Il 31 marzo è la Giornata internazionale del backup e la settimana precedente è sempre ricca di storie legate alla sicurezza. Lunedì abbiamo già saputo dell'Asus compromessa e di "tre produttori senza nome". Le aziende particolarmente superstiziose siedono tutta la settimana sugli spilli e sugli aghi, facendo backup. E tutto perché siamo tutti un po' negligenti in termini di sicurezza: qualcuno dimentica di allacciare la cintura di sicurezza sul sedile posteriore, qualcuno ignora la data di scadenza dei prodotti, qualcuno memorizza login e password sotto la tastiera o, meglio ancora, annota tutte le password in un taccuino. Alcuni individui riescono a disattivare gli antivirus “per non rallentare il computer” e a non utilizzare la separazione dei diritti di accesso ai sistemi aziendali (quali segreti in un'azienda di 50 persone!). Probabilmente, l'umanità semplicemente non ha ancora sviluppato l'istinto di cyber-autoconservazione, che, in linea di principio, può diventare un nuovo istinto di base.
Nemmeno il mondo degli affari ha sviluppato tali istinti. Una semplice domanda: un sistema CRM è una minaccia alla sicurezza informatica o uno strumento di sicurezza? È improbabile che qualcuno dia subito una risposta precisa. Qui dobbiamo iniziare, come ci è stato insegnato durante le lezioni di inglese: dipende... Dipende dalle impostazioni, dalla forma di fornitura del CRM, dalle abitudini e convinzioni del fornitore, dal grado di disprezzo dei dipendenti, dalla sofisticatezza degli aggressori . Dopotutto, tutto può essere violato. Allora come vivere?
Questa è la sicurezza delle informazioni nelle piccole e medie imprese
Sistema CRM come protezione
La protezione dei dati commerciali e operativi e l'archiviazione sicura della base clienti è uno dei compiti principali di un sistema CRM e in questo è al di sopra di tutti gli altri software applicativi dell'azienda.
Sicuramente hai iniziato a leggere questo articolo e hai sorriso nel profondo, dicendo, chi ha bisogno delle tue informazioni. Se è così, probabilmente non ti sei occupato delle vendite e non sai quanto siano richieste le basi di clienti "dal vivo" e di alta qualità e le informazioni sui metodi di lavoro con questa base. I contenuti del sistema CRM interessano non solo il management aziendale, ma anche:
- Attaccanti (meno spesso): hanno un obiettivo correlato specificamente alla tua azienda e utilizzeranno tutte le risorse per ottenere dati: corruzione di dipendenti, pirateria informatica, acquisto dei tuoi dati dai manager, interviste ai manager, ecc.
- Dipendenti (più spesso) che possono agire come addetti ai lavori per i tuoi concorrenti. Sono semplicemente pronti a portare via o vendere la propria base di clienti per il proprio profitto.
- Per gli hacker dilettanti (molto raramente): potresti essere violato nel cloud in cui si trovano i tuoi dati o la rete viene violata, o forse qualcuno vuole "estrarre" i tuoi dati per divertimento (ad esempio, dati su grossisti di prodotti farmaceutici o di alcol - semplicemente interessante da vedere).
Se qualcuno entra nel tuo CRM, avrà accesso alle tue attività operative, cioè al volume di dati con cui realizzi la maggior parte dei tuoi profitti. E dal momento in cui viene ottenuto l'accesso dannoso al sistema CRM, i profitti iniziano a sorridere a colui nelle cui mani finisce la base clienti. Bene, o i suoi partner e clienti (leggi - nuovi datori di lavoro).
Buono, affidabile è in grado di coprire questi rischi e fornire una serie di piacevoli bonus nel campo della sicurezza.
Cosa può fare quindi un sistema CRM in termini di sicurezza?
(te lo spieghiamo con un esempio, Perché Non possiamo essere responsabili per gli altri)
- Autenticazione a due fattori tramite chiave USB e password. supporta la modalità di autorizzazione utente a due fattori quando si accede al sistema. In questo caso, quando si accede al sistema, oltre a inserire la password, è necessario inserire nella porta USB del computer una chiave USB precedentemente inizializzata. La modalità di autorizzazione a due fattori aiuta a proteggere dal furto o dalla divulgazione della password.
cliccabile
- Esegui da indirizzi IP e indirizzi MAC attendibili. Per una maggiore sicurezza, è possibile impedire agli utenti di accedere solo da indirizzi IP e indirizzi MAC registrati. Sia gli indirizzi IP interni alla rete locale che gli indirizzi esterni possono essere utilizzati come indirizzi IP se l'utente si connette da remoto (tramite Internet).
- autorizzazione del dominio (autorizzazione Windows). L'avvio del sistema può essere configurato in modo che la password dell'utente non sia richiesta al momento del login. In questo caso, l'autorizzazione avviene Windowsche identifica l'utente tramite WinAPI. Il sistema verrà eseguito con l'utente il cui profilo è associato al computer all'avvio.
- Un altro meccanismo è clienti privati. I clienti privati sono clienti che possono essere visti solo dal loro supervisore. Questi client non verranno visualizzati negli elenchi di altri utenti, anche se gli altri utenti dispongono di autorizzazioni complete, inclusi i diritti di amministratore. In questo modo potrete tutelare, ad esempio, un pool di clienti particolarmente importanti o un gruppo per altro motivo, che sarà affidato a un manager affidabile.
- Meccanismo di ripartizione dei diritti di accesso — una misura di sicurezza standard e primaria nel CRM. Per semplificare il processo di amministrazione dei diritti utente, in i diritti non vengono assegnati a utenti specifici, ma a modelli. E all'utente stesso viene assegnato l'uno o l'altro modello, che ha un certo insieme di diritti. Ciò consente a ciascun dipendente, dai nuovi assunti agli stagisti fino ai direttori, di assegnare autorizzazioni e diritti di accesso che consentiranno/impediranno loro di accedere a dati sensibili e informazioni aziendali sensibili.
- Sistema di backup automatico dei dati (backup)configurabile tramite script server .
Questa è l'implementazione della sicurezza utilizzando un unico sistema come esempio, ogni fornitore ha le proprie politiche. Tuttavia, il sistema CRM protegge davvero le tue informazioni: puoi vedere chi ha redatto questo o quel report e a che ora, chi ha visualizzato quali dati, chi li ha scaricati e molto altro ancora. Anche se scopri la vulnerabilità dopo il fatto, non lascerai l'atto impunito e potrai facilmente identificare il dipendente che ha abusato della fiducia e della lealtà dell'azienda.
Sei rilassato? Presto! Questa stessa protezione può funzionare contro di te se sei negligente e ignori i problemi di protezione dei dati.
Il sistema CRM come minaccia
Se la tua azienda ha almeno un PC, questo è già una fonte di minaccia informatica. Di conseguenza, il livello di minaccia aumenta con il numero di postazioni di lavoro (e di dipendenti) e con la varietà di software installati e utilizzati. E le cose non sono facili con i sistemi CRM: dopotutto, si tratta di un programma progettato per archiviare ed elaborare la risorsa più importante e costosa: una base clienti e informazioni commerciali, e qui stiamo raccontando storie dell'orrore sulla sua sicurezza. In effetti, da vicino non tutto è così cupo e, se gestito correttamente, non riceverai altro che beneficio e sicurezza dal sistema CRM.
Quali sono i segnali di un sistema CRM pericoloso?
Cominciamo con una breve escursione nelle nozioni di base. I CRM sono disponibili in versioni cloud e desktop. Quelli cloud sono quelli il cui DBMS (database) non si trova nella tua azienda, ma in un cloud privato o pubblico in qualche data center (ad esempio, sei seduto a Chelyabinsk e il tuo database è in esecuzione in un fantastico data center a Mosca , perché il fornitore del CRM lo ha deciso e ha un accordo con questo particolare fornitore). I desktop (noti anche come server on-premise, il che non è più così vero) basano il proprio DBMS sui propri server (no, no, non immaginare un'enorme sala server con rack costosi, molto spesso nelle piccole e medie imprese è un singolo server o anche un normale PC di moderna configurazione), cioè fisicamente nel tuo ufficio.
È possibile ottenere un accesso non autorizzato a entrambi i tipi di CRM, ma la velocità e la facilità di accesso sono diverse, soprattutto se parliamo di PMI che non si preoccupano molto della sicurezza delle informazioni.
Segnale di pericolo n. 1
Il motivo della maggiore probabilità di problemi con i dati in un sistema cloud è la relazione collegata da diversi collegamenti: tu (tenant CRM) - fornitore - fornitore (esiste una versione più lunga: tu - fornitore - outsourcer IT del fornitore - fornitore) . 3-4 collegamenti in una relazione comportano più rischi di 1-2: può verificarsi un problema da parte del venditore (modifica del contratto, mancato pagamento dei servizi del fornitore), da parte del fornitore (forza maggiore, hacking, problemi tecnici), da parte dell'outsourcer (cambio di manager o tecnico), ecc. Naturalmente, i grandi fornitori cercano di avere data center di backup, gestire i rischi e mantenere il proprio reparto DevOps, ma ciò non esclude problemi.
Il CRM desktop generalmente non viene noleggiato, ma acquistato dall'azienda; di conseguenza, il rapporto appare più semplice e trasparente: durante l'implementazione del CRM, il fornitore configura i livelli di sicurezza necessari (dalla differenziazione dei diritti di accesso e di una chiave USB fisica all'inclusione del server in un muro di cemento, ecc.) e trasferisce il controllo alla società proprietaria del CRM, che può aumentare la protezione, assumere un amministratore di sistema o contattare il proprio fornitore di software, se necessario. I problemi si riducono al lavoro con i dipendenti, alla protezione della rete e alla protezione fisica delle informazioni. Se utilizzi un CRM desktop, anche un arresto completo di Internet non interromperà il lavoro, poiché il database si trova nel tuo ufficio "domestico".
Uno dei nostri dipendenti, che ha lavorato in un'azienda che sviluppava sistemi per ufficio integrati basati su cloud, incluso CRM, parla delle tecnologie cloud. “In uno dei miei lavori, l'azienda stava creando qualcosa di molto simile a un CRM di base, ed era tutto collegato a documenti online e così via. Un giorno in GA abbiamo riscontrato un'attività anomala da uno dei nostri clienti abbonati. Immaginate la sorpresa di noi analisti quando noi, non essendo sviluppatori, ma avendo un alto livello di accesso, siamo stati semplicemente in grado di utilizzare un collegamento per aprire l'interfaccia utilizzata dal cliente, per vedere che tipo di segno popolare aveva. A proposito, sembra che il cliente non voglia che nessuno veda questi dati commerciali. Sì, era un bug e non è stato risolto per diversi anni: secondo me le cose sono ancora lì. Da allora sono un appassionato di desktop e non mi fido molto dei cloud, anche se, ovviamente, li usiamo nel lavoro e nella nostra vita personale, dove abbiamo anche avuto qualche divertente fakaps."

Dal nostro sondaggio su Habré, si tratta di dipendenti di aziende avanzate
La perdita di dati da un sistema CRM cloud può essere dovuta a perdita di dati dovuta a guasto del server, indisponibilità dei server, forza maggiore, cessazione delle attività del fornitore, ecc. Il cloud significa accesso costante e ininterrotto a Internet e la protezione deve essere senza precedenti: a livello di codice, diritti di accesso, misure aggiuntive di sicurezza informatica (ad esempio, autenticazione a due fattori).
Segnale di pericolo n. 2
Non stiamo parlando nemmeno di una caratteristica, ma di un insieme di caratteristiche legate al venditore e alle sue politiche. Elenchiamo alcuni esempi importanti che noi e i nostri dipendenti abbiamo riscontrato.
- Il fornitore può scegliere un data center non sufficientemente affidabile in cui il DBMS dei clienti “ruoterà”. Risparmierà denaro, non controllerà lo SLA, non calcolerà il carico e il risultato sarà fatale per te.
- Il venditore può negare il diritto di trasferire il servizio al data center di tua scelta. Questa è una limitazione abbastanza comune per SaaS.
- Il fornitore potrebbe avere un conflitto legale o economico con il fornitore di servizi cloud e durante la fase di “resa dei conti” le azioni di backup o, ad esempio, la velocità potrebbero essere limitate.
- Il servizio di creazione dei backup può essere fornito a un prezzo aggiuntivo. Una pratica comune di cui un cliente di un sistema CRM può venire a conoscenza solo nel momento in cui è necessario un backup, cioè nel momento più critico e vulnerabile.
- I dipendenti del fornitore possono avere accesso senza ostacoli ai dati dei clienti.
- Possono verificarsi fughe di dati di qualsiasi natura (errore umano, frode, hacker, ecc.).
Di solito questi problemi sono associati a venditori piccoli o giovani, tuttavia, quelli di grandi dimensioni si sono ripetutamente messi nei guai (cercalo su Google). Pertanto, dovresti sempre avere dalla tua parte modi per proteggere le informazioni e discutere in anticipo i problemi di sicurezza con il fornitore del sistema CRM selezionato. Anche il fatto stesso del tuo interesse per il problema costringerà già il fornitore a trattare l'implementazione nel modo più responsabile possibile (è particolarmente importante farlo se non hai a che fare con l'ufficio del venditore, ma con il suo partner, per il quale è importante concludere un contratto e ricevere una commissione, e non questi due fattori... beh avete capito).
Segnale di pericolo n. 3
Organizzazione del lavoro di sicurezza nella vostra azienda. Un anno fa scrivevamo tradizionalmente di sicurezza su Habré e conducevamo un sondaggio. Il campione non era molto ampio, ma le risposte sono indicative:

Alla fine dell’articolo forniremo i link alle nostre pubblicazioni, dove abbiamo approfondito il rapporto nel sistema “azienda-dipendente-sicurezza”, e qui forniremo un elenco di domande le cui risposte dovranno essere trovate all’interno la tua azienda (anche se non hai bisogno del CRM).
- Dove memorizzano le password i dipendenti?
- Come è organizzato l’accesso allo storage sui server aziendali?
- Come viene protetto il software che contiene informazioni commerciali e operative?
- Tutti i dipendenti hanno il software antivirus attivo?
- Quanti dipendenti hanno accesso ai dati dei clienti e quale livello di accesso ha?
- Quanti nuovi assunti avete e quanti dipendenti sono in procinto di lasciare?
- Per quanto tempo hai comunicato con i dipendenti chiave e hai ascoltato le loro richieste e reclami?
- Le stampanti sono monitorate?
- Come è organizzata la politica per connettere i propri gadget al PC e utilizzare il Wi-Fi di lavoro?
In realtà, queste sono domande fondamentali: probabilmente nei commenti verrà aggiunto l'hardcore, ma queste sono le basi, di cui anche un singolo imprenditore con due dipendenti dovrebbe conoscere le basi.
Allora come proteggersi?
- I backup sono la cosa più importante che spesso viene dimenticata o non curata. Se disponi di un sistema desktop, configura un sistema di backup dei dati con una determinata frequenza (ad esempio, per RegionSoft CRM questo può essere fatto utilizzando ) e organizzare la corretta conservazione delle copie. Se disponi di un CRM cloud, assicurati di informarti prima di concludere un contratto come è organizzato il lavoro con i backup: hai bisogno di informazioni su profondità e frequenza, posizione di archiviazione, costo del backup (spesso solo backup degli "ultimi dati per il periodo " sono gratuiti e una copia di backup completa e sicura viene fornita come servizio a pagamento). In generale, questo non è sicuramente il luogo per il risparmio o la negligenza. E sì, non dimenticare di controllare cosa viene ripristinato dai backup.
- Separazione dei diritti di accesso a livello di funzione e di dati.
- Sicurezza a livello di rete: è necessario consentire l'utilizzo del CRM solo all'interno della sottorete dell'ufficio, limitare l'accesso per i dispositivi mobili, vietare di lavorare con il sistema CRM da casa o, peggio ancora, da reti pubbliche (spazi di coworking, bar, uffici clienti , eccetera.). Fai particolare attenzione alla versione mobile: lascia che sia solo una versione notevolmente troncata per lavoro.
- Un antivirus con scansione in tempo reale è comunque necessario, ma soprattutto nel caso della sicurezza dei dati aziendali. A livello di policy, proibisci di disabilitarlo tu stesso.
- Formare i dipendenti sull’igiene informatica non è una perdita di tempo, ma una necessità urgente. È necessario trasmettere a tutti i colleghi che è importante per loro non solo avvisare, ma anche reagire correttamente alla minaccia ricevuta. Vietare l'uso di Internet o della posta elettronica in ufficio è cosa del passato e causa di acuta negatività, quindi bisognerà lavorare sulla prevenzione.
Naturalmente, utilizzando un sistema cloud, è possibile raggiungere un livello di sicurezza sufficiente: utilizzare server dedicati, configurare router e separare il traffico a livello di applicazione e di database, utilizzare sottoreti private, introdurre rigide regole di sicurezza per gli amministratori, garantire un funzionamento ininterrotto tramite backup con la massima frequenza e completezza richiesta, per monitorare la rete 24 ore su 24... Se ci pensi, non è così difficile, ma piuttosto costoso. Ma, come dimostra la pratica, solo alcune aziende, per lo più grandi, adottano tali misure. Pertanto non esitiamo a ribadirlo: sia il cloud che il desktop non dovrebbero vivere da soli; proteggete i vostri dati.
Alcuni piccoli ma importanti consigli per tutti i casi di implementazione di un sistema CRM
- Controlla le vulnerabilità del fornitore: cerca le informazioni utilizzando combinazioni di parole "Vulnerabilità del nome del fornitore", "Nome del fornitore violato", "Perdita di dati del nome del fornitore". Questo non dovrebbe essere l'unico parametro nella ricerca di un nuovo sistema CRM, ma è semplicemente necessario spuntare il sottocorteccia, ed è particolarmente importante comprendere le ragioni degli incidenti accaduti.
- Chiedi al fornitore informazioni sul data center: disponibilità, quanti sono, come è organizzato il failover.
- Imposta i token di sicurezza nel tuo CRM, monitora l'attività all'interno del sistema e i picchi insoliti.
- Disabilita l'esportazione dei report e l'accesso tramite API per i dipendenti non principali, ovvero coloro che non necessitano di queste funzioni per le loro attività regolari.
- Assicurati che il tuo sistema CRM sia configurato per registrare i processi e registrare le azioni degli utenti.
Queste sono piccole cose, ma completano perfettamente il quadro generale. E, in effetti, non ci sono piccole cose che sono sicure.
Implementando un sistema CRM garantite la sicurezza dei vostri dati, ma solo se l'implementazione viene eseguita in modo competente e le questioni relative alla sicurezza delle informazioni non vengono relegate in secondo piano. D'accordo, è stupido comprare un'auto e non controllare freni, ABS, airbag, cinture di sicurezza, EDS. Dopotutto, la cosa principale non è solo andare, ma andare in sicurezza e arrivare sani e salvi. È lo stesso con gli affari.
E ricorda: se le regole sulla sicurezza sul lavoro sono scritte con il sangue, le regole sulla sicurezza informatica aziendale sono scritte con il denaro.
Sul tema della sicurezza informatica e sul posto del sistema CRM al suo interno potete leggere i nostri articoli dettagliati:
- — una panoramica delle possibili minacce alla sicurezza nella sfera aziendale e uno schema approssimativo di rilevamento.
- — un'analisi dettagliata di come i dipendenti possono danneggiare la tua attività e di come lo fanno nella sfera commerciale.
Se stai cercando un sistema CRM, allora via . Se hai bisogno di CRM o ERP, studia attentamente i nostri prodotti e confronta le loro capacità con i tuoi scopi e obiettivi. Se avete domande o difficoltà, scrivete o chiamate, organizzeremo per voi una presentazione online individuale - senza valutazioni né fronzoli.
, in cui, senza pubblicità, scriviamo cose non del tutto formali su CRM e business.
Fonte: habr.com
