Március 31-e a biztonsági mentések nemzetközi napja, az azt megelőző hét pedig mindig tele van biztonsággal kapcsolatos történetekkel. Hétfőn már értesültünk a kompromittált Asusról és „három meg nem nevezett gyártóról”. A különösen babonás cégek egész héten tűkön ülnek, és biztonsági mentéseket készítenek. És mindez azért, mert mindannyian egy kicsit óvatlanok vagyunk a biztonság szempontjából: valaki elfelejti becsatolni a biztonsági övet a hátsó ülésen, valaki figyelmen kívül hagyja a termékek lejárati idejét, valaki a billentyűzet alatt tárolja a bejelentkezési nevét és jelszavát, és ami még jobb, leírja az összes jelszót egy notebookban. Egyes egyéneknek sikerül letiltaniuk a víruskeresőket, „hogy ne lassítsák le a számítógépet”, és ne használják a hozzáférési jogok elkülönítését a vállalati rendszerekben (micsoda titkok egy 50 fős társaságban!). Valószínűleg az emberiségben egyszerűen még nem alakult ki a kiber-önfenntartás ösztöne, amely elvileg új alapösztönré válhat.
Az üzleti életben sem alakultak ki ilyen ösztönök. Egy egyszerű kérdés: a CRM-rendszer információbiztonsági fenyegetés vagy biztonsági eszköz? Nem valószínű, hogy bárki azonnal pontos választ fog adni. Itt kell kezdeni, ahogy az angol leckéken tanítottak: ez attól függ... Ez függ a beállításoktól, a CRM kézbesítés formájától, az eladó szokásaitól, meggyőződésétől, az alkalmazottak figyelmen kívül hagyásának mértékétől, a támadók kifinomultságától . Hiszen mindent fel lehet törni. Szóval hogyan kell élni?
Ez a kis- és középvállalkozások információbiztonsága
CRM rendszer védelemként
A kereskedelmi és működési adatok védelme, ügyfélkörének biztonságos tárolása a CRM-rendszer egyik fő feladata, és ebben minden más alkalmazási szoftver felett áll a vállalatnál.
Bizonyára elkezdted olvasni ezt a cikket, és mélyen legbelül vigyorogtál, mondván, kinek van szüksége az információidra. Ha igen, akkor valószínűleg nem foglalkozott értékesítéssel, és nem tudja, mennyire keresettek az „élő” és a minőségi ügyfélbázisok, valamint az ezzel a bázissal való munkavégzés módszereiről szóló információk. A CRM rendszer tartalma nemcsak a cégvezetés számára érdekes, hanem:
- Támadók (ritkábban) - kifejezetten az Ön cégéhez kapcsolódó céljuk van, és minden erőforrást felhasználnak az adatok megszerzésére: alkalmazottak megvesztegetése, hackelés, adatainak megvásárlása a vezetőktől, interjúk vezetőkkel stb.
- Alkalmazottak (gyakrabban), akik bennfentesként léphetnek fel a versenytársak számára. Egyszerűen készek elvenni vagy eladni ügyfélkörüket saját profitjuk érdekében.
- Amatőr hackerek számára (nagyon ritkán) – előfordulhat, hogy feltörik azt a felhőt, ahol az adatai találhatók, vagy feltörik a hálózatot, esetleg valaki szórakozásból „ki akarja húzni” az adatait (például gyógyszer- vagy alkohol-nagykereskedők adatait) csak érdekes látni).
Ha valaki bekerül a CRM-be, hozzáférhet az Ön operatív tevékenységeihez, vagyis ahhoz az adatmennyiséghez, amellyel a legtöbb profitot termel. És attól a pillanattól kezdve, hogy rosszindulatúan hozzáférnek a CRM-rendszerhez, a nyereség mosolyogni kezd annak, akinek a kezében az ügyfélbázis kikerül. Nos, vagy partnerei és ügyfelei (olvasd - új munkáltatók).
Jó, megbízható képes fedezni ezeket a kockázatokat és egy rakás kellemes bónuszt nyújt a biztonság területén.
Mit tehet tehát egy CRM rendszer a biztonság terén?
(egy példával elmondjuk, mert Nem tudunk felelősséget vállalni másokért)
- Kéttényezős hitelesítés USB-kulcs és jelszó használatával. támogatja a kétfaktoros felhasználói engedélyezési módot a rendszerbe való bejelentkezéskor. Ebben az esetben a rendszerbe való bejelentkezéskor a jelszó megadása mellett egy előzetesen inicializált USB kulcsot is be kell helyezni a számítógép USB portjába. A kéttényezős engedélyezési mód segít megvédeni a jelszavak ellopását vagy nyilvánosságra hozatalát.
Kattintható
- Futtasson megbízható IP-címekről és MAC-címekről. A fokozott biztonság érdekében korlátozhatja, hogy a felhasználók csak regisztrált IP-címekről és MAC-címekről jelentkezzenek be. A helyi hálózaton belüli IP-címek és a külső címek egyaránt használhatók IP-címként, ha a felhasználó távolról (az interneten keresztül) csatlakozik.
- Domain engedélyezés (Windows-engedélyezés). A rendszerindítás konfigurálható úgy, hogy a bejelentkezéskor ne legyen szükség felhasználói jelszóra. Ebben az esetben Windows-engedélyezés történik, amely a WinAPI használatával azonosítja a felhasználót. A rendszer azon felhasználó alatt indul el, akinek a profilja alatt a számítógép a rendszer indításakor fut.
- Egy másik mechanizmus az magánügyfelek. A magánügyfelek olyan ügyfelek, akiket csak a felettesük láthat. Ezek az ügyfelek nem jelennek meg a többi felhasználó listáin, még akkor sem, ha más felhasználók teljes jogosultságokkal rendelkeznek, beleértve a rendszergazdai jogokat is. Ily módon megvédheti például egy különösen fontos ügyfelek csoportját, vagy más okból egy csoportot, amelyet megbízható menedzserre bíznak.
- A hozzáférési jogok felosztásának mechanizmusa — szabványos és elsődleges biztonsági intézkedés a CRM-ben. A felhasználói jogok adminisztrációjának leegyszerűsítése érdekében a a jogok nem meghatározott felhasználókhoz, hanem sablonokhoz vannak hozzárendelve. És magának a felhasználónak van hozzárendelve egy vagy másik sablon, amely bizonyos jogokkal rendelkezik. Ez lehetővé teszi minden alkalmazott számára – az új alkalmazottaktól a gyakornokokon át az igazgatókig – olyan engedélyeket és hozzáférési jogokat, amelyek lehetővé teszik/megakadályozzák, hogy hozzáférjenek a bizalmas adatokhoz és üzleti információkhoz.
- Automatikus adatmentési rendszer (mentések)script szerveren keresztül konfigurálható .
Ez a biztonság megvalósítása egyetlen rendszerrel példaként, minden szállítónak saját szabályzata van. A CRM-rendszer azonban valóban megvédi az Ön adatait: láthatja, hogy ki és mikor készítette el ezt vagy azt a jelentést, ki milyen adatokat tekintett meg, ki töltötte le, és még sok más. Még ha utólag értesül is a kiszolgáltatottságról, akkor sem hagyja büntetlenül a tettet, és könnyen azonosíthatja azt a munkatársat, aki visszaélt a cég bizalmával és lojalitásával.
Nyugodt vagy? Korai! Ez a védelem ellene hathat, ha figyelmetlen vagy, és figyelmen kívül hagyod az adatvédelmi kérdéseket.
CRM rendszer, mint fenyegetés
Ha cége legalább egy számítógéppel rendelkezik, ez már kiberfenyegetés forrása. Ennek megfelelően a fenyegetettség szintje nő a munkaállomások (és alkalmazottak) számával, valamint a telepített és használt szoftverek változatosságával. És a dolgok nem egyszerűek a CRM rendszerekkel - elvégre ez egy olyan program, amely a legfontosabb és legdrágább eszköz tárolására és feldolgozására szolgál: ügyfélkör és kereskedelmi információk, és itt rémtörténeteket mesélünk el a biztonságáról. Valójában közelről nem minden olyan borús, és ha helyesen kezeli, akkor a CRM rendszertől csak előnyt és biztonságot kap.
Mik a veszélyes CRM-rendszerek jelei?
Kezdjük egy rövid kirándulással az alapokhoz. A CRM-ek felhőben és asztali változatban is elérhetők. A felhők azok, amelyek DBMS-e (adatbázisa) nem az Ön cégében található, hanem egy privát vagy nyilvános felhőben valamelyik adatközpontban (például Ön Cseljabinszkban ül, és az adatbázisa egy szupermenő moszkvai adatközpontban fut. , mert a CRM-szállító így döntött, és szerződése van ezzel a szolgáltatóval). Az asztali számítógépek (más néven on-premise, szerver - ami már nem annyira igaz) a saját szervereidre alapozzák a DBMS-eiket (nem, nem, ne képzelj el egy hatalmas szerverszobát drága rackekkel, leggyakrabban kis- és középvállalkozásoknál ez egyetlen szerver vagy akár egy modern konfigurációjú közönséges PC), azaz fizikailag az irodájában.
Mindkét típusú CRM-hez illetéktelen hozzáférést lehet szerezni, de a hozzáférés sebessége és egyszerűsége eltérő, különösen, ha az információbiztonsággal nem sokat törődő KKV-król beszélünk.
Veszélytábla #1
A felhőrendszerben az adatokkal kapcsolatos problémák nagyobb valószínűségének oka az a kapcsolat, amelyet több kapcsolat köt össze: Ön (CRM bérlő) - szállító - szolgáltató (van egy hosszabb verzió is: Ön - szállító - a szállító informatikai kihelyezője - szolgáltató) . Egy kapcsolatban 3-4 link több kockázatot rejt magában, mint 1-2: probléma adódhat eladói oldalon (szerződésmódosítás, szolgáltatói szolgáltatások nem fizetése), szolgáltatói oldalon (vis maior, hackelés, technikai problémák), a megbízói oldalon (vezető vagy mérnök váltás) stb. Természetesen a nagy gyártók megpróbálnak biztonsági adatközpontokat létrehozni, kezelni a kockázatokat és fenntartani a DevOps részlegüket, de ez nem zárja ki a problémákat.
Az asztali CRM-et általában nem bérli, hanem megvásárolja a cég, ennek megfelelően a kapcsolat egyszerűbbnek és átláthatóbbnak tűnik: a CRM megvalósítása során a szállító konfigurálja a szükséges biztonsági szinteket (a hozzáférési jogok megkülönböztetésétől és a fizikai USB kulcstól a szerver betonfalban stb.), és átadja az irányítást a CRM-et birtokló cégnek, amely növelheti a védelmet, felvehet rendszergazdát, vagy szükség esetén kapcsolatba léphet szoftverszállítójával. A problémák az alkalmazottakkal való együttműködésben, a hálózat védelmében és az információk fizikai védelmében jelentkeznek. Ha asztali CRM-et használ, még az internet teljes leállása sem hagyja abba a munkát, mivel az adatbázis az Ön „otthoni” irodájában található.
Egyik munkatársunk, aki egy felhőalapú integrált irodai rendszereket, köztük CRM-et fejlesztő cégben dolgozott, a felhőtechnológiákról beszél. „Az egyik munkahelyemen a cég valami nagyon hasonlót készített az alap CRM-hez, és mindezt online dokumentumokhoz és így tovább kötötték. Egy nap a GA-ban rendellenes tevékenységet tapasztaltunk az egyik előfizető ügyfelünktől. Képzeljük el nekünk, elemzőknek a meglepetését, amikor mi nem fejlesztők, de magas szintű hozzáféréssel egyszerűen meg tudtuk nyitni a kliens által használt felületet egy linken keresztül, és megnéztük, milyen népszerű jele van. Egyébként úgy tűnik, hogy az ügyfél nem szeretné, ha bárki is látná ezeket a kereskedelmi adatokat. Igen, ez egy hiba volt, és évekig nem javították ki - véleményem szerint a dolgok még mindig ott vannak. Azóta is rajongok az asztali számítógépekért, és nem igazán bízom a felhőkben, bár természetesen használjuk őket a munkában és a magánéletünkben, ahol volt néhány szórakoztató fakapunk is.”
A Habréval kapcsolatos felmérésünkből, és ezek fejlett cégek alkalmazottai
A felhőalapú CRM-rendszerből származó adatvesztés oka lehet szerverhiba miatti adatvesztés, a szerverek elérhetetlensége, vis maior, szállítói tevékenység megszűnése stb. A felhő folyamatos, megszakítás nélküli internetelérést jelent, a védelemnek pedig példátlannak kell lennie: kód szintjén hozzáférési jogok, további kiberbiztonsági intézkedések (például kéttényezős hitelesítés).
Veszélytábla #2
Még csak nem is egy jellemzőről beszélünk, hanem a szállítóval és annak szabályzataival kapcsolatos jellemzők egy csoportjáról. Soroljunk fel néhány fontos példát, amellyel mi és munkatársaink találkoztunk.
- Előfordulhat, hogy a szállító nem kellően megbízható adatközpontot választ, ahol az ügyfelek DBMS-e „forog”. Pénzt takarít meg, nem fogja ellenőrizni az SLA-t, nem fogja kiszámítani a terhelést, és az eredmény végzetes lesz az Ön számára.
- Az eladó megtagadhatja a szolgáltatásnak az Ön által választott adatközpontba való átvitelének jogát. Ez egy meglehetősen gyakori korlátozás a SaaS számára.
- Előfordulhat, hogy a szállító jogi vagy gazdasági konfliktusba ütközik a felhőszolgáltatóval, majd a „leszámolás” során a biztonsági mentési műveletek vagy például a sebesség korlátozható.
- A biztonsági mentések készítésének szolgáltatása felár ellenében vehető igénybe. Bevett gyakorlat, amelyről egy CRM rendszer kliense csak abban a pillanatban ismerkedhet meg, amikor biztonsági mentésre van szükség, vagyis a legkritikusabb és legsérülékenyebb pillanatban.
- A szállító alkalmazottai akadálytalanul hozzáférhetnek az ügyféladatokhoz.
- Bármilyen jellegű adatszivárgás előfordulhat (emberi hiba, csalás, hackerek stb.).
Általában ezek a problémák kis vagy fiatal szállítókhoz kapcsolódnak, azonban a nagyok többször is bajba kerültek (google it). Ezért mindig rendelkeznie kell az információk védelmének módszereivel + előre meg kell beszélnie a biztonsági kérdéseket a kiválasztott CRM rendszerszolgáltatóval. Már a probléma iránti érdeklődésének ténye is arra készteti a szállítót, hogy a lehető legfelelősebben kezelje a megvalósítást (ez különösen fontos, ha nem a szállító irodájával van dolgunk, hanem annak partnerével, akinek az fontos megállapodást kötni és jutalékot kapni, és nem ezek a kéttényezők... jól értetted).
Veszélytábla #3
Biztonsági munka megszervezése az Ön cégében. Egy éve hagyományosan a biztonságról írtunk a Habrén, és felmérést is készítettünk. A minta nem volt túl nagy, de a válaszok tájékoztató jellegűek:
A cikk végén hivatkozásokat adunk publikációinkhoz, ahol részletesen megvizsgáltuk a „cég-munkavállaló-biztonság” rendszerben fennálló kapcsolatot, illetve itt adunk egy listát azokról a kérdésekről, amelyekre a válaszokat a kereten belül kell keresni. cége (még akkor is, ha nincs szüksége CRM-re).
- Hol tárolják a jelszavakat az alkalmazottak?
- Hogyan szerveződik a tárhelyhez való hozzáférés a vállalat szerverein?
- Hogyan védik a kereskedelmi és működési információkat tartalmazó szoftvereket?
- Minden alkalmazott rendelkezik víruskereső szoftverrel?
- Hány alkalmazott fér hozzá az ügyféladatokhoz, és milyen hozzáférési szinttel rendelkezik ez?
- Hány új alkalmazottja van, és hány alkalmazottja van távozás alatt?
- Mióta kommunikált a kulcsfontosságú alkalmazottakkal, és hallgatta meg kéréseiket, panaszaikat?
- Felügyelik a nyomtatókat?
- Hogyan épül fel a házirend a saját kütyüinek a számítógéphez való csatlakoztatására, valamint a munkahelyi Wi-Fi használatára?
Tulajdonképpen alapkérdésekről van szó – a kommentekbe valószínűleg a hardcore is belekerül majd, de ez az alap, aminek alapjait még egy két alkalmazottat foglalkoztató egyéni vállalkozónak is tudnia kell.
Tehát hogyan védheti meg magát?
- A biztonsági mentések a legfontosabbak, amelyeket gyakran elfelejtenek, vagy nem törődnek vele. Ha asztali rendszere van, állítson be egy adatmentési rendszert adott gyakorisággal (például RegionSoft CRM esetén ez megtehető ), és megszervezi a másolatok megfelelő tárolását. Ha rendelkezik felhőalapú CRM-mel, szerződéskötés előtt feltétlenül tájékozódjon a biztonsági mentésekkel végzett munka megszervezéséről: információra van szüksége a biztonsági mentés mélységéről és gyakoriságáról, tárolási helyéről, költségéről (gyakran csak a „időszak legfrissebb adatairól” ” ingyenesek, és fizetős szolgáltatásként teljes értékű, biztonságos biztonsági másolatot is biztosítunk). Általánosságban elmondható, hogy ez nem a spórolás vagy a hanyagság helye. És igen, ne felejtse el ellenőrizni, hogy mi van visszaállítva a biztonsági másolatokból.
- A hozzáférési jogok elkülönítése funkció- és adatszinten.
- Hálózati szintű biztonság - csak az irodai alhálózaton belül kell engedélyeznie a CRM használatát, korlátozni kell a mobileszközök hozzáférését, meg kell tiltani a CRM-rendszerrel való otthonról, vagy ami még rosszabb, nyilvános hálózatokról (coworking terek, kávézók, ügyfélirodák) stb.). Legyen különösen óvatos a mobil verzióval - legyen ez csak egy erősen csonka verzió a munkához.
- Valós idejű szkenneléssel rendelkező vírusirtó minden esetben szükséges, de különösen a vállalati adatbiztonság esetében. A házirend szintjén tiltsa le, hogy saját maga tiltsa le.
- Az alkalmazottak kiberhigiéniával kapcsolatos képzése nem időpocsékolás, hanem sürgős szükséglet. Minden kollégának tudatni kell, hogy a kapott fenyegetésre nemcsak figyelmeztetés, hanem helyes reagálás is fontos. Az internet vagy az e-mailek használatának megtiltása az irodában a múlté, és akut negativitás oka, ezért dolgoznia kell a megelőzésen.
Természetesen felhőrendszer használatával megfelelő szintű biztonság érhető el: dedikált szerverek használata, útválasztók konfigurálása és forgalom elkülönítése alkalmazás- és adatbázisszinten, privát alhálózatok használata, szigorú biztonsági szabályok bevezetése a rendszergazdák számára, megszakítás nélküli működés biztosítása biztonsági mentésekkel a szükséges maximális gyakorisággal és teljességgel, éjjel-nappal figyelni a hálózatot... Ha jobban belegondolunk, ez nem is olyan nehéz, inkább drága. De, amint azt a gyakorlat mutatja, csak néhány, többnyire nagy cég tesz ilyen intézkedéseket. Ezért habozás nélkül kijelentjük: sem a felhőnek, sem az asztalnak nem szabad önállóan élnie; óvja adatait.
Néhány apró, de fontos tipp a CRM rendszer bevezetésének minden esetéhez
- Ellenőrizze a szállítónál a sebezhetőséget – keressen információt a „Vendor Name vulnerability”, „Szállító neve feltörve”, „Vendor Name data leak” szavak kombinációival. Nem ez lehet az egyetlen paraméter az új CRM rendszer keresése során, hanem egyszerűen be kell jelölni az alkérget, és különösen fontos megérteni a bekövetkezett incidensek okait.
- Kérdezze meg az eladót az adatközpontról: elérhetőségről, mennyi van, hogyan van megszervezve a feladatátvétel.
- Állítson be biztonsági tokeneket a CRM-ben, figyelje a rendszeren belüli tevékenységeket és a szokatlan kiugrásokat.
- Tiltsa le a jelentések exportálását és az API-n keresztüli hozzáférést a nem alapvető alkalmazottak számára – vagyis azoknak, akiknek nincs szükségük ezekre a funkciókra a szokásos tevékenységeikhez.
- Győződjön meg arról, hogy CRM-rendszere folyamatok és felhasználói műveletek naplózására van konfigurálva.
Ezek apróságok, de tökéletesen kiegészítik az összképet. És valójában semmi apróság sincs biztonságban.
A CRM rendszer bevezetésével Ön biztosítja adatai biztonságát – de csak akkor, ha a megvalósítást szakszerűen hajtják végre, és az információbiztonsági kérdések nem szorulnak háttérbe. Egyetértek, hülyeség autót venni, és nem ellenőrizni a fékeket, az ABS-t, a légzsákokat, a biztonsági öveket, az EDS-t. Hiszen nem csak az a lényeg, hogy menjünk, hanem az, hogy épségben menjünk, és épségben odaérjünk. Így van ez az üzlettel is.
És ne feledd: ha a munkavédelmi szabályokat vérrel írják, az üzleti kiberbiztonsági szabályokat pénzben írják.
A kiberbiztonság és a CRM rendszer helye témában részletes cikkeinket olvashatja:
- — a vállalati szféra lehetséges biztonsági fenyegetéseinek áttekintése és egy hozzávetőleges észlelési séma.
- — annak részletes elemzése, hogy az alkalmazottak hogyan károsíthatják az Ön vállalkozását, és hogyan teszik ezt a kereskedelmi szférában.
Ha CRM rendszert keres, akkor tovább . Ha CRM-re vagy ERP-re van szüksége, alaposan tanulmányozza át termékeinket, és hasonlítsa össze képességeiket céljaival és célkitűzéseivel. Ha kérdése, nehézsége van, írjon vagy hívjon, egyéni online prezentációt szervezünk Önnek - értékelések és csengetések nélkül.
, amelyben reklám nélkül nem teljesen formális dolgokat írunk a CRM-ről és az üzletről.
Forrás: will.com