Árið 2008 gat ég heimsótt upplýsingatæknifyrirtæki. Það var einhvers konar óheilbrigð spenna í hverjum starfsmanni. Ástæðan reyndist einföld: Farsímar eru í kassa við inngang skrifstofunnar, myndavél fyrir aftan, 2 stórar „útlits“ myndavélar til viðbótar á skrifstofunni og eftirlitshugbúnaður með keylogger. Og já, þetta er ekki fyrirtækið sem þróaði SORM eða lífsbjörgunarkerfi fyrir flugvélar, heldur einfaldlega verktaki viðskiptahugbúnaðar, sem nú er frásogaður, mulinn og er ekki lengur til (sem virðist rökrétt). Ef þú ert núna að teygja úr þér og heldur að á skrifstofunni þinni með hengirúm og M&M í vösum sé þetta örugglega ekki raunin, gætirðu skjátlast - það er bara þannig að yfir 11 ár hefur stjórnin lært að vera ósýnileg og rétt, án uppgjörs yfir heimsóttar síður og sóttar kvikmyndir.
Svo er það í raun ómögulegt án alls þessa, en hvað með traust, tryggð, trú á fólk? Trúðu það eða ekki, það eru alveg jafn mörg fyrirtæki án öryggisráðstafana. En starfsmenn ná að klúðra bæði hér og þar - einfaldlega vegna þess að mannlegi þátturinn getur eyðilagt heima, ekki bara fyrirtæki þitt. Svo, hvar geta starfsmenn þínir lent í ógöngum?
Þetta er ekki mjög alvarleg færsla, sem hefur nákvæmlega tvennt: að lífga aðeins upp á hversdagsleikann og minna á grundvallar öryggisatriði sem oft gleymast. Ó, og enn og aftur minna þig á — Er slíkur hugbúnaður ekki brún öryggis? 🙂
Förum í tilviljunarkennd ham!
Lykilorð, lykilorð, lykilorð...
Þú talar um þá og reiðibylgja kemur: hvernig má það vera, sögðu þeir heiminum svo oft, en hlutirnir eru enn til staðar! Í fyrirtækjum á öllum stigum, frá einstökum frumkvöðlum til fjölþjóðlegra fyrirtækja, er þetta mjög sár staður. Stundum sýnist mér að ef þeir byggja á morgun alvöru Death Star, þá verði eitthvað eins og admin/admin í admin pallborðinu. Svo við hverju getum við búist við frá venjulegum notendum, fyrir hverja þeirra eigin VKontakte síða er miklu dýrari en fyrirtækjareikningur? Hér eru atriðin sem þarf að athuga:
- Að skrifa lykilorð á blað, aftan á lyklaborðið, á skjáinn, á borðið undir lyklaborðinu, á límmiða neðst á músinni (lævís!) - þetta ættu starfsmenn aldrei að gera. Og ekki vegna þess að hræðilegur tölvuþrjótur muni koma inn og hlaða niður öllu 1C á flash-drifi í hádeginu, heldur vegna þess að það gæti verið móðguð Sasha á skrifstofunni sem ætlar að hætta og gera eitthvað óhreint eða taka upplýsingarnar í síðasta sinn . Af hverju ekki að gera þetta í næsta hádegismat?
Þetta er hvað? Þessi hlutur geymir öll lykilorðin mín
- Að setja einföld lykilorð til að komast inn í tölvuna og vinnuforritin. Fæðingardagar, qwerty123 og jafnvel asdf eru samsetningar sem eiga heima í brandara og á bashorg, en ekki í öryggiskerfi fyrirtækja. Stilltu kröfur um lykilorð og lengd þeirra og stilltu tíðni skiptanna.
Lykilorð er eins og nærföt: skiptu um það oft, ekki deila því með vinum þínum, langt er betra, vertu dularfullt, dreifðu því ekki um allt
- Sjálfgefin innskráningarlykilorð seljanda forritsins eru gölluð, þó ekki væri nema vegna þess að næstum allir starfsmenn seljanda þekkja þau, og ef þú ert að fást við netkerfi í skýinu, mun það ekki vera erfitt fyrir neinn að nálgast gögnin. Sérstaklega ef þú ert líka með netöryggi á „togaðu ekki í snúruna“ stigi.
- Útskýrðu fyrir starfsmönnum að vísbending um lykilorð í stýrikerfinu ætti ekki að líta út eins og „afmæli mitt“, „nafn dóttur“, „Gvoz-dika-78545-ap#1! á ensku." eða „kvarts og einn og núll“.
Kötturinn minn gefur mér frábær lykilorð! Hann gengur yfir lyklaborðið mitt
Líkamlegur aðgangur að málum
Hvernig skipuleggur fyrirtæki þitt aðgang að bókhaldi og starfsmannagögnum (til dæmis að persónulegum skrám starfsmanna)? Leyfðu mér að giska: ef það er lítið fyrirtæki, þá í bókhaldsdeildinni eða á skrifstofu yfirmannsins í möppum í hillum eða í skáp; ef það er stórt fyrirtæki, þá í starfsmannadeildinni í hillum. En ef það er mjög stórt, þá er líklega allt rétt: sérstök skrifstofa eða blokk með segullykli, þar sem aðeins ákveðnir starfsmenn hafa aðgang og til að komast þangað þarftu að hringja í einn þeirra og fara inn í þennan hnút í viðurvist þeirra. Það er ekkert erfitt við að búa til slíka vernd í hvaða viðskiptum sem er, eða að minnsta kosti að læra að skrifa ekki lykilorðið fyrir skrifstofuskápinn með krít á hurðina eða á vegginn (allt er byggt á raunverulegum atburðum, ekki hlæja).
Hvers vegna er það mikilvægt? Í fyrsta lagi hafa starfsmenn sjúklega löngun til að komast að því leynilegasta um hvert annað: hjúskaparstöðu, laun, læknisfræðilegar greiningar, menntun o.s.frv. Þetta er þvílík málamiðlun í skrifstofusamkeppni. Og þú græðir alls ekki á þrætunum sem munu koma upp þegar hönnuðurinn Petya kemst að því að hann þénar 20 þúsund minna en hönnuðurinn Alice. Í öðru lagi geta starfsmenn þar nálgast fjárhagsupplýsingar fyrirtækisins (efnahagsreikninga, ársskýrslur, samninga). Í þriðja lagi getur eitthvað einfaldlega týnst, skemmst eða stolið til að hylja ummerki í eigin starfssögu.
Vöruhús þar sem einhver er tapsár, einhver er fjársjóður
Ef þú ert með vöruhús skaltu íhuga að fyrr eða síðar er tryggt að þú lendir í glæpamönnum - þetta er einfaldlega hvernig sálfræði einstaklings virkar, sem sér mikið magn af vörum og trúir því staðfastlega að lítið af miklu sé ekki rán, en deila. Og vörueining úr þessari hrúgu getur kostað 200 þúsund, eða 300 þúsund, eða nokkrar milljónir. Því miður getur ekkert komið í veg fyrir þjófnað nema pedantískt og algjört eftirlit og bókhald: myndavélar, samþykki og afskrift með strikamerkjum, sjálfvirkni vöruhúsabókhalds (til dæmis í okkar vöruhúsabókhald er skipulagt á þann hátt að framkvæmdastjóri og umsjónarmaður geta séð vöruflutninga í gegnum vöruhúsið í rauntíma).
Vopnaðu því vöruhúsið þitt til tannanna, tryggðu líkamlegt öryggi frá ytri óvininum og fullkomið öryggi frá þeim innri. Starfsmenn í flutningum, flutningum og vöruhúsum verða greinilega að skilja að það er eftirlit, það virkar og þeir munu næstum því refsa sjálfum sér.
*hey, ekki stinga höndum þínum inn í innviðina
Ef sagan um netþjónaherbergið og ræstingakonuna hefur þegar lifað sjálfa sig og hefur lengi flust yfir í sögur um aðrar atvinnugreinar (t.d. fór sú sama um dularfulla lokun öndunarvélarinnar á sömu deild), þá er restin enn veruleiki . Net- og upplýsingatækniöryggi lítilla og meðalstórra fyrirtækja skilur mikið eftir og það fer oft ekki eftir því hvort þú ert með þinn eigin kerfisstjóra eða boðið. Hið síðarnefnda tekst oft enn betur.
Hvað eru þá starfsmenn hér færir?
- Það skemmtilegasta og skaðlausasta er að fara í netþjónaherbergið, toga í vírana, skoða, hella tei, setja á sig óhreinindi eða reyna að stilla eitthvað sjálfur. Þetta hefur sérstaklega áhrif á „örugga og háþróaða notendur“ sem kenna samstarfsmönnum sínum hetjulega að slökkva á vírusvörn og framhjávörn á tölvu og eru vissir um að þeir séu meðfæddir guðir netþjónaherbergisins. Almennt séð er leyfilegur takmarkaður aðgangur allt þitt.
- Þjófnaður á búnaði og skipti á íhlutum. Elskar þú fyrirtækið þitt og hefur sett upp öflug skjákort fyrir alla svo innheimtukerfið, CRM og allt hitt geti virkað fullkomlega? Frábært! Aðeins slægir krakkar (og stundum stelpur) munu auðveldlega skipta þeim út fyrir heimilismódel og heima munu þeir keyra leiki á nýrri skrifstofumódel - en hálfur heimurinn mun ekki vita það. Þetta er sama sagan með lyklaborð, mýs, kælara, UPS og allt sem á einhvern hátt er hægt að skipta um innan vélbúnaðarstillingarinnar. Þar af leiðandi berðu hættuna á eignatjóni, algjöru tapi þeirra og á sama tíma færðu ekki æskilegan hraða og gæði vinnu við upplýsingakerfi og forrit. Það sem bjargar er eftirlitskerfi (ITSM kerfi) með uppstilltri stillingarstýringu), sem verður að vera útvegað ásamt óspillanlegum og reglubundnum kerfisstjóra.
Viltu kannski leita að betra öryggiskerfi? Ég er ekki viss um hvort þetta merki er nóg
- Að nota eigin mótald, aðgangsstaði eða einhvers konar sameiginlegt Wi-Fi gerir aðgang að skrám óöruggari og nánast óviðráðanlegur, sem árásarmenn geta nýtt sér (þar á meðal í samráði við starfsmenn). Jæja, að auki eru líkurnar á því að starfsmaður „með eigið internet“ eyði vinnutíma á YouTube, gamansömum síðum og samfélagsnetum mun meiri.
- Sameinuð lykilorð og innskráningar til að fá aðgang að stjórnunarsvæði síðunnar, CMS, forritahugbúnaður eru hræðilegir hlutir sem breyta vanhæfum eða illgjarnum starfsmanni í illgjarnan hefnda. Ef þú ert með 5 manns frá sama undirneti með sama notendanafn/lykilorð sem koma inn til að setja upp borða, athuga auglýsingatengla og mælikvarða, leiðrétta útlitið og hlaða upp uppfærslu, þú munt aldrei giska á hver þeirra breytti CSS óvart í a grasker. Þess vegna: mismunandi innskráningar, mismunandi lykilorð, skráning aðgerða og aðgreining á aðgangsrétti.
- Það þarf varla að fjölyrða um leyfislausan hugbúnaðinn sem starfsmenn draga inn á tölvur sínar til að breyta nokkrum myndum á vinnutíma eða búa til eitthvað mjög áhugamálstengt. Hefurðu ekki heyrt um skoðun á deild „K“ hjá Innanríkisráðuneytinu? Þá kemur hún til þín!
- Vírusvörnin ætti að virka. Já, sumir þeirra geta hægt á tölvunni þinni, pirrað þig og virðast almennt vera merki um hugleysi, en það er betra að koma í veg fyrir það en að borga seinna með niður í miðbæ eða, það sem verra er, stolnum gögnum.
- Viðvaranir stýrikerfis um hættuna af því að setja upp forrit ætti ekki að hunsa. Í dag er það spurning um sekúndur og mínútur að hala niður einhverju fyrir vinnuna. Til dæmis Direct.Commander eða AdWords ritstjóri, einhver SEO flokkari osfrv. Ef allt er meira og minna skýrt með Yandex og Google vörur, þá getur annar picreizer, ókeypis vírushreinsiefni, myndbandaritill með þremur áhrifum, skjámyndir, Skype upptökutæki og önnur „smá forrit“ skaðað bæði einstaka tölvu og allt fyrirtækisnetið . Þjálfa notendur að lesa það sem tölvan vill frá þeim áður en þeir hringja í kerfisstjórann og segja að "allt sé dautt." Í sumum fyrirtækjum er málið leyst á einfaldan hátt: margar niðurhalaðar gagnlegar tólar eru geymdar á nethlutanum og listi yfir viðeigandi netlausnir er einnig birtur þar.
- BYOD stefnan eða öfugt sú stefna að leyfa notkun vinnutækja utan skrifstofunnar er mjög vond hlið öryggisins. Í þessu tilviki hafa ættingjar, vinir, börn, opinber óvarin netkerfi o.s.frv. aðgang að tækninni. Þetta er eingöngu rússnesk rúlletta - þú getur farið í 5 ár og komist af, en þú getur tapað eða skemmt öll skjöl þín og verðmætar skrár. Jæja, að auki, ef starfsmaður hefur illgjarn ásetning, er það eins auðvelt og að senda tvö bæti til að leka gögnum með „gangandi“ búnaði. Þú þarft líka að muna að starfsmenn flytja oft skrár á milli einkatölva sinna, sem aftur getur skapað öryggisgat.
- Að læsa tækjunum þínum á meðan þú ert í burtu er góð venja fyrir bæði fyrirtæki og persónulega notkun. Aftur, það verndar þig fyrir forvitnum samstarfsmönnum, kunningjum og boðflenna á opinberum stöðum. Það er erfitt að venjast þessu, en á einum af vinnustöðum mínum varð ég fyrir dásamlegri reynslu: samstarfsmenn nálguðust ólæsta tölvu og Paint var opnað yfir allan gluggann með áletruninni „Læstu tölvunni!“ og eitthvað breyttist í vinnunni, til dæmis var síðasta dælda samsetningin rifin eða síðasti gallinn fjarlægður (þetta var prófunarhópur). Það er grimmt, en 1-2 sinnum dugði jafnvel fyrir þá sem eru mest úr tré. Þó mig grunar að fólk sem er ekki í upplýsingatækni skilji kannski ekki svona húmor.
- En versta syndin liggur auðvitað hjá kerfisstjóra og stjórnendum - ef þeir nota afdráttarlaust ekki umferðarstjórnunarkerfi, búnað, leyfi o.s.frv.
Þetta er auðvitað grunnur, því upplýsingatækniinnviðirnir eru einmitt staðurinn þar sem því lengra inn í skóginn, því meira er eldivið. Og allir ættu að hafa þennan grunn og ekki skipta út orðunum „við treystum öll hvert öðru“, „við erum fjölskylda“, „sem þarfnast þess“ - því miður, þetta er í bili.
Þetta er internetið elskan, þeir geta vitað mikið um þig.
Það er kominn tími til að innleiða örugga umgengni um internetið í lífsöryggisnámskeiðinu í skólanum - og þetta snýst alls ekki um þær ráðstafanir sem við erum á kafi í utan frá. Þetta snýst einmitt um hæfileikann til að greina tengil frá hlekk, skilja hvar er vefveiðar og hvar er svindl, ekki opna viðhengi í tölvupósti með efninu „Afstemmingarskýrsla“ frá ókunnu heimilisfangi án þess að skilja það o.s.frv. Að vísu virðist sem skólafólkið hafi þegar náð tökum á þessu öllu, en starfsmenn ekki. Það eru fullt af brellum og mistökum sem geta stofnað öllu fyrirtækinu í hættu í einu.
- Samfélagsnet eru hluti af internetinu sem á engan stað í vinnunni, en að loka fyrir þau á fyrirtækisstigi árið 2019 er óvinsæl og örvandi ráðstöfun. Þess vegna þarftu bara að skrifa öllum starfsmönnum hvernig á að athuga ólögmæti tengla, segja þeim frá tegundum svika og biðja þá um að vinna í vinnunni.
- Póstur er sár blettur og kannski vinsælasta leiðin til að stela upplýsingum, planta spilliforritum og smita tölvu og allt netið. Því miður, margir vinnuveitendur telja tölvupóstforritið vera kostnaðarsparandi tól og nota ókeypis þjónustu sem fá 200 ruslpóst á dag sem komast í gegnum síur o.s.frv. Og sumir óábyrgir menn opna slík bréf og viðhengi, tengla, myndir - greinilega vona þeir að svarti prinsinn hafi skilið eftir arf til þeirra. Eftir það hefur stjórnandinn mikla, mikla vinnu. Eða var það hugsað þannig? Við the vegur, önnur grimm saga: í einu fyrirtæki, fyrir hvert ruslpóstsbréf til kerfisstjórans, var KPI lækkað. Almennt séð, eftir mánuð var enginn ruslpóstur - venjan var samþykkt af móðurfélaginu og það er enn enginn ruslpóstur. Við leystum þetta mál á glæsilegan hátt - við þróuðum okkar eigin tölvupóstforrit og byggðum hann inn í okkar eigin , svo allir viðskiptavinir okkar fá líka svo þægilegan eiginleika.
Næst þegar þú færð undarlegan tölvupóst með bréfaklemmu tákni skaltu ekki smella á það!
- Sendiboðar eru líka uppspretta alls kyns óöruggra tengla, en þetta er mun minna illt en póstur (án tíma sem sóað er að spjalla í spjalli).
Svo virðist sem þetta séu allt smámunir. Hins vegar getur hver af þessum litlu hlutum haft hörmulegar afleiðingar, sérstaklega ef fyrirtæki þitt er skotmark keppinautar. Og þetta getur gerst fyrir bókstaflega hvern sem er.
Snilldar starfsmenn
Þetta er mjög mannlegi þátturinn sem erfitt verður fyrir þig að losna við. Starfsmenn geta rætt um vinnu á ganginum, á kaffihúsi, á götunni, heima hjá viðskiptavinum, talað hátt um annan viðskiptavin, talað um vinnuafrek og verkefni heima. Auðvitað eru líkurnar á því að keppinautur standi fyrir aftan þig hverfandi (ef þú ert ekki í sömu viðskiptamiðstöð - þetta hefur gerst), en möguleikinn á því að strákur sem segir viðskiptamál sín skýrt verður tekin upp á snjallsíma og birt á YouTube er, einkennilega nóg, hærra. En þetta er líka kjaftæði. Það er ekki kjaftæði þegar starfsmenn þínir kynna fúslega upplýsingar um vöru eða fyrirtæki á þjálfun, ráðstefnum, fundum, faglegum vettvangi eða jafnvel á Habré. Þar að auki kallar fólk oft andstæðinga sína vísvitandi í slík samtöl til að stunda samkeppnisgreind.
Afhjúpandi saga. Á einni upplýsingatækniráðstefnu á vetrarbrautinni lagði deildarfyrirlesarinn upp á glæru heildarmynd af skipulagi upplýsingatækniinnviða stórs fyrirtækis (20 efstu). Áætlunin var mjög áhrifamikil, einfaldlega kosmísk, næstum allir mynduðu það og það flaug samstundis yfir samfélagsnet með frábærum dómum. Jæja, þá náði ræðumaðurinn þá með því að nota landmerki, standa, samfélagsmiðla. net þeirra sem settu það inn og báðu um að vera eytt, því þeir hringdu í hann nokkuð fljótt og sögðu ah-ta-ta. Spjallbox er guðsgjöf fyrir njósnara.
Fáfræði... leysir þig undan refsingu
Samkvæmt alþjóðlegri skýrslu Kaspersky Lab árið 2017 um fyrirtæki sem lenda í netöryggisatvikum á 12 mánaða tímabili, var einn af hverjum tíu (11%) af alvarlegustu atvikategundunum kærulaus og óupplýstur starfsmenn.
Ekki gera ráð fyrir að starfsmenn viti allt um öryggisráðstafanir fyrirtækja, vertu viss um að vara þá við, veita þjálfun, búa til áhugaverð fréttabréf reglulega um öryggismál, halda fundi yfir pizzu og skýra málin aftur. Og já, flott lífshakk - merktu allar prentaðar og rafrænar upplýsingar með litum, skiltum, áletrunum: viðskiptaleyndarmál, leyndarmál, til opinberrar notkunar, almennur aðgangur. Þetta virkar virkilega.
Nútímaheimurinn hefur sett fyrirtæki í mjög viðkvæma stöðu: Nauðsynlegt er að halda jafnvægi á milli löngunar starfsmannsins til að vinna ekki bara hörðum höndum í vinnunni, heldur einnig að fá afþreyingarefni í bakgrunni/í hléum, og strangra öryggisreglna fyrirtækja. Ef þú kveikir á ofstjórn og vitlausum rekjaforritum (já, ekki innsláttarvillu - þetta er ekki öryggi, þetta er ofsóknaræði) og myndavélar fyrir aftan bakið á þér, þá mun traust starfsmanna á fyrirtækinu minnka, en að viðhalda trausti er líka öryggistæki fyrirtækja.
Þess vegna skaltu vita hvenær á að hætta, virða starfsmenn þína og taka öryggisafrit. Og síðast en ekki síst, setja öryggi í forgang, ekki persónulega ofsóknarbrjálæði.
Ef þú þarft og berðu saman getu þeirra við markmið þín og markmið. Ef þú hefur einhverjar spurningar eða erfiðleika, skrifaðu eða hringdu, við munum skipuleggja einstaklingsbundna kynningu á netinu fyrir þig - án einkunna eða bjalla og flauta.
, þar sem við, án auglýsinga, skrifum ekki alveg formlega hluti um CRM og viðskipti.
Heimild: www.habr.com