Pada tahun 2008, saya sempat mengunjungi sebuah perusahaan IT. Ada semacam ketegangan yang tidak sehat pada setiap karyawan. Alasannya ternyata sederhana: ponsel ada di dalam kotak di pintu masuk kantor, ada kamera di belakang belakang, 2 kamera “pencari” tambahan berukuran besar di kantor, dan software monitoring dengan keylogger. Dan ya, ini bukanlah perusahaan yang mengembangkan SORM atau sistem pendukung kehidupan pesawat terbang, melainkan hanya pengembang perangkat lunak aplikasi bisnis, yang kini diserap, dihancurkan, dan tidak ada lagi (yang tampaknya logis). Jika Anda sekarang berbaring dan berpikir bahwa di kantor Anda dengan tempat tidur gantung dan M&M dalam vas, hal ini jelas tidak terjadi, Anda mungkin salah - hanya saja selama 11 tahun kontrol telah belajar menjadi tidak terlihat dan benar, tanpa pertikaian. mengunjungi situs dan mengunduh film.
Jadi apakah benar-benar mustahil tanpa semua ini, tapi bagaimana dengan kepercayaan, kesetiaan, keyakinan pada orang lain? Percaya atau tidak, ada banyak perusahaan yang tidak memiliki langkah-langkah keamanan. Namun karyawan berhasil melakukan kesalahan di sana-sini - hanya karena faktor manusia dapat menghancurkan dunia, bukan hanya perusahaan Anda. Jadi, di mana karyawan Anda bisa berbuat nakal?
Ini bukanlah postingan yang terlalu serius, yang memiliki dua fungsi: untuk sedikit mencerahkan kehidupan sehari-hari dan untuk mengingatkan Anda tentang hal-hal keselamatan dasar yang sering terlupakan. Oh, dan sekali lagi mengingatkanmu — Bukankah perangkat lunak seperti itu merupakan keunggulan keamanan? 🙂
Ayo masuk dalam mode acak!
Kata sandi, kata sandi, kata sandi...
Anda membicarakannya dan gelombang kemarahan datang: bagaimana mungkin, mereka telah mengatakannya kepada dunia berkali-kali, tetapi semuanya masih ada! Di perusahaan-perusahaan di semua tingkatan, mulai dari pengusaha perorangan hingga perusahaan multinasional, hal ini merupakan masalah yang sangat menyakitkan. Kadang-kadang menurut saya jika besok mereka membangun Death Star yang sebenarnya, akan ada sesuatu seperti admin/admin di panel admin. Jadi apa yang bisa kita harapkan dari pengguna biasa, yang menganggap halaman VKontakte mereka jauh lebih mahal daripada akun perusahaan? Berikut poin-poin yang perlu diperiksa:
- Menulis kata sandi di selembar kertas, di bagian belakang keyboard, di monitor, di meja di bawah keyboard, di stiker di bagian bawah mouse (licik!) - karyawan tidak boleh melakukan ini. Dan bukan karena peretas yang buruk akan masuk dan mengunduh seluruh 1C ke flash drive saat makan siang, tetapi karena mungkin ada Sasha yang tersinggung di kantor yang akan berhenti dan melakukan sesuatu yang kotor atau mengambil informasi untuk terakhir kalinya. . Mengapa tidak melakukan ini pada makan siang Anda berikutnya?
Ini adalah apa? Benda ini menyimpan semua kata sandiku
- Menetapkan kata sandi sederhana untuk masuk ke PC dan program kerja. Tanggal lahir, qwerty123 dan bahkan asdf adalah kombinasi yang termasuk dalam lelucon dan bashorg, dan bukan dalam sistem keamanan perusahaan. Tetapkan persyaratan kata sandi dan panjangnya, dan atur frekuensi penggantian.
Kata sandi itu seperti pakaian dalam: sering-seringlah mengubahnya, jangan dibagikan kepada teman-teman, lebih baik panjang, misterius, jangan tersebar kemana-mana
- Kata sandi login program default vendor cacat, hanya karena hampir semua karyawan vendor mengetahuinya, dan jika Anda berurusan dengan sistem berbasis web di cloud, tidak akan sulit bagi siapa pun untuk mendapatkan datanya. Terutama jika Anda juga memiliki keamanan jaringan pada tingkat “jangan tarik kabelnya”.
- Jelaskan kepada karyawan bahwa petunjuk kata sandi di sistem operasi tidak boleh terlihat seperti “ulang tahun saya”, “nama anak perempuan”, “Gvoz-dika-78545-ap#1! dalam bahasa Inggris." atau “seperempat dan satu dan nol.”
Kucing saya memberi saya kata sandi yang bagus! Dia berjalan melintasi keyboardku
Akses fisik ke kasus
Bagaimana perusahaan Anda mengatur akses ke dokumentasi akuntansi dan personalia (misalnya, ke arsip pribadi karyawan)? Coba saya tebak: jika ini adalah bisnis kecil, maka di departemen akuntansi atau di kantor bos di folder di rak atau di lemari; jika ini adalah bisnis besar, maka di departemen SDM di rak. Tetapi jika ukurannya sangat besar, kemungkinan besar semuanya benar: kantor atau blok terpisah dengan kunci magnetik, di mana hanya karyawan tertentu yang memiliki akses dan untuk sampai ke sana, Anda perlu menghubungi salah satu dari mereka dan masuk ke node ini di hadapan mereka. Tidak ada yang sulit dalam membuat perlindungan seperti itu dalam bisnis apa pun, atau setidaknya belajar untuk tidak menulis kata sandi brankas kantor dengan kapur di pintu atau di dinding (semuanya berdasarkan kejadian nyata, jangan tertawa).
Mengapa ini penting? Pertama, para pekerja memiliki keinginan patologis untuk mengetahui hal-hal paling rahasia tentang satu sama lain: status perkawinan, gaji, diagnosis medis, pendidikan, dll. Ini adalah kompromi dalam persaingan kantor. Dan Anda sama sekali tidak mendapat manfaat dari pertengkaran yang akan muncul ketika desainer Petya mengetahui bahwa penghasilannya 20 ribu lebih sedikit dari desainer Alice. Kedua, di sana karyawan dapat mengakses informasi keuangan perusahaan (neraca, laporan tahunan, kontrak). Ketiga, sesuatu bisa saja hilang, rusak atau dicuri untuk menutupi jejak riwayat pekerjaan seseorang.
Gudang tempat seseorang merugi, seseorang adalah harta karun
Jika Anda memiliki gudang, pertimbangkan bahwa cepat atau lambat Anda dijamin akan bertemu dengan penjahat - begitulah cara kerja psikologi seseorang, yang melihat produk dalam jumlah besar dan sangat yakin bahwa sedikit dari banyak bukanlah perampokan, tetapi membagikan. Dan satu unit barang dari tumpukan ini bisa berharga 200 ribu, atau 300 ribu, atau beberapa juta. Sayangnya, tidak ada yang bisa menghentikan pencurian kecuali kontrol dan akuntansi yang bertele-tele dan total: kamera, penerimaan dan penghapusan menggunakan kode batang, otomatisasi akuntansi gudang (misalnya, di kami akuntansi gudang diatur sedemikian rupa sehingga manajer dan supervisor dapat melihat pergerakan barang melalui gudang secara real time).
Oleh karena itu, persenjatai gudang Anda sepenuhnya, pastikan keamanan fisik dari musuh eksternal dan keamanan penuh dari musuh internal. Karyawan di bidang transportasi, logistik, dan gudang harus memahami dengan jelas bahwa ada kontrol, itu berhasil, dan mereka hampir akan menghukum diri mereka sendiri.
*hei, jangan ikut campur dalam infrastruktur
Jika cerita tentang ruang server dan petugas kebersihan sudah ketinggalan zaman dan telah lama berpindah ke cerita industri lain (misalnya, cerita yang sama tentang matinya ventilator secara mistis di bangsal yang sama), maka sisanya tetap menjadi kenyataan. . Keamanan jaringan dan TI pada usaha kecil dan menengah masih menyisakan banyak hal yang diinginkan, dan hal ini sering kali tidak bergantung pada apakah Anda memiliki administrator sistem sendiri atau yang diundang. Yang terakhir sering kali mampu mengatasi dengan lebih baik.
Jadi, apa kemampuan karyawan di sini?
- Hal yang paling menyenangkan dan paling tidak berbahaya adalah pergi ke ruang server, menarik kabel, melihat, menumpahkan teh, mengotori, atau mencoba mengkonfigurasi sesuatu sendiri. Hal ini terutama mempengaruhi “pengguna yang percaya diri dan mahir” yang dengan gagah berani mengajari rekan-rekan mereka untuk menonaktifkan antivirus dan mengabaikan perlindungan pada PC dan yakin bahwa mereka adalah dewa bawaan ruang server. Secara umum, akses terbatas resmi adalah segalanya bagi Anda.
- Pencurian peralatan dan penggantian komponen. Apakah Anda menyukai perusahaan Anda dan telah memasang kartu video yang kuat untuk semua orang sehingga sistem penagihan, CRM, dan lainnya dapat bekerja dengan sempurna? Besar! Hanya laki-laki licik (dan terkadang perempuan) yang akan dengan mudah menggantinya dengan model rumahan, dan di rumah mereka akan menjalankan permainan dengan model kantor baru - tetapi separuh dunia tidak akan mengetahuinya. Ceritanya sama dengan keyboard, mouse, pendingin, UPS, dan segala sesuatu yang dapat diganti dalam konfigurasi perangkat keras. Akibatnya, Anda menanggung risiko kerusakan properti, kerugian total, dan pada saat yang sama Anda tidak mendapatkan kecepatan dan kualitas kerja yang diinginkan dengan sistem informasi dan aplikasi. Yang menghemat adalah sistem pemantauan (sistem ITSM) dengan kontrol konfigurasi yang dikonfigurasi), yang harus disediakan lengkap dengan administrator sistem yang tidak korup dan berprinsip.
Mungkin Anda ingin mencari sistem keamanan yang lebih baik? Saya tidak yakin apakah tanda ini cukup
- Menggunakan modem Anda sendiri, titik akses, atau semacam Wi-Fi bersama membuat akses ke file menjadi kurang aman dan praktis tidak terkendali, yang dapat dimanfaatkan oleh penyerang (termasuk berkolusi dengan karyawan). Selain itu, kemungkinan seorang karyawan “yang memiliki Internetnya sendiri” akan menghabiskan jam kerjanya di YouTube, situs lucu, dan jejaring sosial jauh lebih tinggi.
- Kata sandi dan login terpadu untuk mengakses area admin situs, CMS, perangkat lunak aplikasi adalah hal buruk yang mengubah karyawan yang tidak kompeten atau jahat menjadi pembalas yang sulit ditangkap. Jika Anda memiliki 5 orang dari subnet yang sama dengan login/kata sandi yang sama yang masuk untuk memasang spanduk, memeriksa tautan dan metrik iklan, memperbaiki tata letak, dan mengunggah pembaruan, Anda tidak akan pernah menebak siapa di antara mereka yang secara tidak sengaja mengubah CSS menjadi a labu. Oleh karena itu: login berbeda, kata sandi berbeda, pencatatan tindakan, dan diferensiasi hak akses.
- Tak perlu dikatakan lagi tentang perangkat lunak tidak berlisensi yang diseret karyawan ke PC mereka untuk mengedit beberapa foto selama jam kerja atau membuat sesuatu yang berhubungan dengan hobi. Pernahkah Anda mendengar tentang pemeriksaan departemen “K” Direktorat Dalam Negeri Pusat? Lalu dia mendatangimu!
- Antivirusnya seharusnya berfungsi. Ya, beberapa di antaranya dapat memperlambat PC Anda, mengganggu Anda, dan secara umum tampak seperti tanda pengecut, namun lebih baik mencegahnya daripada kemudian membayar dengan downtime atau, lebih buruk lagi, data dicuri.
- Peringatan sistem operasi tentang bahaya menginstal aplikasi tidak boleh diabaikan. Saat ini, mengunduh sesuatu untuk bekerja hanya dalam hitungan detik dan menit. Misalnya, Direct.Commander atau editor AdWords, beberapa parser SEO, dll. Jika semuanya kurang lebih jelas dengan produk Yandex dan Google, maka picreizer lain, pembersih virus gratis, editor video dengan tiga efek, tangkapan layar, perekam Skype, dan “program kecil” lainnya dapat membahayakan PC individu dan seluruh jaringan perusahaan. . Latih pengguna untuk membaca apa yang diinginkan komputer dari mereka sebelum mereka menghubungi administrator sistem dan mengatakan bahwa “semuanya mati.” Di beberapa perusahaan, masalahnya diselesaikan dengan sederhana: banyak utilitas berguna yang diunduh disimpan di jaringan berbagi, dan daftar solusi online yang sesuai juga diposting di sana.
- Kebijakan BYOD atau sebaliknya kebijakan memperbolehkan penggunaan peralatan kerja di luar kantor merupakan sisi keamanan yang sangat jahat. Dalam hal ini, kerabat, teman, anak-anak, jaringan publik yang tidak terlindungi, dll. memiliki akses ke teknologi tersebut. Ini murni roulette Rusia - Anda dapat bertahan selama 5 tahun, tetapi Anda dapat kehilangan atau merusak semua dokumen dan file berharga Anda. Selain itu, jika seorang karyawan memiliki niat jahat, semudah mengirimkan dua byte untuk membocorkan data dengan peralatan “berjalan”. Anda juga perlu mengingat bahwa karyawan sering kali mentransfer file antar komputer pribadinya, yang lagi-lagi dapat menciptakan celah keamanan.
- Mengunci perangkat saat Anda bepergian adalah kebiasaan yang baik baik untuk penggunaan perusahaan maupun pribadi. Sekali lagi, ini melindungi Anda dari kolega, kenalan, dan penyusup yang penasaran di tempat umum. Sulit untuk membiasakan diri dengan hal ini, tetapi di salah satu tempat kerja saya, saya mendapatkan pengalaman yang luar biasa: rekan kerja mendekati PC yang tidak terkunci, dan Paint dibuka di seluruh jendela dengan tulisan "Kunci komputer!" dan sesuatu berubah dalam pekerjaan, misalnya, perakitan terakhir yang dipompa dihancurkan atau bug terakhir yang diperkenalkan telah dihapus (ini adalah grup pengujian). Ini kejam, tapi 1-2 kali sudah cukup bahkan untuk yang paling kayu sekalipun. Meskipun saya menduga orang non-IT mungkin tidak memahami humor seperti itu.
- Tetapi dosa terburuk, tentu saja, terletak pada administrator dan manajemen sistem - jika mereka tidak menggunakan sistem kontrol lalu lintas, peralatan, lisensi, dll.
Hal ini tentu saja merupakan sebuah dasar, karena infrastruktur TI adalah tempat di mana semakin jauh ke dalam hutan, semakin banyak kayu bakar yang tersedia. Dan setiap orang harus memiliki dasar ini, dan tidak digantikan oleh kata-kata “kita semua saling percaya”, “kita adalah keluarga”, “siapa yang membutuhkannya” - sayangnya, ini untuk saat ini.
Ini Internet sayang, mereka bisa tahu banyak tentangmu.
Saatnya untuk memperkenalkan penanganan Internet yang aman ke dalam kursus keselamatan jiwa di sekolah - dan ini sama sekali bukan tentang tindakan yang kita lakukan dari luar. Hal ini khususnya tentang kemampuan untuk membedakan tautan dari tautan, memahami di mana phishing dan di mana penipuan, tidak membuka lampiran email dengan subjek “Laporan Rekonsiliasi” dari alamat yang tidak dikenal tanpa memahaminya, dll. Meski tampaknya anak-anak sekolah sudah menguasai semua itu, namun para karyawan belum. Ada banyak sekali trik dan kesalahan yang bisa membahayakan seluruh perusahaan sekaligus.
- Jejaring sosial adalah bagian dari Internet yang tidak memiliki tempat di tempat kerja, namun memblokirnya di tingkat perusahaan pada tahun 2019 adalah tindakan yang tidak populer dan menurunkan motivasi. Oleh karena itu, Anda hanya perlu menulis kepada semua karyawan cara memeriksa ilegalitas tautan, memberi tahu mereka tentang jenis penipuan, dan meminta mereka untuk bekerja di tempat kerja.
- Mail adalah tempat yang sulit dan mungkin merupakan cara paling populer untuk mencuri informasi, menanam malware, dan menginfeksi PC dan seluruh jaringan. Sayangnya, banyak perusahaan menganggap klien email sebagai alat penghemat biaya dan menggunakan layanan gratis yang menerima 200 email spam per hari yang melewati filter, dll. Dan beberapa orang yang tidak bertanggung jawab membuka surat dan lampiran, tautan, gambar tersebut - rupanya, mereka berharap pangeran kulit hitam meninggalkan warisan untuk mereka. Setelah itu administrator mempunyai banyak sekali pekerjaan. Atau memang memang dimaksudkan seperti itu? Omong-omong, kisah kejam lainnya: di satu perusahaan, untuk setiap surat spam ke administrator sistem, KPI dikurangi. Secara umum, setelah sebulan tidak ada spam - praktik tersebut diadopsi oleh organisasi induk, dan masih belum ada spam. Kami memecahkan masalah ini dengan elegan - kami mengembangkan klien email kami sendiri dan membuatnya menjadi milik kami sendiri , jadi semua klien kami juga menerima fitur yang nyaman.
Lain kali Anda menerima email aneh dengan simbol klip kertas, jangan klik!
- Messenger juga merupakan sumber segala jenis tautan tidak aman, tetapi ini jauh lebih jahat dibandingkan surat (tidak termasuk waktu yang terbuang untuk mengobrol dalam obrolan).
Tampaknya ini semua hanyalah hal kecil. Namun, setiap hal kecil ini dapat menimbulkan konsekuensi yang sangat buruk, terutama jika perusahaan Anda menjadi sasaran serangan pesaing. Dan ini bisa terjadi pada siapa saja.
Karyawan yang cerewet
Ini adalah faktor manusiawi yang akan sulit untuk Anda hilangkan. Karyawan dapat mendiskusikan pekerjaan di koridor, di kafe, di jalan, di rumah klien, berbicara lantang tentang klien lain, membicarakan prestasi kerja dan proyek di rumah. Tentu saja, kemungkinan pesaing berdiri di belakang Anda dapat diabaikan (jika Anda tidak berada di pusat bisnis yang sama - hal ini telah terjadi), tetapi kemungkinan bahwa seorang pria yang dengan jelas menyatakan urusan bisnisnya akan difilmkan di ponsel cerdas dan diposting di Anehnya, YouTube lebih tinggi. Tapi ini juga omong kosong. Bukan omong kosong jika karyawan Anda rela menyajikan informasi tentang suatu produk atau perusahaan di pelatihan, konferensi, pertemuan, forum profesional, atau bahkan di Habré. Terlebih lagi, orang sering kali dengan sengaja mengajak lawannya untuk melakukan percakapan semacam itu untuk melakukan intelijen kompetitif.
Sebuah kisah yang mengungkap. Pada salah satu konferensi TI berskala galaksi, pembicara bagian memaparkan pada slide diagram lengkap organisasi infrastruktur TI sebuah perusahaan besar (20 teratas). Skema ini sangat mengesankan, sangat kosmik, hampir semua orang memotretnya, dan langsung tersebar di jejaring sosial dengan sambutan hangat. Nah, kemudian pembicara menangkap mereka menggunakan geotag, stand, media sosial. jaringan orang-orang yang mempostingnya dan memohon untuk dihapus, karena mereka segera meneleponnya dan berkata ah-ta-ta. Kotak obrolan adalah anugerah bagi mata-mata.
Ketidaktahuan... membebaskan Anda dari hukuman
Menurut laporan global Kaspersky Lab tahun 2017 mengenai bisnis yang mengalami insiden keamanan siber dalam periode 12 bulan, satu dari sepuluh (11%) jenis insiden paling serius melibatkan karyawan yang ceroboh dan tidak mendapat informasi.
Jangan berasumsi bahwa karyawan mengetahui segalanya tentang langkah-langkah keamanan perusahaan, pastikan untuk memperingatkan mereka, memberikan pelatihan, membuat buletin berkala yang menarik tentang masalah keamanan, mengadakan pertemuan sambil makan pizza, dan mengklarifikasi masalah lagi. Dan ya, peretasan kehidupan yang keren - tandai semua informasi cetak dan elektronik dengan warna, tanda, tulisan: rahasia dagang, rahasia, untuk penggunaan resmi, akses umum. Ini benar-benar berhasil.
Dunia modern telah menempatkan perusahaan pada posisi yang sangat sulit: penting untuk menjaga keseimbangan antara keinginan karyawan untuk tidak hanya bekerja keras di tempat kerja, namun juga menerima konten hiburan di latar belakang/saat istirahat, dan peraturan keamanan perusahaan yang ketat. Jika Anda mengaktifkan program hiperkontrol dan pelacakan bodoh (ya, bukan salah ketik - ini bukan keamanan, ini paranoia) dan kamera di belakang Anda, maka kepercayaan karyawan terhadap perusahaan akan turun, tetapi menjaga kepercayaan juga merupakan alat keamanan perusahaan.
Oleh karena itu, ketahuilah kapan harus berhenti, hormati karyawan Anda, dan buat cadangan. Dan yang terpenting, utamakan keselamatan, bukan paranoia pribadi.
Jika Anda membutuhkan dan bandingkan kemampuannya dengan tujuan dan sasaran Anda. Jika Anda memiliki pertanyaan atau kesulitan, tulis atau telepon, kami akan mengatur presentasi online individual untuk Anda - tanpa peringkat atau bel dan peluit.
, di mana, tanpa iklan, kami tidak menulis hal-hal yang sepenuhnya formal tentang CRM dan bisnis.
Sumber: www.habr.com