31. mars er alþjóðlegur öryggisafritunardagur og vikan á undan er alltaf full af öryggistengdum sögum. Á mánudaginn lærðum við nú þegar um Asus sem er í hættu og „þrír ónefndir framleiðendur“. Sérstaklega hjátrúarfull fyrirtæki sitja á prjónum alla vikuna og taka öryggisafrit. Og allt vegna þess að við erum öll svolítið kærulaus hvað varðar öryggi: einhver gleymir að spenna öryggisbeltið sitt í aftursætinu, einhver hunsar fyrningardagsetningu vöru, einhver geymir notandanafnið sitt og lykilorðið sitt undir lyklaborðinu og enn betra, skrifar niður öll lykilorðin í fartölvu. Sumum einstaklingum tekst að slökkva á vírusvörnum „til að hægja ekki á tölvunni“ og nota ekki aðskilnað aðgangsréttar í fyrirtækjakerfum (þvílík leyndarmál í 50 manna fyrirtæki!). Sennilega hefur mannkynið einfaldlega ekki enn þróað eðlishvöt um sjálfsbjargarviðleitni á netinu, sem í grundvallaratriðum getur orðið að nýju grunneðli.
Viðskipti hafa heldur ekki þróað með sér slíka eðlishvöt. Einföld spurning: er CRM kerfi upplýsingaöryggisógn eða öryggistæki? Það er ólíklegt að einhver gefi rétt svar strax. Hér þurfum við að byrja, eins og okkur var kennt í enskutímum: það fer eftir... Það fer eftir stillingum, formi CRM afhendingu, venjum og viðhorfum seljanda, hversu lítilsvirðing starfsmanna er, fágun árásarmanna. . Eftir allt saman, allt er hægt að hakka. Svo hvernig á að lifa?
Þetta er upplýsingaöryggi í litlum og meðalstórum fyrirtækjum
CRM kerfi sem vörn
Að vernda viðskipta- og rekstrargögn og geyma viðskiptavina á öruggan hátt er eitt af meginverkefnum CRM kerfis og í því ber það höfuð og herðar yfir allan annan forritahugbúnað í fyrirtækinu.
Þú byrjaðir örugglega að lesa þessa grein og glottir innst inni og sagðir hver þarf upplýsingarnar þínar. Ef svo er, þá hefur þú sennilega ekki tekist á við sölu og veist ekki hversu eftirsóttur „lifandi“ og hágæða viðskiptavinahópur og upplýsingar um aðferðir við að vinna með þessum grunni eru. Innihald CRM kerfisins er áhugavert ekki aðeins fyrir stjórnendur fyrirtækisins heldur einnig fyrir:
- Árásarmenn (sjaldnar) - þeir hafa markmið sem tengist sérstaklega fyrirtækinu þínu og munu nota öll úrræði til að afla gagna: mútur til starfsmanna, reiðhestur, kaupa gögnin þín af stjórnendum, viðtöl við stjórnendur o.s.frv.
- Starfsmenn (oftar) sem geta komið fram sem innherjar fyrir keppinauta þína. Þeir eru einfaldlega tilbúnir til að taka í burtu eða selja viðskiptavinahóp sinn í eigin hagnaðarskyni.
- Fyrir áhugamannahakkara (mjög sjaldan) - þú gætir orðið hakkaður inn í skýið þar sem gögnin þín eru staðsett eða netið er brotist inn, eða kannski vill einhver „draga út“ gögnin þín þér til skemmtunar (til dæmis gögn um lyfja- eða áfengisheildsala - bara áhugavert að sjá).
Ef einhver kemst inn í CRM þinn mun hann hafa aðgang að rekstrarstarfsemi þinni, það er að gagnamagninu sem þú græðir mest af hagnaði þínum með. Og frá því augnabliki sem illgjarn aðgangur að CRM kerfinu er fengin, byrjar hagnaðurinn að brosa til þess sem viðskiptavinahópurinn endar í. Jæja, eða samstarfsaðila hans og viðskiptavini (lesist - nýir vinnuveitendur).
Gott, áreiðanlegt er fær um að dekka þessa áhættu og veita fullt af skemmtilegum bónusum á sviði öryggismála.
Svo, hvað getur CRM kerfi gert hvað varðar öryggi?
(við munum segja þér með dæmi, vegna þess Við getum ekki borið ábyrgð á öðrum)
- Tveggja þátta auðkenning með USB lykli og lykilorði. styður tveggja þátta notendaheimildarstillingu þegar þú skráir þig inn í kerfið. Í þessu tilviki, þegar þú skráir þig inn í kerfið, auk þess að slá inn lykilorðið, verður þú að setja USB lykil sem hefur verið frumstilltur fyrirfram í USB tengi tölvunnar. Tveggja þátta heimildarstilling hjálpar til við að vernda gegn þjófnaði eða birtingu lykilorða.
Smellanlegt
- Keyra frá traustum IP tölum og MAC vistföngum. Til að auka öryggi, getur þú takmarkað notendur frá því að skrá sig aðeins inn frá skráðum IP tölum og MAC vistföngum. Hægt er að nota bæði innri IP tölur á staðarnetinu og ytri vistföng sem IP tölur ef notandinn tengist fjartengingu (í gegnum internetið).
- Lénsheimild (Windows heimild). Hægt er að stilla ræsingu kerfisins þannig að ekki sé krafist notandalykilorðs við innskráningu. Í þessu tilviki á sér stað Windows heimild, sem auðkennir notandann sem notar WinAPI. Kerfið verður ræst undir þeim notanda sem tölvan er undir á þeim tíma sem kerfið ræsir.
- Annar vélbúnaður er einkaaðila. Einkaviðskiptavinir eru viðskiptavinir sem aðeins yfirmaður þeirra getur séð. Þessir viðskiptavinir munu ekki birtast á lista annarra notenda, jafnvel þótt aðrir notendur hafi fullar heimildir, þar á meðal stjórnandaréttindi. Þannig geturðu td verndað hóp sérstaklega mikilvægra viðskiptavina eða hóp af annarri ástæðu, sem verður falið traustum stjórnanda.
- Vélbúnaður til að skipta aðgangsrétti — staðlað og aðal öryggisráðstöfun í CRM. Til að einfalda ferlið við að stjórna notendaréttindum, í réttindi eru ekki úthlutað til ákveðinna notenda, heldur sniðmátum. Og notandanum sjálfum er úthlutað einu eða öðru sniðmáti, sem hefur ákveðin réttindi. Þetta gerir hverjum starfsmanni - frá nýráðnum til starfsnema til stjórnarmanna - kleift að úthluta heimildum og aðgangsréttindum sem leyfa/ koma í veg fyrir að þeir fái aðgang að viðkvæmum gögnum og viðkvæmum viðskiptaupplýsingum.
- Sjálfvirkt öryggisafritunarkerfi (afrit)stillanlegt í gegnum skriftuþjón .
Þetta er innleiðing öryggis með því að nota eitt kerfi sem dæmi, hver söluaðili hefur sínar eigin stefnur. Hins vegar verndar CRM kerfið raunverulega upplýsingarnar þínar: þú getur séð hver tók þessa eða hina skýrsluna og á hvaða tíma, hver skoðaði hvaða gögn, hver hlaðið þeim niður og margt fleira. Jafnvel ef þú kemst að því um varnarleysið eftir á, muntu ekki láta verknaðinn órefsað og getur auðveldlega borið kennsl á starfsmanninn sem misnotaði traust og hollustu fyrirtækisins.
Ertu afslappaður? Snemma! Þessi vernd getur unnið gegn þér ef þú ert kærulaus og hunsar gagnaverndarmál.
CRM kerfi sem ógn
Ef fyrirtækið þitt er með að minnsta kosti eina tölvu er þetta nú þegar uppspretta netógnar. Í samræmi við það eykst ógnunarstigið með fjölda vinnustöðva (og starfsmanna) og með fjölbreytileika hugbúnaðarins sem er uppsettur og notaður. Og hlutirnir eru ekki auðveldir með CRM kerfi - þegar allt kemur til alls er þetta forrit sem er hannað til að geyma og vinna úr mikilvægustu og dýrustu eigninni: viðskiptavinahópi og viðskiptaupplýsingum, og hér erum við að segja hryllingssögur um öryggi þess. Reyndar er ekki allt svo drungalegt í návígi og ef rétt er farið með þá færðu ekkert nema ávinning og öryggi frá CRM kerfinu.
Hver eru merki um hættulegt CRM kerfi?
Byrjum á stuttri skoðunarferð um grunnatriðin. CRM koma í skýja- og skjáborðsútgáfum. Skýja eru þeir sem hafa DBMS (gagnagrunn) ekki staðsett í fyrirtækinu þínu, heldur í einkaskýi eða opinberu skýi í einhverju gagnaveri (til dæmis, þú situr í Chelyabinsk og gagnagrunnurinn þinn er í gangi í ofur flottu gagnaveri í Moskvu , vegna þess að CRM söluaðilinn ákvað það og hann er með samning við þennan tiltekna þjónustuaðila). Skrifborð (aka á staðnum, netþjónn - sem er ekki lengur svo satt) byggir DBMS á þínum eigin netþjónum (nei, nei, ekki sjá fyrir þér risastórt netþjónaherbergi með dýrum rekkum, oftast í litlum og meðalstórum fyrirtækjum einum netþjóni eða jafnvel venjulegri tölvu með nútíma uppsetningu), það er að segja líkamlega á skrifstofunni þinni.
Það er hægt að fá óviðkomandi aðgang að báðum gerðum CRM, en hraði og auðveldur aðgangur er mismunandi, sérstaklega ef við erum að tala um lítil og meðalstór fyrirtæki sem láta sér ekki nægja upplýsingaöryggi.
Hættumerki #1
Ástæðan fyrir meiri líkum á vandamálum með gögn í skýjakerfi er samband sem er tengt með nokkrum hlekkjum: þú (CRM leigjandi) - seljandi - veitandi (það er til lengri útgáfa: þú - söluaðili - IT útvistaraðili seljanda - veitandi) . 3-4 hlekkir í sambandinu hafa meiri áhættu en 1-2: vandamál geta komið upp hjá seljanda (breyting á samningi, vanskil á þjónustu þjónustuveitanda), hjá þjónustuveitanda (force majeure, reiðhestur, tæknileg vandamál), af hálfu útvistaraðila (skipti um framkvæmdastjóra eða verkfræðing) o.s.frv. Auðvitað reyna stórir söluaðilar að hafa öryggisafrit af gagnaverum, stjórna áhættum og viðhalda DevOps deild sinni, en það útilokar ekki vandamál.
Desktop CRM er almennt ekki leigt, heldur keypt af fyrirtækinu; í samræmi við það lítur sambandið út fyrir að vera einfaldara og gagnsærra: meðan á innleiðingu CRM stendur stillir seljandinn nauðsynleg öryggisstig (frá aðgreiningu aðgangsréttindum og líkamlegum USB lykil til að fylgja með miðlara í steyptum vegg o.s.frv.) og færir eftirlitið til fyrirtækisins sem á CRM, sem getur aukið vernd, ráðið kerfisstjóra eða haft samband við hugbúnaðarbirgðir þess eftir þörfum. Vandamálin snúast um að vinna með starfsmönnum, vernda netið og vernda upplýsingar líkamlega. Ef þú notar skrifborðs CRM mun jafnvel algjör lokun á internetinu ekki stöðva vinnu, þar sem gagnagrunnurinn er staðsettur á "heima" skrifstofunni þinni.
Einn af starfsmönnum okkar, sem vann í fyrirtæki sem þróaði skýjatengd samþætt skrifstofukerfi, þar á meðal CRM, talar um skýjatækni. „Í einu af mínum störfum var fyrirtækið að búa til eitthvað sem líkist undirstöðu CRM og það var allt tengt við netskjöl og svo framvegis. Dag einn í GA sáum við óeðlilega virkni frá einum af áskrifendum okkar. Ímyndaðu þér hvað við erum á óvart, sérfræðingar, þegar við, sem erum ekki verktaki, heldur með háan aðgang, gátum einfaldlega opnað viðmótið sem viðskiptavinurinn notaði í gegnum tengil og séð hvers konar vinsælt skilti hann hafði. Við the vegur, það virðist sem viðskiptavinurinn myndi ekki vilja að neinn sjái þessi viðskiptagögn. Já, þetta var galli og það var ekki lagað í nokkur ár - að mínu mati eru hlutirnir enn til staðar. Síðan þá hef ég verið skjáborðsáhugamaður og treysti ekki skýjunum í raun og veru, þó við notum þau auðvitað í vinnunni og í einkalífi okkar, þar sem við fengum líka skemmtilegar fakaps.“
Úr könnun okkar á Habré, og þetta eru starfsmenn háþróaðra fyrirtækja
Tap á gögnum úr CRM-skýjakerfi gæti stafað af gagnatapi vegna bilunar á netþjóni, ónákvæmni á netþjónum, force majeure, lokun á starfsemi söluaðila o.s.frv. Skýið þýðir stöðugan, ótruflaðan aðgang að internetinu og vernd verður að vera fordæmalaus: á stigi kóða, aðgangsrétt, viðbótar netöryggisráðstafanir (til dæmis tvíþætt auðkenning).
Hættumerki #2
Við erum ekki einu sinni að tala um einn eiginleika heldur hóp eiginleika sem tengjast seljanda og stefnu hans. Við skulum nefna nokkur mikilvæg dæmi sem við og starfsmenn okkar höfum lent í.
- Seljandinn gæti valið ófullnægjandi áreiðanlega gagnaver þar sem DBMS viðskiptavinarins mun „snúast“. Hann mun spara peninga, mun ekki stjórna SLA, mun ekki reikna út álagið og niðurstaðan verður banvæn fyrir þig.
- Seljandi getur hafnað rétti til að flytja þjónustuna í gagnaver að eigin vali. Þetta er nokkuð algeng takmörkun fyrir SaaS.
- Seljandinn gæti átt í lagalegum eða efnahagslegum átökum við skýjaveituna og þá á meðan á „uppgjörinu stendur“ geta öryggisafritunaraðgerðir eða til dæmis hraði verið takmarkaður.
- Þjónustan við að búa til afrit getur verið veitt gegn aukagjaldi. Algeng venja sem viðskiptavinur CRM kerfis getur aðeins lært um á því augnabliki þegar öryggisafrits er þörf, það er á mikilvægasta og viðkvæmasta augnablikinu.
- Starfsmenn seljanda geta haft óhindrað aðgang að gögnum viðskiptavina.
- Gagnaleki af hvaða toga sem er getur átt sér stað (mannleg mistök, svik, tölvuþrjótar osfrv.).
Venjulega eru þessi vandamál tengd litlum eða ungum söluaðilum, þó hafa stórir ítrekað lent í vandræðum (googlaðu það). Þess vegna ættir þú alltaf að hafa leiðir til að vernda upplýsingar þínar hliðar + ræða öryggisvandamál við valinn CRM kerfisaðila fyrirfram. Jafnvel sú staðreynd að þú hefur áhuga á vandamálinu mun nú þegar neyða birginn til að meðhöndla framkvæmdina eins ábyrga og mögulegt er (það er sérstaklega mikilvægt að gera þetta ef þú ert ekki að eiga við skrifstofu söluaðilans, heldur við samstarfsaðila hans, sem það er fyrir. mikilvægt að gera samning og fá þóknun, en ekki þessir tveir þættir... jæja, skildirðu).
Hættumerki #3
Skipulag öryggisstarfs í þínu fyrirtæki. Fyrir ári síðan skrifuðum við jafnan um öryggismál á Habré og gerðum könnun. Úrtakið var ekki mjög stórt en svörin eru leiðbeinandi:
Í lok greinarinnar munum við útvega tengla á ritin okkar, þar sem við skoðuðum ítarlega tengslin í "fyrirtæki-starfsmanna-öryggi" kerfinu, og hér munum við gefa lista yfir spurningar sem svörin við ættu að finna innan fyrirtæki þitt (jafnvel þó þú þurfir ekki CRM).
- Hvar geyma starfsmenn lykilorð?
- Hvernig er aðgangi að geymslu á netþjónum fyrirtækisins skipulagður?
- Hvernig er hugbúnaður sem inniheldur viðskipta- og rekstrarupplýsingar verndaður?
- Eru allir starfsmenn með vírusvarnarforrit virkan?
- Hversu margir starfsmenn hafa aðgang að gögnum viðskiptavina og hvaða aðgangsstig hefur það?
- Hvað ertu með margar nýjar ráðningar og hversu margir starfsmenn eru á leiðinni?
- Hversu lengi hefur þú átt samskipti við lykilstarfsmenn og hlustað á beiðnir þeirra og kvartanir?
- Er eftirlit með prenturum?
- Hvernig er stefnan skipulögð um að tengja þínar eigin græjur við tölvuna þína, ásamt því að nota Wi-Fi vinnu?
Reyndar eru þetta grundvallarspurningar - sennilega verður harðkjarna bætt við í athugasemdunum, en þetta er grunnatriði, sem jafnvel einstaklingur frumkvöðull með tvo starfsmenn ætti að vita.
Svo hvernig á að vernda þig?
- Öryggisafrit eru það mikilvægasta sem oft gleymist eða er ekki sinnt. Ef þú ert með skjáborðskerfi skaltu setja upp öryggisafritunarkerfi með tiltekinni tíðni (til dæmis fyrir RegionSoft CRM er hægt að gera þetta með því að nota ) og skipuleggja rétta geymslu afrita. Ef þú ert með CRM í skýi, vertu viss um að komast að því áður en þú gerir samning hvernig vinna með öryggisafrit er skipulögð: þú þarft upplýsingar um dýpt og tíðni, geymslustað, kostnað við afritun (oft aðeins afrit af „nýjustu gögnum fyrir tímabilið ” eru ókeypis og fullgild, örugg öryggisafritun er veitt sem gjaldskyld þjónusta). Almennt séð er þetta örugglega ekki staður fyrir sparnað eða vanrækslu. Og já, ekki gleyma að athuga hvað er endurheimt úr afritum.
- Aðskilnaður aðgangsréttar á virkni- og gagnastigum.
- Öryggi á netkerfi - þú þarft að leyfa notkun á CRM eingöngu innan undirnets skrifstofunnar, takmarka aðgang fyrir farsíma, banna að vinna með CRM kerfið að heiman eða, jafnvel verra, frá almennum netkerfum (samvinnurými, kaffihúsum, skrifstofum viðskiptavina , o.s.frv.). Vertu sérstaklega varkár með farsímaútgáfuna - láttu hana aðeins vera mjög stytta útgáfu fyrir vinnu.
- Vírusvarnarforrit með rauntímaskönnun þarf í öllum tilvikum, en sérstaklega þegar um er að ræða gagnaöryggi fyrirtækja. Á stefnustigi, bannaðu að slökkva á því sjálfur.
- Að þjálfa starfsmenn í nethreinlæti er ekki tímasóun heldur brýn þörf. Það er nauðsynlegt að koma því á framfæri við alla samstarfsmenn að það er mikilvægt fyrir þá að vara ekki aðeins við, heldur einnig að bregðast rétt við hótuninni sem berast. Að banna netnotkun eða tölvupóstinn þinn á skrifstofunni heyrir sögunni til og veldur bráðri neikvæðni, svo þú verður að vinna að forvörnum.
Auðvitað, með því að nota skýjakerfi, geturðu náð nægilegu öryggisstigi: notaðu sérstaka netþjóna, stilltu beina og aðskildu umferð á forritastigi og gagnagrunnsstigi, notaðu einkaundirnet, kynntu strangar öryggisreglur fyrir stjórnendur, tryggðu ótruflaðan rekstur með afritum með hámarks tíðni og heilleika, til að fylgjast með netinu allan sólarhringinn... Ef þú hugsar um það, þá er það ekki svo erfitt, heldur frekar dýrt. En eins og venjan sýnir, gera aðeins sum fyrirtæki, aðallega stór, slíkar ráðstafanir. Þess vegna hika við ekki að segja aftur: bæði skýið og skjáborðið ættu ekki að lifa á eigin spýtur; verndaðu gögnin þín.
Nokkur lítil en mikilvæg ráð fyrir öll tilvik um innleiðingu CRM kerfis
- Athugaðu söluaðila fyrir varnarleysi - leitaðu að upplýsingum með því að nota samsetningar orða „Vendor Name vulnerability“, „Vendor Name vulnerability“, „Vendor Name hacked“, „Vendor Name Data Leak“. Þetta ætti ekki að vera eina færibreytan í leitinni að nýju CRM kerfi heldur er einfaldlega nauðsynlegt að merkja við undirberki og sérstaklega mikilvægt að skilja ástæður þeirra atvika sem áttu sér stað.
- Spyrðu söluaðilann um gagnaverið: framboð, hversu margar þær eru, hvernig bilun er skipulögð.
- Settu upp öryggistákn í CRM þínum, fylgdu virkni innan kerfisins og óvenjulegum toppum.
- Slökktu á útflutningi skýrslna og aðgangi í gegnum API fyrir starfsmenn utan kjarna - það er þá sem þurfa ekki þessar aðgerðir fyrir reglubundna starfsemi sína.
- Gakktu úr skugga um að CRM kerfið þitt sé stillt til að skrá ferla og skrá notendaaðgerðir.
Þetta eru litlir hlutir, en þeir bæta fullkomlega heildarmyndina. Og í raun eru engir smáir hlutir öruggir.
Með því að innleiða CRM kerfi tryggir þú öryggi gagna þinna - en aðeins ef innleiðingin er framkvæmd á hæfileikaríkan hátt og upplýsingaöryggismál eru ekki færð í bakgrunninn. Sammála, það er heimskulegt að kaupa bíl og skoða ekki bremsur, ABS, loftpúða, öryggisbelti, EDS. Enda er aðalatriðið ekki bara að fara, heldur að fara heilu og höldnu og komast þangað heilu og höldnu. Það er eins með viðskipti.
Og mundu: ef vinnuverndarreglur eru skrifaðar með blóði eru netöryggisreglur fyrirtækja skrifaðar í peningum.
Um netöryggi og stað CRM kerfisins í því geturðu lesið ítarlegar greinar okkar:
- — yfirlit yfir mögulegar öryggisógnir á fyrirtækjasviði og áætlað uppgötvunarkerfi.
- — nákvæm greining á því hvernig starfsmenn geta skaðað fyrirtæki þitt og hvernig þeir gera þetta á viðskiptasviðinu.
Ef þú ert að leita að CRM kerfi, þá á . Ef þú þarft CRM eða ERP, skoðaðu vörur okkar vandlega og berðu saman getu þeirra við markmið þín og markmið. Ef þú hefur einhverjar spurningar eða erfiðleika, skrifaðu eða hringdu, við munum skipuleggja einstaklingsbundna kynningu á netinu fyrir þig - án einkunna eða bjalla og flauta.
, þar sem við, án auglýsinga, skrifum ekki alveg formlega hluti um CRM og viðskipti.
Heimild: www.habr.com