Sistèm CRM nan yon pèspektiv cybersecurity: pwoteksyon oswa menas?

31 Mas se Jounen Entènasyonal Sovgad, e semèn anvan an toujou chaje ak istwa ki gen rapò ak sekirite. Lendi, nou te deja aprann sou Asus ki konpwomèt la ak "twa manifakti ki pa gen non." Konpayi sitou sipèstisye chita sou zegwi tout semèn, fè sovgad. Ak tout paske nou tout se yon ti kras neglijans an tèm de sekirite: yon moun bliye tache senti sekirite yo nan chèz la dèyè, yon moun inyore dat ekspirasyon an nan pwodwi, yon moun magazen login yo ak modpas anba klavye a, e menm pi bon, ekri. tout modpas yo nan yon kaye. Gen kèk moun ki jere enfim antivirus "pou yo pa ralanti òdinatè a" epi yo pa sèvi ak separasyon dwa aksè nan sistèm antrepriz (ki sekrè nan yon konpayi 50 moun!). Pwobableman, limanite tou senpleman pa gen ankò devlope ensten an nan cyber-oto-konsèvasyon, ki, nan prensip, ka vin yon nouvo ensten debaz.

Biznis pa te devlope ensten konsa tou. Yon kesyon senp: se yon sistèm CRM yon menas sekirite enfòmasyon oswa yon zouti sekirite? Li fasil ke nenpòt moun pral bay yon repons egzat touswit. Isit la nou bezwen kòmanse, jan yo te anseye nou nan leson angle: sa depann de... Sa depann de anviwònman yo, fòm nan livrezon CRM, abitid ak kwayans machann nan, degre nan neglijans nan anplwaye yo, bagay konplike nan atakè yo. . Apre yo tout, tout bagay ka rache. Se konsa, ki jan yo viv?

Sistèm CRM nan yon pèspektiv cybersecurity: pwoteksyon oswa menas?
Sa a se sekirite enfòmasyon nan ti ak mwayen biznis Soti nan LiveJournal

Sistèm CRM kòm pwoteksyon

Pwoteje done komèsyal ak operasyonèl ak byen estoke baz kliyan ou a se youn nan travay prensipal yo nan yon sistèm CRM, ak nan sa a li se tèt ak zepòl pi wo a tout lòt lojisyèl aplikasyon nan konpayi an.

Se vre wi ou te kòmanse li atik sa a ak grinned fon anba, li di, ki moun ki bezwen enfòmasyon ou yo. Si se konsa, Lè sa a, pwobableman ou pa te fè fas ak lavant epi yo pa konnen ki jan nan demann "viv" ak bon jan kalite baz kliyan ak enfòmasyon sou metòd pou travay ak baz sa a yo. Sa ki nan sistèm CRM a enteresan pa sèlman pou jesyon konpayi an, men tou pou:  

  • Atakè (mwens souvan) - yo gen yon objektif ki gen rapò espesyalman ak konpayi ou epi yo pral sèvi ak tout resous yo jwenn done: paye anba tab nan anplwaye yo, piratage, achte done ou nan men manadjè, entèvyou ak manadjè, elatriye.
  • Anplwaye (pi souvan) ki ka aji kòm inisye pou konpetitè ou yo. Yo tou senpleman pare yo pran oswa vann baz kliyan yo pou pwòp pwofi yo.
  • Pou entru amatè (trè raman) - ou ka jwenn pirate nan nwaj la kote done ou yo ye oswa rezo a pirate, oswa petèt yon moun vle "rale soti" done ou pou plezi (pa egzanp, done sou pharmaceutique oswa gwo alkòl - jis enteresan yo wè).

Si yon moun antre nan CRM ou a, li pral gen aksè a aktivite operasyonèl ou, se sa ki, nan volim nan done ak ki ou fè pi fò nan pwofi ou yo. Epi depi lè gen aksè move nan sistèm CRM a, pwofi yo kòmanse souri sou youn nan men ki gen baz kliyan an fini. Oke, oswa patnè li yo ak kliyan (li - nouvo anplwayè).

Bon, serye CRM sistèm se kapab kouvri risk sa yo ak bay yon pakèt moun sou bonis bèl nan jaden an nan sekirite.

Se konsa, sa ka yon sistèm CRM fè an tèm de sekirite?

(nou pral di w ak yon egzanp RegionSoft CRM, paske Nou pa kapab responsab pou lòt moun)

  • Otantifikasyon de faktè lè l sèvi avèk yon kle USB ak modpas. RegionSoft CRM sipòte mòd otorizasyon itilizatè de-faktè lè w konekte nan sistèm lan. Nan ka sa a, lè w konekte nan sistèm lan, anplis de antre nan modpas la, ou dwe mete yon kle USB ki te inisyalize davans nan pò USB òdinatè a. Mòd otorizasyon de faktè ede pwoteje kont vòl oswa divilgasyon modpas.

Sistèm CRM nan yon pèspektiv cybersecurity: pwoteksyon oswa menas? Klike

  • Kouri soti nan adrès IP ou fè konfyans ak adrès MAC. Pou sekirite amelyore, ou ka mete restriksyon sou itilizatè yo soti nan konekte sèlman nan adrès IP ki anrejistre ak adrès MAC. Tou de adrès IP entèn sou rezo lokal la ak adrès ekstèn yo ka itilize kòm adrès IP si itilizatè a konekte adistans (via entènèt la).
  • Otorizasyon domèn (otorizasyon Windows). Yo ka konfigire demaraj sistèm nan pou yo pa bezwen modpas itilizatè a lè y ap konekte. Nan ka sa a, otorizasyon an fèt. Windows, ki idantifye itilizatè a lè l sèvi avèk WinAPI. Sistèm nan ap fonksyone anba itilizatè ki gen pwofil òdinatè a ap fonksyone anba lè li demarre.
  • Yon lòt mekanis se kliyan prive. Kliyan prive yo se kliyan ki ka wè sèlman pa sipèvizè yo. Kliyan sa yo p ap parèt nan lis lòt itilizatè yo, menm si lòt itilizatè yo gen otorizasyon konplè, ki gen ladan dwa administratè. Nan fason sa a, ou ka pwoteje, pou egzanp, yon pisin nan kliyan patikilyèman enpòtan oswa yon gwoup pou yon lòt rezon, ki pral konfye nan yon manadjè serye.
  • Mekanis pou divize dwa aksè — yon mezi sekirite estanda ak prensipal nan CRM. Pou senplifye pwosesis pou administre dwa itilizatè, nan RegionSoft CRM dwa yo asiyen pa itilizatè espesifik, men nan modèl. Epi itilizatè a tèt li asiyen youn oswa yon lòt modèl, ki gen yon seri sèten dwa. Sa a pèmèt chak anplwaye - soti nan nouvo anplwaye nan estajyè ak direktè - bay otorizasyon ak dwa aksè ki pral pèmèt/anpeche yo jwenn aksè nan done sansib ak enfòmasyon biznis sansib.
  • Sistèm otomatik done backup (sovgad)configurable atravè sèvè script Sèvè Aplikasyon RegionSoft.

Sa a se aplikasyon an nan sekirite lè l sèvi avèk yon sistèm sèl kòm yon egzanp, chak machann gen pwòp règleman li yo. Sepandan, sistèm CRM a vrèman pwoteje enfòmasyon ou yo: ou ka wè ki moun ki te pran rapò sa a oswa sa a ak ki lè, ki moun ki wè ki done, ki moun ki telechaje li, ak plis ankò. Menm si ou jwenn enfòmasyon sou vilnerabilite a apre reyalite a, ou pa pral kite zak la san pinisyon epi ou ka fasilman idantifye anplwaye a ki abize konfyans ak lwayote nan konpayi an.

Èske ou dekontrakte? Bonè! Pwoteksyon sa a anpil ka travay kont ou si ou se neglijans epi inyore pwoblèm pwoteksyon done.

Sistèm CRM kòm yon menas

Si konpayi ou a gen omwen yon PC, sa a se deja yon sous menas cyber. An konsekans, nivo menas la ogmante ak kantite estasyon travay (ak anplwaye yo) ak divès kalite lojisyèl enstale ak itilize. Ak bagay yo pa fasil ak sistèm CRM - apre tout, sa a se yon pwogram ki fèt pou estoke ak trete avantaj ki pi enpòtan ak chè: yon baz kliyan ak enfòmasyon komèsyal, ak isit la nou ap rakonte istwa laterè sou sekirite li yo. An reyalite, se pa tout bagay ki tèlman lugubr tou pre, epi si okipe kòrèkteman, ou pral resevwa anyen men benefis ak sekirite nan sistèm CRM la.

Ki siy yon sistèm CRM danjere?

Ann kòmanse ak yon levasyon kout nan debaz yo. CRM yo vini nan nwaj ak vèsyon Desktop. Cloud yo se moun ki gen DBMS (baz done) pa sitiye nan konpayi ou, men nan yon nwaj prive oswa piblik nan kèk sant done (pa egzanp, w ap chita nan Chelyabinsk, ak baz done ou a ap kouri nan yon sant done super fre nan Moskou. , paske vandè CRM a deside sa epi li gen yon akò ak founisè patikilye sa a). Desktop (aka on-premise, sèvè - ki pa tèlman vre) baze DBMS yo sou pwòp serveurs ou (non, non, pa imajine yon chanm sèvè gwo ak etajè chè, pi souvan nan ti ak mwayen biznis li nan). yon sèl sèvè oswa menm yon PC òdinè nan konfigirasyon modèn), se sa ki, fizikman nan biwo ou.

Li posib jwenn aksè san otorizasyon nan tou de kalite CRM, men vitès la ak fasilite nan aksè yo diferan, sitou si nou ap pale de SMB ki pa okipe anpil sou sekirite enfòmasyon.

Siy danje #1


Rezon ki fè la pou pi gwo chans pou pwoblèm ak done nan yon sistèm nwaj se relasyon ki konekte pa plizyè lyen: ou (lokatè CRM) - machann - founisè (gen yon vèsyon ki pi long: ou - machann - IT tretansè nan vandè a - founisè) . 3-4 lyen nan yon relasyon gen plis risk pase 1-2: yon pwoblèm ka rive sou bò vandè a (chanjman nan kontra, pa peman nan sèvis founisè a), sou bò founisè a (fòs majeure, pirate, pwoblèm teknik), sou bò externalisation a (chanjman manadjè oswa enjenyè), elatriye. Natirèlman, gwo machann yo eseye gen sant done backup, jere risk ak kenbe depatman DevOps yo, men sa pa eskli pwoblèm.

Desktop CRM se jeneralman pa lwe, men achte pa konpayi an kòmsadwa, relasyon an sanble pi senp ak plis transparan: pandan aplikasyon an nan CRM a, machann nan konfigirasyon nivo sekirite ki nesesè yo (soti nan diferansye dwa aksè ak yon kle USB fizik nan fèmen an; sèvè nan yon miray beton, elatriye) ak transfere kontwòl nan konpayi an ki posede CRM a, ki ka ogmante pwoteksyon, anboche yon administratè sistèm, oswa kontakte founisè lojisyèl li yo jan sa nesesè. Pwoblèm yo vini nan travay ak anplwaye yo, pwoteje rezo a ak fizikman pwoteje enfòmasyon. Si w itilize Desktop CRM, menm yon fèmen nèt sou tout pwen nan Entènèt la p ap sispann travay, paske baz done a sitiye nan biwo "lakay ou".

Youn nan anplwaye nou yo, ki te travay nan yon konpayi ki devlope sistèm biwo entegre ki baze sou nwaj, ki gen ladan CRM, pale sou teknoloji nwaj yo. "Nan youn nan travay mwen yo, konpayi an te kreye yon bagay ki sanble anpil ak yon CRM debaz, epi li te tout konekte ak dokiman sou entènèt ak sou sa. Yon jou nan GA nou te wè aktivite nòmal nan youn nan kliyan abònen nou yo. Imajine sipriz la nan nou, analis yo, lè nou, pa yo te devlopè, men gen yon nivo segondè nan aksè, yo te tou senpleman kapab louvri koòdone a ke kliyan an te itilize atravè yon lyen ak wè ki kalite siy popilè li te genyen. By wout la, li sanble ke kliyan an pa ta vle nenpòt moun yo wè done komèsyal sa yo. Wi, li te yon ensèk, epi li pa te fiks pou plizyè ane - nan opinyon mwen, bagay yo toujou la. Depi lè sa a, mwen te yon antouzyaste Desktop epi mwen pa reyèlman fè nyaj yo konfyans, byenke, nan kou, nou itilize yo nan travay ak nan lavi pèsonèl nou, kote nou tou te gen kèk fakaps amizan."

Sistèm CRM nan yon pèspektiv cybersecurity: pwoteksyon oswa menas?
Soti nan sondaj nou an sou Habré, ak sa yo se anplwaye nan konpayi avanse

Pèt done ki sòti nan yon sistèm CRM nwaj ka akòz pèt done akòz echèk sèvè, indisponibilite nan serveurs, fòs majeures, revokasyon aktivite vandè, elatriye. Nwaj la vle di aksè konstan, san enteripsyon nan Entènèt la, epi pwoteksyon yo dwe san parèy: nan nivo kòd, dwa aksè, mezi sibèsekirite adisyonèl (pa egzanp, otantifikasyon de faktè).

Siy danje #2


Nou pa menm ap pale de yon karakteristik, men sou yon gwoup de karakteristik ki gen rapò ak machann nan ak règleman li yo. Se pou nou lis kèk egzanp enpòtan ke nou menm ak anplwaye nou yo te rankontre.

  • Vandè a ka chwazi yon sant done ki pa ase serye kote DBMS kliyan yo pral "revolve". Li pral ekonomize lajan, pa pral kontwole SLA a, pa pral kalkile chaj la, ak rezilta a pral fatal pou ou.
  • Vandè a ka refize dwa pou transfere sèvis la nan sant done ou chwazi a. Sa a se yon limit jistis komen pou SaaS.
  • Vandè a ka gen yon konfli legal oswa ekonomik ak founisè nwaj la, ak Lè sa a, pandan "konfwontasyon an," aksyon backup oswa, pou egzanp, vitès ka limite.
  • Yo ka bay sèvis pou kreye sovgad pou yon pri adisyonèl. Yon pratik komen ke yon kliyan nan yon sistèm CRM ka sèlman aprann sou nan moman sa a lè yon backup nesesè, se sa ki, nan moman ki pi kritik ak vilnerab.
  • Anplwaye vandè yo ka gen aksè san antrave nan done kliyan yo.
  • Fwit done nenpòt ki nati ka rive (erè imen, fwod, entru, elatriye).

Anjeneral pwoblèm sa yo asosye ak ti machann oswa jèn, sepandan, gwo yo te repete vin nan pwoblèm (google li). Se poutèt sa, ou ta dwe toujou gen fason pou pwoteje enfòmasyon sou bò ou + diskite sou pwoblèm sekirite ak founisè sistèm CRM chwazi a davans. Menm reyalite a nan enterè ou nan pwoblèm nan pral deja fòse founisè a trete aplikasyon an kòm responsab ke posib (li espesyalman enpòtan fè sa si w ap fè fas pa ak biwo vandè a, men ak patnè li, pou ki moun li ye. enpòtan yo konkli yon akò epi resevwa yon komisyon, epi yo pa sa yo de-faktè ... byen ou te konprann).

Siy danje #3


Òganizasyon travay sekirite nan konpayi ou. Sa gen yon ane, tradisyonèlman nou te ekri sou sekirite sou Habré e nou te fè yon sondaj. Echantiyon an pa t anpil, men repons yo se indicatif:

Sistèm CRM nan yon pèspektiv cybersecurity: pwoteksyon oswa menas?

Nan fen atik la, nou pral bay lyen ki mennen nan piblikasyon nou yo, kote nou egzamine an detay relasyon ki genyen nan sistèm "konpayi-anplwaye-sekirite" la, epi isit la nou pral bay yon lis kesyon repons yo ta dwe jwenn nan konpayi ou (menm si ou pa bezwen CRM).

  • Ki kote anplwaye yo estoke modpas yo?
  • Ki jan yo òganize aksè nan depo sou serveurs konpayi an?
  • Kouman yo pwoteje lojisyèl ki gen enfòmasyon komèsyal ak operasyonèl?
  • Èske tout anplwaye yo gen lojisyèl antivirus aktif?
  • Konbyen anplwaye ki gen aksè a done kliyan, e ki nivo aksè sa genyen?
  • Konbyen nouvo anplwaye ou genyen ak konbyen anplwaye ki nan pwosesis pou yo kite?
  • Konbyen tan ou kominike ak anplwaye kle yo epi koute demann yo ak plent yo?
  • Èske enprimant kontwole?
  • Ki jan politik la òganize pou konekte gadjèt pwòp ou yo ak PC ou, ansanm ak itilize Wi-Fi travay?

An reyalite, sa yo se kesyon debaz-hardcore pwobableman ap ajoute nan kòmantè yo, men sa a se Basics yo, Basics yo ki menm yon antreprenè endividyèl ak de anplwaye yo ta dwe konnen.

Se konsa, ki jan yo pwoteje tèt ou?

  • Sovgad yo se bagay ki pi enpòtan ki souvan swa bliye oswa pa pran swen. Si ou gen yon sistèm Desktop, mete kanpe yon sistèm backup done ak yon frekans bay (pa egzanp, pou RegionSoft CRM sa ka fèt lè l sèvi avèk Sèvè Aplikasyon RegionSoft) epi òganize bon depo kopi yo. Si ou gen yon nwaj CRM, asire w ke ou chèche konnen anvan ou konkli yon kontra ki jan travay ak sovgad yo òganize: ou bezwen enfòmasyon sou pwofondè ak frekans, kote depo, pri nan backup (souvan sèlman sovgad nan "dènye done yo pou peryòd la". ” yo gratis, epi yo bay yon kopi sekirize konplè kòm yon sèvis ki peye). An jeneral, sa a se definitivman pa kote pou ekonomi oswa neglijans. Epi wi, pa bliye tcheke sa ki retabli nan sovgad.
  • Separasyon dwa aksè nan nivo fonksyon ak done.
  • Sekirite nan nivo rezo a - ou bezwen pèmèt itilizasyon CRM sèlman nan subnet biwo a, limite aksè pou aparèy mobil, entèdi travay ak sistèm CRM nan kay la oswa, menm pi mal, nan rezo piblik (espas koworking, kafe, biwo kliyan). , elatriye). Fè atansyon espesyalman ak vèsyon mobil lan - se pou li se sèlman yon vèsyon tronkonik anpil pou travay.
  • Yon antivirus ak optik an tan reyèl nesesè nan nenpòt ka, men espesyalman nan ka sekirite done antrepriz. Nan nivo politik la, entèdi enfimite li tèt ou.
  • Fòmasyon anplwaye yo sou ijyèn cyber se pa yon gaspiyaj tan, men se yon bezwen ijan. Li nesesè transmèt bay tout kòlèg yo ke li enpòtan pou yo pa sèlman avèti, men tou, reyaji kòrèkteman nan menas la resevwa. Entèdi itilizasyon Entènèt la oswa imel ou nan biwo a se yon bagay nan tan lontan ak yon kòz negatif egi, kidonk ou pral oblije travay sou prevansyon.

Natirèlman, lè l sèvi avèk yon sistèm nwaj, ou ka reyalize yon nivo ase sekirite: sèvi ak sèvè dedye, konfigirasyon routeurs ak trafik separe nan nivo aplikasyon an ak nivo baz done, sèvi ak subnet prive, prezante règ sekirite strik pou administratè, asire operasyon san enteripsyon atravè sovgad. ak frekans maksimòm ki nesesè yo ak konplè, kontwole rezo a nan revèy la ... Si ou panse sou li, li pa difisil, men pito chè. Men, jan pratik montre, sèlman kèk konpayi, sitou gwo, pran mezi sa yo. Se poutèt sa, nou pa ezite di ankò: tou de nwaj la ak Desktop la pa ta dwe viv poukont yo pwoteje done ou yo.

Kèk ti konsèy enpòtan pou tout ka aplike yon sistèm CRM

  • Tcheke vandè a pou frajilite - chèche enfòmasyon lè l sèvi avèk konbinezon mo "Vendèr Non vilnerabilite", "Machann Non pirate", "Machann Non done koule". Sa a pa ta dwe paramèt la sèlman nan rechèch la pou yon nouvo sistèm CRM, men li se tou senpleman nesesè yo tik subcortex la, epi li espesyalman enpòtan yo konprann rezon ki fè yo pou ensidan yo ki te fèt.
  • Mande vandè a sou sant done a: disponiblite, konbyen ki genyen, ki jan failover òganize.
  • Mete jeton sekirite nan CRM ou a, kontwole aktivite nan sistèm nan ak pwen ki pa nòmal.
  • Enfim ekspòtasyon rapò ak aksè atravè API pou anplwaye ki pa debaz yo - se sa ki, moun ki pa bezwen fonksyon sa yo pou aktivite regilye yo.
  • Asire w ke sistèm CRM ou a konfigirasyon pou konekte pwosesis yo epi konekte aksyon itilizatè yo.

Sa yo se ti bagay, men yo parfe konplete foto an jeneral. Epi, an reyalite, pa gen okenn ti bagay ki an sekirite.

Lè w aplike yon sistèm CRM, ou asire sekirite done ou yo - men sèlman si aplikasyon an fèt avèk konpetans, epi pwoblèm sekirite enfòmasyon yo pa rlege nan background nan. Dakò, li estipid achte yon machin epi yo pa tcheke fren yo, ABS, èrbag, senti sekirite, EDS. Apre yo tout, bagay prensipal la se pa sèlman ale, men ale an sekirite epi jwenn san danje epi son. Se menm jan ak biznis.

Epi sonje: si règ sekirite travay yo ekri nan san, règleman sou sibèsekirite biznis yo ekri nan lajan.

Sou sijè a nan cybersecurity ak plas la nan sistèm CRM nan li, ou ka li atik detaye nou yo:

Si w ap chèche pou yon sistèm CRM, lè sa a RegionSoft CRM jiska 31 mas, 15% rabè. Si ou bezwen CRM oswa ERP, ak anpil atansyon etidye pwodwi nou yo epi konpare kapasite yo ak objektif ou ak objektif ou. Si w gen nenpòt kesyon oswa difikilte, ekri oswa rele, nou pral òganize yon prezantasyon endividyèl sou entènèt pou ou - san evalyasyon oswa traka.

Sistèm CRM nan yon pèspektiv cybersecurity: pwoteksyon oswa menas? Chanèl nou an nan Telegram, nan ki, san yo pa piblisite, nou ekri bagay pa totalman fòmèl sou CRM ak biznis.

Sous: www.habr.com

Achte hosting serye pou sit ki gen pwoteksyon DDoS, sèvè VPS VDS 🔥 Achte yon hébergement sit entènèt serye ak pwoteksyon DDoS, sèvè VPS VDS | ProHoster