
- Autenticación de dos factores mediante llave USB y contraseña. admite el modo de autorización de usuario de dos factores al iniciar sesión en el sistema. En este caso, al iniciar sesión en el sistema, además de ingresar la contraseña, deberá insertar una llave USB previamente inicializada en el puerto USB de la computadora. El modo de autorización de dos factores ayuda a proteger contra el robo o la divulgación de contraseñas.
Pulsable
- Ejecute desde direcciones IP y direcciones MAC confiables. Para mejorar la seguridad, puede restringir que los usuarios inicien sesión únicamente desde direcciones IP y direcciones MAC registradas. Tanto las direcciones IP internas en la red local como las direcciones externas se pueden utilizar como direcciones IP si el usuario se conecta de forma remota (a través de Internet).
- Autorización de dominio (autorización de Windows). El inicio del sistema se puede configurar para que no se requiera la contraseña de usuario al iniciar sesión. En este caso, se produce la autorización de Windows, que identifica al usuario mediante WinAPI. El sistema se iniciará con el usuario bajo cuyo perfil se esté ejecutando la computadora en el momento en que se inicia el sistema.
- Otro mecanismo es clientes privados. Los clientes privados son clientes que sólo pueden ser vistos por su supervisor. Estos clientes no aparecerán en las listas de otros usuarios, incluso si otros usuarios tienen permisos completos, incluidos derechos de administrador. De este modo se puede proteger, por ejemplo, un grupo de clientes especialmente importantes o un grupo por otro motivo, que se confiará a un gestor fiable.
- Mecanismo de división de los derechos de acceso — una medida de seguridad estándar y primaria en CRM. Para simplificar el proceso de administración de los derechos de usuario, en Los derechos no se asignan a usuarios específicos, sino a plantillas. Y al propio usuario se le asigna una u otra plantilla, que tiene un determinado conjunto de derechos. Esto permite a cada empleado, desde nuevos empleados hasta pasantes y directores, asignar permisos y derechos de acceso que les permitirán o impedirán acceder a datos confidenciales e información comercial confidencial.
- Sistema automático de respaldo de datos (copias de seguridad)configurable a través del servidor de script .
Esta es la implementación de seguridad usando un solo sistema como ejemplo, cada proveedor tiene sus propias políticas. Sin embargo, el sistema CRM realmente protege su información: puede ver quién tomó tal o cual informe y a qué hora, quién vio qué datos, quién los descargó y mucho más. Incluso si descubre la vulnerabilidad después del hecho, no dejará el acto impune y podrá identificar fácilmente al empleado que abusó de la confianza y lealtad de la empresa.
¿Estás relajado? ¡Temprano! Esta misma protección puede funcionar en su contra si es descuidado e ignora las cuestiones de protección de datos.
El sistema CRM como amenaza
Si su empresa tiene al menos una PC, esto ya es una fuente de ciberamenaza. En consecuencia, el nivel de amenaza aumenta con el número de estaciones de trabajo (y empleados) y con la variedad de software instalado y utilizado. Y las cosas no son fáciles con los sistemas CRM; después de todo, este es un programa diseñado para almacenar y procesar el activo más importante y costoso: una base de clientes e información comercial, y aquí estamos contando historias de terror sobre su seguridad. De hecho, no todo es tan sombrío de cerca y, si se maneja correctamente, no recibirá más que beneficios y seguridad del sistema CRM.
¿Cuáles son los signos de un sistema CRM peligroso?
Comencemos con una breve excursión a los conceptos básicos. Los CRM vienen en versiones de escritorio y en la nube. Los de nube son aquellos cuyo DBMS (base de datos) no está ubicado en su empresa, sino en una nube pública o privada en algún centro de datos (por ejemplo, está sentado en Chelyabinsk y su base de datos se ejecuta en un centro de datos genial en Moscú). , porque el proveedor de CRM así lo decidió y tiene un acuerdo con este proveedor en particular). Las computadoras de escritorio (también conocidas como servidores locales, lo cual ya no es tan cierto) basan su DBMS en sus propios servidores (no, no, no se imagine una sala de servidores enorme con bastidores costosos, la mayoría de las veces en las pequeñas y medianas empresas es un único servidor o incluso un PC normal y corriente de configuración moderna), es decir, físicamente en su oficina.
Es posible obtener acceso no autorizado a ambos tipos de CRM, pero la velocidad y facilidad de acceso son diferentes, especialmente si hablamos de PYMES a las que no les importa mucho la seguridad de la información.
Señal de peligro n.° 1
La razón de la mayor probabilidad de problemas con los datos en un sistema en la nube es la relación conectada por varios enlaces: usted (inquilino de CRM) - proveedor - proveedor (hay una versión más larga: usted - proveedor - subcontratista de TI del proveedor - proveedor) . 3-4 vínculos en una relación tienen más riesgos que 1-2: puede ocurrir un problema por parte del proveedor (cambio de contrato, impago de los servicios del proveedor), por parte del proveedor (fuerza mayor, piratería informática, problemas técnicos), por parte del subcontratista (cambio de gerente o ingeniero), etc. Por supuesto, los grandes proveedores intentan tener centros de datos de respaldo, gestionar riesgos y mantener su departamento de DevOps, pero esto no excluye problemas.
El CRM de escritorio generalmente no se alquila, sino que lo compra la empresa; en consecuencia, la relación parece más simple y transparente: durante la implementación del CRM, el proveedor configura los niveles de seguridad necesarios (desde diferenciar los derechos de acceso y una llave USB física hasta encerrar el servidor en un muro de hormigón, etc.) y transfiere el control a la empresa propietaria del CRM, que puede aumentar la protección, contratar a un administrador del sistema o ponerse en contacto con su proveedor de software según sea necesario. Los problemas se reducen a trabajar con los empleados, proteger la red y proteger físicamente la información. Si utiliza CRM de escritorio, incluso un cierre completo de Internet no dejará de funcionar, ya que la base de datos está ubicada en su oficina "doméstica".
Uno de nuestros empleados, que trabajó en una empresa que desarrolló sistemas de oficina integrados basados en la nube, incluido CRM, habla sobre las tecnologías de la nube. “En uno de mis trabajos, la empresa estaba creando algo muy similar a un CRM básico, y todo estaba conectado a documentos en línea, etc. Un día en GA vimos actividad anormal de uno de nuestros clientes suscriptores. Imagínese nuestra sorpresa, los analistas, cuando nosotros, que no éramos desarrolladores, pero teníamos un alto nivel de acceso, simplemente pudimos abrir la interfaz que usaba el cliente a través de un enlace y ver qué tipo de signo popular tenía. Por cierto, parece que el cliente no querría que nadie viera estos datos comerciales. Sí, fue un error y no se solucionó durante varios años; en mi opinión, las cosas siguen ahí. Desde entonces, soy un entusiasta de las computadoras de escritorio y realmente no confío en las nubes, aunque, por supuesto, las usamos en el trabajo y en nuestra vida personal, donde también nos divertimos con algunos fakaps”.
De nuestra encuesta sobre Habré, estos son empleados de empresas avanzadas
La pérdida de datos de un sistema CRM en la nube puede deberse a una falla del servidor, falta de disponibilidad de los servidores, fuerza mayor, terminación de las actividades del proveedor, etc. La nube significa acceso constante e ininterrumpido a Internet, y la protección debe ser sin precedentes: a nivel de código, derechos de acceso, medidas adicionales de ciberseguridad (por ejemplo, autenticación de dos factores).
Señal de peligro n.° 2
Ni siquiera estamos hablando de una característica, sino de un grupo de características relacionadas con el proveedor y sus políticas. Enumeremos algunos ejemplos importantes que nosotros y nuestros empleados hemos encontrado.
- El proveedor puede elegir un centro de datos insuficientemente fiable donde “girarán” los DBMS de los clientes. Ahorrará dinero, no controlará el SLA, no calculará la carga y el resultado será fatal para usted.
- El proveedor podrá negar el derecho a transferir el servicio al centro de datos de su elección. Esta es una limitación bastante común para SaaS.
- El proveedor puede tener un conflicto legal o económico con el proveedor de la nube y luego, durante el "enfrentamiento", las acciones de respaldo o, por ejemplo, la velocidad pueden verse limitadas.
- El servicio de creación de copias de seguridad podrá ofrecerse por un precio adicional. Una práctica común de la que un cliente de un sistema CRM sólo puede conocer en el momento en que necesita una copia de seguridad, es decir, en el momento más crítico y vulnerable.
- Los empleados de los proveedores pueden tener acceso sin obstáculos a los datos de los clientes.
- Pueden producirse fugas de datos de cualquier naturaleza (error humano, fraude, piratas informáticos, etc.).
Por lo general, estos problemas están asociados con proveedores pequeños o jóvenes; sin embargo, los grandes se han metido en problemas repetidamente (busque en Google). Por lo tanto, siempre debe tener de su lado formas de proteger la información + discutir los problemas de seguridad con el proveedor del sistema CRM seleccionado con anticipación. Incluso el hecho mismo de su interés en el problema obligará al proveedor a tratar la implementación de la manera más responsable posible (es especialmente importante hacer esto si no se trata de la oficina del proveedor, sino de su socio, para quien es importante concluir un acuerdo y recibir una comisión, y no estos dos factores... bien lo entendiste).
Señal de peligro n.° 3
Organización del trabajo de seguridad en su empresa. Hace un año, tradicionalmente escribimos sobre seguridad en Habré y realizamos una encuesta. La muestra no fue muy grande, pero las respuestas son orientativas:
Al final del artículo, proporcionaremos enlaces a nuestras publicaciones, donde examinamos en detalle la relación en el sistema "empresa-empleado-seguridad", y aquí proporcionaremos una lista de preguntas cuyas respuestas deben encontrarse en tu empresa (incluso si no necesitas CRM).
- ¿Dónde almacenan los empleados las contraseñas?
- ¿Cómo se organiza el acceso al almacenamiento en los servidores de la empresa?
- ¿Cómo se protege el software que contiene información comercial y operativa?
- ¿Todos los empleados tienen software antivirus activo?
- ¿Cuántos empleados tienen acceso a los datos de los clientes y qué nivel de acceso tiene?
- ¿Cuántas nuevas contrataciones tiene y cuántos empleados están en proceso de irse?
- ¿Cuánto tiempo se ha comunicado con empleados clave y escuchado sus solicitudes y quejas?
- ¿Se monitorean las impresoras?
- ¿Cómo está organizada la política para conectar sus propios dispositivos a su PC, así como para utilizar la red Wi-Fi del trabajo?
De hecho, estas son preguntas básicas; probablemente se agregarán cuestiones difíciles en los comentarios, pero esto es lo básico, lo básico que incluso un empresario individual con dos empleados debería conocer.
Entonces, ¿cómo protegerse?
- Las copias de seguridad son lo más importante que a menudo se olvida o no se cuida. Si tiene un sistema de escritorio, configure un sistema de respaldo de datos con una frecuencia determinada (por ejemplo, para RegionSoft CRM esto se puede hacer usando ) y organizar el almacenamiento adecuado de las copias. Si tiene un CRM en la nube, asegúrese de averiguar antes de firmar un contrato cómo se organiza el trabajo con las copias de seguridad: necesita información sobre la profundidad y la frecuencia, la ubicación de almacenamiento, el costo de las copias de seguridad (a menudo solo copias de seguridad de los "datos más recientes del período"). ”son gratuitos y se proporciona una copia de seguridad segura y completa como servicio pago). En general, este definitivamente no es lugar para ahorros o negligencias. Y sí, no olvides comprobar qué se restaura a partir de las copias de seguridad.
- Separación de derechos de acceso a nivel de función y de datos.
- Seguridad a nivel de red: debe permitir el uso de CRM solo dentro de la subred de la oficina, limitar el acceso a dispositivos móviles, prohibir trabajar con el sistema CRM desde casa o, peor aún, desde redes públicas (espacios de coworking, cafeterías, oficinas de clientes). , etc.). Tenga especial cuidado con la versión móvil: deje que sea solo una versión muy truncada para el trabajo.
- En cualquier caso, pero especialmente en el caso de la seguridad de los datos corporativos, se necesita un antivirus con escaneo en tiempo real. A nivel de política, prohíba deshabilitarlo usted mismo.
- Formar a los empleados en ciberhigiene no es una pérdida de tiempo, sino una necesidad urgente. Es necesario transmitir a todos los compañeros que es importante para ellos no sólo advertir, sino también reaccionar correctamente ante la amenaza recibida. Prohibir el uso de Internet o del correo electrónico en la oficina es cosa del pasado y causa de negatividad aguda, por lo que habrá que trabajar en la prevención.
Por supuesto, utilizando un sistema en la nube, puede lograr un nivel suficiente de seguridad: use servidores dedicados, configure enrutadores y separe el tráfico a nivel de aplicación y de base de datos, use subredes privadas, introduzca reglas estrictas de seguridad para los administradores, garantice un funcionamiento ininterrumpido mediante copias de seguridad. con la máxima frecuencia e integridad requeridas, para monitorear la red las XNUMX horas del día... Si lo piensas bien, no es tan difícil, pero sí costoso. Pero, como muestra la práctica, sólo algunas empresas, en su mayoría grandes, toman tales medidas. Por eso, no dudamos en volver a decir: tanto la nube como el escritorio no deben vivir solos, protege tus datos.
Algunos pequeños pero importantes consejos para todos los casos de implementación de un sistema CRM
- Verifique el proveedor en busca de vulnerabilidades: busque información usando combinaciones de palabras "vulnerabilidad del nombre del proveedor", "nombre del proveedor pirateado", "fuga de datos del nombre del proveedor". Este no debería ser el único parámetro en la búsqueda de un nuevo sistema CRM, sino que simplemente es necesario marcar la subcorteza, y es especialmente importante comprender las razones de los incidentes que ocurrieron.
- Pregúntele al proveedor sobre el centro de datos: disponibilidad, cuántos hay, cómo está organizada la conmutación por error.
- Configure tokens de seguridad en su CRM, supervise la actividad dentro del sistema y los picos inusuales.
- Deshabilite la exportación de informes y el acceso a través de API para empleados no esenciales, es decir, aquellos que no necesitan estas funciones para sus actividades habituales.
- Asegúrese de que su sistema CRM esté configurado para registrar procesos y acciones de usuarios.
Son pequeñas cosas, pero complementan perfectamente el panorama general. Y, de hecho, no hay cosas pequeñas que estén a salvo.
Al implementar un sistema CRM, garantiza la seguridad de sus datos, pero solo si la implementación se lleva a cabo de manera competente y las cuestiones de seguridad de la información no quedan relegadas a un segundo plano. De acuerdo, es una estupidez comprar un automóvil y no revisar los frenos, el ABS, los airbags, los cinturones de seguridad y el EDS. Después de todo, lo principal no es solo ir, sino ir con seguridad y llegar sano y salvo. Lo mismo ocurre con los negocios.
Y recuerde: si las normas de seguridad laboral están escritas con sangre, las normas de ciberseguridad empresarial están escritas con dinero.
Sobre el tema de la ciberseguridad y el lugar que ocupa el sistema CRM en ella, puede leer nuestros artículos detallados:
- — una descripción general de las posibles amenazas a la seguridad en el ámbito corporativo y un esquema de detección aproximado.
- — un análisis detallado de cómo los empleados pueden dañar su negocio y cómo lo hacen en el ámbito comercial.
Si está buscando un sistema CRM, entonces . Si necesita CRM o ERP, estudie detenidamente nuestros productos y compare sus capacidades con sus metas y objetivos. Si tiene alguna pregunta o dificultad, escriba o llame, organizaremos una presentación individual en línea para usted, sin valoraciones ni lujos.
, en el que, sin publicidad, escribimos cosas no del todo formales sobre CRM y negocios.
Fuente: habr.com