Hei Habr! Olen henkilö, joka kuluttaa IT-tuotteita App Storen, Sberbank Onlinen, Delivery Clubin kautta ja liittyy IT-alaan siltä osin kuin. Lyhyesti sanottuna ammatillisen toimintani erityispiirteenä on tarjota konsulttipalveluita ravintola-alan yrityksille liiketoimintaprosessien optimointiin ja kehittämiseen. Viime aikoina suuri määrä tilauksia on alkanut saapua toimipaikkojen omistajilta, joiden tavoitteena on rakentaa tietoturvajärjestelmä yrityksiinsä.
Aloitetaan parilla hauskalla tarinalla. Tarina numero yksi. Yhdessä rennossa ruokailukahvilassa johtajat vaihtuivat kolmen kuukauden välein. Olipa kerran ensimmäinen johtaja, joka oli suuri Neuvostoliiton historian fani, loi salasanan "07111917" ja merkitsi sen kaikkiin resursseihin, joihin hän jotenkin joutui tehtäviään suorittaessaan kosketuksiin: automaattiseen kirjanpito-ohjelmaan IIKO, pääsy Plazius-kanta-asiakasohjelmaan, turvallisuus- ja paloturvallisuusjärjestelmien asennus. Eräänä päivänä tämä johtaja jäi kiinni vieraiden henkilötietojen myymisestä kilpailijoille, ja hänet erotettiin onnistuneesti. Vallankumouksellinen salasana "07111917" kuitenkin säilyi ja siirtyi johtajalta toiselle. Tämän seurauksena jokainen laitoksen tarjoilija tiesi kuinka muodostaa yhteys toimiston Wi-Fi-verkkoon. Lisäksi vieraat oppivat myös tämän salasanan, sillä tarjoilijat suosittelivat sydämensä ystävällisyydestä, että he muodostaisivat yhteyden nopeampaan Internetiin nimeltä "internet_office".
Ruokailussa henkilökunta käyttää usein tietoturvan heikkouksia omiin itsekkäisiin tarkoituksiinsa.
Tarina numero kaksi. Ruiskukansinisessä takissa komea nuori mies tapaa suuren ravintolayhtiön toiminnanjohtajan. Heidän välillään käydään seuraava dialogi:
— Yrityksemme on erikoistunut tietotuotteisiin. Tänään ehdotan, että harkitset uuden sukupolven Hawkeye-salasanojen hallinnan ostamista[1]. Se on ainutlaatuinen siinä mielessä, että sillä on korkea luotettavuus sekä pilviversiolle että laatikkoversiolle. Salaus tapahtuu AES-256-algoritmilla. Kaikkien salasanojen hallinnan vakiotoimintojen lisäksi Hawkeye tarjoaa edistyneitä varmuuskopioita ja tietoturvatarkastuksia. Mitä sanot?
— Konstantin, kiitos tiedosta, mitä eroa on boxed- ja pilviversioiden välillä ja miksi tarvitsen tätä kaikkea?
Mainitut kaksi tarinaa liittyvät samaan ongelmaan - esimiesten alhaiseen tietoisuuteen tietoturvan roolista ja merkityksestä yritysten elämässä. Mutta on vielä yksi vivahde. Se, miten IT-yritysten edustajat tekevät ehdotuksiaan, ei myöskään juurikaan auta johtajia ymmärtämään, miksi he tarvitsevat IT-tuotteita. Olen usean vuoden konsultointityössäni tullut vahvasti vakuuttuneeksi siitä, että HoReCa-segmentti on alikehittynyt markkina IT-työkalujen toimittajien keskuudessa tietoturvaperiaatteiden toteuttamiseen ja ylläpitoon. Tässä tekstissä haluan jakaa osan pienestä tutkimuksesta, jonka teimme ravintola-alan yritysten johtajien keskuudessa selvittääksemme heidän tietoisuuttaan IT-tuotteiden käyttöönotosta ja käytöstä. Ensinnäkin haluan keskittyä salasanojen hallintaohjelmien käyttöön. Lisään, että tutkimusta saneli halu ymmärtää paremmin esimiesten ajattelua, jotta heidän konsultointipalveluitaan voitaisiin edistää tehokkaammin.
Lyhyesti metodologiasta. Valittiin laadullinen tiedonhankintastrategia. Teimme kaksitoista epävirallista haastattelua johtajien ja heidän sijaistensa kanssa kuudessa ravintolassa. Haastattelulomake sisälsi kaksikymmentä kysymystä, jotka liittyivät yleiseen tietoturvafilosofiaan, sääntelykehyksen tuntemiseen, henkilötietojen kanssa työskentelyyn, yksittäisten yritysten turvajärjestelmän teknisiin valmiuksiin sekä käytettäviin IT-tuotteisiin, mukaan lukien työskentely salasanojen hallinnan kanssa. Kaikki haastattelut litteroitiin ja tuloksista tehtiin yhteenveto.
Jokainen on ollut tilanteessa, jossa he eivät muista tilinsä salasanaa.
Jos aloitetaan käsitteellisistä asioista, suurin osa vastaajista yhdistää yritysten tietoturvan yksinomaan työntekijöidensä henkilötietojen säilyttämiseen. Johtajat eivät mene yksityiskohtiin asian teknisestä puolesta. He ovat huolissaan siitä, kuinka tehokkaasti tämä tai toinen ohjelmisto säästää aikaa, auttaa turvallisessa tietojen tallentamisessa ja kuinka helppoa se on käyttää. Lisäksi prioriteetit asetetaan tässä järjestyksessä: (1) – aika – (2) – turvallisuus – (3) – käytettävyys.
”Kuule, minun täytyy tehdä tuntikirjat, aikataulut ja laatia raportit omistajille. Ravintolassa hajoaa jatkuvasti jotain. Minulla ei todellakaan ole aikaa käsitellä ohjelman asetuksia ja uudelleenasennuksia. Meillä ei ole IT-asiantuntijaa henkilöstössämme. Jos on jotain nopeaa ja kätevää, voimme kokeilla sitä." (mies, 41v)
”Tietoturvallisuus rajoittuu täällä siihen, että työkirjat säilytetään kassakaapissa ja passitiedot ovat tuolla ylimmällä hyllyllä kirjanpitäjän vieressä. Tämä kaikki on huonoa ja ymmärrän sen. Mutta turvallisuuden luominen henkisesti vie aikaa, ja tällä hetkellä minulla ei ole sitä. Meillä oli kokemusta kehittyneen virustorjuntaohjelman hankinnasta, ostimme jopa lisenssin. Jonkinlaisia ilmoituksia tuli jatkuvasti, se oli epämukavaa, häiritsi minua töistä” (mies, 35 v)
”Noin puoli vuotta sitten järjestettiin meille yrityshautomossa seminaari Federal Law 152:sta. Silloin ja vieläkään en ymmärrä henkilötiedoista juurikaan. Pääasia, ja kerroin tästä omistajalle, on, että meidän on saatava asiat järjestykseen henkilöstörekisterissämme. Minulla, kirjanpitäjällä, on pääsy tietoihin, suostumuksellani, ja siinä se. Nyt meillä on täällä tietysti sotku” (nainen, 34 vuotias).
Kuten haastattelutulokset osoittivat, viidellä laitoksella kuudesta ei ole standardeja ja menettelytapoja tietoturvan takaamiseksi eikä vastuuhenkilöitä. Lisäksi ei ole työntekijää tai ulkoistettua asiantuntijaa, joka osallistuisi turvajärjestelmän perustamiseen ja valvontaan. Kuten eräs haastateltava sanoi:
”Meillä on poika, joka lisää tietoa ravintolan nettisivuille. Teoriassa hän voisi tehdä kaiken tämän” (nainen, 35 vuotta).
Esimiesten huoli henkilötietojen turvallisuudesta on ymmärrettävää. Yhä useammat tapaukset aloitetaan hallinnollisilla ja , käyttäjätarkastuksia koskevat vaatimukset muuttuvat Ravintola-alalla tämä aihe on yhä ajankohtainen, sillä sisäisen tilille pääsyn lisäksi useimmilla toimipaikoilla on kanta-asiakasohjelmia, joissa asukkaita on tuhansia.
Mielestäni IT-alan edustajilla on nyt hyvät mahdollisuudet päästä markkinoille, joilla on selkeästi määritelty ongelma ja tarve ratkaista se. Seuraavien kolmen vuoden aikana julkisen ravinnon tietoturvajärjestelmän rakentamisen kysyntä vain kasvaa. Varsinkin alueilla.
Huolimatta kaikesta pinnallisesta ymmärryksestä tietoturvajärjestelmän rakenteesta, kaikki vastaajat käyttävät salasananhallintaohjelmia. Lisäksi jotkut velvoittavat sijaisensa, kokkinsa ja järjestelmänvalvojansa käyttämään niitä. Ensimmäisenä kysyimme vastaajilta, mitä salasananhallintaohjelmia käytät yrityksissäsi:
"En tiedä lausunko sen oikein vai en, mutta nyt käytän Zohoa[2]. Yllättäen voin nähdä salasanan jopa puhelimeltani ja työtietokoneeltani. Ainoa asia, joka minun on muistettava, on pääsyn perussalasana. Siksi kirjoitin sen muistiin päiväkirjaani” (32-vuotias nainen).
"Kuule, aloin käyttää salasananhallintaa vahingossa. Ystävä yliopistosta työskentelee pankissa ja anna minun käyttää sitä. Sen nimi on Passwork [3], se näyttää tällä hetkellä kätevältä, se säästää aikaa. Meillä oli ongelma, jossa irtisanottu työntekijä kirjautui kirjanpitojärjestelmään ja näki tulomme. Aivan vahingossa saimme selville, että ravintolassa käytössä olevat salasanat ovat hänen luomiaan. Kaikki piti tehdä pikaisesti uusiksi. Näin syntyi johtajan tarve” (mies, 41 v.).
”Opiskelin hieman IT-asiantuntijaksi teknisellä osastollamme. Kun mietin salasanojen hallintaa, päädyin CommonKeyhin[4], koska se selviää hyvin työntekijöiden henkilökohtaisten profiilien hallinnasta. Tämä on erittäin kätevä pizzeriaverkostollemme” (mies, 38 vuotta).
Huomautan, että valitsin vastaajilta merkityksellisimmät kommentit. Suurin osa vastaajista ei muistanut esimiestensä tarkkoja nimiä. Joillekin salasanojen hallinta on tarkoitettu vain tietojen tallentamiseen selaimeen. Yleensä vastaajat eivät kysy tiettyä tuotetta valitessaan salasanojen hallinnan taustalla olevaa salausmekanismia. Niiden prioriteetit ovat nopeus ja helppokäyttöisyys.
Huolimatta siitä, että vastaajilla on yleinen käsitys siitä, miksi he tarvitsevat salasananhallintaa, vastaajat käyttävät sitä satunnaisesti. Kuten naispuolinen vastaaja sanoi:
”Kun sinua kiusaa toisella puolella juhla-asiakas, toisella toimittaja ja kolmannella henkilökunta kysyy milloin palkka tulee, ja samalla luot tiliä uudelle työntekijälle, ainoalle jäljellä on vain kirjoittaa käyttäjätunnus ja salasana paperille” (nainen, 41 vuotta).
On kuitenkin olemassa tiettyjä käytäntöjä. On olemassa useita ongelmia, jotka ovat johtaneet salasanojen hallintaohjelmien käyttöön elintarviketeollisuudessa. Mitä nämä ongelmat ovat?
Ensinnäkin pääsy kanta-asiakasohjelmiin. Sisäpiiriläisille ei ole mikään salaisuus, että henkilökunta "vituttelee" alennuksilla; cashbackit hyvitetään muovikorteille, jotka on linkitetty henkilökunnan sukulaisiin ja ystäviin jne. Tehokkain tapa estää petokset on seurata säännöllisesti tilin toimintaa kanta-asiakasohjelmasi takana. Tilannetta mutkistaa se, että vähintään kolmella henkilöllä on oltava pääsy ohjelmaan: johtaja, markkinoija (teksti- ja push-lähetyksiä varten) ja kanta-asiakasohjelmaa palveleva operaattori (teknisten vikojen tai lisätoimintojen lisäyksen yhteydessä) ).
"Ainoa kerta, kun yritän muistaa käyttää salasananhallintaa, on työskennellessäni vieraskantamme kanssa. Vieraiden henkilötietoihin pääsyn lisäksi virtuaalista rahaa voidaan hyvittää tai veloittaa tämän tietokannan kautta. Kerran kuukaudessa vaihdan salasanan ja sijoitan pääsyn käyttäjän tilasta riippuen. Siksi tietoa on jatkuvasti päivitettävä. Salasanojen hallinta helpottaa asioita tässä suhteessa” (mies, 48 vuotta).
Toiseksi jokaisella yrityksellä on magneettiset henkilökortit automaattiseen kirjanpitojärjestelmään (esimerkiksi IIKO tai R-Keeper) pääsyä varten. Mielenkiintoisia tapauksia on. Tarjoilija lopettaa ja lähtee kortin kanssa. Itse asiassa lähtenyt tarjoilija tietää salasanan päästäkseen järjestelmään, jossa yrityksen taloudelliset indikaattorit näkyvät, astiat poistetaan ja kirjataan pois ja henkilökunnan työajat kirjataan.
”Oli tarina, kun erotettu työntekijä teki salaliiton baarimikon kanssa ja myi alkoholia edustuskuluina. Jotenkin oudolla tavalla tällä ystävällä oli vielä lukitsematon kortti ja hän käytti sitä” (mies, 38v)
Kolmanneksi johtajat tulevat ja menevät, mutta tilit pysyvät. Uuden esimiehen ammatillinen sopeutuminen hidastuu, kun hän istuu näyttöruudun edessä ja yrittää soittaa edelliselle esimiehelle saadakseen selville sähköpostin, Mercury- ja EGAIS-järjestelmien kirjautumistunnuksen ja salasanan, hänen henkilökohtaisen tilinsä METRO-yritysportaalissa, jne.
"En pystynyt normaalisti ratkaisemaan ongelmia, kun en voinut käyttää olemassa olevia tilejä. Edellisellä johtajalla oli huono suhde omistajaan, eikä hän antanut minulle mitään. Minun piti palauttaa kaikki, käydä läpi sen luonnokset ja suostutella henkilö jakamaan tietoja. Sen jälkeen päätin lujasti tallentaa kaikki salasanani erityisohjelmaan” (nainen, 29 vuotias).
Älä toista virhettä , käytä salasananhallintaohjelmaa
Kaikista yllä mainituista tilanteista voi olla hyötyä IT-kehittäjien edustajille laatiessaan päteviä kaupallisia ehdotuksia ravintola-alan edustajille. Korostan vielä kerran, että HoReCa-markkinat ovat valmiita kuluttamaan IT-tuotteita. Tämä ei koske vain salasanojen hallintaohjelmia, vaan myös virustorjuntaohjelmistoja, videovalvontajärjestelmiä ja liiketoimintaprosessien optimointia.
Kirjoittaessani tekstiä tajusin vakavat kaupalliset näkymät ravintoloiden, kahviloiden ja baarien tietoturvastandardien käyttöönotolle. Siksi pyydän kaikkia kiinnostuneita kirjoittamaan kommentteihin, mitä ohjelmistoja suosittelisitte HoReCan edustajille luotettavan tietoturvajärjestelmän rakentamiseen. Päätäksesi salasananhallinta-aiheen, ole hyvä ja osallistu alla olevaan kyselyyn. Olisin erittäin kiitollinen valintaasi koskevista yksityiskohtaisista kommenteista.
[1] Nimi on fiktiivinen. Kaikki yhtäläisyydet muiden salasananhallintaohjelmien kanssa ovat vain yhtäläisyyksiä eikä mitään muuta.[2] Vastaaja viittaa Zoho Vaultin salasananhallintaohjelmaan:
[3] Vastaaja viittaa Passwork-salasanahallintaan:
[4] Vastaaja tarkoittaa CommonKey-salasanojen hallintaa:
Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn. , ole kiltti.
Mitä salasananhallintaa käytät yrityksissäsi?
CommonKey
Passwork
Vaultier
SimpliSafe
Muut
8 käyttäjää äänesti. 1 käyttäjä pidättyi äänestämästä.
Lähde: will.com
