Vuonna 2008 pääsin vierailemaan IT-yrityksessä. Jokaisessa työntekijässä oli jonkinlainen epäterveellinen jännitys. Syy osoittautui yksinkertaiseksi: matkapuhelimet ovat laatikossa toimiston sisäänkäynnin luona, takana on kamera, toimistossa 2 isoa "katsovaa" lisäkameraa ja valvontaohjelmisto näppäinloggerilla. Ja kyllä, tämä ei ole se yritys, joka kehitti SORM:ia tai lentokoneiden elämää ylläpitäviä järjestelmiä, vaan yksinkertaisesti yrityssovellusohjelmistojen kehittäjä, joka on nyt imeytynyt, murskattu eikä enää ole olemassa (mikä näyttää loogiselta). Jos nyt venyttelet ja ajattelet, että toimistossasi, jossa on riippumattoja ja M&M maljakoissa, tämä ei todellakaan pidä paikkaansa, saatat olla pahasti väärässä – kontrolli on vain 11 vuoden aikana oppinut olemaan näkymätön ja oikea ilman välienselvityksiä. vierailtuja sivustoja ja ladattuja elokuvia.
Onko siis todella mahdotonta ilman tätä kaikkea, mutta entä luottamus, uskollisuus, usko ihmisiin? Usko tai älä, mutta yhtä monta yritystä on ilman turvatoimia. Mutta työntekijät onnistuvat sotkemaan siellä täällä - yksinkertaisesti siksi, että inhimillinen tekijä voi tuhota maailmoja, ei vain yritystäsi. Joten, mistä työntekijäsi voivat joutua pahaan?
Tämä ei ole kovin vakava postaus, jolla on täsmälleen kaksi tehtävää: piristää hieman arkea ja muistuttaa turvallisuuden perusasioista, jotka usein unohtuvat. Voi, ja vielä kerran muistuttaa – Eikö tällainen ohjelmisto ole turvallisuuden reuna? 🙂
Mennään satunnaiseen tilaan!
Salasanat, salasanat, salasanat...
Puhut heistä ja suuttumuksen aalto valtaa: kuinka voi olla, he kertoivat maailmalle niin monta kertaa, mutta asiat ovat edelleen olemassa! Kaiken tasoisissa yrityksissä, yksittäisistä yrittäjistä monikansallisiin yrityksiin, tämä on erittäin arka paikka. Joskus minusta tuntuu, että jos huomenna rakennetaan todellinen Death Star, hallintapaneelissa on jotain admin/admin. Joten mitä voimme odottaa tavallisilta käyttäjiltä, joille heidän oma VKontakte-sivu on paljon kalliimpi kuin yritystili? Tässä on tarkastettavat kohdat:
- Salasanojen kirjoittaminen paperille, näppäimistön takapuolelle, näytölle, pöydälle näppäimistön alle, tarraan hiiren pohjassa (ovelia!) - työntekijöiden ei pitäisi koskaan tehdä niin. Eikä siksi, että kauhea hakkeri tulee sisään ja lataa koko 1C:n muistitikulle lounaalla, vaan koska toimistossa saattaa olla loukkaantunut Sasha, joka lopettaa ja tekee jotain likaa tai ottaa tiedot viimeistä kertaa. . Mikset tekisi tätä seuraavalla lounaalla?
Tämä on mitä? Tämä tallentaa kaikki salasanani
- Yksinkertaisten salasanojen asettaminen PC:lle ja työohjelmille pääsyä varten. Syntymäajat, qwerty123 ja jopa asdf ovat yhdistelmiä, jotka kuuluvat vitseihin ja bashorgiin, eivät yrityksen turvajärjestelmään. Aseta vaatimukset salasanoille ja niiden pituudelle ja aseta vaihtotiheys.
Salasana on kuin alusvaatteet: vaihda sitä usein, älä jaa sitä ystävillesi, pitkä on parempi, ole salaperäinen, älä levitä sitä kaikkialle
- Toimittajan oletusarvoiset ohjelman sisäänkirjautumissalasanat ovat virheellisiä, jo pelkästään siksi, että melkein kaikki toimittajan työntekijät tuntevat ne, ja jos kyseessä on verkkopohjainen järjestelmä pilvessä, ei kenenkään ole vaikeaa saada tietoja. Varsinkin jos sinulla on myös verkkoturvallisuus "älä vedä johdosta" -tasolla.
- Selitä työntekijöille, että käyttöjärjestelmän salasanavihje ei saa näyttää muotoilta "minun syntymäpäiväni", "tyttären nimi", "Gvoz-dika-78545-ap#1! englanniksi." tai "kvarttia ja yksi ja nolla".
Kissani antaa minulle mahtavia salasanoja! Hän kävelee näppäimistöni yli
Fyysinen pääsy tapauksiin
Miten yrityksesi järjestää pääsyn kirjanpito- ja henkilöstöasiakirjoihin (esimerkiksi työntekijöiden henkilötietoihin)? Arvaan: jos kyseessä on pieni yritys, niin kirjanpitoosastolla tai pomon toimistossa kansioissa hyllyillä tai kaapissa; jos se on iso yritys, niin HR-osastolla hyllyillä. Mutta jos se on erittäin suuri, niin todennäköisesti kaikki on oikein: erillinen toimisto tai lohko magneettiavaimella, johon vain tietyillä työntekijöillä on pääsy, ja päästäksesi sinne, sinun on soitettava jollekin heistä ja mentävä tähän solmuun heidän läsnä ollessaan. Tällaisen suojauksen tekemisessä ei ole mitään vaikeaa missään liiketoiminnassa tai ainakin oppia olemaan kirjoittamatta toimistokassakaapin salasanaa liidulla ovelle tai seinälle (kaikki perustuu tositapahtumiin, älä naura).
Miksi se on tärkeää? Ensinnäkin työntekijöillä on patologinen halu saada selville salaisimmat asiat toisistaan: siviilisääty, palkka, lääketieteelliset diagnoosit, koulutus jne. Tämä on kompromissi toimistokilpailussa. Etkä todellakaan hyödy riidasta, joka syntyy, kun suunnittelija Petya saa selville, että hän ansaitsee 20 tuhatta vähemmän kuin suunnittelija Alice. Toiseksi siellä työntekijät pääsevät käsiksi yrityksen taloustietoihin (taseet, vuosikertomukset, sopimukset). Kolmanneksi jotain voidaan yksinkertaisesti kadota, vahingoittaa tai varastaa, jotta voidaan peittää jälkiä omasta työhistoriasta.
Varasto, jossa joku on menetys, joku on aarre
Jos sinulla on varasto, ota huomioon, että ennemmin tai myöhemmin kohtaat varmasti rikollisia - näin yksinkertaisesti toimii ihmisen psykologia, joka näkee suuren määrän tuotteita ja uskoo vakaasti, että vähän paljon ei ole ryöstöä, vaan jakaminen. Ja tavarayksikkö tästä kasasta voi maksaa 200 tuhatta, 300 tuhatta tai useita miljoonia. Valitettavasti varkauksia ei voi pysäyttää mikään muu kuin pedanttinen ja kokonaisvaltainen valvonta ja kirjanpito: kamerat, vastaanotto ja poisto viivakoodien avulla, varastokirjanpidon automatisointi (esim. varastokirjanpito on järjestetty siten, että johtaja ja esimies näkevät tavaran liikkumisen varaston läpi reaaliajassa).
Siksi varustaa varastosi hampaisiin asti, varmista fyysinen turvallisuus ulkoiselta viholliselta ja täydellinen turvallisuus sisäiseltä viholliselta. Kuljetus-, logistiikka- ja varastotyöntekijöiden on ymmärrettävä selvästi, että valvonta on olemassa, se toimii ja he melkein rankaisevat itseään.
*Hei, älä työnnä käsiäsi infrastruktuuriin
Jos tarina palvelinhuoneesta ja siivoojasta on jo elänyt itsensä ja siirtynyt pitkään muiden teollisuudenalojen tarinoihin (esimerkiksi samassa osastolla tapahtui mystinen tuulettimen sammuttaminen), niin loput jäävät todeksi. . Pienten ja keskisuurten yritysten verkko- ja IT-turvallisuus jättää paljon toivomisen varaa, eikä tämä useinkaan riipu siitä, onko sinulla oma järjestelmänvalvoja vai kutsuttu. Jälkimmäinen selviää usein jopa paremmin.
Joten mihin työntekijät täällä pystyvät?
- Kaikkein mukavinta ja harmittominta on mennä palvelinhuoneeseen, vetää johtoja, katsoa, kaataa teetä, levittää likaa tai yrittää itse konfiguroida jotain. Tämä vaikuttaa erityisesti "luottamukseen ja edistyneisiin käyttäjiin", jotka sankarillisesti opettavat kollegansa poistamaan virustentorjunnan ja ohittamaan suojauksen PC:llä ja ovat varmoja, että he ovat palvelinhuoneen synnynnäisiä jumalia. Yleensä valtuutettu rajoitettu käyttöoikeus on sinun kaikkesi.
- Varusteet ja osien vaihtaminen. Rakastatko yritystäsi ja olet asentanut kaikille tehokkaat näytönohjaimet, jotta laskutusjärjestelmä, CRM ja kaikki muu voisi toimia täydellisesti? Loistava! Vain ovelat kaverit (ja joskus tytöt) korvaavat ne helposti kotimalleilla, ja kotona he ajavat pelejä uudella toimistomallilla - mutta puolet maailmasta ei tiedä. Sama tarina koskee näppäimistöjä, hiiriä, jäähdyttimiä, UPS-laitteita ja kaikkea, mikä voidaan jotenkin korvata laitteistokokoonpanossa. Seurauksena on omaisuusvahingon, sen täydellisen menettämisen riski, ja samalla et saa haluttua nopeutta ja laatua tietojärjestelmien ja sovellusten kanssa. Säästää valvontajärjestelmä (ITSM-järjestelmä), jossa on konfiguroitu konfiguraatiohallinta), joka tulee toimittaa täydellisenä korruptoitumattoman ja periaatteellisen järjestelmänvalvojan kanssa.
Ehkä haluat etsiä parempaa turvajärjestelmää? En ole varma, riittääkö tämä merkki
- Omien modeemien, tukiasemiesi tai jonkinlaisen jaetun Wi-Fi-yhteyden käyttäminen tekee tiedostojen käyttämisestä vähemmän turvallista ja käytännössä hallitsematonta, mitä hyökkääjät voivat hyödyntää (myös yhteistyössä työntekijöiden kanssa). No, lisäksi todennäköisyys, että työntekijä "omalla Internetillä" viettää työaikaa YouTubessa, humoristisilla sivustoilla ja sosiaalisilla verkostoilla, on paljon suurempi.
- Yhdistetyt salasanat ja kirjautumistunnukset sivuston järjestelmänvalvojan alueelle, CMS:ään ja sovellusohjelmistoihin pääsyä varten ovat kauheita asioita, jotka tekevät kyvyttömästä tai ilkeästä työntekijästä vaikeasti kostajan. Jos sinulla on viisi henkilöä samasta aliverkosta samalla kirjautumistunnuksella/salasanalla, jotka tulevat asettamaan bannerin, tarkistamaan mainoslinkit ja -tiedot, korjaamaan asettelua ja lataamaan päivityksen, et koskaan arvaa, kumpi heistä muutti vahingossa CSS:n kurpitsa. Siksi: erilaiset kirjautumiset, erilaiset salasanat, toimintojen kirjaaminen ja käyttöoikeuksien eriyttäminen.
- Lienee tarpeetonta sanoa lisensoimattomista ohjelmistoista, joita työntekijät raahaavat tietokoneilleen muokatakseen pari kuvaa työaikana tai luodakseen jotain hyvin harrastukseen liittyvää. Etkö ole kuullut Sisäasioiden keskusosaston K-osaston tarkastuksesta? Sitten hän tulee luoksesi!
- Virustorjuntaohjelman pitäisi toimia. Kyllä, jotkut niistä voivat hidastaa tietokonettasi, ärsyttää sinua ja yleensä näyttää pelkuruuden merkiltä, mutta on parempi estää se kuin maksaa myöhemmin seisokkeilla tai, pahempaa, varastetuilla tiedoilla.
- Käyttöjärjestelmän varoituksia sovelluksen asennuksen vaaroista ei pidä jättää huomiotta. Nykyään työn lataaminen kestää sekunneissa ja minuuteissa. Esimerkiksi Direct.Commander tai AdWords-editori, jokin hakukoneoptimoinnin jäsentäjä jne. Jos kaikki on enemmän tai vähemmän selvää Yandexin ja Googlen tuotteissa, niin toinen picreizer, ilmainen virustenpuhdistaja, videoeditori kolmella tehosteella, kuvakaappaukset, Skype-tallentimet ja muut "pienet ohjelmat" voivat vahingoittaa sekä yksittäistä tietokonetta että koko yrityksen verkkoa. . Opeta käyttäjiä lukemaan, mitä tietokone haluaa heiltä, ennen kuin he soittavat järjestelmänvalvojalle ja sanovat, että "kaikki on kuollut". Joissakin yrityksissä ongelma ratkaistaan yksinkertaisesti: monet ladatut hyödylliset apuohjelmat tallennetaan verkkoosuuteen, ja siellä on myös luettelo sopivista online-ratkaisuista.
- BYOD-politiikka tai päinvastoin työvälineiden käyttö toimiston ulkopuolella on erittäin huono puoli turvassa. Tässä tapauksessa sukulaiset, ystävät, lapset, julkiset suojaamattomat verkot jne. pääsevät käyttämään tekniikkaa. Tämä on puhtaasti venäläistä rulettia - voit mennä 5 vuotta ja pärjätä, mutta voit menettää tai vahingoittaa kaikki asiakirjasi ja arvokkaat tiedostosi. Sitä paitsi, jos työntekijällä on ilkeä tarkoitus, se on yhtä helppoa kuin lähettää kaksi tavua tietojen vuotamiseen "kävelevien" laitteiden avulla. Sinun on myös muistettava, että työntekijät siirtävät usein tiedostoja henkilökohtaisten tietokoneidensa välillä, mikä taas voi luoda tietoturva-aukkoja.
- Laitteiden lukitseminen ollessasi poissa on hyvä tapa sekä yritys- että henkilökohtaiseen käyttöön. Se taas suojaa sinua uteliailta kollegoilta, tutuilta ja tunkeilijoilta julkisilla paikoilla. Tähän on vaikea tottua, mutta eräässä työpaikassani koin upean kokemuksen: kollegat lähestyivät lukitsematonta PC:tä ja Paint avattiin koko ikkunan yli, jossa oli teksti "Lukitse tietokone!" ja jotain muuttui työssä, esimerkiksi viimeinen pumpattu kokoonpano purettiin tai viimeinen tuotu bugi poistettiin (tämä oli testausryhmä). Se on julmaa, mutta 1-2 kertaa riitti puusimmillekin. Vaikka epäilen, että muut kuin IT-henkilöt eivät ehkä ymmärrä tällaista huumoria.
- Mutta pahin synti on tietysti järjestelmän ylläpitäjä ja hallinta - jos he eivät kategorisesti käytä liikenteenohjausjärjestelmiä, laitteita, lisenssejä jne.
Tämä on tietysti tukikohta, sillä IT-infrastruktuuri on juuri se paikka, jossa mitä pidemmälle metsään, sitä enemmän polttopuuta on. Ja kaikilla pitäisi olla tämä perusta, eikä niitä saa korvata sanoilla "me kaikki luotamme toisiimme", "olemme perhe", "kuka tarvitsee sitä" - valitettavasti tämä on toistaiseksi.
Tämä on Internet, kulta, he voivat tietää sinusta paljon.
On aika ottaa Internetin turvallinen käsittely osaksi koulun elämänturvakurssia - eikä tässä ole ollenkaan kyse toimista, joihin olemme uppoaneet ulkopuolelta. Tämä koskee nimenomaan kykyä erottaa linkki linkistä, ymmärtää, missä on tietojenkalastelu ja missä huijaus, olla avaamatta sähköpostin liitteitä, joiden otsikko on "Reconciliation Report" tuntemattomasta osoitteesta ymmärtämättä sitä jne. Vaikka näyttää siltä, että koululaiset ovat jo oppineet tämän kaiken, mutta työntekijät eivät. On paljon temppuja ja virheitä, jotka voivat vaarantaa koko yrityksen kerralla.
- Sosiaaliset verkostot ovat osa Internetiä, jolla ei ole paikkaa töissä, mutta niiden estäminen yritystasolla vuonna 2019 on epäsuosittu ja motivoivaa toimenpidettä. Siksi sinun tarvitsee vain kirjoittaa kaikille työntekijöille kuinka tarkistaa linkkien laittomuus, kertoa heille petostyypeistä ja pyytää heitä työskentelemään töissä.
- Posti on arka paikka ja ehkä suosituin tapa varastaa tietoja, istuttaa haittaohjelmia ja saastuttaa tietokone ja koko verkko. Valitettavasti monet työnantajat pitävät sähköpostiohjelmaa kustannussäästötyökaluna ja käyttävät ilmaisia palveluita, jotka vastaanottavat 200 roskapostia päivässä, jotka kulkevat suodattimien läpi jne. Ja jotkut vastuuttomat ihmiset avaavat tällaisia kirjeitä ja liitteitä, linkkejä, kuvia - ilmeisesti he toivovat, että musta prinssi jätti heille perinnön. Sen jälkeen ylläpitäjällä on paljon, paljon työtä. Vai oliko se niin tarkoitettu? Muuten, toinen julma tarina: yhdessä yrityksessä jokaista järjestelmänvalvojalle osoitettua roskapostikirjettä kohden KPI alennettiin. Yleensä kuukauden kuluttua ei ollut roskapostia - emoorganisaatio hyväksyi käytännön, eikä roskapostia ole edelleenkään. Ratkaisimme tämän ongelman tyylikkäästi - kehitimme oman sähköpostiohjelman ja rakensimme sen omaksi , joten kaikki asiakkaamme saavat myös tällaisen kätevän ominaisuuden.
Kun seuraavan kerran saat oudon sähköpostin, jossa on paperiliitinsymboli, älä napsauta sitä!
- Viestit ovat myös kaikenlaisten vaarallisten linkkien lähde, mutta tämä on paljon vähemmän pahaa kuin posti (lukuun ottamatta keskusteluissa chattereihin hukattua aikaa).
Vaikuttaa siltä, että nämä ovat kaikki pieniä asioita. Jokaisella näistä pienistä asioista voi kuitenkin olla tuhoisia seurauksia, varsinkin jos yrityksesi on kilpailijan hyökkäyksen kohteena. Ja tämä voi tapahtua kirjaimellisesti kenelle tahansa.
Puhuvia työntekijöitä
Tämä on se inhimillinen tekijä, josta sinun on vaikea päästä eroon. Työntekijät voivat keskustella työstä käytävällä, kahvilassa, kadulla, asiakkaan kotona, puhua äänekkäästi toisesta asiakkaasta, puhua työsaavutuksista ja projekteista kotona. Tietenkin todennäköisyys, että kilpailija seisoo takanasi, on mitätön (jos et ole samassa yrityskeskuksessa - näin on tapahtunut), mutta mahdollisuus, että kaveri, joka ilmaisee selkeästi liikeasiansa, kuvataan älypuhelimeen ja julkaistaan YouTube on kummallista kyllä korkeampi. Mutta tämäkin on paskapuhetta. Ei ole paskapuhetta, kun työntekijäsi esittelevät mielellään tietoa tuotteesta tai yrityksestä koulutuksissa, konferensseissa, tapaamisissa, ammattifoorumeissa tai jopa Habressa. Lisäksi ihmiset kutsuvat usein tietoisesti vastustajiaan tällaisiin keskusteluihin kilpailutiedon suorittamiseksi.
Paljastava tarina. Eräässä galaktisen mittakaavan IT-konferenssissa osastopuhuja esitti dialle täydellisen kaavion suuren yrityksen IT-infrastruktuurin organisaatiosta (20 parasta). Kaava oli megavaikuttava, yksinkertaisesti kosminen, melkein kaikki valokuvasivat sen, ja se lensi välittömästi sosiaalisten verkostojen yli ylistettyjen arvostelujen kera. Sitten puhuja nappasi heidät geotunnisteilla, telineillä ja sosiaalisessa mediassa. sen julkaisijoiden ja poistamista pyytäneiden verkostot, koska he soittivat hänelle melko nopeasti ja sanoivat ah-ta-ta. Chatterbox on jumalan lahja vakoojalle.
Tietämättömyys... vapauttaa sinut rangaistuksesta
Kaspersky Labin vuoden 2017 globaalin raportin yrityksistä, jotka kokevat kyberturvallisuushäiriöitä 12 kuukauden aikana, mukaan joka kymmenes (11 %) vakavimmista tapaustyypeistä koski huolimattomia ja tietämättömiä työntekijöitä.
Älä oleta, että työntekijät tietävät kaiken yrityksen turvatoimista, muista varoittaa heitä, järjestää koulutusta, tehdä mielenkiintoisia säännöllisiä uutiskirjeitä turvallisuusasioista, pitää kokouksia pizzan ääressä ja selvittää asioita uudelleen. Ja kyllä, cool life hack - merkitse kaikki painetut ja sähköiset tiedot väreillä, kylteillä, kirjoituksilla: liikesalaisuus, salaisuus, viralliseen käyttöön, yleinen pääsy. Tämä todella toimii.
Moderni maailma on asettanut yritykset erittäin herkkään asemaan: on tarpeen säilyttää tasapaino työntekijän halun lisäksi tehdä kovaa työtä työssä, saada myös viihdesisältöä taustalla/taukojen aikana, ja tiukkojen yritysturvasääntöjen välillä. Jos otat käyttöön hypercontrol- ja idiootit seurantaohjelmat (kyllä, ei kirjoitusvirhe - tämä ei ole turvallisuutta, tämä on vainoharhaisuutta) ja kamerat selkäsi takana, niin työntekijöiden luottamus yritykseen laskee, mutta luottamuksen ylläpitäminen on myös yrityksen tietoturvatyökalu.
Tiedä siis milloin lopettaa, kunnioita työntekijöitäsi ja tee varmuuskopiot. Ja mikä tärkeintä, aseta etusijalle turvallisuus, ei henkilökohtainen vainoharhaisuus.
Jos tarvitset ja vertailla heidän kykyjään tavoitteisiisi. Jos sinulla on kysyttävää tai vaikeuksia, kirjoita tai soita, järjestämme sinulle henkilökohtaisen verkkoesityksen - ilman arvosanoja tai kelloja ja pillejä.
, jossa kirjoitamme ilman mainontaa ei täysin muodollisia asioita CRM:stä ja liiketoiminnasta.
Lähde: will.com