31. märts on rahvusvaheline varunduspäev ja sellele eelnev nädal on alati täis turvalisusega seotud lugusid. Esmaspäeval saime juba teada ohustatud Asuse ja "kolme nimetu tootja kohta". Eriti ebausklikud ettevõtted istuvad terve nädala nõeltel ja teevad varukoopiaid. Ja seda kõike sellepärast, et me kõik oleme turvalisuse mõttes veidi hoolimatud: keegi unustab tagaistmel turvavöö kinnitada, keegi eirab toodete aegumiskuupäeva, keegi salvestab oma sisselogimise ja parooli klaviatuuri alla ja mis veelgi parem, kirjutab üles kõik paroolid märkmikus. Mõnel inimesel õnnestub viirusetõrjed keelata, "et mitte arvutit aeglustada" ja mitte kasutada ettevõtte süsteemides juurdepääsuõiguste eraldamist (millised saladused 50-liikmelises ettevõttes!). Tõenäoliselt pole inimkonnal lihtsalt veel välja kujunenud küber-enesesäilitamise instinkt, millest põhimõtteliselt võib saada uus põhiinstinkt.
Ka äris pole selliseid instinkte välja kujunenud. Lihtne küsimus: kas CRM-süsteem on infoturbe oht või turvatööriist? On ebatõenäoline, et keegi annab kohe täpse vastuse. Siin tuleb alustada, nagu meile inglise keele tundides õpetati: see sõltub... See sõltub seadetest, CRM-i kohaletoimetamise vormist, müüja harjumustest ja veendumustest, töötajate eiramise määrast, ründajate keerukusest. . Lõppude lõpuks saab kõike häkkida. Kuidas siis elada?
See on teabeturve väikestes ja keskmise suurusega ettevõtetes
CRM-süsteem kaitseks
Kommerts- ja tegevusandmete kaitsmine ning kliendibaasi turvaline hoidmine on CRM-süsteemi üks põhiülesannetest ning selles on ettevõttes pea ja õlgade ees kõik muud rakendustarkvarad.
Kindlasti hakkasite seda artiklit lugema ja irvitasite sügaval sisimas, öeldes, kes vajab teie teavet. Kui jah, siis tõenäoliselt ei ole te müügiga tegelenud ega tea, kui nõutud on "reaalajas" ja kvaliteetsed kliendibaasid ning teave selle baasiga töötamise meetodite kohta. CRM-süsteemi sisu pole huvitav mitte ainult ettevõtte juhtkonnale, vaid ka:
- Ründajad (harvemini) - neil on konkreetselt teie ettevõttega seotud eesmärk ja nad kasutavad andmete hankimiseks kõiki ressursse: töötajate altkäemaksu võtmine, häkkimine, teie andmete ostmine juhtidelt, intervjuud juhtidega jne.
- Töötajad (sagedamini), kes võivad tegutseda teie konkurentide siseringis. Nad on lihtsalt valmis oma kliendibaasi oma kasumi nimel ära võtma või maha müüma.
- Amatöörhäkkerite jaoks (väga harva) – teid võidakse häkkida pilve, kus teie andmed asuvad või võrku häkitakse, või võib-olla soovib keegi teie andmeid lõbu pärast välja tõmmata (näiteks ravimite või alkoholi hulgimüüjate andmed) lihtsalt huvitav vaadata).
Kui keegi satub teie CRM-i, on tal juurdepääs teie operatiivtegevusele, st andmete mahule, millega teenite suurema osa oma kasumist. Ja alates hetkest, kui CRM-süsteemile pahatahtlik juurdepääs saadakse, hakkab kasum naeratama sellele, kelle kätte kliendibaas satub. No või tema partnerid ja kliendid (loe – uued tööandjad).
Hea, usaldusväärne suudab neid riske katta ja pakkuda turvavaldkonnas hunniku meeldivaid boonuseid.
Mida saab CRM-süsteem turvalisuse osas teha?
(Räägime teile näitega, sest me ei saa vastutada teiste eest)
- Kahefaktoriline autentimine USB-võtme ja parooliga. toetab kahefaktorilist kasutaja autoriseerimisrežiimi süsteemi sisselogimisel. Sel juhul tuleb süsteemi sisselogimisel lisaks parooli sisestamisele arvuti USB-porti sisestada ka USB-võti, mis on eelnevalt initsialiseeritud. Kahefaktoriline autoriseerimisrežiim aitab kaitsta paroolivarguse või avalikustamise eest.
Klõpsatav
- Käivitage usaldusväärsetelt IP-aadressidelt ja MAC-aadressidelt. Turvalisuse suurendamiseks saate piirata kasutajatel sisselogimist ainult registreeritud IP-aadresside ja MAC-aadresside kaudu. IP-aadressidena saab kasutada nii kohaliku võrgu sisemisi IP-aadresse kui ka väliseid aadresse, kui kasutaja loob kaugühenduse (interneti kaudu).
- Domeeni autoriseerimine (Windowsi autoriseerimine). Süsteemi käivitamist saab konfigureerida nii, et sisselogimisel ei nõuta kasutaja parooli. Sel juhul toimub Windowsi autoriseerimine, mis tuvastab kasutaja WinAPI abil. Süsteem käivitatakse selle kasutaja alt, kelle profiili all arvuti süsteemi käivitumise ajal töötab.
- Teine mehhanism on erakliendid. Erakliendid on kliendid, keda näeb ainult nende ülemus. Neid kliente ei kuvata teiste kasutajate loendites, isegi kui teistel kasutajatel on täielikud õigused, sealhulgas administraatoriõigused. Nii saate kaitsta näiteks eriti oluliste klientide kogumit või muul põhjusel gruppi, mis usaldatakse usaldusväärsele juhile.
- Juurdepääsuõiguste jagamise mehhanism — standardne ja esmane turvameede CRM-is. Kasutajaõiguste haldamise protsessi lihtsustamiseks in õigusi ei omistata konkreetsetele kasutajatele, vaid mallidele. Ja kasutajale endale määratakse üks või teine mall, millel on teatud hulk õigusi. See võimaldab igal töötajal – uutest töötajatest praktikantide ja direktoriteni – määrata õigusi ja juurdepääsuõigusi, mis võimaldavad/takistavad neil juurdepääsu tundlikele andmetele ja tundlikule äriteabele.
- Automaatne andmete varundussüsteem (varukoopiad)konfigureeritav skriptiserveri kaudu .
See on turvalisuse rakendamine, kasutades näitena ühte süsteemi, igal müüjal on oma poliitikad. CRM-süsteem kaitseb aga teie teavet tõesti: näete, kes ja mis ajal selle või teise aruande koostas, kes milliseid andmeid vaatas, kes need alla laadis ja palju muud. Isegi kui saate haavatavusest teada tagantjärele, ei jäta te tegu karistuseta ja saate hõlpsalt tuvastada töötaja, kes kuritarvitas ettevõtte usaldust ja lojaalsust.
Kas olete lõdvestunud? Vara! Just see kaitse võib teie vastu töötada, kui olete hoolimatu ja ignoreerite andmekaitseprobleeme.
CRM-süsteem kui oht
Kui teie ettevõttel on vähemalt üks arvuti, on see juba küberohu allikas. Vastavalt sellele suureneb ohutase tööjaamade (ja töötajate) arvu ning installitud ja kasutatava tarkvara mitmekesisusega. Ja CRM-süsteemidega pole asjad lihtsad – lõppude lõpuks on see programm, mis on loodud kõige olulisema ja kallima vara hoidmiseks ja töötlemiseks: kliendibaasi ja äriteabe ning siin räägime selle turvalisusest õuduslugusid. Tegelikult pole kõik lähedalt nii sünge ja õigesti käsitsedes ei saa te CRM-süsteemist midagi peale kasu ja turvalisuse.
Millised on ohtliku CRM-süsteemi tunnused?
Alustame lühikese ekskursiooniga põhitõdedesse. CRM-id on saadaval pilve- ja töölauaversioonides. Pilvepõhised on need, mille DBMS (andmebaas) ei asu mitte teie ettevõttes, vaid mõnes andmekeskuses asuvas privaat- või avalikus pilves (näiteks istute Tšeljabinskis ja teie andmebaas töötab Moskva ülilahedas andmekeskuses , kuna CRM-i müüja otsustas nii ja tal on selle konkreetse pakkujaga leping). Lauaarvutid (teise nimega kohapealne server – mis pole enam nii tõsi) põhinevad oma DBMS-i teie enda serveritel (ei, ei, ärge kujutage ette tohutut serveriruumi kallite riiulitega, enamasti on see väikestes ja keskmise suurusega ettevõtetes üks server või isegi tavaline kaasaegse konfiguratsiooniga arvuti), st füüsiliselt teie kontoris.
Mõlemat tüüpi CRM-ile on võimalik saada volitamata ligipääs, kuid ligipääsu kiirus ja lihtsus on erinevad, eriti kui räägime SMB-dest, kes infoturbest eriti ei hooli.
Ohumärk nr 1
Pilvesüsteemi andmetega seotud probleemide suurema tõenäosuse põhjuseks on seos, mida ühendavad mitmed lingid: teie (CRM rentnik) - hankija - pakkuja (on pikem versioon: teie - hankija - tarnija IT allhanke pakkuja - pakkuja) . Suhte 3-4 lingil on rohkem riske kui 1-2: probleem võib tekkida müüja poolel (lepingu muutmine, teenuseosutaja teenuste eest tasumata jätmine), pakkuja poolel (vääramatu jõud, häkkimine, tehnilised probleemid), allhankija poolel (juhi või inseneri vahetus) jne. Muidugi püüavad suured müüjad varundada andmekeskusi, hallata riske ja hooldada oma DevOpsi osakonda, kuid see ei välista probleeme.
Lauaarvuti CRM-i üldjuhul ei rendita, vaid ettevõte ostab selle, vastavalt tundub suhe lihtsam ja läbipaistvam: CRM-i juurutamise käigus konfigureerib müüja vajalikud turvatasemed (alates juurdepääsuõiguste eristamisest ja füüsilisest USB-võtmest kuni seadme lisamiseni). server betoonseinas vms) ja annab juhtimise üle CRM-i omavale ettevõttele, kes saab kaitset suurendada, palgata süsteemiadministraatori või võtta ühendust oma tarkvara tarnijaga vastavalt vajadusele. Probleemid taanduvad töötajatega töötamisel, võrgu kaitsmisel ja teabe füüsilisel kaitsmisel. Kui kasutate töölaua CRM-i, ei peata isegi Interneti täielik väljalülitamine tööd, kuna andmebaas asub teie "kodukontoris".
Üks meie töötaja, kes töötas pilvepõhiseid integreeritud kontorisüsteeme, sh CRM-i arendavas ettevõttes, räägib pilvetehnoloogiatest. „Ühel minu töökohal lõi ettevõte midagi väga sarnast põhilise CRM-iga ja see kõik oli seotud veebidokumentidega ja nii edasi. Ühel päeval GA-s nägime ühe meie tellijakliendi ebatavalist tegevust. Kujutage ette meie, analüütikute, üllatust, kui me, kes ei olnud arendajad, kuid omame kõrget juurdepääsu, suutsime lihtsalt lingi kaudu avada liidese, mida klient kasutas, ja vaadata, milline populaarne märk tal on. Muide, tundub, et klient ei tahaks, et keegi neid kommertsandmeid näeks. Jah, see oli viga ja seda ei parandatud mitu aastat – minu arvates on asjad alles. Sellest ajast peale olen olnud lauaarvuti entusiast ega usalda pilvi väga, kuigi loomulikult kasutame neid töös ja isiklikus elus, kus meil oli ka lõbusaid fake.
Meie uuringust Habré kohta ja need on arenenud ettevõtete töötajad
Pilve-CRM-süsteemi andmete kadu võib olla tingitud andmete kadumisest serveri rikke, serverite kättesaamatuse, vääramatu jõu, tarnija tegevuste lõpetamise jms tõttu. Pilv tähendab pidevat katkematut ligipääsu internetile ning kaitse peab olema enneolematu: koodi tasemel juurdepääsuõigused, täiendavad küberturvameetmed (näiteks kahefaktoriline autentimine).
Ohumärk nr 2
Me ei räägi isegi ühest tunnusest, vaid müüja ja tema poliitikaga seotud omaduste rühmast. Loetleme mõned olulised näited, millega meie ja meie töötajad oleme kokku puutunud.
- Müüja võib valida ebapiisavalt töökindla andmekeskuse, kus klientide DBMS “pöörleb”. Ta säästab raha, ei kontrolli SLA-d, ei arvuta koormust ja tulemus saab teile saatuslikuks.
- Müüja võib keelata õiguse edastada teenus teie valitud andmekeskusesse. See on SaaS-i jaoks üsna tavaline piirang.
- Müüjal võib pilveteenuse pakkujaga tekkida juriidiline või majanduslik konflikt ja seejärel võivad "showdowni" ajal olla piiratud varutoimingud või näiteks kiirus.
- Varukoopiate loomise teenust võidakse pakkuda lisatasu eest. Levinud praktika, millest CRM-süsteemi klient saab teada alles siis, kui on vaja varukoopiat ehk kõige kriitilisemal ja haavatavamal hetkel.
- Tarnija töötajatel on takistusteta juurdepääs kliendiandmetele.
- Esineda võib mis tahes laadi andmelekkeid (inimlik eksitus, pettus, häkkerid jne).
Tavaliselt on need probleemid seotud väikeste või noorte müüjatega, kuid suured on korduvalt hätta jäänud (googelda). Seetõttu peaksid teil alati olema võimalused teabe kaitsmiseks + arutada turvaprobleeme eelnevalt valitud CRM-süsteemi pakkujaga. Juba see, et tunnete probleemi vastu huvi, sunnib tarnijat juurutamist võimalikult vastutustundlikult kohtlema (seda on eriti oluline teha siis, kui teil on tegemist mitte müüja kontoriga, vaid tema partneriga, kelle jaoks see on oluline sõlmida leping ja saada vahendustasu, mitte need kahefaktorilised... no kas sa said aru).
Ohumärk nr 3
Turvatööde korraldamine Teie ettevõttes. Aasta tagasi kirjutasime traditsiooniliselt turvalisusest Habré lehel ja viisime läbi küsitluse. Valim ei olnud väga suur, kuid vastused on soovituslikud:
Artikli lõpus anname lingid meie väljaannetele, kus uurisime üksikasjalikult suhteid süsteemis "ettevõte-töötaja-julgeolek" ja siin on nimekiri küsimustest, millele tuleks vastused leida. teie ettevõte (isegi kui te ei vaja CRM-i).
- Kus töötajad paroole hoiavad?
- Kuidas on korraldatud juurdepääs ettevõtte serverites olevale salvestusruumile?
- Kuidas on kaitstud tarkvara, mis sisaldab äri- ja tegevusteavet?
- Kas kõigil töötajatel on viirusetõrjetarkvara aktiivne?
- Kui paljudel töötajatel on juurdepääs kliendiandmetele ja millisel tasemel see on?
- Kui palju on teil uusi töötajaid ja kui palju töötajaid on lahkumas?
- Kui kaua olete võtmetöötajatega suhelnud ning nende taotlusi ja kaebusi ära kuulanud?
- Kas printereid jälgitakse?
- Kuidas on korraldatud reeglid enda vidinate arvutiga ühendamiseks ja töökoha Wi-Fi kasutamiseks?
Tegelikult on need põhiküsimused — küllap lisatakse kommentaaridesse hardcore, aga see on põhitõed, mille põhitõdesid peaks teadma ka kahe töötajaga üksikettevõtja.
Kuidas siis ennast kaitsta?
- Varukoopiad on kõige olulisem asi, mis sageli kas ununeb või mille eest ei hoolitseta. Kui teil on lauaarvuti süsteem, seadistage etteantud sagedusega andmete varundussüsteem (näiteks RegionSoft CRM-i puhul saab seda teha kasutades ) ja korraldada koopiate nõuetekohane säilitamine. Kui teil on pilve CRM, uurige kindlasti enne lepingu sõlmimist, kuidas on varukoopiatega töö korraldatud: vajate teavet varundamise sügavuse ja sageduse, salvestuskoha, varundamise maksumuse kohta (sageli ainult "perioodi viimaste andmete varukoopiad ” on tasuta ning täisväärtuslikku turvalist varukoopiat pakutakse tasulise teenusena). Üldiselt ei ole see kindlasti koht säästmiseks või hooletuseks. Ja jah, ärge unustage kontrollida, mis on varukoopiatest taastatud.
- Juurdepääsuõiguste eraldamine funktsiooni- ja andmetasandil.
- Turvalisus võrgu tasemel - peate lubama CRM-i kasutamist ainult kontori alamvõrgus, piirama mobiilseadmete juurdepääsu, keelama CRM-süsteemiga töötamine kodust või, mis veelgi hullem, avalikest võrkudest (koostööruumid, kohvikud, kliendikontorid). , jne.). Eriti ettevaatlik olge mobiiliversiooniga – olgu see töö jaoks vaid tugevalt kärbitud versioon.
- Reaalajas skannimisega viirusetõrjet on vaja igal juhul, aga eriti ettevõtte andmeturbe puhul. Eeskirjade tasemel keelake selle ise keelamine.
- Töötajate küberhügieenialane koolitamine ei ole ajaraisk, vaid tungiv vajadus. Kõigile kolleegidele on vaja öelda, et nende jaoks on oluline mitte ainult hoiatada, vaid ka saadud ähvardusele õigesti reageerida. Interneti või e-posti kasutamise keelamine kontoris on minevik ja ägeda negatiivsuse põhjus, seega peate ennetustööga tegelema.
Loomulikult saab pilvesüsteemi kasutades saavutada piisava turvalisuse taseme: kasutada spetsiaalseid servereid, seadistada ruutereid ja eraldada liiklust rakenduste ja andmebaasi tasemel, kasutada privaatseid alamvõrke, kehtestada administraatoritele ranged turvareeglid, tagada katkematu töö varukoopiate kaudu. maksimaalse vajaliku sageduse ja täielikkusega, et jälgida võrku ööpäevaringselt... Kui järele mõelda, siis see polegi nii keeruline, pigem kulukas. Kuid nagu praktika näitab, võtavad selliseid meetmeid ainult mõned ettevõtted, enamasti suured. Seetõttu ütleme kõhklemata uuesti: nii pilv kui ka töölaud ei tohiks iseseisvalt elada; kaitske oma andmeid.
Mõned väikesed, kuid olulised näpunäited kõigi CRM-süsteemi juurutamise juhtumite jaoks
- Kontrollige müüjat haavatavuste suhtes – otsige teavet sõnade kombinatsioonide abil "Vendor Name haavatavus", "Vendor Name häkitud", "Vendor Name data leak". See ei tohiks olla ainuke parameeter uue CRM-süsteemi otsimisel, vaid on vaja lihtsalt linnuke teha alamkorteksis ning eriti oluline on mõista toimunud intsidentide põhjuseid.
- Küsige müüjalt andmekeskuse kohta: saadavus, nende arv, tõrkesiirde korraldamine.
- Seadistage oma CRM-is turvamärgid, jälgige tegevust süsteemis ja ebatavalisi hüppeid.
- Keelake aruannete eksport ja juurdepääs API kaudu mittepõhitöötajatele, st neile, kes ei vaja neid funktsioone oma tavapäraste tegevuste jaoks.
- Veenduge, et teie CRM-süsteem on konfigureeritud protsesse ja kasutaja toiminguid logima.
Need on pisiasjad, kuid täiendavad üldpilti suurepäraselt. Ja tegelikult pole ükski pisiasi ohutu.
CRM-süsteemi juurutades tagate oma andmete turvalisuse – kuid ainult juhul, kui juurutamine on teostatud asjatundlikult ning infoturbe küsimused ei jää tagaplaanile. Nõus, rumal on osta auto ja mitte kontrollida pidureid, ABS-i, turvapatju, turvavööd, EDS-i. Peaasi pole ju lihtsalt minna, vaid turvaliselt minna ja tervelt kohale jõuda. Sama on äriga.
Ja pidage meeles: kui tööohutuseeskirjad on kirjutatud verega, siis ärilise küberjulgeoleku reeglid on kirjutatud rahas.
Küberturvalisuse ja CRM-süsteemi koha kohta selles saate lugeda meie üksikasjalikke artikleid:
- — ülevaade võimalikest turvaohtudest ettevõtte sfääris ja ligikaudne avastamisskeem.
- — üksikasjalik analüüs selle kohta, kuidas töötajad võivad teie ettevõtet kahjustada ja kuidas nad seda ärivaldkonnas teevad.
Kui otsite CRM-süsteemi, siis edasi . Kui vajate CRM-i või ERP-d, uurige hoolikalt meie tooteid ja võrrelge nende võimalusi oma eesmärkide ja eesmärkidega. Küsimuste või raskuste korral kirjutage või helistage, korraldame teile individuaalse veebiesitluse – ilma hinnangute ja probleemideta.
, milles me kirjutame ilma reklaamideta mitte täiesti formaalseid asju CRM-i ja äri kohta.
Allikas: www.habr.com