En 2008 pude visitar una empresa de TI. Había algún tipo de tensión enfermiza en cada empleado. La razón resultó ser simple: los teléfonos móviles están en una caja en la entrada de la oficina, hay una cámara detrás, 2 cámaras grandes adicionales para “mirar” en la oficina y un software de monitoreo con un registrador de teclas. Y sí, esta no es la empresa que desarrolló SORM o sistemas de soporte vital para aviones, sino simplemente un desarrollador de software de aplicaciones empresariales, ahora absorbido, aplastado y que ya no existe (lo que parece lógico). Si ahora se estira y piensa que en su oficina con hamacas y M&M en jarrones definitivamente no es así, puede estar muy equivocado: es solo que durante 11 años el control ha aprendido a ser invisible y correcto, sin enfrentamientos por sitios visitados y películas descargadas.
Entonces, ¿es realmente imposible sin todo esto, pero qué pasa con la confianza, la lealtad y la fe en las personas? Lo creas o no, hay otras tantas empresas sin medidas de seguridad. Pero los empleados se las arreglan para equivocarse aquí y allá, simplemente porque el factor humano puede destruir mundos, no sólo su empresa. Entonces, ¿dónde pueden hacer travesuras sus empleados?
Este no es un post muy serio, que tiene exactamente dos funciones: alegrar un poco la vida cotidiana y recordarte cosas básicas de seguridad que a menudo se olvidan. Ah, y una vez más recordaros — ¿No es ese tipo de software el límite de la seguridad? 🙂
¡Vamos en modo aleatorio!
Contraseñas, contraseñas, contraseñas...
Hablas de ellos y surge una ola de indignación: ¡cómo puede ser!, le dijeron tantas veces al mundo, ¡pero las cosas siguen ahí! En empresas de todos los niveles, desde empresarios individuales hasta corporaciones multinacionales, este es un punto muy delicado. A veces me parece que si mañana construyen una Estrella de la Muerte real, habrá algo como admin/admin en el panel de administración. Entonces, ¿qué podemos esperar de los usuarios comunes, para quienes su propia página en VKontakte es mucho más cara que una cuenta corporativa? Estos son los puntos a comprobar:
- Escribir contraseñas en hojas de papel, en la parte posterior del teclado, en el monitor, en la mesa debajo del teclado, en una pegatina en la parte inferior del mouse (¡astucia!): Los empleados nunca deberían hacer esto. Y no porque un hacker terrible entre y descargue todo 1C en una unidad flash durante el almuerzo, sino porque puede haber una Sasha ofendida en la oficina que renunciará y hará algo sucio o quitará la información por última vez. . ¿Por qué no hacer esto en tu próximo almuerzo?
¿Esto es lo que? Esta cosa almacena todas mis contraseñas.
- Establecer contraseñas simples para ingresar a la PC y programas de trabajo. Las fechas de nacimiento, qwerty123 e incluso asdf son combinaciones que pertenecen a los chistes y a bashorg, y no al sistema de seguridad corporativo. Establezca requisitos para las contraseñas y su longitud, y establezca la frecuencia de reemplazo.
Una contraseña es como la ropa interior: cámbiala a menudo, no la compartas con tus amigos, una larga es mejor, sé misteriosa, no la esparzas por todos lados
- Las contraseñas de inicio de sesión predeterminadas del programa del proveedor son erróneas, aunque sólo sea porque casi todos los empleados del proveedor las conocen, y si se trata de un sistema basado en web en la nube, no será difícil para nadie obtener los datos. Especialmente si además tienes la seguridad de la red en el nivel de “no tirar del cable”.
- Explique a los empleados que la sugerencia de contraseña en el sistema operativo no debe verse como "mi cumpleaños", "nombre de mi hija", "Gvoz-dika-78545-ap#1". en Inglés." o "cuartos y un uno y un cero".
¡Mi gato me da contraseñas geniales! Él está caminando sobre mi teclado.
Acceso físico a los casos.
¿Cómo organiza su empresa el acceso a la documentación contable y de personal (por ejemplo, a los archivos personales de los empleados)? Déjame adivinar: si es una pequeña empresa, entonces en el departamento de contabilidad o en la oficina del jefe, en carpetas en los estantes o en un armario; si es una gran empresa, entonces en el departamento de recursos humanos, en los estantes. Pero si es muy grande, lo más probable es que todo sea correcto: una oficina separada o un bloque con llave magnética, donde solo ciertos empleados tienen acceso y para llegar allí, es necesario llamar a uno de ellos y entrar en este nodo en su presencia. No hay nada difícil en hacer este tipo de protección en cualquier negocio, o al menos aprender a no escribir con tiza la contraseña de la caja fuerte de la oficina en la puerta o en la pared (todo está basado en hechos reales, no te rías).
¿Por qué es importante? En primer lugar, los trabajadores tienen un deseo patológico de descubrir los secretos más secretos de sus compañeros: estado civil, salario, diagnósticos médicos, educación, etc. Este es un gran compromiso en la competencia por las oficinas. Y no te beneficiarás en absoluto de las disputas que surgirán cuando el diseñador Petya descubra que gana 20 mil menos que la diseñadora Alice. En segundo lugar, los empleados pueden acceder a la información financiera de la empresa (balances, informes anuales, contratos). En tercer lugar, algo puede simplemente perderse, dañarse o ser robado para ocultar rastros en el propio historial laboral.
Un almacén donde alguien es una pérdida, alguien es un tesoro.
Si tiene un almacén, tenga en cuenta que, tarde o temprano, está garantizado que se encontrará con delincuentes; así es como funciona la psicología de una persona que ve un gran volumen de productos y cree firmemente que un poco de mucho no es un robo, sino intercambio. Y una unidad de bienes de este montón puede costar 200 mil, 300 mil o varios millones. Desafortunadamente, nada puede detener el robo excepto el control y la contabilidad pedantes y totales: cámaras, aceptación y cancelación mediante códigos de barras, automatización de la contabilidad del almacén (por ejemplo, en nuestro la contabilidad del almacén está organizada de tal manera que el gerente y el supervisor pueden ver el movimiento de mercancías a través del almacén en tiempo real).
Por lo tanto, arma tu almacén hasta los dientes, garantiza la seguridad física frente al enemigo externo y la seguridad total frente al enemigo interno. Los empleados de transporte, logística y almacenes deben tener claro que hay control, que funciona y casi se castigarán a sí mismos.
*oye, no metas las manos en la infraestructura
Si la historia sobre la sala de servidores y la señora de la limpieza ya ha sobrevivido y ha migrado durante mucho tiempo a historias de otras industrias (por ejemplo, la misma habló sobre el apagado místico del ventilador en la misma sala), entonces el resto sigue siendo una realidad. . La seguridad de las redes y de la TI en las pequeñas y medianas empresas deja mucho que desear, y esto a menudo no depende de si se dispone de un administrador de sistemas propio o de uno invitado. Este último a menudo se las arregla aún mejor.
Entonces, ¿de qué son capaces los empleados aquí?
- Lo más lindo e inofensivo es ir a la sala de servidores, tirar de los cables, mirar, derramar té, ensuciar o intentar configurar algo usted mismo. Esto afecta especialmente a los "usuarios avanzados y seguros" que enseñan heroicamente a sus colegas a desactivar el antivirus y eludir la protección en una PC y están seguros de que son dioses innatos de la sala de servidores. En general, el acceso limitado autorizado lo es todo.
- Robo de equipos y sustitución de componentes. ¿Amas a tu empresa y has instalado potentes tarjetas de video para todos para que el sistema de facturación, CRM y todo lo demás funcione perfectamente? ¡Excelente! Sólo los chicos astutos (y a veces las chicas) los reemplazarán fácilmente con un modelo casero, y en casa ejecutarán juegos en un nuevo modelo de oficina, pero la mitad del mundo no lo sabrá. Lo mismo ocurre con los teclados, ratones, refrigeradores, UPS y todo lo que de alguna manera pueda reemplazarse dentro de la configuración del hardware. Como resultado, usted corre el riesgo de sufrir daños a la propiedad, su pérdida total y, al mismo tiempo, no obtiene la velocidad y calidad de trabajo deseadas con los sistemas y aplicaciones de información. Lo que ahorra es un sistema de monitoreo (sistema ITSM) con control de configuración configurado), que debe entregarse completo con un administrador de sistema incorruptible y con principios.
¿Quizás quieras buscar un mejor sistema de seguridad? No estoy seguro si esta señal es suficiente.
- El uso de sus propios módems, puntos de acceso o algún tipo de Wi-Fi compartido hace que el acceso a los archivos sea menos seguro y prácticamente incontrolable, lo que pueden aprovechar los atacantes (incluso en connivencia con los empleados). Bueno, además, la probabilidad de que un empleado "con su propio Internet" pase horas de trabajo en YouTube, sitios de humor y redes sociales es mucho mayor.
- Las contraseñas e inicios de sesión unificados para acceder al área de administración del sitio, CMS y software de aplicación son cosas terribles que convierten a un empleado inepto o malicioso en un vengador esquivo. Si tiene 5 personas de la misma subred con el mismo nombre de usuario/contraseña que ingresan para colocar un banner, verificar enlaces y métricas publicitarias, corregir el diseño y cargar una actualización, nunca adivinará cuál de ellos convirtió accidentalmente el CSS en un calabaza. Por lo tanto: diferentes inicios de sesión, diferentes contraseñas, registro de acciones y diferenciación de derechos de acceso.
- No hace falta decir nada sobre el software sin licencia que los empleados arrastran a sus PC para editar un par de fotografías durante las horas de trabajo o crear algo relacionado con un hobby. ¿No ha oído hablar de la inspección del departamento "K" de la Dirección Central de Asuntos Internos? ¡Entonces ella viene a ti!
- El antivirus debería funcionar. Sí, algunos de ellos pueden ralentizar tu PC, irritarte y, en general, parecer un signo de cobardía, pero es mejor prevenirlo que luego pagar con tiempo de inactividad o, peor aún, con datos robados.
- No se deben ignorar las advertencias del sistema operativo sobre los peligros de instalar una aplicación. Hoy en día descargar algo para trabajar es cuestión de segundos y minutos. Por ejemplo, Direct.Commander o el editor de AdWords, algún analizador SEO, etc. Si todo está más o menos claro con los productos Yandex y Google, entonces otro picreizer, un limpiador de virus gratuito, un editor de vídeo con tres efectos, capturas de pantalla, grabadoras de Skype y otros "pequeños programas" pueden dañar tanto una PC individual como toda la red de la empresa. . Entrene a los usuarios para que lean lo que la computadora quiere de ellos antes de que llamen al administrador del sistema y digan que "todo está muerto". En algunas empresas, el problema se resuelve de forma sencilla: muchas utilidades útiles descargadas se almacenan en el recurso compartido de red y allí también se publica una lista de soluciones en línea adecuadas.
- La política BYOD o, por el contrario, la política de permitir el uso de equipos de trabajo fuera de la oficina es una cara muy mala de la seguridad. En este caso, tienen acceso a la tecnología familiares, amigos, hijos, redes públicas no protegidas, etc. Esto es puramente ruleta rusa: puedes aguantar 5 años y arreglártelas, pero puedes perder o dañar todos tus documentos y archivos valiosos. Bueno, además, si un empleado tiene intenciones maliciosas, es tan fácil como enviar dos bytes para filtrar datos con un equipo “andante”. También es necesario recordar que los empleados suelen transferir archivos entre sus ordenadores personales, lo que a su vez puede crear lagunas de seguridad.
- Bloquear sus dispositivos mientras está fuera es un buen hábito tanto para uso corporativo como personal. Una vez más, le protege de colegas curiosos, conocidos e intrusos en lugares públicos. Es difícil acostumbrarse a esto, pero en uno de mis lugares de trabajo tuve una experiencia maravillosa: mis colegas se acercaron a una PC desbloqueada y Paint se abrió en toda la ventana con la inscripción "¡Bloquea la computadora!". y algo cambió en el trabajo, por ejemplo, se demolió el último conjunto bombeado o se eliminó el último error introducido (este era un grupo de prueba). Es cruel, pero 1 o 2 veces fue suficiente incluso para los más de madera. Aunque sospecho que es posible que las personas que no son de TI no comprendan ese humor.
- Pero el peor pecado, por supuesto, recae en el administrador y la dirección del sistema, si categóricamente no utilizan sistemas, equipos, licencias, etc. de control de tráfico.
Esto es, por supuesto, una base, porque la infraestructura de TI es precisamente el lugar donde, cuanto más se adentra en el bosque, más leña hay. Y todos deberían tener esta base, y no ser reemplazadas por las palabras "todos confiamos unos en otros", "somos una familia", "quién lo necesita"; por desgracia, esto es por el momento.
Esto es Internet, cariño, pueden saber mucho sobre ti.
Es hora de introducir el manejo seguro de Internet en el curso de seguridad humana en la escuela, y no se trata en absoluto de las medidas en las que estamos inmersos desde fuera. Se trata específicamente de la capacidad de distinguir un enlace de otro, comprender dónde hay phishing y dónde una estafa, no abrir archivos adjuntos de correo electrónico con el asunto "Informe de conciliación" de una dirección desconocida sin entenderlo, etc. Aunque parece que los escolares ya dominan todo esto, pero los empleados no. Hay muchos trucos y errores que pueden poner en peligro a toda la empresa a la vez.
- Las redes sociales son un sector de Internet que no tiene cabida en el trabajo, pero bloquearlas a nivel empresarial en 2019 es una medida impopular y desmotivadora. Por lo tanto, basta con escribir a todos los empleados sobre cómo comprobar la ilegalidad de los enlaces, informarles sobre los tipos de fraude y pedirles que trabajen en el trabajo.
- El correo es un punto delicado y quizás la forma más popular de robar información, plantar malware e infectar una PC y toda la red. Desgraciadamente, muchos empresarios consideran que el cliente de correo electrónico es una herramienta que ahorra costes y utilizan servicios gratuitos que reciben 200 correos electrónicos no deseados al día, que pasan por filtros, etc. Y algunas personas irresponsables abren esas cartas y archivos adjuntos, enlaces, imágenes; aparentemente, esperan que el príncipe negro les haya dejado una herencia. Después de lo cual el administrador tiene mucho, mucho trabajo. ¿O así fue pensado? Por cierto, otra historia cruel: en una empresa, por cada carta spam al administrador del sistema, se reducía el KPI. En general, después de un mes no hubo spam: la organización matriz adoptó la práctica y todavía no hay spam. Resolvimos este problema de manera elegante: desarrollamos nuestro propio cliente de correo electrónico y lo incorporamos al nuestro. , por lo que todos nuestros clientes también reciben una característica tan conveniente.
La próxima vez que reciba un correo electrónico extraño con el símbolo de un clip, ¡no haga clic en él!
- Los mensajeros también son una fuente de todo tipo de enlaces inseguros, pero son mucho menos dañinos que el correo (sin contar el tiempo perdido charlando en los chats).
Parece que todo esto son pequeñas cosas. Sin embargo, cada una de estas pequeñas cosas puede tener consecuencias desastrosas, especialmente si su empresa es el objetivo del ataque de un competidor. Y esto le puede pasar literalmente a cualquiera.
Empleados habladores
Este es el factor humano del que le resultará difícil deshacerse. Los empleados pueden hablar sobre el trabajo en el pasillo, en una cafetería, en la calle, en casa de un cliente, hablar en voz alta sobre otro cliente, hablar de logros laborales y proyectos en casa. Por supuesto, la probabilidad de que un competidor esté detrás de usted es insignificante (si no está en el mismo centro de negocios, esto sucedió), pero la posibilidad de que un tipo que exponga claramente sus asuntos comerciales sea filmado en un teléfono inteligente y publicado en YouTube es, curiosamente, más alto. Pero esto también es una tontería. No es una tontería que sus empleados presenten voluntariamente información sobre un producto o empresa en capacitaciones, conferencias, reuniones, foros profesionales o incluso en Habré. Además, la gente suele llamar deliberadamente a sus oponentes a este tipo de conversaciones para realizar inteligencia competitiva.
Una historia reveladora. En una conferencia de TI a escala galáctica, el orador de la sección presentó en una diapositiva un diagrama completo de la organización de la infraestructura de TI de una gran empresa (top 20). El esquema fue mega impresionante, simplemente cósmico, casi todos lo fotografiaron y al instante voló en las redes sociales con excelentes críticas. Bueno, entonces el orador los sorprendió usando etiquetas geográficas, stands y redes sociales. redes de quienes lo publicaron y rogaron que lo borraran, porque lo llamaron bastante rápido y le dijeron ah-ta-ta. Un charlatán es una bendición para un espía.
La ignorancia... te libera del castigo
Según el informe global de Kaspersky Lab de 2017 sobre empresas que experimentaron incidentes de ciberseguridad en un período de 12 meses, uno de cada diez (11%) de los tipos de incidentes más graves involucró a empleados descuidados y desinformados.
No asuma que los empleados saben todo sobre las medidas de seguridad corporativas, asegúrese de advertirles, brindarles capacitación, redactar interesantes boletines periódicos sobre temas de seguridad, celebrar reuniones mientras comen pizza y aclarar las cuestiones nuevamente. Y sí, un truco genial: marque toda la información impresa y electrónica con colores, letreros e inscripciones: secreto comercial, secreto, para uso oficial, acceso general. Esto realmente funciona.
El mundo moderno ha puesto a las empresas en una situación muy delicada: es necesario mantener un equilibrio entre el deseo del empleado no sólo de trabajar duro en el trabajo, sino también de recibir contenido de entretenimiento en segundo plano o durante los descansos, y las estrictas normas de seguridad corporativa. Si activa programas de hipercontrol y seguimiento estúpidos (sí, no es un error tipográfico, esto no es seguridad, es paranoia) y cámaras a sus espaldas, la confianza de los empleados en la empresa disminuirá, pero mantener la confianza también es una herramienta de seguridad corporativa.
Por lo tanto, sepa cuándo parar, respete a sus empleados y haga copias de seguridad. Y lo más importante, priorice la seguridad, no la paranoia personal.
Si necesitas y comparar sus capacidades con sus metas y objetivos. Si tiene alguna pregunta o dificultad, escriba o llame, organizaremos una presentación individual en línea para usted, sin valoraciones ni lujos.
, en el que, sin publicidad, escribimos cosas no del todo formales sobre CRM y negocios.
Fuente: habr.com