En 2008, puiden visitar unha empresa de TI. Había algún tipo de tensión insalubre en cada empregado. O motivo resultou ser sinxelo: os teléfonos móbiles están nunha caixa na entrada da oficina, hai unha cámara tras a parte traseira, 2 grandes cámaras adicionais de "mirar" na oficina e un software de seguimento cun keylogger. E si, esta non é a empresa que desenvolveu SORM ou sistemas de soporte vital para aeronaves, senón simplemente unha desenvolvedora de software de aplicacións empresariais, agora absorbida, esmagada e xa non existente (o que parece lóxico). Se agora estás estirando e pensas que na túa oficina con hamacas e M&M en vasos definitivamente non é o caso, podes estar moi equivocado - é só que ao longo de 11 anos o control aprendeu a ser invisible e correcto, sen enfrontamentos. sitios visitados e películas descargadas.
Entón, é realmente imposible sen todo isto, pero que pasa coa confianza, a lealdade, a fe nas persoas? Créalo ou non, hai tantas empresas sen medidas de seguridade. Pero os empregados conseguen desordenar tanto aquí como alí, simplemente porque o factor humano pode destruír mundos, non só a túa empresa. Entón, onde poden facer travesuras os teus empregados?
Este post non é moi serio, que ten exactamente dúas funcións: alegrar un pouco a vida cotiá e lembrarche cousas básicas de seguridade que moitas veces se esquecen. Ah, e unha vez máis lembralo - Non é ese software o bordo da seguridade? 🙂
Imos en modo aleatorio!
Contrasinais, contrasinais, contrasinais...
Falas deles e chega unha onda de indignación: como pode ser, dixéronlle ao mundo tantas veces, pero as cousas seguen aí! En empresas de todos os niveis, desde emprendedores individuais ata multinacionais, este é un punto moi doloroso. Ás veces paréceme que se mañá constrúen unha auténtica estrela da morte, haberá algo así como admin/admin no panel de administración. Entón, que podemos esperar dos usuarios comúns, para quen a súa propia páxina VKontakte é moito máis cara que unha conta corporativa? Aquí están os puntos a comprobar:
- Escribir contrasinais en anacos de papel, na parte traseira do teclado, no monitor, na mesa debaixo do teclado, nun adhesivo na parte inferior do rato (astuto!) - os empregados nunca deberían facelo. E non porque un terrible hacker entre e descargue todo 1C nunha unidade flash durante o xantar, senón porque pode haber na oficina un Sasha ofendido que vai saír e facer algo sucio ou quitar a información por última vez. . Por que non fai isto no próximo xantar?
Isto é o que? Esta cousa almacena todos os meus contrasinais
- Establecer contrasinais sinxelos para entrar no PC e nos programas de traballo. As datas de nacemento, qwerty123 e ata asdf son combinacións que pertencen aos chistes e ao bashorg, e non ao sistema de seguridade corporativo. Establece os requisitos para os contrasinais e a súa lonxitude e establece a frecuencia de substitución.
Un contrasinal é como roupa interior: cámbiao a miúdo, non o compartas cos teus amigos, un longo é mellor, sé misterioso, non o espallas por todas partes
- Os contrasinais de inicio de sesión do programa predeterminados do provedor son erróneos, aínda que só sexa porque case todos os empregados do provedor os coñecen, e se está a tratar cun sistema baseado na web na nube, non será difícil para ninguén obter os datos. Especialmente se tamén tes seguridade na rede no nivel de "non tires do cable".
- Explique aos empregados que a suxestión do contrasinal no sistema operativo non debe parecer "o meu aniversario", "nome da filla", "Gvoz-dika-78545-ap#1! en inglés." ou "cuartos e un e un cero".
O meu gato dáme grandes contrasinais! Está camiñando polo meu teclado
Acceso físico aos casos
Como organiza a súa empresa o acceso á documentación contable e persoal (por exemplo, aos ficheiros persoais dos empregados)? Déixame adiviñar: se é unha pequena empresa, entón no departamento de contabilidade ou na oficina do xefe en carpetas en estantes ou nun armario; se é unha empresa grande, entón no departamento de RRHH nos andeis. Pero se é moi grande, o máis probable é que todo sexa correcto: unha oficina ou un bloque separado cunha chave magnética, onde só algúns empregados teñen acceso e, para chegar alí, cómpre chamar a un deles e entrar neste nodo na súa presenza. Non hai nada difícil facer esa protección en ningún negocio, ou polo menos aprender a non escribir o contrasinal da caixa forte da oficina con xiz na porta ou na parede (todo está baseado en feitos reais, non te rías).
Por que é importante? En primeiro lugar, os traballadores teñen un desexo patolóxico de descubrir as cousas máis secretas uns dos outros: estado civil, salario, diagnósticos médicos, educación, etc. Este é un compromiso na competencia de oficinas. E absolutamente non te beneficias das disputas que xurdirán cando o deseñador Petya descubra que gaña 20 mil menos que a deseñadora Alice. En segundo lugar, os empregados poden acceder á información financeira da empresa (balances, memorias anuais, contratos). En terceiro lugar, algo pode simplemente perderse, danar ou roubarse para tapar os rastros do propio historial laboral.
Un almacén onde alguén é unha perda, alguén é un tesouro
Se tes un almacén, ten en conta que tarde ou cedo tes a garantía de atopar criminais: así funciona a psicoloxía dunha persoa, que ve un gran volume de produtos e cre firmemente que un pouco de moito non é roubo, senón compartindo. E unha unidade de bens deste montón pode custar 200 mil, ou 300 mil ou varios millóns. Por desgraza, nada pode deter o roubo, salvo o control pedante e total e a contabilidade: cámaras, aceptación e cancelación mediante códigos de barras, automatización da contabilidade do almacén (por exemplo, no noso a contabilidade do almacén organízase de forma que o xestor e o supervisor poidan ver o movemento de mercadorías polo almacén en tempo real).
Polo tanto, arma o teu almacén ata os dentes, asegura a seguridade física do inimigo externo e completa a seguridade do interno. Os empregados do transporte, da loxística e dos almacéns deben entender claramente que hai control, que funciona e case se castigarán.
*Ei, non metas as mans na infraestrutura
Se a historia sobre a sala de servidores e a muller da limpeza xa sobreviviu a si mesma e emigrou durante moito tempo a historias doutras industrias (por exemplo, a mesma foi sobre o apagado místico do ventilador na mesma sala), entón o resto segue sendo realidade. . A seguridade da rede e das TI das pequenas e medianas empresas deixa moito que desexar, e isto moitas veces non depende de se tes o teu propio administrador do sistema ou un convidado. Este último adoita afrontar aínda mellor.
Entón, de que son capaces os empregados de aquí?
- O máis bonito e inofensivo é ir á sala de servidores, tirar dos cables, mirar, verter té, aplicar sucidade ou tentar configurar algo vostede mesmo. Isto afecta especialmente aos "usuarios seguros e avanzados" que ensinan heroicamente aos seus compañeiros a desactivar o antivirus e evitar a protección nun PC e están seguros de que son deuses innatos da sala de servidores. En xeral, o acceso limitado autorizado é o teu todo.
- Roubo de equipos e substitución de compoñentes. Gústache a túa empresa e instalaches potentes tarxetas de vídeo para todos para que o sistema de facturación, o CRM e todo o demais poidan funcionar perfectamente? Genial! Só os mozos astutos (e ás veces as nenas) substituirán facilmente por un modelo doméstico, e na casa executarán xogos nun novo modelo de oficina, pero medio mundo non o saberá. É a mesma historia con teclados, ratos, refrixeradores, UPS e todo o que se pode substituír dalgún xeito dentro da configuración do hardware. Como resultado, asume o risco de danos á propiedade, a súa perda total e, ao mesmo tempo, non obtén a velocidade e calidade de traballo desexadas con sistemas e aplicacións de información. O que salva é un sistema de vixilancia (sistema ITSM) con control de configuración configurado), que debe subministrarse completo cun administrador do sistema incorruptible e con principios.
Quizais queres buscar un sistema de seguridade mellor? Non estou seguro de se este sinal é suficiente
- Usar os teus propios módems, puntos de acceso ou algún tipo de wifi compartida fai que o acceso aos ficheiros sexa menos seguro e practicamente incontrolable, que poden ser aproveitados polos atacantes (incluso en connivencia cos empregados). Ben, ademais, a probabilidade de que un empregado "coa súa propia Internet" pase horas de traballo en YouTube, sitios de humor e redes sociais é moito maior.
- Os contrasinais e inicios de sesión unificados para acceder á área de administración do sitio, CMS e software de aplicación son cousas terribles que converten a un empregado inepto ou malicioso nun esquivo vingador. Se tes 5 persoas da mesma subrede co mesmo inicio de sesión/contrasinal entran para poñer un banner, comprobar ligazóns e métricas publicitarias, corrixir o deseño e cargar unha actualización, nunca adiviñarás cal delas converteu accidentalmente o CSS nun cabaza. Polo tanto: diferentes inicios de sesión, diferentes contrasinais, rexistro de accións e diferenciación de dereitos de acceso.
- Non fai falta dicir sobre o software sen licenza que os empregados arrastran aos seus ordenadores para editar un par de fotos durante o horario laboral ou crear algo moi relacionado co pasatempo. Non escoitaches falar da inspección do departamento "K" da Dirección Central de Asuntos Internos? Entón ela vén a ti!
- O antivirus debería funcionar. Si, algúns deles poden ralentizar o teu PC, irritarte e en xeral parecer un sinal de covardía, pero é mellor evitalo que pagar despois co tempo de inactividade ou, peor aínda, con datos roubados.
- Non se deben ignorar os avisos do sistema operativo sobre os perigos de instalar unha aplicación. Hoxe, descargar algo para traballar é cuestión de segundos e minutos. Por exemplo, Direct.Commander ou editor de AdWords, algún analizador de SEO, etc. Se todo está máis ou menos claro cos produtos Yandex e Google, entón outro picreizer, un limpador de virus gratuíto, un editor de vídeo con tres efectos, capturas de pantalla, gravadores de Skype e outros "pequenos programas" poden prexudicar tanto a un PC individual como a toda a rede da empresa. . Adestra aos usuarios para que lean o que o ordenador quere deles antes de chamar ao administrador do sistema e dicir que "todo está morto". Nalgunhas empresas, o problema resólvese simplemente: moitas utilidades útiles descargadas gárdanse na rede compartida e alí tamén se publica unha lista de solucións en liña adecuadas.
- A política BYOD ou, pola contra, a política de permitir o uso de equipos de traballo fóra da oficina é un lado moi malo da seguridade. Neste caso, teñen acceso á tecnoloxía familiares, amigos, fillos, redes públicas sen protección, etc. Esta é unha ruleta puramente rusa: podes ir durante 5 anos e sobrevivir, pero podes perder ou danar todos os teus documentos e ficheiros valiosos. Ben, ademais, se un empregado ten intención maliciosa, é tan sinxelo como enviar dous bytes para filtrar datos cun equipo "a pie". Tamén cómpre lembrar que os empregados adoitan transferir ficheiros entre os seus ordenadores persoais, o que de novo pode crear lagoas de seguridade.
- Bloquear os teus dispositivos mentres estás ausente é un bo hábito tanto para uso corporativo como persoal. De novo, protéxete de colegas curiosos, coñecidos e intrusos en lugares públicos. É difícil acostumarse a isto, pero nun dos meus lugares de traballo tiven unha experiencia marabillosa: os compañeiros achegáronse a un PC desbloqueado e Paint abriuse por toda a xanela coa inscrición "Bloquear o ordenador". e algo cambiou no traballo, por exemplo, o último conxunto bombeado foi demolido ou o último erro introducido foi eliminado (este era un grupo de probas). É cruel, pero 1-2 veces foi suficiente incluso para os máis de madeira. Aínda que, sospeito que as persoas non informáticas poden non entender ese humor.
- Pero o peor pecado, por suposto, está no administrador e xestión do sistema - se categoricamente non usan sistemas de control de tráfico, equipos, licenzas, etc.
Esta é, por suposto, unha base, porque a infraestrutura informática é o lugar onde canto máis se adentra no bosque, máis leña hai. E todos deberían ter esta base e non ser substituídas polas palabras "todos confiamos uns nos outros", "somos unha familia", "quen o necesita" - por desgraza, isto é polo momento.
Esta é Internet, cariño, poden saber moito de ti.
É hora de introducir o manexo seguro de Internet no curso de seguridade da vida na escola, e non se trata en absoluto das medidas nas que estamos inmersos desde fóra. Trátase específicamente da capacidade de distinguir unha ligazón dunha ligazón, comprender onde está o phishing e onde se atopa unha estafa, non abrir anexos de correo electrónico co asunto "Informe de conciliación" desde un enderezo descoñecido sen entendelo, etc. Aínda que, ao parecer, os escolares xa dominaron todo isto, pero os empregados non. Hai moitos trucos e erros que poden poñer en perigo a toda a empresa á vez.
- As redes sociais son unha sección de Internet que non ten cabida no traballo, pero bloquealas a nivel de empresa en 2019 é unha medida impopular e desmotivadora. Polo tanto, só tes que escribir a todos os empregados como comprobar a ilegalidade das ligazóns, informarlles sobre os tipos de fraude e pedirlles que traballen no traballo.
- O correo é un punto doloroso e quizais a forma máis popular de roubar información, plantar software malicioso e infectar un PC e toda a rede. Por desgraza, moitos empresarios consideran que o cliente de correo electrónico é unha ferramenta de aforro de custos e utilizan servizos gratuítos que reciben 200 correos electrónicos de spam ao día que pasan por filtros, etc. E algunhas persoas irresponsables abren tales cartas e anexos, ligazóns, imaxes; ao parecer, esperan que o príncipe negro lles deixe unha herdanza. Despois de que o administrador ten moito, moito traballo. Ou foi pensado así? Por certo, outra historia cruel: nunha empresa, por cada carta de spam ao administrador do sistema, o KPI reduciuse. En xeral, despois dun mes non houbo spam: a práctica foi adoptada pola organización dos pais e aínda non hai spam. Resolvemos este problema con elegancia: desenvolvemos o noso propio cliente de correo electrónico e integrámolo no noso , polo que todos os nosos clientes tamén reciben unha función tan conveniente.
A próxima vez que recibas un correo electrónico estraño cun símbolo de clip, non fagas clic nel!
- Os mensaxeiros tamén son unha fonte de todo tipo de ligazóns inseguras, pero isto é moito menos malo que o correo electrónico (sen contar o tempo perdido falando nos chats).
Parece que todas estas son pequenas cousas. Non obstante, cada unha destas pequenas cousas pode ter consecuencias desastrosas, especialmente se a túa empresa é o obxectivo do ataque dun competidor. E isto pode pasarlle literalmente a calquera.
Empregados conversadores
Este é o factor moi humano do que lle será difícil desfacerse. Os empregados poden falar do traballo no corredor, nun café, na rúa, na casa dun cliente, falar en voz alta doutro cliente, falar sobre logros laborais e proxectos na casa. Por suposto, a probabilidade de que un competidor estea detrás de ti é insignificante (se non estás no mesmo centro de negocios, isto ocorreu), pero a posibilidade de que un mozo que indique claramente os seus asuntos comerciais sexa filmado nun teléfono intelixente e publicado en YouTube é, curiosamente, máis alto. Pero isto tamén é unha merda. Non é unha merda cando os teus empregados presentan de boa gana información sobre un produto ou empresa en adestramentos, conferencias, reunións, foros profesionais ou mesmo en Habré. Ademais, a xente adoita chamar deliberadamente aos seus opoñentes a tales conversacións para levar a cabo intelixencia competitiva.
Unha historia reveladora. Nunha conferencia de TI a escala galáctica, o relator da sección expuxo nunha diapositiva un diagrama completo da organización da infraestrutura de TI dunha gran empresa (top 20). O esquema foi mega impresionante, simplemente cósmico, case todo o mundo o fotografou e voou instantáneamente polas redes sociais con excelentes críticas. Ben, entón o altofalante capturounos usando xeoetiquetas, soportes, redes sociais. redes dos que o publicaron e pedían que o borrasen, porque o chamaron bastante rápido e dixeron ah-ta-ta. Un chatterbox é unha bendición para un espía.
A ignorancia... líbrate do castigo
Segundo o informe global de 2017 de Kaspersky Lab de empresas que experimentaron incidentes de ciberseguridade nun período de 12 meses, un de cada dez (11 %) dos tipos de incidentes máis graves implicaba empregados descoidados e desinformados.
Non asumas que os empregados saben todo sobre as medidas de seguridade corporativas, asegúrate de avisalos, proporcionar formación, facer boletíns periódicos interesantes sobre problemas de seguridade, manter reunións sobre pizza e aclarar problemas de novo. E si, un truco de vida xenial: marca toda a información impresa e electrónica con cores, sinais, inscricións: segredo comercial, segredo, para uso oficial, acceso xeral. Isto realmente funciona.
O mundo moderno puxo ás empresas nunha posición moi delicada: é necesario manter un equilibrio entre o desexo do empregado non só de traballar duro no traballo, senón tamén de recibir contido de entretemento en segundo plano/durante os descansos e estritas normas de seguridade corporativa. Se activas programas de hipercontrol e seguimento imbéciles (si, non é un erro tipográfico, isto non é seguridade, isto é paranoia) e cámaras ás túas costas, a confianza dos empregados na empresa caerá, pero manter a confianza tamén é unha ferramenta de seguridade corporativa.
Polo tanto, sabe cando parar, respecta aos teus empregados e fai copias de seguridade. E o máis importante, prioriza a seguridade, non a paranoia persoal.
Se o precisas e compara as súas capacidades coas túas metas e obxectivos. Se tes algunha dúbida ou dificultade, escribe ou chama, organizaremos unha presentación individual en liña para ti, sen valoracións nin asubíos.
, no que, sen publicidade, escribimos cousas non totalmente formais sobre CRM e negocios.
Fonte: www.habr.com