Godine 2008. uspio sam posjetiti informatičku tvrtku. U svakom zaposleniku bila je neka vrsta nezdrave napetosti. Ispostavilo se da je razlog jednostavan: mobiteli su u kutiji na ulazu u ured, iza leđa je kamera, 2 velike dodatne “gledajuće” kamere u uredu i softver za praćenje s keyloggerom. I da, ovo nije tvrtka koja je razvila SORM ili sustave za održavanje života u zrakoplovima, već jednostavno razvijač poslovnog aplikacijskog softvera, koji je sada apsorbiran, zdrobljen i više ne postoji (što se čini logičnim). Ako se sada protežete i mislite da u vašem uredu s visećim mrežama i M&M-om u vazama to definitivno nije tako, mogli biste se jako varati - samo je kontrola tijekom 11 godina naučila biti nevidljiva i točna, bez obračuna oko posjećivali stranice i preuzimali filmove.
Pa zar se bez svega toga stvarno ne može, ali što je s povjerenjem, odanošću, vjerom u ljude? Vjerovali ili ne, isto toliko je tvrtki bez sigurnosnih mjera. Ali zaposlenici uspiju zabrljati i tu i tamo – jednostavno zato što ljudski faktor može uništiti svjetove, a ne samo vašu tvrtku. Dakle, gdje vaši zaposlenici mogu napraviti nestašluke?
Ovo nije previše ozbiljan post, koji ima točno dvije funkcije: malo uljepšati svakodnevicu i podsjetiti na osnovne sigurnosne stvari koje se često zaboravljaju. Oh, i još jednom vas podsjetiti na — Nije li takav softver rub sigurnosti? 🙂
Idemo u nasumičnom načinu rada!
Lozinke, lozinke, lozinke...
Pričaš o njima i zakotrlja se val ogorčenja: kako to može, toliko su puta rekli svijetu, a stvari su i dalje tu! U tvrtkama svih razina, od samostalnih poduzetnika do multinacionalnih korporacija, to je vrlo bolna točka. Ponekad mi se čini da će, ako sutra naprave pravu Zvijezdu smrti, biti nešto poput admin/admin na admin panelu. Dakle, što možemo očekivati od običnih korisnika, za koje je vlastita VKontakte stranica mnogo skuplja od korporativnog računa? Ovdje su točke koje treba provjeriti:
- Pisanje lozinki na papirićima, na stražnjoj strani tipkovnice, na monitoru, na stolu ispod tipkovnice, na naljepnici s donje strane miša (lukavo!) - zaposlenici to nikako ne bi smjeli raditi. I ne zato što će užasni haker ući i skinuti cijeli 1C na flash disk za vrijeme ručka, već zato što se u uredu može naći uvrijeđeni Sasha koji će dati otkaz i učiniti nešto prljavo ili posljednji put oduzeti informacije . Zašto to ne biste učinili za sljedeći ručak?
To je što? Ova stvar pohranjuje sve moje lozinke
- Postavljanje jednostavnih lozinki za ulazak u računalo i radne programe. Datumi rođenja, qwerty123 pa čak i asdf kombinacije su koje pripadaju vicevima i basorgu, a ne korporativnom sigurnosnom sustavu. Postavite zahtjeve za lozinke i njihovu duljinu te postavite učestalost zamjene.
Lozinka je kao donje rublje: mijenjaj je često, ne dijeli je s prijateljima, duga je bolja, budi tajanstvena, ne razbacaj je posvuda
- Prodavateljeve zadane lozinke za prijavu u program su manjkave, barem zato što ih gotovo svi zaposlenici dobavljača znaju, a ako imate posla sa sustavom temeljenim na webu u oblaku, nikome neće biti teško doći do podataka. Pogotovo ako imate i mrežnu sigurnost na razini "ne povlači za kabel".
- Objasnite zaposlenicima da savjet za lozinku u operativnom sustavu ne smije izgledati kao “moj rođendan”, “ime kćeri”, “Gvoz-dika-78545-ap#1! na engleskom." ili "kvartovi i jedan i nula."
Moja mačka mi daje sjajne lozinke! Hoda po mojoj tipkovnici
Fizički pristup predmetima
Kako vaša tvrtka organizira pristup računovodstvenoj i kadrovskoj dokumentaciji (na primjer, osobnim dosjeima zaposlenika)? Da pogodim: ako je mala tvrtka, onda u računovodstvu ili u šefovom uredu u fascikle na policama ili u ormaru; ako je velika tvrtka, onda u odjelu ljudskih resursa na policama. Ali ako je vrlo velik, onda je najvjerojatnije sve ispravno: zaseban ured ili blok s magnetskim ključem, gdje samo određeni zaposlenici imaju pristup i da biste tamo došli, trebate nazvati jednog od njih i ući u ovaj čvor u njihovoj prisutnosti. Nema ništa teško napraviti takvu zaštitu u bilo kojem poslu, ili barem naučiti ne pisati lozinku za uredski sef kredom na vratima ili na zidu (sve je temeljeno na stvarnim događajima, nemojte se smijati).
Zašto je to važno? Prvo, radnici imaju patološku želju da saznaju najtajnije stvari jedni o drugima: bračni status, plaću, medicinske dijagnoze, obrazovanje itd. Ovo je takav kompromis u uredskoj konkurenciji. I nikako vam ne idu u prilog trzavice koje će nastati kada dizajnerica Petya sazna da zarađuje 20 tisuća manje od dizajnerice Alice. Drugo, tamo zaposlenici mogu pristupiti financijskim podacima tvrtke (bilance, godišnja izvješća, ugovore). Treće, nešto se jednostavno može izgubiti, oštetiti ili ukrasti kako bi se prikrili tragovi u vlastitoj radnoj povijesti.
Skladište u kojem je netko gubitak, netko blago
Ako imate skladište, razmislite da ćete prije ili kasnije sigurno naići na kriminalce - jednostavno tako funkcionira psihologija čovjeka koji vidi veliku količinu proizvoda i čvrsto vjeruje da malo od puno nije pljačka, nego dijeljenje. A jedinica robe iz ove gomile može koštati 200 tisuća, ili 300 tisuća, ili nekoliko milijuna. Nažalost, ništa ne može zaustaviti krađu osim pedantne i potpune kontrole i obračuna: kamere, prijem i otpis pomoću bar kodova, automatizacija skladišnog knjigovodstva (npr. skladišno knjigovodstvo organizirano je na način da voditelj i nadzornik mogu u realnom vremenu vidjeti kretanje robe kroz skladište).
Stoga naoružajte svoje skladište do zuba, osigurajte fizičku sigurnost od vanjskog neprijatelja i potpunu sigurnost od unutarnjeg. Zaposlenici u transportu, logistici, skladištima moraju jasno shvatiti da postoji kontrola, ona funkcionira i gotovo će sami sebe kazniti.
*hej, ne zabadaj ruke u infrastrukturu
Ako je priča o serverskoj sobi i čistačici već nadživjela samu sebe i davno se preselila u priče drugih industrija (primjerice, ista je pričala o mističnom gašenju ventilatora na istom odjelu), onda je ostalo stvarnost. . Mrežna i informatička sigurnost malih i srednjih poduzeća ostavlja mnogo toga za poželjeti, a to često ne ovisi o tome imate li svog administratora sustava ili pozvanog. Potonji se često i bolje snalazi.
Za što su zaposlenici ovdje sposobni?
- Najljepše i najbezazlenije je otići u serversku sobu, povući žice, pogledati, proliti čaj, nanijeti prljavštinu ili pokušati sami nešto konfigurirati. To posebno pogađa “samopouzdane i napredne korisnike” koji herojski uče svoje kolege da deaktiviraju antivirus i zaobiđu zaštitu na računalu i sigurni su da su urođeni bogovi serverske sobe. Općenito, ovlašteni ograničeni pristup je vaše sve.
- Krađa opreme i zamjena komponenti. Volite svoju tvrtku i svima ste ugradili moćne video kartice kako bi sustav naplate, CRM i sve ostalo radilo savršeno? Sjajno! Samo će ih lukavi dečki (a ponekad i djevojke) lako zamijeniti kućnim modelom, a kod kuće će pokretati igrice na novom uredskom modelu - ali pola svijeta neće znati. Ista je priča i s tipkovnicama, miševima, hladnjacima, UPS-ovima i svime što se nekako može zamijeniti unutar hardverske konfiguracije. Samim time snosite rizik oštećenja imovine, njenog potpunog gubitka, a pritom ne dobivate željenu brzinu i kvalitetu rada s informacijskim sustavima i aplikacijama. Ono što spašava je sustav nadzora (ITSM sustav) s konfiguriranom kontrolom konfiguracije), koji mora biti isporučen u kompletu s nepotkupljivim i principijelnim administratorom sustava.
Možda želite potražiti bolji sigurnosni sustav? Nisam siguran je li ovaj znak dovoljan
- Korištenje vlastitih modema, pristupnih točaka ili neke vrste zajedničkog Wi-Fija čini pristup datotekama manje sigurnim i praktički nekontroliranim, što mogu iskoristiti napadači (uključujući i tajni dogovor sa zaposlenicima). Pa, osim toga, puno je veća vjerojatnost da će zaposlenik “s vlastitim internetom” provoditi radno vrijeme na YouTubeu, šaljivim stranicama i društvenim mrežama.
- Unificirane lozinke i prijave za pristup administratorskom području stranice, CMS-u, aplikacijskom softveru su strašne stvari koje pretvaraju nesposobnog ili zlonamjernog zaposlenika u nedostižnog osvetnika. Ako vam 5 ljudi iz iste podmreže s istom prijavom/lozinkom dođe postaviti banner, provjeriti reklamne veze i metriku, ispraviti izgled i učitati ažuriranje, nikada nećete pogoditi tko je od njih slučajno pretvorio CSS u bundeva. Dakle: različite prijave, različite lozinke, bilježenje radnji i razlikovanje prava pristupa.
- O nelicenciranom softveru koji zaposlenici povlače na svoja računala ne treba ni spominjati kako bi tijekom radnog vremena uredili par fotografija ili napravili nešto vrlo hobijsko. Niste čuli za inspekciju odjela “K” SUP-a? Onda ona dolazi k vama!
- Antivirus bi trebao raditi. Da, neki od njih mogu usporiti vaše računalo, iritirati vas i općenito se činiti kao znak kukavičluka, ali bolje je to spriječiti nego kasnije plaćati zastojem ili, još gore, ukradenim podacima.
- Upozorenja operativnog sustava o opasnostima instaliranja aplikacije ne smiju se zanemariti. Danas je preuzimanje nečega za posao pitanje sekundi i minuta. Na primjer, Direct.Commander ili AdWords editor, neki SEO parser itd. Ako je s proizvodima Yandex i Google sve više-manje jasno, onda još jedan picreizer, besplatni čistač virusa, uređivač videozapisa s tri efekta, snimke zaslona, Skype snimači i drugi "mali programi" mogu naštetiti i pojedinačnom računalu i cijeloj mreži tvrtke . Obučite korisnike da pročitaju što računalo želi od njih prije nego što pozovu administratora sustava i kažu da je "sve mrtvo". U nekim se tvrtkama problem jednostavno rješava: mnogi preuzeti korisni uslužni programi pohranjuju se na mrežnom dijeljenju, a tamo je objavljen i popis prikladnih mrežnih rješenja.
- Politika BYOD ili, obrnuto, politika dopuštanja korištenja radne opreme izvan ureda je vrlo zla strana sigurnosti. U ovom slučaju rođaci, prijatelji, djeca, javne nezaštićene mreže itd. imaju pristup tehnologiji. Ovo je čisto ruski rulet - možete ići na 5 godina i proći, ali možete izgubiti ili oštetiti sve svoje dokumente i vrijedne datoteke. Pa, osim toga, ako zaposlenik ima zlonamjerne namjere, to je jednostavno poput slanja dva bajta za curenje podataka s "hodajućom" opremom. Također morate zapamtiti da zaposlenici često prenose datoteke između svojih osobnih računala, što opet može stvoriti sigurnosne rupe.
- Zaključavanje uređaja dok ste odsutni dobra je navika i za poslovnu i za osobnu upotrebu. Opet, štiti vas od znatiželjnih kolega, poznanika i uljeza na javnim mjestima. Teško se naviknuti na to, ali na jednom od svojih radnih mjesta doživio sam divno iskustvo: kolege su prišli otključanom računalu, a Paint se otvorio preko cijelog prozora s natpisom "Zaključaj računalo!" i nešto se promijenilo u radu, na primjer, posljednja napumpana montaža je srušena ili je posljednja uvedena greška uklonjena (ovo je bila grupa za testiranje). Okrutno je, ali 1-2 puta je bilo dovoljno i za one najdrvenije. Iako, pretpostavljam, ljudi koji nisu informatičari možda neće razumjeti takav humor.
- Ali najveći grijeh, naravno, leži na administratoru sustava i menadžmentu - ako kategorički ne koriste sustave za kontrolu prometa, opremu, dozvole itd.
To je, naravno, baza, jer informatička infrastruktura je upravo ono mjesto gdje što dalje u šumu ima više drva za ogrjev. I svi bi trebali imati tu bazu, a ne da se zamjenjuju riječima "svi vjerujemo jedni drugima", "mi smo obitelj", "kome to treba" - jao, to je za sada.
Ovo je internet, dušo, oni mogu znati puno o tebi.
Vrijeme je da se sigurno rukovanje internetom uvede u nastavu sigurnosti života u školi - a tu se uopće ne radi o mjerama u koje smo uronjeni izvana. Ovdje se konkretno radi o sposobnosti razlikovanja poveznice od poveznice, razumijevanja gdje je phishing, a gdje prijevara, ne otvaranja privitaka e-pošte s predmetom “Izvješće o usklađivanju” s nepoznate adrese bez razumijevanja, itd. Iako su, čini se, školarci sve to već savladali, ali zaposlenici nisu. Puno je trikova i grešaka koje mogu ugroziti cijelu tvrtku odjednom.
- Društvene mreže dio su interneta kojemu nije mjesto na poslu, no njihovo blokiranje na razini poduzeća u 2019. nepopularna je i demotivirajuća mjera. Stoga, samo trebate napisati svim zaposlenicima kako provjeriti nezakonitost poveznica, reći im o vrstama prijevara i zamoliti ih da rade na poslu.
- Mail je bolna točka i možda najpopularniji način za krađu informacija, postavljanje malwarea i zarazu računala i cijele mreže. Jao, mnogi poslodavci smatraju da je klijent e-pošte alat za uštedu i koriste besplatne usluge koje dnevno primaju 200 spam e-poruka koje prolaze kroz filtere itd. A neki neodgovorni ljudi otvaraju takva pisma i privitke, linkove, slike - očito se nadaju da im je crni princ ostavio nasljedstvo. Nakon čega administrator ima puno, puno posla. Ili je tako bilo zamišljeno? Usput, još jedna okrutna priča: u jednoj tvrtki za svako spam pismo administratoru sustava smanjen je KPI. Općenito, nakon mjesec dana nije bilo neželjene pošte - praksu je usvojila matična organizacija i još uvijek nema neželjene pošte. Ovaj smo problem elegantno riješili - razvili smo vlastiti email klijent i ugradili ga u naš , tako da svi naši klijenti također dobivaju takvu prikladnu značajku.
Sljedeći put kad primite neobičan e-mail sa simbolom spajalice, nemojte kliknuti na njega!
- Messengeri su također izvor svih vrsta nesigurnih poveznica, ali to je puno manje zlo od pošte (ne računajući vrijeme potrošeno na brbljanje u chatovima).
Čini se da su to sve sitnice. No, svaka od ovih sitnica može imati katastrofalne posljedice, pogotovo ako je vaša tvrtka meta napada konkurencije. A to se može dogoditi doslovno svakome.
Brbljivi zaposlenici
To je upravo onaj ljudski faktor kojeg ćete se teško riješiti. Zaposlenici mogu razgovarati o poslu u hodniku, u kafiću, na ulici, kod klijenta, glasno razgovarati o drugom klijentu, razgovarati o radnim postignućima i projektima kod kuće. Naravno, vjerojatnost da iza vas stoji konkurencija je zanemariva (ako niste u istom poslovnom centru - događalo se), ali mogućnost da tip koji jasno iznosi svoje poslovne afere bude snimljen pametnim telefonom i postavljen na YouTube je, začudo, viši. Ali i ovo je sranje. Nije sranje kada vaši zaposlenici dragovoljno iznose informacije o proizvodu ili tvrtki na treninzima, konferencijama, sastancima, stručnim forumima ili čak na Habréu. Štoviše, ljudi često namjerno pozivaju svoje protivnike na takve razgovore kako bi proveli konkurentsku inteligenciju.
Priča koja otkriva. Na jednoj IT konferenciji galaktičkih razmjera, govornik sekcije izložio je na slajdu kompletan dijagram organizacije IT infrastrukture velike tvrtke (top 20). Shema je bila mega impozantna, naprosto kozmička, gotovo svi su je slikali, a društvene mreže je momentalno oblijetala s oduševljenjem. Pa, onda ih je govornik uhvatio kako koriste geotagove, tribine, društvene mreže. mreže onih koji su to objavili i molili da se izbriše, jer su ga dosta brzo nazvali i rekli ah-ta-ta. Brbljavac je božji dar za špijuna.
Neznanje... oslobađa vas od kazne
Prema globalnom izvješću tvrtke Kaspersky Lab za 2017. o poduzećima koja su se suočila s kibersigurnosnim incidentima u razdoblju od 12 mjeseci, jedan od deset (11%) najozbiljnijih vrsta incidenata uključivao je nepažljive i neinformirane zaposlenike.
Nemojte pretpostavljati da zaposlenici znaju sve o korporativnim sigurnosnim mjerama, svakako ih upozorite, osigurajte obuku, napravite zanimljive periodične biltene o sigurnosnim pitanjima, održavajte sastanke uz pizzu i ponovno razjasnite probleme. I da, cool life hack - označite sve tiskane i elektroničke informacije bojama, znakovima, natpisima: poslovna tajna, tajna, za službenu uporabu, opći pristup. Ovo stvarno radi.
Suvremeni svijet doveo je tvrtke u vrlo delikatan položaj: potrebno je održavati ravnotežu između želje zaposlenika da ne samo naporno rade na poslu, već i primaju zabavni sadržaj u pozadini/tijekom pauze, i strogih pravila korporativne sigurnosti. Ako uključite hiperkontrolu i moronske programe za praćenje (da, nije tipfeler - ovo nije sigurnost, ovo je paranoja) i kamere iza leđa, tada će pasti povjerenje zaposlenika u tvrtku, ali održavanje povjerenja također je alat korporativne sigurnosti.
Stoga, znajte kada stati, poštujte svoje zaposlenike i napravite rezervne kopije. I što je najvažnije, dajte prednost sigurnosti, a ne osobnoj paranoji.
Ako trebaš i usporedite njihove mogućnosti sa svojim ciljevima. Ako imate bilo kakvih pitanja ili poteškoća, pišite ili nazovite, organizirat ćemo individualnu online prezentaciju za vas - bez ocjena i naklapanja.
, u kojem, bez oglašavanja, pišemo ne baš formalne stvari o CRM-u i poslovanju.
Izvor: www.habr.com