31. ožujka je Međunarodni dan sigurnosnog kopiranja, a tjedan prije njega uvijek je pun priča vezanih uz sigurnost. U ponedjeljak smo već saznali za kompromitirani Asus i “tri neimenovana proizvođača”. Osobito praznovjerne tvrtke cijeli tjedan sjede na iglu i izrađuju sigurnosne kopije. A sve zato što smo svi malo nemarni u pogledu sigurnosti: netko zaboravi vezati pojas na stražnjem sjedalu, netko zanemaruje rok trajanja proizvoda, netko pohranjuje login i lozinku ispod tipkovnice, i još bolje, zapisuje sve lozinke u bilježnicu. Neki pojedinci uspijevaju onemogućiti antiviruse "kako ne bi usporili računalo" i ne koriste odvajanje prava pristupa u korporativnim sustavima (kakve tajne u tvrtki od 50 ljudi!). Vjerojatno čovječanstvo jednostavno još nije razvilo instinkt cyber-samoodržanja, koji, u principu, može postati novi osnovni instinkt.
Ni biznis nije razvio takve instinkte. Jednostavno pitanje: je li CRM sustav prijetnja informacijskoj sigurnosti ili sigurnosni alat? Malo je vjerojatno da će netko odmah dati točan odgovor. Ovdje treba početi, kao što su nas učili na satovima engleskog: ovisi... Ovisi o postavkama, obliku isporuke CRM-a, navikama i uvjerenjima dobavljača, stupnju zanemarivanja zaposlenika, sofisticiranosti napadača. . Uostalom, sve se može hakirati. Pa kako živjeti?
To je informacijska sigurnost u malim i srednjim poduzećima
CRM sustav kao zaštita
Zaštita komercijalnih i operativnih podataka te sigurno pohranjivanje vaše korisničke baze jedna je od glavnih zadaća CRM sustava iu tome je ispred svih ostalih aplikativnih softvera u tvrtki.
Sigurno ste počeli čitati ovaj članak i duboko se nasmiješili govoreći, kome trebaju vaše informacije. Ako je tako, onda se vjerojatno niste bavili prodajom i ne znate koliko su tražene „žive“ i kvalitetne baze kupaca i informacije o metodama rada s tom bazom. Sadržaj CRM sustava zanimljiv je ne samo menadžmentu tvrtke, već i:
- Napadači (rjeđe) - imaju cilj vezan upravo za vašu tvrtku i koristit će sve resurse za dobivanje podataka: podmićivanje zaposlenika, hakiranje, kupnja vaših podataka od menadžera, razgovori s menadžerima itd.
- Zaposlenici (češće) koji mogu djelovati kao insajderi za vaše konkurente. Oni su jednostavno spremni oduzeti ili prodati svoju bazu klijenata za vlastiti profit.
- Za hakere amatere (vrlo rijetko) - može vam se hakirati u oblak gdje se nalaze vaši podaci ili je mreža hakirana ili možda netko želi "izvući" vaše podatke iz zabave (npr. podatke o veletrgovcima lijekovima ili alkoholom - samo zanimljivo za vidjeti).
Ako netko uđe u vaš CRM, imat će pristup vašim operativnim aktivnostima, odnosno količini podataka s kojima ostvarujete najveći dio svoje dobiti. A od trenutka kada se zlonamjerno pristupi CRM sustavu, profit se počinje smiješiti onome u čijim rukama završi baza klijenata. Pa, ili njegovi partneri i kupci (čitaj - novi poslodavci).
Dobar, pouzdan je u mogućnosti pokriti te rizike i pružiti hrpu ugodnih bonusa u području sigurnosti.
Dakle, što CRM sustav može učiniti u smislu sigurnosti?
(reći ćemo vam na primjeru, jer Ne možemo biti odgovorni za druge)
- Dvofaktorska autentifikacija pomoću USB ključa i lozinke. podržava dvofaktorski način autorizacije korisnika prilikom prijave u sustav. U tom slučaju, prilikom prijave u sustav, osim unosa lozinke, potrebno je umetnuti USB ključ koji je unaprijed inicijaliziran u USB port računala. Način autorizacije s dva faktora pomaže u zaštiti od krađe lozinke ili otkrivanja.
Može se kliknuti
- Trčite s pouzdanih IP adresa i MAC adresa. Radi poboljšane sigurnosti, možete ograničiti korisnike da se prijavljuju samo s registriranih IP adresa i MAC adresa. Kao IP adrese mogu se koristiti i interne IP adrese na lokalnoj mreži i eksterne adrese ako se korisnik spaja na daljinu (putem Interneta).
- Autorizacija domene (Windows autorizacija). Pokretanje sustava može se konfigurirati tako da prilikom prijave nije potrebna korisnička lozinka. U tom slučaju dolazi do Windows autorizacije, koja identificira korisnika pomoću WinAPI-ja. Sustav će se pokrenuti pod korisnikom pod čijim profilom računalo radi u trenutku pokretanja sustava.
- Drugi mehanizam je privatni klijenti. Privatni klijenti su klijenti koje može vidjeti samo njihov nadređeni. Ti se klijenti neće pojaviti na popisima drugih korisnika, čak i ako drugi korisnici imaju puna dopuštenja, uključujući administratorska prava. Na taj način možete zaštititi npr. skupinu posebno važnih klijenata ili grupu iz drugog razloga, koja će biti povjerena pouzdanom upravitelju.
- Mehanizam za podjelu prava pristupa — standardna i primarna sigurnosna mjera u CRM-u. Kako biste pojednostavili postupak administriranja korisničkih prava, u prava se ne dodjeljuju određenim korisnicima, već predlošcima. I samom korisniku dodjeljuje se jedan ili drugi predložak koji ima određeni skup prava. To omogućuje svakom zaposleniku - od novozaposlenih do pripravnika do direktora - dodjeljivanje dopuštenja i prava pristupa koja će im omogućiti/spriječiti pristup osjetljivim podacima i osjetljivim poslovnim informacijama.
- Sustav za automatsko sigurnosno kopiranje podataka (sigurnosne kopije)konfigurirati putem skript poslužitelja .
Ovo je implementacija sigurnosti korištenjem jednog sustava kao primjera, svaki dobavljač ima vlastita pravila. Međutim, CRM sustav zaista štiti vaše podatke: možete vidjeti tko je iu koje vrijeme preuzeo ovo ili ono izvješće, tko je pregledao koje podatke, tko ih je preuzeo i još mnogo toga. Čak i ako naknadno saznate za ranjivost, nećete ostaviti djelo nekažnjeno i lako ćete identificirati zaposlenika koji je zloupotrijebio povjerenje i lojalnost tvrtke.
Jeste li opušteni? Rano! Upravo ova zaštita može djelovati protiv vas ako ste nemarni i zanemarite pitanja zaštite podataka.
CRM sustav kao prijetnja
Ako vaša tvrtka ima barem jedno računalo, to je već izvor cyber prijetnje. Sukladno tome, razina prijetnje raste s brojem radnih stanica (i zaposlenika) te s raznolikošću instaliranog i korištenog softvera. A stvari nisu jednostavne sa CRM sustavima - na kraju krajeva, ovo je program dizajniran za pohranjivanje i obradu najvažnijeg i najskupljeg dobra: korisničke baze i komercijalnih informacija, a mi ovdje pričamo horor priče o njegovoj sigurnosti. Zapravo, izbliza nije sve tako tmurno, a ako se s njim pravilno postupa, od CRM sustava nećete dobiti ništa osim koristi i sigurnosti.
Koji su znakovi opasnog CRM sustava?
Počnimo s kratkim izletom u osnove. CRM-ovi dolaze u oblačnim i desktop verzijama. Oblačni su oni čiji se DBMS (baza podataka) ne nalazi u vašoj tvrtki, već u privatnom ili javnom oblaku u nekom podatkovnom centru (na primjer, sjedite u Čeljabinsku, a vaša baza podataka radi u super cool podatkovnom centru u Moskvi , jer je tako odlučio dobavljač CRM-a i ima ugovor s tim konkretnim pružateljem). Stolna računala (aka on-premise, server - što više nije tako točno) temelje svoj DBMS na vašim vlastitim poslužiteljima (ne, ne, nemojte zamišljati ogromnu poslužiteljsku sobu sa skupim policama, najčešće u malim i srednjim tvrtkama to je jedan poslužitelj ili čak obično računalo moderne konfiguracije), odnosno fizički u vašem uredu.
Moguće je neovlašteno pristupiti objema vrstama CRM-a, no brzina i jednostavnost pristupa su različite, pogotovo ako je riječ o malim i srednjim tvrtkama koje ne mare previše za informacijsku sigurnost.
Znak opasnosti #1
Razlog veće vjerojatnosti problema s podacima u cloud sustavu je odnos povezan s više poveznica: vi (CRM stanar) - dobavljač - pružatelj (postoji duža verzija: vi - dobavljač - IT outsourcer dobavljača - pružatelj) . 3-4 linka u odnosu imaju više rizika od 1-2: problem se može pojaviti na strani dobavljača (promjena ugovora, neplaćanje usluga pružatelja), na strani pružatelja (viša sila, hakiranje, tehnički problemi), na strani naručitelja (promjena menadžera ili inženjera), itd. Naravno, veliki dobavljači pokušavaju imati rezervne podatkovne centre, upravljati rizicima i održavati svoj DevOps odjel, ali to ne isključuje probleme.
Desktop CRM općenito se ne iznajmljuje, već kupuje tvrtka; sukladno tome odnos izgleda jednostavnije i transparentnije: tijekom implementacije CRM-a dobavljač konfigurira potrebne razine sigurnosti (od razlikovanja prava pristupa i fizičkog USB ključa do zatvaranja server u betonskom zidu i sl.) i kontrolu prenosi na tvrtku koja posjeduje CRM, koja može povećati zaštitu, angažirati administratora sustava ili po potrebi kontaktirati svog dobavljača softvera. Problemi se svode na rad sa zaposlenicima, zaštitu mreže i fizičku zaštitu informacija. Ako koristite stolni CRM, čak ni potpuno gašenje interneta neće zaustaviti rad, jer se baza nalazi u vašem "kućnom" uredu.
Jedan naš zaposlenik, koji je radio u tvrtki koja je razvijala integrirane uredske sustave temeljene na oblaku, uključujući i CRM, govori o tehnologijama u oblaku. “Na jednom od mojih poslova tvrtka je stvarala nešto vrlo slično osnovnom CRM-u, a sve je bilo povezano s online dokumentima i tako dalje. Jednog smo dana u GA vidjeli neuobičajenu aktivnost jednog od naših klijenata pretplatnika. Zamislite iznenađenje nas, analitičara, kada smo mi, ne kao programeri, ali s visokom razinom pristupa, jednostavno preko linka mogli otvoriti sučelje koje je klijent koristio i vidjeti kakav on popularni znak ima. Inače, čini se da naručitelj ne bi želio da itko vidi te komercijalne podatke. Da, bila je to greška i nije popravljena nekoliko godina - po mom mišljenju, stvari su još uvijek tu. Od tada sam entuzijast za stolna računala i ne vjerujem baš oblacima, iako ih, naravno, koristimo u poslu i u privatnom životu, gdje smo također imali neke zabavne fakape.”
Iz naše ankete na Habréu, a radi se o zaposlenicima naprednih tvrtki
Gubitak podataka iz CRM sustava u oblaku može biti uzrokovan gubitkom podataka zbog kvara poslužitelja, nedostupnosti poslužitelja, više sile, prekida aktivnosti dobavljača itd. Cloud znači stalan, nesmetan pristup internetu, a zaštita mora biti bez presedana: na razini koda, prava pristupa, dodatnih mjera kibernetičke sigurnosti (primjerice, dvofaktorska autentifikacija).
Znak opasnosti #2
Ne govorimo čak ni o jednoj karakteristici, već o grupi karakteristika vezanih uz dobavljača i njegovu politiku. Nabrojimo neke važne primjere s kojima smo se mi i naši zaposlenici susreli.
- Dobavljač može odabrati nedovoljno pouzdan podatkovni centar u kojem će se "vrtati" klijentov DBMS. On će uštedjeti novac, neće kontrolirati SLA, neće izračunati opterećenje, a rezultat će biti koban za vas.
- Dobavljač može uskratiti pravo prijenosa usluge u podatkovni centar po vašem izboru. Ovo je prilično uobičajeno ograničenje za SaaS.
- Dobavljač može imati pravni ili ekonomski sukob s pružateljem usluga oblaka, a zatim tijekom "showdowna", radnje sigurnosne kopije ili, na primjer, brzina mogu biti ograničeni.
- Usluga izrade sigurnosnih kopija može se pružiti uz dodatnu cijenu. Uobičajena praksa za koju klijent CRM sustava može saznati tek u trenutku kada je potreban backup, odnosno u najkritičnijem i najranjivijem trenutku.
- Zaposlenici dobavljača mogu imati nesmetan pristup podacima o kupcima.
- Može doći do curenja podataka bilo koje prirode (ljudska pogreška, prijevara, hakeri itd.).
Obično su ovi problemi povezani s malim ili mladim dobavljačima, međutim, veliki su više puta upali u probleme (guglajte). Stoga biste uvijek trebali imati načine za zaštitu informacija na svojoj strani + unaprijed razgovarajte o sigurnosnim pitanjima s odabranim pružateljem CRM sustava. Čak i sama činjenica vašeg interesa za problem već će prisiliti dobavljača da se odnosi prema implementaciji što je moguće odgovornije (osobito je važno to učiniti ako se ne bavite uredom dobavljača, već s njegovim partnerom, za kojeg je bitno sklopiti dogovor i dobiti proviziju, a ne ove dvofaktorske... pa jesi razumio).
Znak opasnosti #3
Organizacija zaštitarskih poslova u Vašem poduzeću. Prije godinu dana tradicionalno smo pisali o sigurnosti na Habréu i proveli anketu. Uzorak nije bio veliki, ali su odgovori indikativni:
Na kraju članka donosimo poveznice na naše publikacije u kojima smo detaljno proučili odnos u sustavu “tvrtka-zaposlenik-sigurnost”, a ovdje ćemo navesti popis pitanja čije odgovore treba pronaći u vaše tvrtke (čak i ako ne trebate CRM).
- Gdje zaposlenici pohranjuju lozinke?
- Kako je organiziran pristup pohrani na poslužiteljima tvrtke?
- Kako je zaštićen softver koji sadrži komercijalne i operativne podatke?
- Imaju li svi zaposlenici aktivan antivirusni softver?
- Koliko zaposlenika ima pristup podacima o klijentima i koja je to razina pristupa?
- Koliko imate novozaposlenih i koliko je zaposlenika u procesu odlaska?
- Koliko dugo ste komunicirali s ključnim zaposlenicima i slušali njihove zahtjeve i pritužbe?
- Prate li se pisači?
- Kako je organizirana politika za povezivanje vlastitih gadgeta s računalom, kao i korištenje radnog Wi-Fi-ja?
Zapravo, to su osnovna pitanja—vjerojatno će se dodati hardcore u komentarima, ali ovo su osnove, čije bi osnove i samostalni poduzetnik s dva zaposlena trebao znati.
Pa kako se zaštititi?
- Sigurnosne kopije su najvažnija stvar koja se često zaboravlja ili se o njoj ne vodi računa. Ako imate stolni sustav, postavite sustav sigurnosnog kopiranja podataka s određenom učestalošću (na primjer, za RegionSoft CRM to se može učiniti pomoću ) i organizirati pravilno skladištenje kopija. Ako imate CRM u oblaku, svakako se prije sklapanja ugovora informirajte o tome kako je organiziran rad sa sigurnosnim kopijama: potrebne su vam informacije o dubini i učestalosti, mjestu pohrane, cijeni izrade sigurnosne kopije (često samo sigurnosna kopija “najnovijih podataka za razdoblje ” besplatni, a punopravno, sigurno sigurnosno kopiranje dostupno je kao plaćena usluga). Općenito, ovo definitivno nije mjesto za štednju ili nemar. I da, ne zaboravite provjeriti što je vraćeno iz sigurnosnih kopija.
- Razdvajanje prava pristupa na funkcijskoj i podatkovnoj razini.
- Sigurnost na mrežnoj razini - potrebno je dopustiti korištenje CRM-a samo unutar podmreže ureda, ograničiti pristup za mobilne uređaje, zabraniti rad sa CRM sustavom od kuće ili, još gore, iz javnih mreža (coworking prostori, kafići, uredi za klijente) , itd.). Budite posebno oprezni s mobilnom verzijom - neka to bude samo jako skraćena verzija za rad.
- Antivirus sa skeniranjem u stvarnom vremenu potreban je u svakom slučaju, a posebno u slučaju sigurnosti korporativnih podataka. Na razini pravila zabranite ga sami onemogućiti.
- Edukacija zaposlenika o kibernetičkoj higijeni nije gubljenje vremena, već hitna potreba. Potrebno je prenijeti svim kolegama da im je važno ne samo upozoriti, već i ispravno reagirati na primljenu prijetnju. Zabrana korištenja interneta ili vašeg e-maila u uredu je prošlost i uzrok je akutne negativnosti, pa ćete morati poraditi na prevenciji.
Naravno, korištenjem sustava u oblaku možete postići dovoljnu razinu sigurnosti: koristiti namjenske poslužitelje, konfigurirati usmjerivače i odvojiti promet na razini aplikacije i baze podataka, koristiti privatne podmreže, uvesti stroga sigurnosna pravila za administratore, osigurati nesmetan rad putem sigurnosnih kopija uz maksimalnu potrebnu učestalost i cjelovitost, za nadzor mreže XNUMX sata na dan... Ako razmislite o tome, nije tako teško, ali prilično skupo. Ali, kao što praksa pokazuje, samo neke tvrtke, uglavnom velike, poduzimaju takve mjere. Stoga se ne ustručavamo ponoviti: ni oblak ni radna površina ne bi trebali živjeti sami za sebe; zaštitite svoje podatke.
Nekoliko malih, ali važnih savjeta za sve slučajeve implementacije CRM sustava
- Provjerite ima li dobavljača ranjivosti - potražite informacije koristeći kombinacije riječi "Vendor Name vulnerability", "Vendor Name hacked", "Vendor Name data leak". To ne bi trebao biti jedini parametar u potrazi za novim CRM sustavom, već je jednostavno potrebno štiklirati podkorteks, a posebno je važno razumjeti razloge incidenata koji su se dogodili.
- Pitajte dobavljača o podatkovnom centru: dostupnost, koliko ih ima, kako je organiziran failover.
- Postavite sigurnosne tokene u svoj CRM, pratite aktivnosti unutar sustava i neuobičajene skokove.
- Onemogućite izvoz izvješća i pristup putem API-ja za non-core zaposlenike – odnosno one kojima ove funkcije nisu potrebne za redovne aktivnosti.
- Provjerite je li vaš CRM sustav konfiguriran za bilježenje procesa i radnji korisnika.
To su male stvari, ali savršeno nadopunjuju cjelokupnu sliku. I, zapravo, nijedna sitnica nije sigurna.
Implementacijom CRM sustava osiguravate sigurnost svojih podataka – ali samo ako je implementacija izvedena kompetentno, a pitanja informacijske sigurnosti nisu potisnuta u drugi plan. Slažem se, glupo je kupiti auto i ne provjeriti kočnice, ABS, zračne jastuke, sigurnosne pojaseve, EDS. Uostalom, glavna stvar nije samo ići, nego ići sigurno i stići tamo zdravo i zdravo. Isto je i s poslom.
I zapamtite: ako su pravila zaštite na radu napisana krvlju, pravila poslovne kibersigurnosti napisana su novcem.
Na temu kibernetičke sigurnosti i mjesta CRM sustava u njoj možete pročitati naše detaljne članke:
- — pregled mogućih prijetnji sigurnosti u korporativnoj sferi i približnu shemu detekcije.
- — detaljnu analizu kako zaposlenici mogu naštetiti vašem poslovanju i kako to čine u poslovnoj sferi.
Ako tražite CRM sustav, onda na . Ako trebate CRM ili ERP, pažljivo proučite naše proizvode i usporedite njihove mogućnosti sa svojim ciljevima. Ako imate bilo kakvih pitanja ili poteškoća, pišite ili nazovite, organizirat ćemo individualnu online prezentaciju za vas - bez ocjena i naklapanja.
, u kojem, bez oglašavanja, pišemo ne baš formalne stvari o CRM-u i poslovanju.
Izvor: www.habr.com