O 31 de marzo é o Día Internacional das Copias de Seguridade e a semana anterior sempre está chea de historias relacionadas coa seguridade. O luns, xa soubemos sobre o Asus comprometido e "tres fabricantes sen nome". As empresas especialmente supersticiosas séntanse con alfinetes toda a semana, facendo copias de seguridade. E todo porque todos somos un pouco descoidados en materia de seguridade: alguén esquece abrocharse o cinto de seguridade no asento traseiro, alguén ignora a data de caducidade dos produtos, alguén almacena o seu inicio de sesión e contrasinal debaixo do teclado, e aínda mellor, anota. todos os contrasinais nun caderno. Algúns individuos conseguen desactivar os antivirus "para non ralentizar o ordenador" e non usar a separación de dereitos de acceso nos sistemas corporativos (que segredos nunha empresa de 50 persoas!). Probablemente, a humanidade simplemente non desenvolveu aínda o instinto de autoconservación cibernética, que, en principio, pode converterse nun novo instinto básico.
Os negocios tampouco desenvolveron tales instintos. Unha pregunta sinxela: un sistema CRM é unha ameaza para a seguridade da información ou unha ferramenta de seguridade? É pouco probable que alguén dea unha resposta precisa de inmediato. Aquí temos que comezar, como nos ensinaron nas clases de inglés: depende... Depende da configuración, da forma de entrega do CRM, dos hábitos e crenzas do vendedor, do grao de desprezo dos empregados, da sofisticación dos atacantes. . Despois de todo, todo pode ser pirateado. Entón, como vivir?
Esta é a seguridade da información nas pequenas e medianas empresas
Sistema CRM como protección
Protexer os datos comerciais e operativos e almacenar de forma segura a súa base de clientes é unha das principais tarefas dun sistema CRM, e nisto está por encima de todo o resto do software de aplicación da empresa.
Seguro que comezaches a ler este artigo e sorrías no fondo, dicindo, quen necesita a túa información. Se é así, é probable que non teñas ocupado as vendas e non saibas como están a demanda "en directo" e as bases de clientes de alta calidade e información sobre os métodos de traballo con esta base. Os contidos do sistema CRM son interesantes non só para a dirección da empresa, senón tamén para:
- Atacantes (con menos frecuencia): teñen un obxectivo relacionado especificamente coa túa empresa e utilizarán todos os recursos para obter datos: suborno de empregados, piratería informática, compra dos teus datos aos xestores, entrevistas con xestores, etc.
- Empregados (máis frecuentemente) que poden actuar como información privilegiada dos teus competidores. Simplemente están listos para quitar ou vender a súa base de clientes para o seu propio beneficio.
- Para piratas informáticos afeccionados (moi raramente): pode ser pirateado na nube onde se atopan os seus datos ou a rede está pirateada, ou quizais alguén queira "sacar" os seus datos para divertirse (por exemplo, datos sobre maioristas de produtos farmacéuticos ou de alcol - simplemente interesante de ver).
Se alguén se mete no teu CRM, terá acceso ás túas actividades operativas, é dicir, ao volume de datos co que obteñas a maior parte dos teus beneficios. E desde o momento en que se obtén un acceso malicioso ao sistema CRM, os beneficios comezan a sorrir a aquel en cuxas mans acaba a base de clientes. Ben, ou os seus socios e clientes (ler - novos empresarios).
Bo, fiable é capaz de cubrir estes riscos e proporcionar unha morea de bonos agradables no campo da seguridade.
Entón, que pode facer un sistema CRM en termos de seguridade?
(contámosche cun exemplo, porque Non podemos ser responsables dos demais)
- Autenticación de dous factores mediante unha chave USB e un contrasinal. admite o modo de autorización de usuario de dous factores ao iniciar sesión no sistema. Neste caso, ao iniciar sesión no sistema, ademais de introducir o contrasinal, debe inserir unha chave USB que foi inicializada previamente no porto USB do ordenador. O modo de autorización de dous factores axuda a protexer contra o roubo ou a divulgación de contrasinal.
Clicable
- Executar desde enderezos IP e enderezos MAC de confianza. Para mellorar a seguridade, pode restrinxir que os usuarios inicien sesión só desde os enderezos IP e MAC rexistrados. Tanto os enderezos IP internos da rede local como os enderezos externos pódense utilizar como enderezos IP se o usuario se conecta remotamente (a través de Internet).
- Autorización de dominio (autorización de Windows). O inicio do sistema pódese configurar para que o contrasinal do usuario non sexa necesario ao iniciar sesión. Neste caso, prodúcese a autorización de Windows, que identifica ao usuario mediante WinAPI. O sistema lanzarase baixo o usuario baixo cuxo perfil se está a executar o ordenador no momento en que se inicia o sistema.
- Outro mecanismo é clientes privados. Os clientes privados son clientes que só poden ser vistos polo seu supervisor. Estes clientes non aparecerán nas listas doutros usuarios, aínda que outros usuarios teñan permisos completos, incluídos os dereitos de administrador. Deste xeito, pode protexer, por exemplo, un grupo de clientes especialmente importantes ou un grupo por outro motivo, que será confiado a un xestor de confianza.
- Mecanismo de división de dereitos de acceso — unha medida de seguridade estándar e primaria en CRM. Para simplificar o proceso de administración de dereitos de usuario, in Os dereitos non son asignados a usuarios específicos, senón a modelos. E ao propio usuario asígnaselle un ou outro modelo, que ten un determinado conxunto de dereitos. Isto permítelle a cada empregado -desde novos contratados ata pasantes ata directores- asignar permisos e dereitos de acceso que lles permitirán/impedirán acceder a datos confidenciais e información comercial confidencial.
- Sistema automático de copia de seguridade de datos (backups)configurable mediante un servidor de scripts .
Trátase da implementación da seguridade usando un único sistema como exemplo, cada provedor ten as súas propias políticas. Non obstante, o sistema CRM realmente protexe a túa información: podes ver quen levou este ou aquel informe e a que hora, quen viu que datos, quen o descargou e moito máis. Aínda que descubra a vulnerabilidade despois do feito, non deixará o acto impune e poderá identificar facilmente o empregado que abusou da confianza e lealdade da empresa.
Estás relaxado? cedo! Esta mesma protección pode funcionar na túa contra se non tes coidado e ignoras os problemas de protección de datos.
Sistema CRM como ameaza
Se a túa empresa ten polo menos un PC, esta xa é unha fonte de ameaza cibernética. En consecuencia, o nivel de ameaza aumenta co número de estacións de traballo (e empregados) e coa variedade de software instalado e utilizado. E as cousas non son fáciles cos sistemas CRM; despois de todo, este é un programa deseñado para almacenar e procesar o activo máis importante e caro: unha base de clientes e información comercial, e aquí estamos contando historias de terror sobre a súa seguridade. De feito, non todo é tan sombrío de preto, e se se manexa correctamente, non recibirá máis que beneficios e seguridade do sistema CRM.
Cales son os sinais dun sistema CRM perigoso?
Comezamos cunha pequena excursión aos conceptos básicos. Os CRM veñen en versións de nube e de escritorio. Os de nube son aqueles cuxo DBMS (base de datos) non se atopa na túa empresa, senón nunha nube privada ou pública nalgún centro de datos (por exemplo, estás sentado en Chelyabinsk e a túa base de datos está a executarse nun centro de datos moi xenial en Moscova). , porque o provedor de CRM así o decidiu e ten un acordo con este provedor en particular). O escritorio (tamén coñecido como servidor local, que xa non é tan certo) basea o seu DBMS nos teus propios servidores (non, non, non te imagines unha enorme sala de servidores con bastidores caros, a maioría das veces en pequenas e medianas empresas). un único servidor ou incluso un PC común de configuración moderna), é dicir, fisicamente na súa oficina.
É posible conseguir accesos non autorizados a ambos os dous tipos de CRM, pero a velocidade e a facilidade de acceso son diferentes, sobre todo se falamos de pemes que non se preocupan moito pola seguridade da información.
Sinal de perigo #1
O motivo da maior probabilidade de problemas cos datos nun sistema na nube é a relación conectada por varias ligazóns: ti (inquilino CRM) - provedor - provedor (hai unha versión máis longa: ti - vendedor - subcontratista de TI do provedor - provedor) . 3-4 ligazóns nunha relación teñen máis riscos que 1-2: pode ocorrer un problema no lado do provedor (cambio de contrato, falta de pagamento dos servizos do provedor), por parte do provedor (casos de forza maior, piratería, problemas técnicos), por parte do subcontratista (cambio de director ou enxeñeiro), etc. Por suposto, os grandes provedores intentan ter centros de datos de copia de seguridade, xestionar riscos e manter o seu departamento DevOps, pero isto non exclúe problemas.
O CRM de escritorio xeralmente non se aluga, senón que se adquire pola empresa; polo tanto, a relación parece máis sinxela e transparente: durante a implantación do CRM, o vendedor configura os niveis de seguridade necesarios (desde a diferenciación de dereitos de acceso e unha chave USB física ata encerrar o CRM). servidor nun muro de formigón, etc.) e transfire o control á empresa propietaria do CRM, que pode aumentar a protección, contratar un administrador do sistema ou contactar co seu provedor de software segundo sexa necesario. Os problemas redúcense a traballar cos empregados, protexer a rede e protexer fisicamente a información. Se usa CRM de escritorio, incluso un apagado completo de Internet non deixará de funcionar, xa que a base de datos está situada na súa oficina "casa".
Un dos nosos empregados, que traballaba nunha empresa que desenvolveu sistemas de oficina integrados baseados na nube, incluíndo CRM, fala sobre tecnoloxías na nube. "Nun dos meus traballos, a empresa estaba creando algo moi similar a un CRM básico, e todo estaba conectado a documentos en liña, etc. Un día en GA vimos unha actividade anormal dun dos nosos clientes subscritores. Imaxinade a sorpresa de nós, os analistas, cando nós, non sendo desenvolvedores, pero tendo un alto nivel de acceso, simplemente puidemos usar unha ligazón para abrir a interface que usaba o cliente, para ver que tipo de sinal popular tiña. Por certo, parece que o cliente non querería que ninguén vise estes datos comerciais. Si, foi un erro e non se solucionou durante varios anos; na miña opinión, as cousas seguen aí. Desde entón, son un entusiasta do escritorio e non confío moito nas nubes, aínda que, por suposto, usámolas no traballo e na nosa vida persoal, onde tamén pasamos algúns fakaps divertidos”.
Da nosa enquisa sobre Habré, e estes son empregados de empresas avanzadas
A perda de datos dun sistema CRM na nube pode deberse a unha perda de datos debido a un fallo do servidor, a indisponibilidade dos servidores, a causa de forza maior, a finalización das actividades do provedor, etc. A nube significa un acceso constante e ininterrompido a Internet, e a protección debe ser sen precedentes: a nivel de código, dereitos de acceso, medidas adicionais de ciberseguridade (por exemplo, a autenticación de dous factores).
Sinal de perigo #2
Nin sequera falamos dunha característica, senón dun grupo de características relacionadas co vendedor e as súas políticas. Imos enumerar algúns exemplos importantes que nós e os nosos empregados atopamos.
- O vendedor pode escoller un centro de datos insuficientemente fiable onde o DBMS dos clientes "xirará". Aforrará diñeiro, non controlará o SLA, non calculará a carga e o resultado será fatal para ti.
- O provedor pode denegar o dereito a transferir o servizo ao centro de datos que elixa. Esta é unha limitación bastante común para SaaS.
- O vendedor pode ter un conflito legal ou económico co provedor da nube e, a continuación, durante o "showdown", as accións de copia de seguridade ou, por exemplo, a velocidade poden ser limitadas.
- O servizo de creación de copias de seguridade pódese ofrecer por un prezo adicional. Unha práctica habitual que un cliente dun sistema CRM só pode coñecer no momento en que se precisa unha copia de seguridade, é dicir, no momento máis crítico e vulnerable.
- Os empregados dos provedores poden ter acceso sen trabas aos datos dos clientes.
- Poden producirse fugas de datos de calquera natureza (erro humano, fraude, hackers, etc.).
Normalmente, estes problemas están asociados con vendedores pequenos ou novos, con todo, os grandes teñen problemas repetidamente (google it). Polo tanto, sempre deberías ter formas de protexer a información do teu lado + discutir con antelación os problemas de seguridade co provedor do sistema CRM seleccionado. Incluso o feito de ter o teu interese polo problema xa obrigará ao provedor a tratar a implementación da forma máis responsable posible (é especialmente importante facelo se non estás tratando coa oficina do vendedor, senón coa súa parella, para quen é importante pechar un acordo e recibir unha comisión, e non estes de dous factores... ben entendiches).
Sinal de perigo #3
Organización do traballo de seguridade na súa empresa. Hai un ano, tradicionalmente escribíamos sobre seguridade en Habré e realizamos unha enquisa. A mostra non era moi grande, pero as respostas son orientativas:
Ao final do artigo, proporcionaremos ligazóns ás nosas publicacións, onde analizamos en detalle a relación no sistema "empresa-traballador-seguridade", e aquí proporcionaremos unha lista de preguntas cuxa resposta debe atoparse dentro a túa empresa (aínda que non necesites CRM).
- Onde almacenan os contrasinais os empregados?
- Como se organiza o acceso ao almacenamento nos servidores da empresa?
- Como se protexe o software que contén información comercial e operativa?
- Todos os empregados teñen un software antivirus activo?
- Cantos empregados teñen acceso aos datos do cliente e que nivel de acceso ten?
- Cantas novas contratacións ten e cantos empregados están en proceso de marchar?
- Canto tempo levas comunicado cos empregados clave e escoitou as súas solicitudes e queixas?
- As impresoras están supervisadas?
- Como está organizada a política para conectar os teus propios gadgets ao teu PC, así como para usar a wifi de traballo?
De feito, estas son preguntas básicas: probabelmente se engadirá hardcore nos comentarios, pero este é o básico, cuxo básico debería coñecer incluso un empresario individual con dous empregados.
Entón, como protexerse?
- As copias de seguridade son o máis importante que moitas veces se esquece ou non se coida. Se tes un sistema de escritorio, configura un sistema de copia de seguridade de datos cunha frecuencia determinada (por exemplo, para RegionSoft CRM, isto pódese facer usando ) e organizar o almacenamento adecuado das copias. Se tes un CRM na nube, asegúrate de descubrir antes de celebrar un contrato como se organiza o traballo coas copias de seguridade: necesitas información sobre a profundidade e frecuencia, a localización de almacenamento, o custo da copia de seguridade (moitas veces só as copias de seguridade dos "últimos datos do período". ” son gratuítos e ofrécese unha copia de seguridade completa e segura como servizo de pago). En xeral, este definitivamente non é o lugar para o aforro ou a neglixencia. E si, non esquezas comprobar o que se restaura a partir das copias de seguridade.
- Separación de dereitos de acceso a nivel de función e datos.
- Seguridade a nivel de rede: cómpre permitir o uso de CRM só dentro da subrede da oficina, limitar o acceso a dispositivos móbiles, prohibir traballar co sistema CRM desde casa ou, peor aínda, desde redes públicas (espazos de coworking, cafeterías, oficinas de clientes). , etc.). Teña especial coidado coa versión móbil: deixe que sexa só unha versión moi truncada para traballar.
- Precísase en calquera caso un antivirus con dixitalización en tempo real, pero sobre todo no caso da seguridade dos datos corporativos. A nivel de política, prohíbese desactivalo vostede mesmo.
- Formar aos empregados en ciberhixiene non é unha perda de tempo, senón unha necesidade urxente. Cómpre transmitir a todos os compañeiros que é importante non só avisar, senón tamén reaccionar correctamente ante a ameaza recibida. Prohibir o uso de Internet ou do teu correo electrónico na oficina é cousa do pasado e causa de aguda negatividade, polo que terás que traballar na prevención.
Por suposto, usando un sistema de nube, podes acadar un nivel de seguridade suficiente: usar servidores dedicados, configurar enrutadores e separar o tráfico a nivel de aplicación e de base de datos, usar subredes privadas, introducir regras de seguridade estritas para os administradores, garantir un funcionamento ininterrompido mediante copias de seguridade. coa máxima frecuencia e integridade necesarias, para supervisar a rede durante todo o día... Se o pensas ben, non é tan difícil, senón caro. Pero, como mostra a práctica, só algunhas empresas, na súa maioría grandes, toman tales medidas. Por iso, non dubidamos en dicir de novo: tanto a nube como o escritorio non deberían vivir por si mesmos; protexe os teus datos.
Algúns pequenos pero importantes consellos para todos os casos de implementación dun sistema CRM
- Comprobe o provedor para detectar vulnerabilidades: busque información usando combinacións de palabras "vulnerabilidade do nome do provedor", "nome do provedor pirateado", "fuga de datos do nome do provedor". Este non debe ser o único parámetro na busca dun novo sistema CRM, senón que simplemente é necesario marcar o subcórtex, e é especialmente importante comprender os motivos dos incidentes que se produciron.
- Pregúntalle ao vendedor sobre o centro de datos: dispoñibilidade, cantos hai, como se organiza o failover.
- Configura tokens de seguridade no teu CRM, supervisa a actividade dentro do sistema e os picos pouco habituais.
- Desactiva a exportación de informes e o acceso a través da API para os empregados non principais, é dicir, aqueles que non precisan destas funcións para as súas actividades habituais.
- Asegúrese de que o seu sistema CRM estea configurado para rexistrar procesos e rexistrar accións do usuario.
Estas son pequenas cousas, pero complementan perfectamente a imaxe xeral. E, de feito, non hai pequenas cousas seguras.
Ao implementar un sistema CRM, garante a seguridade dos seus datos, pero só se a implementación se realiza de forma competente e os problemas de seguridade da información non se relegan a un segundo plano. De acordo, é unha tontería mercar un coche e non revisar os freos, o ABS, os airbags, os cintos de seguridade, o EDS. Despois de todo, o principal non é só ir, senón ir con seguridade e chegar san e salvo. Pasa o mesmo cos negocios.
E lembra: se as normas de seguridade laboral están escritas con sangue, as normas de ciberseguridade empresarial están escritas en diñeiro.
Sobre o tema da ciberseguridade e o lugar do sistema CRM nel, podes ler os nosos artigos detallados:
- — unha visión xeral das posibles ameazas de seguridade no ámbito corporativo e un esquema de detección aproximado.
- — unha análise detallada de como os empregados poden prexudicar a súa empresa e como o fan no ámbito comercial.
Se estás a buscar un sistema CRM, vai . Se precisas de CRM ou ERP, estuda coidadosamente os nosos produtos e compara as súas capacidades coas túas metas e obxectivos. Se tes algunha dúbida ou dificultade, escribe ou chama, organizaremos unha presentación individual en liña para ti, sen valoracións nin asubíos.
, no que, sen publicidade, escribimos cousas non totalmente formais sobre CRM e negocios.
Fonte: www.habr.com