Nel 2008 ho potuto visitare un'azienda informatica. C'era una sorta di tensione malsana in ogni dipendente. Il motivo si è rivelato semplice: i telefoni cellulari sono in una scatola all'ingresso dell'ufficio, c'è una telecamera dietro la schiena, 2 grandi telecamere aggiuntive che "guardano" l'ufficio e un software di monitoraggio con un keylogger. E sì, questa non è l'azienda che ha sviluppato SORM o sistemi di supporto vitale per aerei, ma semplicemente uno sviluppatore di software applicativo aziendale, ora assorbito, schiacciato e non più esistente (il che sembra logico). Se ora ti stai allungando e pensi che nel tuo ufficio con amache e M&M in vasi non sia assolutamente così, potresti sbagliarti di grosso - è solo che in 11 anni il controllo ha imparato ad essere invisibile e corretto, senza resa dei conti siti visitati e film scaricati.
Quindi è davvero impossibile senza tutto questo, ma che dire della fiducia, della lealtà, della fiducia nelle persone? Che ci crediate o no, ci sono altrettante aziende senza misure di sicurezza. Ma i dipendenti riescono a sbagliare sia qua che là, semplicemente perché il fattore umano può distruggere mondi, non solo la tua azienda. Allora, dove possono combinare guai i tuoi dipendenti?
Questo è un post poco serio, che ha esattamente due funzioni: rallegrare un po' la vita di tutti i giorni e ricordarvi le cose fondamentali per la sicurezza che spesso vengono dimenticate. Oh, e ancora una volta te lo ricordano — Questo software non è forse il limite della sicurezza? 🙂
Andiamo in modalità casuale!
Password, password, password...
Ne parli e un'ondata di indignazione arriva: come è possibile, lo hanno detto tante volte al mondo, ma le cose sono ancora lì! Nelle aziende di tutti i livelli, dai singoli imprenditori alle multinazionali, questo è un punto molto dolente. A volte mi sembra che se domani costruissero una vera Morte Nera, ci sarebbe qualcosa come admin/admin nel pannello di amministrazione. Allora cosa possiamo aspettarci dagli utenti ordinari, per i quali la propria pagina VKontakte è molto più costosa di un account aziendale? Ecco i punti da verificare:
- Scrivere password su pezzi di carta, sul retro della tastiera, sul monitor, sul tavolo sotto la tastiera, su un adesivo sotto il mouse (astuto!) - i dipendenti non dovrebbero mai farlo. E non perché un terribile hacker entrerà e scaricherà tutto 1C su una chiavetta USB durante il pranzo, ma perché potrebbe esserci un Sasha offeso in ufficio che se ne andrà e farà qualcosa di sporco o porterà via le informazioni per l'ultima volta . Perché non farlo al tuo prossimo pranzo?
Questo è ciò che? Questa cosa memorizza tutte le mie password
- Impostazione di semplici password per accedere al PC e ai programmi di lavoro. Date di nascita, qwerty123 e persino asdf sono combinazioni che appartengono a Jokes e Bashorg e non al sistema di sicurezza aziendale. Imposta i requisiti per le password e la loro lunghezza e imposta la frequenza di sostituzione.
Una password è come la biancheria intima: cambiala spesso, non condividerla con gli amici, meglio lunga, sii misteriosa, non spargerla ovunque
- Le password di accesso predefinite al programma del fornitore sono errate, se non altro perché quasi tutti i dipendenti del fornitore le conoscono, e se hai a che fare con un sistema basato sul web nel cloud, non sarà difficile per nessuno ottenere i dati. Soprattutto se hai anche una sicurezza di rete a livello “non tirare il cavo”.
- Spiega ai dipendenti che il suggerimento per la password nel sistema operativo non dovrebbe assomigliare a "il mio compleanno", "nome della figlia", "Gvoz-dika-78545-ap#1! in inglese." o "quarti e uno e uno zero".
Il mio gatto mi dà delle password fantastiche! Sta camminando sulla mia tastiera
Accesso fisico ai casi
Come organizza la vostra azienda l'accesso alla documentazione contabile e del personale (ad esempio, ai fascicoli personali dei dipendenti)? Fammi indovinare: se è una piccola impresa, allora nel reparto contabilità o nell'ufficio del capo in cartelle sugli scaffali o in un armadio; se è una grande impresa, allora nel reparto risorse umane sugli scaffali. Ma se è molto grande, molto probabilmente è tutto corretto: un ufficio separato o un blocco con chiave magnetica, dove solo alcuni dipendenti hanno accesso e per arrivarci è necessario chiamare uno di loro ed entrare in questo nodo in loro presenza. Non c'è niente di difficile nel realizzare tale protezione in qualsiasi attività, o almeno imparare a non scrivere la password della cassaforte dell'ufficio con il gesso sulla porta o sul muro (tutto si basa su eventi reali, non ridere).
Perché è importante? In primo luogo, i lavoratori hanno un desiderio patologico di scoprire le cose più segrete gli uni degli altri: stato civile, stipendio, diagnosi mediche, istruzione, ecc. Questo è un vero compromesso nella competizione per gli uffici. E non trarrai assolutamente alcun beneficio dai litigi che sorgeranno quando la stilista Petya scoprirà che guadagna 20mila meno della stilista Alice. In secondo luogo, i dipendenti possono accedere alle informazioni finanziarie dell’azienda (bilanci, relazioni annuali, contratti). In terzo luogo, qualcosa può semplicemente essere perso, danneggiato o rubato per coprire le tracce nella propria storia lavorativa.
Un magazzino dove qualcuno è una perdita, qualcuno è un tesoro
Se hai un magazzino, considera che prima o poi incontrerai sicuramente dei criminali: così funziona semplicemente la psicologia di una persona che vede un grande volume di prodotti e crede fermamente che un po' di tanto non sia una rapina, ma condivisione. E un'unità di merce di questo mucchio può costare 200mila, o 300mila, o diversi milioni. Sfortunatamente, nulla può fermare il furto se non un controllo e una contabilità pedanti e totali: telecamere, accettazione e cancellazione tramite codici a barre, automazione della contabilità di magazzino (ad esempio, nel nostro la contabilità di magazzino è organizzata in modo tale che il direttore e il supervisore possano vedere in tempo reale la movimentazione delle merci nel magazzino).
Armate quindi fino ai denti il vostro magazzino, assicuratevi la sicurezza fisica dal nemico esterno e la sicurezza completa da quello interno. I dipendenti dei trasporti, della logistica e dei magazzini devono capire chiaramente che il controllo esiste, funziona e quasi si puniranno.
*ehi, non mettere le mani nell'infrastruttura
Se la storia della sala server e della donna delle pulizie è già sopravvissuta a se stessa ed è migrata da tempo verso racconti di altri settori (ad esempio, la stessa ha parlato dello spegnimento mistico del ventilatore nello stesso reparto), allora il resto rimane realtà . La sicurezza della rete e dell'IT delle piccole e medie imprese lascia molto a desiderare e spesso non dipende dal fatto che si abbia un proprio amministratore di sistema o uno invitato. Quest'ultimo spesso se la cava ancora meglio.
Allora di cosa sono capaci i dipendenti qui?
- La cosa più bella e innocua è andare nella sala server, tirare i fili, guardare, versare il tè, applicare lo sporco o provare a configurare qualcosa da soli. Ciò colpisce soprattutto gli "utenti sicuri e avanzati" che insegnano eroicamente ai loro colleghi a disabilitare l'antivirus e bypassare la protezione su un PC e sono sicuri di essere dei innati della sala server. In generale, l'accesso limitato autorizzato è tutto per te.
- Furto di attrezzature e sostituzione di componenti. Ami la tua azienda e hai installato schede video potenti per tutti affinché il sistema di fatturazione, il CRM e tutto il resto funzionino perfettamente? Grande! Solo i ragazzi astuti (e talvolta le ragazze) li sostituiranno facilmente con un modello domestico, e a casa eseguiranno i giochi su un nuovo modello di ufficio, ma metà del mondo non lo saprà. È la stessa storia con tastiere, mouse, dispositivi di raffreddamento, UPS e tutto ciò che può in qualche modo essere sostituito all'interno della configurazione hardware. Di conseguenza, si corre il rischio di danni alla proprietà, della sua completa perdita e allo stesso tempo non si ottiene la velocità e la qualità desiderate del lavoro con i sistemi informativi e le applicazioni. Ciò che salva è un sistema di monitoraggio (sistema ITSM) con controllo della configurazione configurato), che deve essere fornito completo di un amministratore di sistema incorruttibile e di principio.
Forse vuoi cercare un sistema di sicurezza migliore? Non sono sicuro che questo segno sia sufficiente
- L'utilizzo dei propri modem, punti di accesso o qualche tipo di Wi-Fi condiviso rende l'accesso ai file meno sicuro e praticamente incontrollabile, di cui possono approfittare gli aggressori (anche in collusione con i dipendenti). Ebbene, inoltre, la probabilità che un dipendente “con la propria Internet” trascorra ore di lavoro su YouTube, siti umoristici e social network è molto più alta.
- Password e accessi unificati per l'accesso all'area di amministrazione del sito, al CMS, al software applicativo sono cose terribili che trasformano un dipendente inetto o malintenzionato in un inafferrabile vendicatore. Se hai 5 persone dalla stessa sottorete con lo stesso nome utente/password che entrano per inserire un banner, controllare i collegamenti pubblicitari e le metriche, correggere il layout e caricare un aggiornamento, non indovinerai mai chi di loro ha accidentalmente trasformato il CSS in un zucca. Quindi: login diversi, password diverse, registrazione delle azioni e differenziazione dei diritti di accesso.
- Inutile parlare dei software senza licenza che i dipendenti trascinano sui loro PC per modificare un paio di foto durante l'orario di lavoro o creare qualcosa di molto hobbistico. Non hai sentito parlare dell'ispezione del dipartimento "K" della direzione centrale degli affari interni? Poi lei viene da te!
- L'antivirus dovrebbe funzionare. Sì, alcuni di essi possono rallentare il tuo PC, irritarti e in generale sembrare un segno di codardia, ma è meglio prevenirlo piuttosto che poi pagare con tempi di inattività o, peggio, con dati rubati.
- Gli avvisi del sistema operativo sui pericoli derivanti dall'installazione di un'applicazione non dovrebbero essere ignorati. Oggi scaricare qualcosa per lavoro è questione di secondi e minuti. Ad esempio, Direct.Commander o l'editor AdWords, alcuni parser SEO, ecc. Se tutto è più o meno chiaro con i prodotti Yandex e Google, allora un altro picreizer, un pulitore di virus gratuito, un editor video con tre effetti, screenshot, registratori Skype e altri "piccoli programmi" possono danneggiare sia un singolo PC che l'intera rete aziendale . Insegna agli utenti a leggere ciò che il computer vuole da loro prima di chiamare l'amministratore di sistema e dire che "tutto è morto". In alcune aziende, il problema viene risolto semplicemente: molte utilità utili scaricate vengono archiviate nella condivisione di rete e lì viene anche pubblicato un elenco di soluzioni online adatte.
- La politica BYOD o, al contrario, la politica che consente l’uso delle attrezzature di lavoro al di fuori dell’ufficio è un lato molto negativo della sicurezza. In questo caso hanno accesso alla tecnologia parenti, amici, figli, reti pubbliche non protette, ecc. Questa è puramente roulette russa: puoi resistere per 5 anni e farcela, ma puoi perdere o danneggiare tutti i tuoi documenti e file preziosi. Ebbene, inoltre, se un dipendente ha intenzioni dannose, è facile come inviare due byte per far trapelare dati con apparecchiature "ambulanti". È inoltre necessario ricordare che i dipendenti spesso trasferiscono file tra i loro personal computer, il che può creare ancora una volta lacune nella sicurezza.
- Bloccare i tuoi dispositivi mentre sei lontano è una buona abitudine sia per uso aziendale che personale. Ancora una volta, ti protegge da colleghi curiosi, conoscenti e intrusi nei luoghi pubblici. È difficile abituarsi a questo, ma in uno dei miei luoghi di lavoro ho avuto un'esperienza meravigliosa: i colleghi si sono avvicinati a un PC sbloccato e Paint si è aperto su tutta la finestra con la scritta "Blocca il computer!" e qualcosa è cambiato nel lavoro, ad esempio, l'ultimo gruppo pompato è stato demolito o l'ultimo bug introdotto è stato rimosso (questo era un gruppo di test). È crudele, ma 1-2 volte sono bastate anche per quelle più legnose. Anche se, sospetto, le persone non informatiche potrebbero non capire questo umorismo.
- Ma il peccato peggiore, ovviamente, spetta all'amministratore e alla direzione del sistema, se non utilizzano categoricamente sistemi di controllo del traffico, attrezzature, licenze, ecc.
Questa è ovviamente una base, perché l'infrastruttura IT è proprio il luogo dove più ci si addentra nel bosco, più legna da ardere si trova. E tutti dovrebbero avere questa base, e non essere sostituiti dalle parole "ci fidiamo tutti l'uno dell'altro", "siamo una famiglia", "chi ne ha bisogno" - ahimè, questo è per il momento.
Questa è Internet, tesoro, possono sapere molto di te.
È ora di introdurre la gestione sicura di Internet nel corso sulla sicurezza della vita a scuola - e non si tratta affatto delle misure in cui siamo immersi dall'esterno. Si tratta specificamente della capacità di distinguere un collegamento da un collegamento, capire dove si trova il phishing e dov'è una truffa, non aprire allegati e-mail con oggetto "Rapporto di riconciliazione" da un indirizzo sconosciuto senza capirlo, ecc. Anche se, a quanto pare, gli scolari hanno già imparato tutto questo, ma i dipendenti no. Ci sono molti trucchi ed errori che possono mettere a repentaglio l'intera azienda in una volta.
- I social network sono una sezione di Internet che non trova spazio nel mondo del lavoro, ma bloccarli a livello aziendale nel 2019 è una misura impopolare e demotivante. Pertanto, devi solo scrivere a tutti i dipendenti come verificare l'illegalità dei collegamenti, informarli dei tipi di frode e chiedere loro di lavorare sul posto di lavoro.
- La posta è un punto dolente e forse il modo più diffuso per rubare informazioni, installare malware e infettare un PC e l'intera rete. Purtroppo, molti datori di lavoro considerano il client di posta elettronica uno strumento di risparmio sui costi e utilizzano servizi gratuiti che ricevono 200 e-mail di spam al giorno che superano i filtri, ecc. E alcune persone irresponsabili aprono tali lettere e allegati, collegamenti, immagini - a quanto pare sperano che il principe nero abbia lasciato loro un'eredità. Dopodiché l'amministratore ha molto, molto lavoro. Oppure era previsto così? A proposito, un'altra storia crudele: in un'azienda, per ogni lettera di spam inviata all'amministratore di sistema, il KPI veniva ridotto. In generale, dopo un mese non c'è più spam: la pratica è stata adottata dall'organizzazione madre e ancora non c'è spam. Abbiamo risolto questo problema in modo elegante: abbiamo sviluppato il nostro client di posta elettronica e lo abbiamo integrato nel nostro , quindi anche tutti i nostri clienti ricevono una funzionalità così conveniente.
La prossima volta che ricevi una strana email con il simbolo di una graffetta, non cliccarci sopra!
- Anche i messenger sono una fonte di tutti i tipi di collegamenti non sicuri, ma questo è molto meno dannoso della posta (senza contare il tempo sprecato a chiacchierare nelle chat).
Sembra che queste siano tutte piccole cose. Tuttavia, ognuna di queste piccole cose può avere conseguenze disastrose, soprattutto se la tua azienda è il bersaglio dell’attacco di un concorrente. E questo può succedere letteralmente a chiunque.
Dipendenti chiacchieroni
Questo è proprio il fattore umano di cui sarà difficile per te sbarazzarti. I dipendenti possono discutere di lavoro nel corridoio, in un bar, per strada, a casa di un cliente, parlare ad alta voce di un altro cliente, parlare di risultati lavorativi e progetti a casa. Naturalmente, la probabilità che un concorrente sia alle tue spalle è trascurabile (se non ti trovi nello stesso centro commerciale, questo è successo), ma la possibilità che un ragazzo che afferma chiaramente i suoi affari venga filmato su uno smartphone e pubblicato su YouTube è, stranamente, più alto. Ma anche questa è una stronzata. Non è una stronzata quando i tuoi dipendenti presentano volontariamente informazioni su un prodotto o un’azienda durante corsi di formazione, conferenze, incontri, forum professionali o persino su Habré. Inoltre, le persone spesso chiamano deliberatamente i loro avversari a tali conversazioni per condurre intelligence competitiva.
Una storia rivelatrice. In una conferenza IT su scala galattica, il relatore della sezione ha presentato su una diapositiva un diagramma completo dell'organizzazione dell'infrastruttura IT di una grande azienda (top 20). Lo schema era davvero impressionante, semplicemente cosmico, quasi tutti lo hanno fotografato ed è subito volato sui social network con recensioni entusiastiche. Bene, allora l'oratore li ha colti usando geotag, stand, social media. reti di coloro che lo hanno pubblicato e hanno implorato di essere cancellato, perché lo hanno chiamato abbastanza velocemente e hanno detto ah-ta-ta. Un chiacchierone è una manna dal cielo per una spia.
L'ignoranza... ti libera dalla punizione
Secondo il report globale 2017 di Kaspersky Lab sulle aziende che hanno subito incidenti di sicurezza informatica in un periodo di 12 mesi, uno su dieci (11%) dei tipi di incidenti più gravi ha coinvolto dipendenti negligenti e disinformati.
Non dare per scontato che i dipendenti sappiano tutto sulle misure di sicurezza aziendali, assicurati di avvisarli, fornire formazione, creare newsletter periodiche interessanti su questioni di sicurezza, tenere riunioni davanti a una pizza e chiarire nuovamente le questioni. E sì, un fantastico trucchetto: contrassegna tutte le informazioni stampate ed elettroniche con colori, segni, iscrizioni: segreto commerciale, segreto, per uso ufficiale, accesso generale. Funziona davvero.
Il mondo moderno ha messo le aziende in una posizione molto delicata: è necessario mantenere un equilibrio tra il desiderio del dipendente non solo di lavorare sodo, ma anche di ricevere contenuti di intrattenimento in sottofondo/durante le pause, e rigide regole di sicurezza aziendale. Se attivi programmi di ipercontrollo e tracciamento idioti (sì, non un errore di battitura - questa non è sicurezza, questa è paranoia) e telecamere dietro la schiena, la fiducia dei dipendenti nell'azienda diminuirà, ma mantenere la fiducia è anche uno strumento di sicurezza aziendale.
Pertanto, sappi quando fermarti, rispetta i tuoi dipendenti e fai backup. E, cosa più importante, dare priorità alla sicurezza e non alla paranoia personale.
Se hai bisogno e confrontare le loro capacità con i tuoi scopi e obiettivi. Se avete domande o difficoltà, scrivete o chiamate, organizzeremo per voi una presentazione online individuale - senza valutazioni né fronzoli.
, in cui, senza pubblicità, scriviamo cose non del tutto formali su CRM e business.
Fonte: habr.com