Sistem CRM dari perspektif keamanan siber: perlindungan atau ancaman?

Tanggal 31 Maret adalah Hari Pencadangan Internasional, dan minggu sebelumnya selalu penuh dengan cerita terkait keamanan. Pada hari Senin, kami telah mengetahui tentang Asus yang dikompromikan dan “tiga produsen yang tidak disebutkan namanya.” Terutama perusahaan-perusahaan yang percaya takhayul duduk diam sepanjang minggu, membuat cadangan. Dan semua itu karena kita semua sedikit ceroboh dalam hal keamanan: ada yang lupa memasang sabuk pengaman di jok belakang, ada yang mengabaikan tanggal kadaluarsa produk, ada yang menyimpan login dan passwordnya di bawah keyboard, bahkan lebih baik lagi, menuliskannya. semua kata sandi di buku catatan. Beberapa orang berhasil menonaktifkan antivirus “agar tidak memperlambat komputer” dan tidak menggunakan pemisahan hak akses dalam sistem perusahaan (apa rahasianya dalam perusahaan yang terdiri dari 50 orang!). Mungkin, umat manusia belum mengembangkan naluri mempertahankan diri di dunia maya, yang pada prinsipnya dapat menjadi naluri dasar baru.

Dunia usaha juga belum mengembangkan naluri seperti itu. Pertanyaan sederhana: apakah sistem CRM merupakan ancaman keamanan informasi atau alat keamanan? Tidak mungkin ada orang yang bisa langsung memberikan jawaban akurat. Di sini kita perlu memulai, seperti yang diajarkan dalam pelajaran bahasa Inggris: itu tergantung... Itu tergantung pada pengaturan, bentuk penyampaian CRM, kebiasaan dan keyakinan vendor, tingkat pengabaian karyawan, kecanggihan penyerang . Bagaimanapun, semuanya bisa diretas. Jadi bagaimana cara hidup?

Ini adalah keamanan informasi dalam usaha kecil dan menengah Dari LiveJournal

Sistem CRM sebagai perlindungan

Melindungi data komersial dan operasional serta menyimpan basis pelanggan Anda dengan aman adalah salah satu tugas utama sistem CRM, dan dalam hal ini sistem ini unggul di atas semua perangkat lunak aplikasi lainnya di perusahaan.

Tentunya Anda mulai membaca artikel ini dan tersenyum lebar, berkata, siapa yang membutuhkan informasi Anda. Jika demikian, maka Anda mungkin belum pernah berurusan dengan penjualan dan tidak tahu seberapa banyak basis pelanggan yang “hidup” dan berkualitas tinggi serta informasi tentang metode bekerja dengan basis ini. Isi sistem CRM menarik tidak hanya bagi manajemen perusahaan, namun juga bagi:  

• Penyerang (lebih jarang) - mereka memiliki tujuan yang terkait secara khusus dengan perusahaan Anda dan akan menggunakan semua sumber daya untuk memperoleh data: penyuapan karyawan, peretasan, pembelian data Anda dari manajer, wawancara dengan manajer, dll.
• Karyawan (lebih sering) yang dapat bertindak sebagai orang dalam bagi pesaing Anda. Mereka siap mengambil atau menjual basis klien mereka demi keuntungan mereka sendiri.
• Untuk peretas amatir (sangat jarang) - Anda mungkin diretas ke cloud tempat data Anda berada atau jaringan diretas, atau mungkin seseorang ingin "mengeluarkan" data Anda untuk bersenang-senang (misalnya, data grosir farmasi atau alkohol - hanya menarik untuk dilihat).

Jika seseorang masuk ke CRM Anda, mereka akan memiliki akses ke aktivitas operasional Anda, yaitu volume data yang menghasilkan sebagian besar keuntungan Anda. Dan sejak akses berbahaya ke sistem CRM diperoleh, keuntungan mulai dinikmati oleh pihak yang memiliki basis klien. Nah, atau mitra dan pelanggannya (baca - majikan baru).

Bagus, dapat diandalkan sistem CRM mampu menutupi risiko tersebut dan memberikan segudang bonus menyenangkan di bidang keamanan.

Jadi, apa yang bisa dilakukan sistem CRM dalam hal keamanan?

(kami akan memberi tahu Anda dengan sebuah contoh WilayahSoft CRM, Karena Kami tidak dapat bertanggung jawab atas orang lain)

• Otentikasi dua faktor menggunakan kunci USB dan kata sandi. WilayahSoft CRM mendukung mode otorisasi pengguna dua faktor saat masuk ke sistem. Dalam hal ini, saat masuk ke sistem, selain memasukkan kata sandi, Anda juga harus memasukkan kunci USB yang telah diinisialisasi terlebih dahulu ke port USB komputer. Mode otorisasi dua faktor membantu melindungi dari pencurian atau pengungkapan kata sandi.

Dapat diklik

• Jalankan dari alamat IP dan alamat MAC tepercaya. Untuk meningkatkan keamanan, Anda dapat membatasi pengguna untuk masuk hanya dari alamat IP dan alamat MAC yang terdaftar. Baik alamat IP internal di jaringan lokal maupun alamat eksternal dapat digunakan sebagai alamat IP jika pengguna terhubung dari jarak jauh (melalui Internet).
• Otorisasi domain (otorisasi Windows). Startup sistem dapat dikonfigurasi sehingga kata sandi pengguna tidak diperlukan saat masuk. Dalam hal ini, otorisasi Windows terjadi, yang mengidentifikasi pengguna menggunakan WinAPI. Sistem akan diluncurkan di bawah pengguna yang profilnya menjalankan komputer pada saat sistem dimulai.
• Mekanisme lainnya adalah klien swasta. Klien pribadi adalah klien yang hanya dapat dilihat oleh atasannya. Klien ini tidak akan muncul di daftar pengguna lain, meskipun pengguna lain memiliki izin penuh, termasuk hak administrator. Dengan cara ini, Anda dapat melindungi, misalnya, sekelompok klien atau kelompok yang sangat penting karena alasan lain, yang akan dipercayakan kepada manajer yang dapat diandalkan.
• Mekanisme pembagian hak akses — ukuran keamanan standar dan utama dalam CRM. Untuk menyederhanakan proses administrasi hak pengguna, di WilayahSoft CRM hak diberikan bukan kepada pengguna tertentu, tetapi kepada templat. Dan pengguna sendiri diberikan satu atau beberapa templat yang memiliki serangkaian hak tertentu. Hal ini memungkinkan setiap karyawan - mulai dari karyawan baru, pekerja magang, hingga direktur - untuk memberikan izin dan hak akses yang memungkinkan/mencegah mereka mengakses data sensitif dan informasi bisnis sensitif.
• Sistem pencadangan data otomatis (backup)dapat dikonfigurasi melalui server skrip Server Aplikasi RegionSoft.

Ini adalah penerapan keamanan dengan menggunakan sistem tunggal sebagai contoh, setiap vendor memiliki kebijakannya sendiri. Namun, sistem CRM benar-benar melindungi informasi Anda: Anda dapat melihat siapa yang mengambil laporan ini atau itu dan pada jam berapa, siapa yang melihat data apa, siapa yang mengunduhnya, dan banyak lagi. Bahkan jika Anda mengetahui kerentanannya setelah kejadian tersebut, Anda tidak akan membiarkan tindakan tersebut luput dari hukuman dan dapat dengan mudah mengidentifikasi karyawan yang menyalahgunakan kepercayaan dan loyalitas perusahaan.

Apakah kamu santai? Lebih awal! Perlindungan ini dapat merugikan Anda jika Anda ceroboh dan mengabaikan masalah perlindungan data.

Sistem CRM sebagai ancaman

Jika perusahaan Anda memiliki setidaknya satu PC, ini sudah menjadi sumber ancaman dunia maya. Oleh karena itu, tingkat ancaman meningkat seiring dengan jumlah stasiun kerja (dan karyawan) serta beragamnya perangkat lunak yang diinstal dan digunakan. Dan hal-hal tidak mudah dengan sistem CRM - lagipula, ini adalah program yang dirancang untuk menyimpan dan memproses aset paling penting dan mahal: basis pelanggan dan informasi komersial, dan di sini kita menceritakan kisah-kisah horor tentang keamanannya. Faktanya, tidak semuanya begitu suram jika dilihat dari dekat, dan jika ditangani dengan benar, Anda tidak akan menerima apa pun selain manfaat dan keamanan dari sistem CRM.

Apa saja tanda-tanda sistem CRM yang berbahaya?

Mari kita mulai dengan penjelasan singkat tentang dasar-dasarnya. CRM hadir dalam versi cloud dan desktop. Yang cloud adalah mereka yang DBMS (database)-nya tidak terletak di perusahaan Anda, tetapi di cloud pribadi atau publik di beberapa pusat data (misalnya, Anda duduk di Chelyabinsk, dan database Anda berjalan di pusat data yang sangat keren di Moskow , karena vendor CRM memutuskan demikian dan dia memiliki perjanjian dengan penyedia khusus ini). Desktop (alias server di lokasi - yang tidak lagi benar) mendasarkan DBMS mereka di server Anda sendiri (tidak, tidak, jangan bayangkan ruang server besar dengan rak mahal, paling sering di bisnis kecil dan menengah itu adalah satu server atau bahkan PC biasa dengan konfigurasi modern), yaitu secara fisik di kantor Anda.

Dimungkinkan untuk mendapatkan akses tidak sah ke kedua jenis CRM, namun kecepatan dan kemudahan aksesnya berbeda, terutama jika kita berbicara tentang UKM yang tidak terlalu peduli dengan keamanan informasi.

Tanda Bahaya #1

Alasan tingginya kemungkinan masalah data di sistem cloud adalah hubungan yang dihubungkan oleh beberapa tautan: Anda (penyewa CRM) - vendor - penyedia (ada versi yang lebih panjang: Anda - vendor - agen outsourcing TI dari vendor - penyedia) . 3-4 tautan dalam hubungan memiliki risiko lebih besar daripada 1-2: masalah dapat terjadi di pihak vendor (perubahan kontrak, tidak dibayarnya layanan penyedia), di pihak penyedia (keadaan kahar, peretasan, masalah teknis), di pihak agen outsourcing (perubahan manajer atau insinyur), dll. Tentu saja, vendor besar mencoba memiliki pusat data cadangan, mengelola risiko, dan memelihara departemen DevOps mereka, namun hal ini tidak mengecualikan masalah.

Desktop CRM umumnya tidak disewa, tetapi dibeli oleh perusahaan; oleh karena itu, hubungan terlihat lebih sederhana dan transparan: selama penerapan CRM, vendor mengonfigurasi tingkat keamanan yang diperlukan (mulai dari membedakan hak akses dan kunci USB fisik hingga melampirkan server di dinding beton, dll.) dan mentransfer kendali ke perusahaan yang memiliki CRM, yang dapat meningkatkan perlindungan, menyewa administrator sistem, atau menghubungi pemasok perangkat lunaknya jika diperlukan. Masalahnya adalah bekerja dengan karyawan, melindungi jaringan, dan melindungi informasi secara fisik. Jika Anda menggunakan CRM desktop, bahkan mematikan Internet sepenuhnya tidak akan menghentikan pekerjaan Anda, karena database terletak di kantor "rumah" Anda.

Salah satu karyawan kami, yang bekerja di perusahaan yang mengembangkan sistem kantor terintegrasi berbasis cloud, termasuk CRM, berbicara tentang teknologi cloud. “Pada salah satu pekerjaan saya, perusahaan menciptakan sesuatu yang sangat mirip dengan CRM dasar, dan semuanya terhubung dengan dokumen online dan sebagainya. Suatu hari di GA kami melihat aktivitas abnormal dari salah satu klien pelanggan kami. Bayangkan betapa terkejutnya kami, para analis, ketika kami, bukan sebagai pengembang, tetapi memiliki tingkat akses yang tinggi, cukup menggunakan tautan untuk membuka antarmuka yang digunakan klien, untuk melihat tanda populer seperti apa yang dimilikinya. Ngomong-ngomong, sepertinya klien tidak ingin siapa pun melihat data komersial ini. Ya, itu adalah bug, dan belum diperbaiki selama beberapa tahun - menurut saya, semuanya masih ada. Sejak itu, saya menjadi penggila desktop dan tidak terlalu mempercayai cloud, meskipun, tentu saja, kami menggunakannya dalam pekerjaan dan kehidupan pribadi, di mana kami juga melakukan beberapa fakap yang menyenangkan.”

Dari survei kami di Habré, dan ini adalah karyawan perusahaan maju

Hilangnya data dari sistem cloud CRM mungkin disebabkan oleh hilangnya data karena kegagalan server, tidak tersedianya server, force majeure, penghentian aktivitas vendor, dll. Cloud berarti akses yang konstan dan tidak terputus ke Internet, dan perlindungan harus belum pernah terjadi sebelumnya: pada tingkat kode, hak akses, langkah-langkah keamanan siber tambahan (misalnya, otentikasi dua faktor).

Tanda Bahaya #2

Kami bahkan tidak berbicara tentang satu karakteristik, namun tentang sekelompok karakteristik yang berkaitan dengan vendor dan kebijakannya. Mari kita buat daftar beberapa contoh penting yang kami dan karyawan kami temui.

• Vendor mungkin memilih pusat data yang kurang dapat diandalkan dimana DBMS klien akan “berputar”. Dia akan menghemat uang, tidak akan mengontrol SLA, tidak akan menghitung beban, dan akibatnya akan berakibat fatal bagi Anda.
• Vendor mungkin menolak hak untuk mentransfer layanan ke pusat data pilihan Anda. Ini adalah batasan yang cukup umum untuk SaaS.
• Vendor mungkin memiliki konflik hukum atau ekonomi dengan penyedia cloud, dan kemudian selama “pertikaian”, tindakan pencadangan atau, misalnya, kecepatan mungkin dibatasi.
• Layanan pembuatan cadangan dapat disediakan dengan harga tambahan. Praktik umum yang hanya dapat dipelajari oleh klien sistem CRM pada saat pencadangan diperlukan, yaitu pada saat paling kritis dan rentan.
• Karyawan vendor dapat memiliki akses tanpa hambatan ke data pelanggan.
• Kebocoran data dalam bentuk apa pun dapat terjadi (human error, penipuan, hacker, dll).

Biasanya masalah ini terjadi pada vendor kecil atau muda, namun vendor besar sudah berkali-kali mendapat masalah (google it). Oleh karena itu, Anda harus selalu memiliki cara untuk melindungi informasi di pihak Anda + mendiskusikan masalah keamanan dengan penyedia sistem CRM yang dipilih terlebih dahulu. Bahkan fakta bahwa Anda tertarik pada masalah tersebut sudah memaksa pemasok untuk memperlakukan implementasinya dengan penuh tanggung jawab (sangat penting untuk melakukan ini jika Anda tidak berurusan dengan kantor vendor, tetapi dengan mitranya, untuk siapa penting untuk membuat perjanjian dan menerima komisi, dan bukan dua faktor ini... baiklah, tahukah Anda).

Tanda Bahaya #3

Organisasi pekerjaan keamanan di perusahaan Anda. Setahun yang lalu, kami biasanya menulis tentang keamanan di Habré dan melakukan survei. Sampelnya tidak terlalu besar, tetapi jawabannya bersifat indikatif:

Di akhir artikel, kami akan memberikan tautan ke publikasi kami, di mana kami memeriksa secara rinci hubungan dalam sistem “keamanan-perusahaan-karyawan”, dan di sini kami akan memberikan daftar pertanyaan yang jawabannya dapat ditemukan di dalamnya. perusahaan Anda (bahkan jika Anda tidak memerlukan CRM).

• Di mana karyawan menyimpan kata sandi?
• Bagaimana akses ke penyimpanan di server perusahaan diatur?
• Bagaimana perangkat lunak yang berisi informasi komersial dan operasional dilindungi?
• Apakah semua karyawan memiliki perangkat lunak antivirus yang aktif?
• Berapa banyak karyawan yang memiliki akses ke data klien, dan tingkat akses apa yang dimilikinya?
• Berapa banyak karyawan baru yang Anda miliki dan berapa banyak karyawan yang sedang dalam proses keluar?
• Berapa lama Anda berkomunikasi dengan karyawan kunci dan mendengarkan permintaan dan keluhan mereka?
• Apakah printer dipantau?
• Bagaimana kebijakan diatur untuk menghubungkan gadget Anda ke PC, serta menggunakan Wi-Fi kantor?

Faktanya, ini adalah pertanyaan mendasar—hardcore mungkin akan ditambahkan di komentar, tetapi ini adalah pertanyaan dasar, dasar yang bahkan harus diketahui oleh seorang pengusaha perorangan dengan dua karyawan.

Jadi bagaimana cara melindungi diri sendiri?

• Cadangan adalah hal terpenting yang sering dilupakan atau tidak diperhatikan. Jika Anda memiliki sistem desktop, siapkan sistem pencadangan data dengan frekuensi tertentu (misalnya, untuk RegionSoft CRM, hal ini dapat dilakukan menggunakan Server Aplikasi RegionSoft) dan mengatur penyimpanan salinan dengan benar. Jika Anda memiliki CRM cloud, pastikan untuk mencari tahu sebelum membuat kontrak bagaimana pekerjaan dengan pencadangan diatur: Anda memerlukan informasi tentang kedalaman dan frekuensi, lokasi penyimpanan, biaya pencadangan (seringkali hanya pencadangan “data terbaru untuk periode tersebut ” gratis, dan penyalinan cadangan yang lengkap dan aman disediakan sebagai layanan berbayar). Secara umum, ini jelas bukan tempat untuk berhemat atau lalai. Dan ya, jangan lupa untuk memeriksa apa yang dipulihkan dari cadangan.
• Pemisahan hak akses pada tingkat fungsi dan data.
• Keamanan di tingkat jaringan - Anda harus mengizinkan penggunaan CRM hanya dalam subnet kantor, membatasi akses untuk perangkat seluler, melarang bekerja dengan sistem CRM dari rumah atau, lebih buruk lagi, dari jaringan publik (ruang kerja bersama, kafe, kantor klien , dll.). Berhati-hatilah dengan versi seluler - biarlah itu hanya versi yang sangat terpotong untuk bekerja.
• Antivirus dengan pemindaian waktu nyata diperlukan dalam hal apa pun, terutama dalam hal keamanan data perusahaan. Di tingkat kebijakan, larang penonaktifan sendiri.
• Melatih karyawan mengenai kebersihan dunia maya bukanlah hal yang membuang-buang waktu, namun merupakan kebutuhan yang mendesak. Perlu disampaikan kepada seluruh rekan-rekan bahwa penting bagi mereka tidak hanya memperingatkan, tetapi juga menyikapi ancaman yang diterima dengan benar. Melarang penggunaan Internet atau email Anda di kantor sudah ketinggalan zaman dan menimbulkan dampak negatif yang akut, jadi Anda harus melakukan upaya pencegahan.

Tentu saja, dengan menggunakan sistem cloud, Anda dapat mencapai tingkat keamanan yang memadai: menggunakan server khusus, mengonfigurasi router dan memisahkan lalu lintas di tingkat aplikasi dan basis data, menggunakan subnet pribadi, memperkenalkan aturan keamanan yang ketat untuk administrator, memastikan operasi tanpa gangguan melalui pencadangan dengan frekuensi dan kelengkapan maksimum yang diperlukan, untuk memantau jaringan sepanjang waktu... Kalau dipikir-pikir, itu tidak terlalu sulit, tapi agak mahal. Namun, seperti yang ditunjukkan oleh praktik, hanya beberapa perusahaan, kebanyakan perusahaan besar, yang mengambil tindakan seperti itu. Oleh karena itu, kami tidak ragu untuk mengatakan lagi: cloud dan desktop tidak boleh berdiri sendiri; lindungi data Anda.

Beberapa tip kecil namun penting untuk semua kasus penerapan sistem CRM

• Periksa kerentanan vendor - cari informasi menggunakan kombinasi kata “Kerentanan Nama Vendor”, “Nama Vendor diretas”, “Kebocoran data Nama Vendor”. Ini seharusnya tidak menjadi satu-satunya parameter dalam pencarian sistem CRM baru, tetapi subkorteks hanya perlu dicentang, dan sangat penting untuk memahami alasan insiden yang terjadi.
• Tanyakan kepada vendor tentang pusat data: ketersediaan, berapa jumlahnya, bagaimana failover diatur.
• Siapkan token keamanan di CRM Anda, pantau aktivitas dalam sistem dan lonjakan yang tidak biasa.
• Nonaktifkan ekspor laporan dan akses melalui API untuk karyawan non-inti - yaitu mereka yang tidak memerlukan fungsi ini untuk aktivitas rutin mereka.
• Pastikan sistem CRM Anda dikonfigurasi untuk mencatat proses dan mencatat tindakan pengguna.

Ini adalah hal-hal kecil, tetapi mereka melengkapi gambaran keseluruhan dengan sempurna. Faktanya, tidak ada hal kecil yang aman.

Dengan menerapkan sistem CRM, Anda memastikan keamanan data Anda - tetapi hanya jika penerapannya dilakukan dengan kompeten, dan masalah keamanan informasi tidak diabaikan. Setuju, bodoh sekali membeli mobil dan tidak mengecek rem, ABS, airbag, sabuk pengaman, EDS. Lagi pula, yang utama bukan hanya pergi, tetapi pergi dengan selamat dan sampai di sana dengan selamat. Sama halnya dengan bisnis.

Dan ingat: jika peraturan keselamatan kerja ditulis dengan darah, maka peraturan keamanan siber bisnis ditulis dengan uang.

Mengenai topik keamanan siber dan peran sistem CRM di dalamnya, Anda dapat membaca artikel detail kami:

• Naluri Bisnis Dasar: Tepi Keamanan Perusahaan — gambaran umum tentang kemungkinan ancaman keamanan di lingkungan korporat dan perkiraan skema deteksi.
• Haruskah Anda melindungi data dari karyawan? — analisis mendetail tentang bagaimana karyawan dapat merugikan bisnis Anda dan bagaimana mereka melakukannya di bidang komersial.

Jika Anda mencari sistem CRM, aktifkan RegionSoft CRM hingga 31 Maret diskon 15%.. Jika Anda memerlukan CRM atau ERP, pelajari produk kami dengan cermat dan bandingkan kemampuannya dengan tujuan dan sasaran Anda. Jika Anda memiliki pertanyaan atau kesulitan, tulis atau telepon, kami akan mengatur presentasi online individual untuk Anda – tanpa penilaian atau kerumitan.

Saluran kami di Telegram, di mana, tanpa iklan, kami tidak menulis hal-hal yang sepenuhnya formal tentang CRM dan bisnis.

Sumber: www.habr.com