🥇Insécurité en entreprise

En 2008, j'ai pu visiter une entreprise informatique. Il y avait une sorte de tension malsaine chez chaque employé. La raison s'est avérée simple : les téléphones portables sont dans une boîte à l'entrée du bureau, il y a une caméra derrière le dos, 2 grandes caméras supplémentaires « de surveillance » au bureau et un logiciel de surveillance avec un enregistreur de frappe. Et oui, ce n'est pas l'entreprise qui a développé les SORM ou les systèmes de survie des avions, mais simplement un développeur de logiciels d'application métier, désormais absorbés, écrasés et n'existant plus (ce qui semble logique). Si vous vous étendez maintenant et pensez que dans votre bureau avec des hamacs et des M&M dans des vases, ce n'est certainement pas le cas, vous pourriez vous tromper lourdement - c'est juste qu'en 11 ans, le contrôle a appris à être invisible et correct, sans confrontations sites visités et films téléchargés.

Alors, est-ce vraiment impossible sans tout cela, mais qu'en est-il de la confiance, de la loyauté, de la foi dans les gens ? Croyez-le ou non, il existe tout autant d’entreprises sans mesures de sécurité. Mais les employés parviennent à faire des erreurs ici et là, tout simplement parce que le facteur humain peut détruire des mondes, pas seulement votre entreprise. Alors, où vos employés peuvent-ils commettre des bêtises ?

Il s'agit d'un poste peu sérieux, qui a exactement deux fonctions : égayer un peu le quotidien et rappeler des choses élémentaires de sécurité souvent oubliées. Oh, et encore une fois, je te rappelle système CRM cool et sécurisé — De tels logiciels ne sont-ils pas à la pointe de la sécurité ? 🙂

C'est parti en mode aléatoire !

Mots de passe, mots de passe, mots de passe...

Vous en parlez et une vague d'indignation déferle : comment est-ce possible, ont-ils tant de fois répété au monde, mais les choses sont toujours là ! Dans les entreprises de tous niveaux, des entrepreneurs individuels aux sociétés multinationales, c'est un point très sensible. Parfois, il me semble que si demain ils construisent une véritable étoile de la mort, il y aura quelque chose comme admin/admin dans le panneau d'administration. Alors que pouvons-nous attendre des utilisateurs ordinaires, pour qui leur propre page VKontakte est bien plus chère qu'un compte d'entreprise ? Voici les points à vérifier :

Écrire des mots de passe sur des morceaux de papier, au dos du clavier, sur le moniteur, sur la table sous le clavier, sur un autocollant au bas de la souris (rusé !) - les employés ne devraient jamais faire cela. Et non pas parce qu'un terrible pirate informatique viendra télécharger tout 1C sur une clé USB pendant le déjeuner, mais parce qu'il y aura peut-être une Sasha offensée au bureau qui va arrêter de fumer et faire quelque chose de sale ou retirer les informations pour la dernière fois. . Pourquoi ne pas faire cela lors de votre prochain déjeuner ?

C'est quoi? Ce truc stocke tous mes mots de passe

Définition de mots de passe simples pour accéder au PC et aux programmes de travail. Les dates de naissance, qwerty123 et même asdf sont des combinaisons qui appartiennent aux blagues et à bashorg, et non au système de sécurité de l'entreprise. Définissez les exigences relatives aux mots de passe et à leur longueur, ainsi que la fréquence de remplacement.

Un mot de passe, c'est comme un sous-vêtement : changez-le souvent, ne le partagez pas avec vos amis, un long c'est mieux, soyez mystérieux, ne le dispersez pas partout

Les mots de passe de connexion au programme par défaut du fournisseur sont erronés, ne serait-ce que parce que presque tous les employés du fournisseur les connaissent, et si vous utilisez un système Web dans le cloud, il ne sera pas difficile pour quiconque d'obtenir les données. Surtout si vous disposez également d’une sécurité réseau au niveau « ne tirez pas sur le cordon ».
Expliquez aux employés que l'indice de mot de passe dans le système d'exploitation ne doit pas ressembler à « mon anniversaire », « nom de ma fille », « Gvoz-dika-78545-ap#1 ! En anglais." ou « quarts et un et un zéro ».

Mon chat me donne d'excellents mots de passe ! Il marche sur mon clavier

Accès physique aux dossiers

Comment votre entreprise organise-t-elle l'accès à la documentation comptable et personnelle (par exemple, aux dossiers personnels des salariés) ? Laissez-moi deviner : si c'est une petite entreprise, alors au service comptable ou dans le bureau du patron dans des dossiers sur des étagères ou dans un placard ; si c'est une grande entreprise, alors au service RH sur des étagères. Mais s'il est très grand, alors tout est probablement correct : un bureau ou un bloc séparé avec une clé magnétique, auquel seuls certains employés ont accès et pour y arriver, vous devez appeler l'un d'entre eux et entrer dans ce nœud en leur présence. Il n’y a rien de difficile à mettre en place une telle protection dans n’importe quelle entreprise, ou du moins à apprendre à ne pas écrire le mot de passe du coffre-fort du bureau à la craie sur la porte ou sur le mur (tout est basé sur des événements réels, ne riez pas).

Pourquoi c'est important? Premièrement, les travailleurs ont un désir pathologique de découvrir les choses les plus secrètes les uns sur les autres : état civil, salaire, diagnostics médicaux, éducation, etc. C'est un tel compromis dans la concurrence au bureau. Et vous ne bénéficiez absolument pas des querelles qui surgiront lorsque le designer Petya découvrira qu'il gagne 20 XNUMX de moins que la designer Alice. Deuxièmement, les salariés peuvent y accéder aux informations financières de l’entreprise (bilans, rapports annuels, contrats). Troisièmement, quelque chose peut simplement être perdu, endommagé ou volé afin de dissimuler des traces de son propre parcours professionnel.

Un entrepôt où quelqu'un est une perte, quelqu'un est un trésor

Si vous avez un entrepôt, considérez que tôt ou tard, vous êtes assuré de rencontrer des criminels - c'est simplement ainsi que fonctionne la psychologie d'une personne qui voit un grand volume de produits et croit fermement qu'un peu de beaucoup n'est pas un vol, mais partage. Et une unité de marchandises de ce tas peut coûter 200 300, XNUMX XNUMX ou plusieurs millions. Malheureusement, rien ne peut arrêter le vol, sauf un contrôle et une comptabilité pédants et totaux : caméras, acceptation et radiation par codes-barres, automatisation de la comptabilité des entrepôts (par exemple, dans notre RégionSoft CRM la comptabilité de l'entrepôt est organisée de telle manière que le responsable et le superviseur puissent voir en temps réel le mouvement des marchandises dans l'entrepôt).

Par conséquent, armez votre entrepôt jusqu’aux dents, assurez la sécurité physique contre l’ennemi extérieur et une sécurité totale contre l’ennemi interne. Les employés des transports, de la logistique et des entrepôts doivent clairement comprendre qu'il y a un contrôle, que cela fonctionne et qu'ils vont presque se punir.

*hé, ne mets pas la main dans l'infrastructure

Si l'histoire de la salle des serveurs et de la femme de ménage a déjà survécu et a longtemps migré vers des récits d'autres industries (par exemple, la même histoire parlait de l'arrêt mystique du ventilateur dans le même service), alors le reste reste la réalité. . La sécurité réseau et informatique des petites et moyennes entreprises laisse beaucoup à désirer, et cela ne dépend souvent pas du fait que vous ayez votre propre administrateur système ou un administrateur invité. Ce dernier s’en sort souvent encore mieux.

Alors, de quoi sont capables les employés ici ?

La chose la plus agréable et la plus inoffensive est d'aller dans la salle des serveurs, de tirer sur les fils, de regarder, de renverser du thé, d'appliquer de la terre ou d'essayer de configurer quelque chose vous-même. Cela affecte particulièrement les « utilisateurs confiants et avancés » qui apprennent héroïquement à leurs collègues à désactiver l'antivirus et à contourner la protection sur un PC et sont sûrs d'être les dieux innés de la salle des serveurs. En général, un accès limité autorisé est votre tout.
Vol de matériel et substitution de composants. Vous aimez votre entreprise et avez installé des cartes vidéo puissantes pour tout le monde afin que le système de facturation, le CRM et tout le reste fonctionnent parfaitement ? Super! Seuls les gars rusés (et parfois les filles) les remplaceront facilement par un modèle domestique, et à la maison, ils exécuteront des jeux sur un nouveau modèle de bureau - mais la moitié du monde ne le saura pas. C'est la même histoire avec les claviers, les souris, les refroidisseurs, les onduleurs et tout ce qui peut être remplacé d'une manière ou d'une autre dans la configuration matérielle. En conséquence, vous supportez le risque de dommages matériels, de perte totale, et en même temps vous n'obtenez pas la rapidité et la qualité de travail souhaitées avec les systèmes d'information et les applications. Ce qui sauve, c'est un système de surveillance (système ITSM) avec contrôle de configuration configuré), qui doit être fourni complet avec un administrateur système incorruptible et fondé sur des principes.

Peut-être souhaitez-vous rechercher un meilleur système de sécurité ? Je ne sais pas si ce signe est suffisant

L'utilisation de vos propres modems, points d'accès ou d'une sorte de Wi-Fi partagé rend l'accès aux fichiers moins sécurisé et pratiquement incontrôlable, ce qui peut être exploité par des attaquants (y compris en collusion avec les employés). Eh bien, d'ailleurs, la probabilité qu'un employé « possédant son propre Internet » passe des heures de travail sur YouTube, des sites humoristiques et des réseaux sociaux est bien plus élevée.
Les mots de passe et identifiants unifiés pour accéder à la zone d'administration du site, au CMS et aux logiciels d'application sont des choses terribles qui transforment un employé incompétent ou malveillant en un vengeur insaisissable. Si 5 personnes du même sous-réseau avec le même identifiant/mot de passe viennent mettre en place une bannière, vérifier les liens publicitaires et les métriques, corriger la mise en page et télécharger une mise à jour, vous ne devinerez jamais laquelle d'entre elles a accidentellement transformé le CSS en un citrouille. Donc : différents logins, différents mots de passe, journalisation des actions et différenciation des droits d'accès.
Inutile de parler des logiciels sans licence que les employés glissent sur leur PC pour retoucher quelques photos pendant les heures de travail ou créer quelque chose de très lié à leur passe-temps. N'avez-vous pas entendu parler de l'inspection du département « K » de la Direction centrale des affaires intérieures ? Puis elle vient vers vous !
L'antivirus devrait fonctionner. Oui, certains d’entre eux peuvent ralentir votre PC, vous irriter et semblent généralement être un signe de lâcheté, mais il vaut mieux les éviter que de payer plus tard avec des temps d’arrêt ou, pire encore, avec des données volées.
Les avertissements du système d'exploitation concernant les dangers liés à l'installation d'une application ne doivent pas être ignorés. Aujourd’hui, télécharger quelque chose pour le travail ne prend que quelques secondes et minutes. Par exemple, un éditeur Direct.Commander ou AdWords, un analyseur SEO, etc. Si tout est plus ou moins clair avec les produits Yandex et Google, alors un autre picreizer, un nettoyeur de virus gratuit, un éditeur vidéo avec trois effets, des captures d'écran, des enregistreurs Skype et d'autres « petits programmes » peuvent nuire à la fois à un PC individuel et à l'ensemble du réseau de l'entreprise. . Apprenez aux utilisateurs à lire ce que l'ordinateur attend d'eux avant d'appeler l'administrateur système et de leur dire que « tout est mort ». Dans certaines entreprises, le problème est résolu simplement : de nombreux utilitaires utiles téléchargés sont stockés sur le partage réseau et une liste de solutions en ligne adaptées y est également publiée.
La politique BYOD ou, à l'inverse, la politique autorisant l'utilisation d'équipements de travail en dehors du bureau est un côté très pervers de la sécurité. Dans ce cas, les parents, amis, enfants, réseaux publics non protégés, etc. ont accès à la technologie. C'est purement de la roulette russe - vous pouvez tenir 5 ans et vous en sortir, mais vous pouvez perdre ou endommager tous vos documents et fichiers précieux. Eh bien, d’ailleurs, si un employé a des intentions malveillantes, c’est aussi simple que d’envoyer deux octets pour divulguer des données avec un équipement « ambulant ». Vous devez également vous rappeler que les employés transfèrent souvent des fichiers entre leurs ordinateurs personnels, ce qui peut encore une fois créer des failles de sécurité.
Verrouiller vos appareils lorsque vous êtes absent est une bonne habitude pour un usage professionnel et personnel. Encore une fois, il vous protège des collègues curieux, des connaissances et des intrus dans les lieux publics. Il est difficile de s'y habituer, mais sur l'un de mes lieux de travail, j'ai vécu une expérience merveilleuse : des collègues se sont approchés d'un PC déverrouillé et Paint a été ouvert sur toute la fenêtre avec l'inscription « Verrouillez l'ordinateur ! » et quelque chose a changé dans le travail, par exemple, le dernier assemblage gonflé a été démoli ou le dernier bug introduit a été supprimé (c'était un groupe de test). C'est cruel, mais 1 à 2 fois suffisaient même pour les plus en bois. Bien que, je soupçonne, les non-informaticiens ne comprennent peut-être pas un tel humour.
Mais le pire péché, bien sûr, incombe à l'administrateur et à la direction du système - s'ils n'utilisent pas catégoriquement les systèmes, équipements, licences, etc.

Il s’agit bien entendu d’une base, car l’infrastructure informatique est précisément l’endroit où plus on s’enfonce dans la forêt, plus il y a de bois de chauffage. Et tout le monde devrait avoir cette base, et ne pas être remplacé par les mots « nous nous faisons tous confiance », « nous sommes une famille », « qui en a besoin » - hélas, c'est pour le moment.

C'est Internet, bébé, ils peuvent en savoir beaucoup sur toi.

Il est temps d'introduire la manipulation sûre d'Internet dans le cours de sécurité des personnes à l'école - et il ne s'agit pas du tout des mesures dans lesquelles nous sommes plongés de l'extérieur. Il s’agit spécifiquement de la capacité de distinguer un lien d’un autre lien, de comprendre où se situe le phishing et où se trouve une arnaque, de ne pas ouvrir les pièces jointes d’e-mails ayant pour objet « Rapport de réconciliation » provenant d’une adresse inconnue sans la comprendre, etc. Bien qu'il semble que les écoliers maîtrisent déjà tout cela, ce n'est pas le cas des employés. Il existe de nombreuses astuces et erreurs qui peuvent mettre en danger l'ensemble de l'entreprise à la fois.

Les réseaux sociaux sont une partie d'Internet qui n'a pas sa place au travail, mais les bloquer au niveau de l'entreprise en 2019 est une mesure impopulaire et démotivante. Par conséquent, il vous suffit d'écrire à tous les employés comment vérifier l'illégalité des liens, de les informer des types de fraude et de leur demander de travailler au travail.

Le courrier est un point sensible et peut-être le moyen le plus populaire de voler des informations, d'installer des logiciels malveillants et d'infecter un PC et l'ensemble du réseau. Hélas, de nombreux employeurs considèrent le client de messagerie comme un outil économique et utilisent des services gratuits qui reçoivent 200 spams par jour qui passent à travers les filtres, etc. Et certaines personnes irresponsables ouvrent de telles lettres et pièces jointes, liens, images - apparemment, elles espèrent que le prince noir leur a laissé un héritage. Après quoi l’administrateur a beaucoup, beaucoup de travail. Ou était-ce prévu ainsi ? À propos, une autre histoire cruelle : dans une entreprise, pour chaque lettre de spam adressée à l'administrateur système, le KPI était réduit. En général, après un mois, il n'y avait pas de spam - la pratique a été adoptée par l'organisation mère et il n'y a toujours pas de spam. Nous avons résolu ce problème avec élégance : nous avons développé notre propre client de messagerie et l'avons intégré au nôtre. RégionSoft CRM, de sorte que tous nos clients bénéficient également d'une fonctionnalité aussi pratique.

La prochaine fois que vous recevrez un e-mail étrange avec un symbole de trombone, ne cliquez pas dessus !

Les messageries sont également une source de toutes sortes de liens dangereux, mais c'est bien moins néfaste que le courrier (sans compter le temps perdu à bavarder dans les chats).

Il semble que ce ne soient que de petites choses. Cependant, chacune de ces petites choses peut avoir des conséquences désastreuses, surtout si votre entreprise est la cible d’une attaque d’un concurrent. Et cela peut arriver à n’importe qui.

Des employés bavards

C’est le facteur très humain dont il vous sera difficile de vous débarrasser. Les employés peuvent discuter de leur travail dans le couloir, dans un café, dans la rue, chez un client, parler fort d'un autre client, parler de leurs réalisations professionnelles et de leurs projets à la maison. Bien sûr, la probabilité qu'un concurrent se tienne derrière vous est négligeable (si vous n'êtes pas dans le même centre d'affaires, cela s'est produit), mais la possibilité qu'un gars exposant clairement ses affaires soit filmé sur un smartphone et publié sur Curieusement, YouTube est plus élevé. Mais c'est aussi de la connerie. Ce n’est pas de la connerie lorsque vos collaborateurs présentent volontiers des informations sur un produit ou une entreprise lors de formations, conférences, meetups, forums professionnels, ou même sur Habré. De plus, les gens convoquent souvent délibérément leurs adversaires à de telles conversations afin de mener des activités de veille concurrentielle.

Une histoire révélatrice. Lors d'une conférence informatique à l'échelle galactique, l'intervenant de la section a présenté sur une diapositive un schéma complet de l'organisation de l'infrastructure informatique d'une grande entreprise (top 20). Le projet était méga impressionnant, tout simplement cosmique, presque tout le monde l'a photographié et il a instantanément circulé sur les réseaux sociaux avec des critiques élogieuses. Eh bien, l’orateur les a surpris à l’aide de géolocalisations, de stands et des réseaux sociaux. réseaux de ceux qui l'ont posté et ont demandé à être supprimé, car ils l'ont appelé assez rapidement et lui ont dit ah-ta-ta. Un bavard est une aubaine pour un espion.

L'ignorance... vous libère de la punition

Selon le rapport mondial 2017 de Kaspersky Lab sur les entreprises confrontées à des incidents de cybersécurité sur une période de 12 mois, un incident sur dix (11 %) parmi les plus graves impliquait des employés négligents et mal informés.

Ne présumez pas que les employés savent tout sur les mesures de sécurité de l'entreprise, assurez-vous de les avertir, de leur proposer des formations, de rédiger des newsletters périodiques intéressantes sur les problèmes de sécurité, d'organiser des réunions autour d'une pizza et de clarifier à nouveau les problèmes. Et oui, une astuce sympa : marquez toutes les informations imprimées et électroniques avec des couleurs, des signes, des inscriptions : secret commercial, secret, pour usage officiel, accès général. Cela fonctionne vraiment.

Le monde moderne a placé les entreprises dans une position très délicate : il est nécessaire de maintenir un équilibre entre le désir des employés non seulement de travailler dur au travail, mais également de recevoir du contenu de divertissement en arrière-plan/pendant les pauses, et les règles strictes de sécurité de l'entreprise. Si vous activez des programmes d'hypercontrôle et de suivi idiots (oui, pas une faute de frappe - ce n'est pas de la sécurité, c'est de la paranoïa) et des caméras dans votre dos, alors la confiance des employés dans l'entreprise diminuera, mais maintenir la confiance est également un outil de sécurité d'entreprise.

Sachez donc quand vous arrêter, respectez vos employés et effectuez des sauvegardes. Et surtout, donnez la priorité à la sécurité et non à la paranoïa personnelle.

Si tu as besoin CRM ou ERP - regardez de plus près nos produits et comparez leurs capacités avec vos buts et objectifs. Si vous avez des questions ou des difficultés, écrivez ou appelez, nous organiserons pour vous une présentation individuelle en ligne - sans notes ni cloches ni sifflets.

Notre chaîne Telegram, dans lequel, sans publicité, nous écrivons des choses pas tout à fait formelles sur le CRM et les affaires.

Source: habr.com

Insécurité des entreprises