CRM-järjestelmät kyberturvallisuuden näkökulmasta: suoja vai uhka?

31. maaliskuuta on kansainvälinen varmuuskopiointipäivä, ja sitä edeltävä viikko on aina täynnä turvallisuuteen liittyviä tarinoita. Maanantaina saimme jo tietää vaarantuneesta Asuksesta ja "kolmesta nimettömästä valmistajasta". Erityisen taikauskoiset yritykset istuvat neuloilla koko viikon ja tekevät varmuuskopioita. Ja kaikki siksi, että olemme kaikki hieman huolimattomia turvallisuuden suhteen: joku unohtaa kiinnittää turvavyön takapenkille, joku jättää huomioimatta tuotteiden viimeiset käyttöpäivät, joku tallentaa käyttäjätunnuksensa ja salasanansa näppäimistön alle ja mikä parasta, kirjoittaa muistiin kaikki muistikirjassa olevat salasanat. Jotkut henkilöt onnistuvat poistamaan virustorjuntaohjelmat käytöstä "jotta eivät hidasta tietokonetta" eivätkä käytä käyttöoikeuksien erottelua yritysjärjestelmissä (mitä salaisuuksia 50 hengen yrityksessä!). Todennäköisesti ihmiskunta ei yksinkertaisesti ole vielä kehittänyt kyberitsesäilyttämisen vaistoa, josta voi periaatteessa tulla uusi perusvaisto.

Liiketoiminnassakaan ei ole kehittynyt tällaisia ​​vaistoja. Yksinkertainen kysymys: onko CRM-järjestelmä tietoturvauhka vai tietoturvatyökalu? On epätodennäköistä, että kukaan antaa heti oikeaa vastausta. Tästä meidän on aloitettava, kuten meille opetettiin englannin tunneilla: se riippuu... Se riippuu asetuksista, CRM-toimituksen muodosta, myyjän tottumuksista ja uskomuksista, työntekijöiden piittaamattomuuden asteesta, hyökkääjien kehittyneisyydestä . Loppujen lopuksi kaikki voidaan hakkeroida. Joten kuinka elää?

Tämä on pienten ja keskisuurten yritysten tietoturvaa LiveJournalista

CRM-järjestelmä suojaksi

Kaupallisten ja toiminnallisten tietojen suojaaminen ja asiakaskuntasi turvallinen säilyttäminen on yksi CRM-järjestelmän päätehtävistä, ja siinä se on yrityksen kaikkien muiden sovellusohjelmistojen yläpuolella.

Varmasti aloit lukea tätä artikkelia ja virnistit syvälle sanoen, kuka tarvitsee tietojasi. Jos näin on, et todennäköisesti ole käsitellyt myyntiä etkä tiedä kuinka kysyttyjä "live" ja laadukkaita asiakaskuntia ja tietoa työtavoista tämän pohjan kanssa on. CRM-järjestelmän sisältö kiinnostaa paitsi yrityksen johtoa myös:  

• Hyökkääjät (harvemmin) - heillä on erityisesti yritykseesi liittyvä tavoite ja he käyttävät kaikkia resursseja saadakseen tietoja: työntekijöiden lahjonta, hakkerointi, tietojesi ostaminen esimiehiltä, ​​johtajien haastattelut jne.
• Työntekijät (useammin), jotka voivat toimia kilpailijoiden sisäpiiriläisinä. He ovat yksinkertaisesti valmiita ottamaan pois tai myymään asiakaskuntansa oman voittonsa vuoksi.
• Amatöörihakkereille (erittäin harvoin) - saatat joutua hakkeroitumaan pilveen, jossa tietosi sijaitsevat tai verkkoon hakkeroidaan, tai ehkä joku haluaa "vetää" tietosi esiin huvin vuoksi (esimerkiksi lääke- tai alkoholitukkukauppiaiden tiedot - vain mielenkiintoista nähdä).

Jos joku pääsee CRM:ään, hänellä on pääsy operatiivisiin toimintoihisi, eli tietomäärään, jolla ansaitset suurimman osan voitoistasi. Ja siitä hetkestä lähtien, kun haitallinen pääsy CRM-järjestelmään saadaan, voitot alkavat hymyillä sille, jonka käsiin asiakaskunta päätyy. No, tai hänen kumppaninsa ja asiakkaat (lue - uudet työnantajat).

Hyvä, luotettava CRM-järjestelmä pystyy kattamaan nämä riskit ja tarjoamaan joukon miellyttäviä bonuksia turvallisuusalalla.

Joten mitä CRM-järjestelmä voi tehdä turvallisuuden suhteen?

(Kerromme sinulle esimerkin avulla RegionSoft CRM, koska Emme voi olla vastuussa muista)

• Kaksivaiheinen todennus USB-avaimella ja salasanalla. RegionSoft CRM tukee kaksivaiheista käyttäjän valtuutustilaa kirjautuessaan järjestelmään. Tällöin järjestelmään kirjautuessasi sinun tulee salasanan syöttämisen lisäksi asettaa etukäteen alustettu USB-avain tietokoneen USB-porttiin. Kaksivaiheinen valtuutustila auttaa suojautumaan salasanavarkauksilta tai salasanojen paljastamiselta.

Napsautettava

• Suorita luotetuista IP- ja MAC-osoitteista. Turvallisuuden parantamiseksi voit estää käyttäjiä kirjautumasta sisään vain rekisteröidyistä IP- ja MAC-osoitteista. Sekä paikallisverkon sisäisiä IP-osoitteita että ulkoisia osoitteita voidaan käyttää IP-osoitteina, jos käyttäjä muodostaa etäyhteyden (Internetin kautta).
• Verkkotunnuksen valtuutus (Windows-valtuutus). Järjestelmän käynnistys voidaan konfiguroida niin, että sisäänkirjautumisen yhteydessä ei vaadita käyttäjän salasanaa. Tässä tapauksessa tapahtuu Windows-valtuutus, joka tunnistaa käyttäjän WinAPI:n avulla. Järjestelmä käynnistetään sen käyttäjän alla, jonka profiilissa tietokone on käynnissä järjestelmän käynnistyessä.
• Toinen mekanismi on yksityisiä asiakkaita. Yksityisasiakkaat ovat asiakkaita, jotka voivat nähdä vain esimiehensä. Nämä asiakkaat eivät näy muiden käyttäjien luetteloissa, vaikka muilla käyttäjillä olisi täydet käyttöoikeudet, mukaan lukien järjestelmänvalvojan oikeudet. Näin voit suojata esimerkiksi erityisen tärkeitä asiakkaita tai ryhmää muusta syystä, joka uskotaan luotettavalle johtajalle.
• Käyttöoikeuksien jakamismekanismi — tavallinen ja ensisijainen turvatoimenpide CRM:ssä. Yksinkertaistaaksesi käyttäjäoikeuksien hallintaprosessia, sisään RegionSoft CRM oikeuksia ei myönnetä tietyille käyttäjille, vaan malleille. Ja käyttäjälle itselleen on määritetty yksi tai toinen malli, jolla on tietyt oikeudet. Tämän ansiosta jokainen työntekijä - uusista palkatuista harjoittelijoihin ja johtajiin - voi määrittää lupia ja käyttöoikeuksia, jotka sallivat tai estävät heitä pääsemästä arkaluontoisiin tietoihin ja arkaluonteisiin yritystietoihin.
• Automaattinen tietojen varmuuskopiointijärjestelmä (varmuuskopiot)konfiguroitavissa skriptipalvelimen kautta RegionSoft-sovelluspalvelin.

Tämä on turvallisuuden toteutus käyttämällä esimerkkinä yhtä järjestelmää, jokaisella toimittajalla on omat politiikkansa. CRM-järjestelmä kuitenkin todella suojaa tietojasi: näet, kuka on tehnyt tämän tai tuon raportin ja mihin aikaan, kuka katsoi mitä tietoja, kuka latasi ne ja paljon muuta. Vaikka haavoittuvuus saisi tietää jälkikäteen, et jätä tekoa rankaisematta ja voit helposti tunnistaa yrityksen luottamusta ja lojaalisuutta väärin käyttäneen työntekijän.

Oletko rentoutunut? Aikaisin! Tämä suoja voi toimia sinua vastaan, jos olet huolimaton ja jätät huomioimatta tietosuojakysymykset.

CRM-järjestelmä uhkana

Jos yritykselläsi on vähintään yksi tietokone, tämä on jo kyberuhan lähde. Näin ollen uhkataso kasvaa työasemien (ja työntekijöiden) määrän sekä asennettujen ja käytettyjen ohjelmistojen monipuolisuuden myötä. Ja asiat eivät ole helppoja CRM-järjestelmien kanssa - tämä on loppujen lopuksi ohjelma, joka on suunniteltu tallentamaan ja käsittelemään tärkeintä ja kalleinta omaisuutta: asiakaskuntaa ja kaupallisia tietoja, ja täällä kerromme kauhutarinoita sen turvallisuudesta. Itse asiassa kaikki ei ole niin synkkää lähietäisyydeltä, ja oikein käsiteltynä saat CRM-järjestelmästä vain hyötyä ja turvaa.

Mitkä ovat vaarallisen CRM-järjestelmän merkit?

Aloitetaan lyhyellä retkellä perusasioihin. CRM:t tulevat pilvi- ja työpöytäversioina. Pilvipalveluja ovat ne, joiden DBMS (tietokanta) ei sijaitse yrityksessäsi, vaan yksityisessä tai julkisessa pilvessä jossakin datakeskuksessa (olet esimerkiksi Tšeljabinskissa ja tietokantasi on käynnissä huippuviileässä palvelinkeskuksessa Moskovassa , koska CRM-toimittaja päätti niin ja hänellä on sopimus tämän palveluntarjoajan kanssa). Desktop (alias on-premise, palvelin - mikä ei enää ole niin totta) perustaa DBMS:nsä omiin palvelimiin (ei, ei, älä kuvittele valtavaa palvelinhuonetta kalliilla telineillä, useimmiten pienissä ja keskisuurissa yrityksissä yksi palvelin tai jopa tavallinen tietokone nykyaikaisella kokoonpanolla), eli fyysisesti toimistossasi.

Luvaton pääsy molempiin CRM-tyyppeihin on mahdollista, mutta pääsyn nopeus ja helppous ovat erilaisia, varsinkin jos puhumme pk-yrityksistä, jotka eivät välitä tietoturvasta paljoakaan.

Varoitusmerkki #1

Syy pilvijärjestelmän dataongelmien suurempaan todennäköisyyteen on useiden linkkien yhdistämä suhde: sinä (CRM-vuokralainen) - toimittaja - toimittaja (on olemassa pidempi versio: sinä - toimittaja - toimittajan IT-ulkoistaja - toimittaja) . 3-4 linkillä parisuhteessa on enemmän riskejä kuin 1-2:ssa voi syntyä ongelma myyjän puolella (sopimuksen muutos, palveluntarjoajan palvelujen maksamatta jättäminen), palveluntarjoajan puolella (force majeure, hakkerointi, tekniset ongelmat), ulkoistajan puolella (johtajan tai insinöörin vaihto) jne. Tietenkin suuret toimittajat yrittävät varmuuskopioida datakeskuksia, hallita riskejä ja ylläpitää DevOps-osastoaan, mutta tämä ei sulje pois ongelmia.

Desktop CRM:ää ei yleensä vuokrata, vaan yritys ostaa, joten suhde näyttää yksinkertaisemmalta ja läpinäkyvämmältä: CRM:n käyttöönoton aikana toimittaja määrittää tarvittavat suojaustasot (käyttöoikeuksien ja fyysisen USB-avaimen eriyttämisestä palvelin betoniseinässä jne.) ja siirtää hallinnan CRM:n omistavalle yritykselle, joka voi lisätä suojausta, palkata järjestelmänvalvojan tai ottaa tarvittaessa yhteyttä ohjelmistotoimittajaansa. Ongelmat liittyvät työntekijöiden kanssa työskentelemiseen, verkon suojaamiseen ja tietojen fyysiseen suojaamiseen. Jos käytät työpöydän CRM:ää, edes Internetin täydellinen sulkeminen ei pysäytä työtä, koska tietokanta sijaitsee "kotitoimistossasi".

Yksi työntekijöistämme, joka työskenteli yrityksessä, joka kehitti pilvipohjaisia ​​integroituja toimistojärjestelmiä, mukaan lukien CRM, puhuu pilviteknologioista. ”Yhdessä työpaikassani yritys loi jotain hyvin samanlaista kuin perus CRM, ja se kaikki liittyi verkkodokumentteihin ja niin edelleen. Eräänä päivänä GA:ssa näimme epänormaalia toimintaa yhdeltä tilaaja-asiakkaaltamme. Kuvittele me, analyytikot, yllätys, kun me emme ole kehittäjiä, mutta meillä oli korkea pääsyoikeus, pystyimme yksinkertaisesti avaamaan asiakkaan käyttämän käyttöliittymän linkin kautta ja katsomaan, millainen suosittu merkki hänellä oli. Muuten näyttää siltä, ​​​​että asiakas ei haluaisi kenenkään näkevän näitä kaupallisia tietoja. Kyllä, se oli bugi, eikä sitä korjattu useaan vuoteen - mielestäni asiat ovat edelleen olemassa. Siitä lähtien olen ollut desktop-harrastaja enkä todellakaan luota pilviin, vaikka tietysti käytämme niitä työssämme ja henkilökohtaisessa elämässämme, jossa meillä oli myös hauskoja fakapeita."

Habrén kyselystämme, ja nämä ovat edistyneiden yritysten työntekijöitä

Tietojen katoaminen pilvi CRM-järjestelmästä voi johtua tietojen menetyksestä, joka johtuu palvelinvioista, palvelimien epäkäytettävyydestä, ylivoimaisesta esteestä, toimittajan toimintojen lopettamisesta jne. Pilvi tarkoittaa jatkuvaa, keskeytymätöntä pääsyä Internetiin ja suojauksen tulee olla ennennäkemätöntä: kooditasolla käyttöoikeudet, lisäkyberturvallisuustoimenpiteet (esim. kaksivaiheinen todennus).

Varoitusmerkki #2

Emme edes puhu yhdestä ominaisuudesta, vaan joukosta ominaisuuksia, jotka liittyvät toimittajaan ja sen käytäntöihin. Listataanpa muutamia tärkeitä esimerkkejä, joita me ja työntekijämme olemme kohdanneet.

• Myyjä saattaa valita riittämättömän luotettavan datakeskuksen, jossa asiakkaiden DBMS "pyörii". Hän säästää rahaa, ei hallitse SLA:ta, ei laske kuormaa, ja tulos on kohtalokas sinulle.
• Myyjä voi evätä oikeuden siirtää palvelu valitsemaasi datakeskukseen. Tämä on melko yleinen SaaS-rajoitus.
• Myyjällä voi olla oikeudellinen tai taloudellinen ristiriita pilvipalvelun tarjoajan kanssa, ja sitten "showdownin" aikana varmuuskopiointitoimet tai esimerkiksi nopeus voivat olla rajoitettuja.
• Varmuuskopiointipalvelu voidaan tarjota lisämaksusta. Yleinen käytäntö, josta CRM-järjestelmän asiakas saa tietää vasta sillä hetkellä, kun varmuuskopiota tarvitaan, eli kriittisimmällä ja haavoittuvimmalla hetkellä.
• Toimittajan työntekijöillä on esteetön pääsy asiakastietoihin.
• Kaikenlaisia ​​tietovuotoja voi tapahtua (inhimillinen virhe, petos, hakkerit jne.).

Yleensä nämä ongelmat liittyvät pieniin tai nuoriin myyjiin, mutta suuret ovat joutuneet toistuvasti vaikeuksiin (google it). Siksi sinun tulee aina olla puolellasi tapoja suojata tietoja + keskustella turvallisuusasioista valitun CRM-järjestelmän toimittajan kanssa etukäteen. Jo se tosiasia, että olet kiinnostunut ongelmasta, pakottaa toimittajan suhtautumaan toteutukseen mahdollisimman vastuullisesti (tämä on erityisen tärkeää, jos olet tekemisissä ei myyjän toimiston, vaan hänen kumppaninsa kanssa, jolle se on tärkeää tehdä sopimus ja saada provisio, ei nämä kaksitekijät... ymmärsitkö).

Varoitusmerkki #3

Turvatyön organisointi yrityksessäsi. Vuosi sitten kirjoitimme perinteisesti turvallisuudesta Habreen ja teimme kyselyn. Otos ei ollut kovin suuri, mutta vastaukset ovat suuntaa antavia:

Artikkelin lopussa annamme linkit julkaisuihimme, joissa tarkastelimme yksityiskohtaisesti suhdetta "yritys-työntekijä-turvallisuus" -järjestelmässä, ja tässä on luettelo kysymyksistä, joihin vastaukset tulisi löytää. yrityksesi (vaikka et tarvitsisi CRM:ää).

• Missä työntekijät säilyttävät salasanoja?
• Kuinka pääsy yrityksen palvelimilla olevaan tallennustilaan on järjestetty?
• Miten kaupallisia ja toiminnallisia tietoja sisältävät ohjelmistot suojataan?
• Onko kaikilla työntekijöillä käytössä virustorjuntaohjelmisto?
• Kuinka monella työntekijällä on pääsy asiakastietoihin ja mikä käyttöoikeustaso tällä on?
• Kuinka monta uutta työntekijää sinulla on ja kuinka monta työntekijää on lähtemässä?
• Kuinka kauan olet kommunikoinut avainhenkilöiden kanssa ja kuunnellut heidän toiveitaan ja valituksiaan?
• Valvotaanko tulostimia?
• Miten käytäntö on järjestetty omien gadgetien liittämiseksi tietokoneeseesi sekä työpaikan Wi-Fin käyttöön?

Itse asiassa nämä ovat peruskysymyksiä – hardcorea varmaan lisätään kommentteihin, mutta nämä ovat perusasiat, joiden perusteet kahden työntekijänkin yksittäisen yrittäjän tulisi tietää.

Joten kuinka suojella itseäsi?

• Varmuuskopiot ovat tärkein asia, joka usein joko unohdetaan tai jätetään huomiotta. Jos sinulla on työpöytäjärjestelmä, määritä tietojen varmuuskopiointijärjestelmä tietyllä taajuudella (esimerkiksi RegionSoft CRM:lle tämä voidaan tehdä käyttämällä RegionSoft-sovelluspalvelin) ja järjestä kopioiden asianmukainen säilytys. Jos sinulla on pilvi-CRM, muista selvittää ennen sopimuksen tekemistä, miten varmuuskopiointityö on järjestetty: tarvitset tietoa varmuuskopioinnin syvyydestä ja tiheydestä, tallennuspaikasta, varmuuskopioinnin hinnasta (usein vain varmuuskopiot "kauden uusimmista tiedoista" ” ovat ilmaisia, ja täysi, turvallinen varmuuskopiointi tarjotaan maksullisena palveluna). Yleensä tämä ei todellakaan ole säästämisen tai huolimattomuuden paikka. Ja kyllä, älä unohda tarkistaa, mitä varmuuskopioista palautetaan.
• Käyttöoikeuksien erottelu toiminto- ja datatasolla.
• Turvallisuus verkkotasolla - sinun on sallittava CRM:n käyttö vain toimiston aliverkossa, rajoitettava pääsy mobiililaitteisiin, kiellettävä CRM-järjestelmän kanssa työskentely kotoa käsin tai, mikä vielä pahempaa, julkisista verkoista (coworking-tilat, kahvilat, asiakastoimistot). , jne.). Ole erityisen varovainen mobiiliversion kanssa - olkoon se vain suuresti katkaistu versio töihin.
• Reaaliaikaisella tarkistuksella varustettu virustorjunta tarvitaan joka tapauksessa, mutta erityisesti yrityksen tietoturvan kannalta. Käytäntötasolla kiellä sen poistaminen käytöstä itse.
• Työntekijöiden kouluttaminen kyberhygieniaan ei ole ajanhukkaa, vaan kiireellinen tarve. Kaikille kollegoille on kerrottava, että heidän on tärkeää paitsi varoittaa, myös reagoida oikein saatuun uhkaan. Internetin tai sähköpostin käytön kieltäminen toimistossa on menneisyyttä ja aiheuttaa akuuttia negatiivisuutta, joten joudut työskentelemään ennaltaehkäisyssä.

Tietysti pilvijärjestelmää käyttämällä voidaan saavuttaa riittävä turvallisuustaso: käyttää omistettuja palvelimia, konfiguroida reitittimiä ja erottaa liikenne sovellus- ja tietokantatasolla, käyttää yksityisiä aliverkkoja, ottaa käyttöön tiukat turvallisuussäännöt ylläpitäjille, varmistaa keskeytymätön toiminta varmuuskopioiden avulla. suurimmalla vaaditulla taajuudella ja täydellisyydellä, valvoa verkkoa kellon ympäri... Jos ajattelee sitä, se ei ole niin vaikeaa, mutta melko kallista. Mutta kuten käytäntö osoittaa, vain jotkut yritykset, enimmäkseen suuret, toteuttavat tällaisia ​​​​toimenpiteitä. Siksi emme epäröi todeta uudelleen: sekä pilvi että työpöytä eivät saa elää itsenäisesti; suojaa tietosi.

Muutamia pieniä mutta tärkeitä vinkkejä kaikkiin CRM-järjestelmän käyttöönottotapauksiin

• Tarkista toimittajalta haavoittuvuuksia – etsi tietoja käyttämällä sanayhdistelmiä "Vendor Name haavoittuvuus", "Vendor Name hakkeroitu", "Vendor Name data leak". Tämän ei pitäisi olla ainoa parametri uuden CRM-järjestelmän etsinnässä, vaan on yksinkertaisesti tarpeen merkitä alakuoren rasti, ja on erityisen tärkeää ymmärtää tapahtuneiden tapausten syyt.
• Kysy toimittajalta palvelinkeskuksesta: saatavuus, kuinka monta niitä on, kuinka vikasieto on järjestetty.
• Määritä tietoturvatunnukset CRM:ssäsi, seuraa toimintaa järjestelmän sisällä ja epätavallisia piikkejä.
• Estä raporttien vienti ja pääsy API:n kautta ei-ydintyöntekijöiltä eli niiltä, ​​jotka eivät tarvitse näitä toimintoja normaaliin toimintaansa.
• Varmista, että CRM-järjestelmäsi on määritetty kirjaamaan prosesseja ja kirjaamaan käyttäjän toimintoja.

Nämä ovat pieniä asioita, mutta ne täydentävät täydellisesti kokonaiskuvaa. Ja itse asiassa mikään pieni asia ei ole turvassa.

Ottamalla käyttöön CRM-järjestelmän varmistat tietojesi turvallisuuden - mutta vain, jos toteutus on suoritettu asiantuntevasti eivätkä tietoturvakysymykset jää taustalle. Samaa mieltä, on typerää ostaa auto tarkastamatta jarruja, ABS:ää, turvatyynyjä, turvavyitä, EDS:ää. Loppujen lopuksi tärkeintä ei ole vain mennä, vaan mennä turvallisesti ja päästä perille terveenä. Sama on bisneksen kanssa.

Ja muista: jos työturvallisuussäännöt on kirjoitettu verellä, yritysten kyberturvallisuussäännöt kirjoitetaan rahalla.

Aiheesta kyberturvallisuus ja CRM-järjestelmän paikka siinä voit lukea yksityiskohtaisia ​​artikkeleitamme:

• Liiketoiminnan perusvaisto: Yritysturvallisuuden reuna — yleiskatsaus mahdollisista yrityssfäärin turvallisuusuhkista ja likimääräinen havaitsemisjärjestelmä.
• Pitäisikö sinun suojata tietoja työntekijöiltä? — Yksityiskohtainen analyysi siitä, kuinka työntekijät voivat vahingoittaa yritystäsi ja miten he tekevät tämän kaupallisella alalla.

Jos etsit CRM-järjestelmää, niin sitten RegionSoft CRM 31. maaliskuuta asti 15% alennus. Jos tarvitset CRM:ää tai ERP:tä, tutustu tuotteisiimme huolellisesti ja vertaa niiden ominaisuuksia tavoitteisiisi. Jos sinulla on kysyttävää tai vaikeuksia, kirjoita tai soita, järjestämme sinulle henkilökohtaisen verkkoesityksen - ilman arvosanoja tai kelloja ja pillejä.

Kanavamme Telegramissa, jossa kirjoitamme ilman mainontaa ei täysin muodollisia asioita CRM:stä ja liiketoiminnasta.

Lähde: will.com