サイバーセキュリティの観点から見た CRM システム: 保護か脅威か?

31 月 50 日は国際バックアップの日で、その前の週はいつもセキュリティ関連の話題でいっぱいです。 月曜日には、私たちはすでに、侵害された Asus と「XNUMX つの名前のないメーカー」について知りました。 特に迷信深い企業は、バックアップを作成しながら、一週間中じっと座っています。 それはすべて、私たち全員がセキュリティに関して少し不注意だからです。後部座席でシートベルトを締め忘れたり、製品の使用期限を無視したり、ログイン名とパスワードをキーボードの下に保存したり、さらに良いことにメモしたりする人もいます。すべてのパスワードをノートブックに記録します。 「コンピュータの速度が低下しないように」アンチウイルスを無効にし、企業システムでのアクセス権の分離を使用しない人もいます (XNUMX 人規模の会社では、何という秘密でしょう!)。 おそらく人類は、原理的には新しい基本的な本能となり得るサイバー自己保存の本能をまだ発達させていないのでしょう。

ビジネスもそのような本能を育んでいません。 単純な質問: CRM システムは情報セキュリティの脅威ですか、それともセキュリティ ツールですか? すぐに正確に答えられる人はいないでしょう。 英語のレッスンで教えられたように、ここから始める必要があります。それは、設定、CRM 提供の形式、ベンダーの習慣や信念、従業員の無視の程度、攻撃者の巧妙さによって異なります。 。 結局のところ、あらゆるものがハッキングされる可能性があります。 では、どうやって生きればよいのでしょうか？

これが中小企業の情報セキュリティです ライブジャーナルより

保護としてのCRMシステム

商業データと運用データを保護し、顧客ベースを安全に保管することは CRM システムの主要なタスクの XNUMX つであり、この点では社内の他のすべてのアプリケーション ソフトウェアよりも優れています。

きっとあなたはこの記事を読み始めて、心の中でニヤニヤしながら、誰があなたの情報を必要としているのかと言いました。 もしそうなら、あなたはおそらく販売に携わったことがなく、「生きている」高品質の顧客ベースとこのベースと連携する方法に関する情報がどれほど需要があるのか​​を知りません。 CRM システムの内容は、会社の経営陣だけでなく、次の人々にとっても興味深いものです。  

• 攻撃者 (それほど頻繁ではありませんが) - 彼らはあなたの会社に特に関連した目標を持っており、従業員への贈収賄、ハッキング、マネージャーからのデータ購入、マネージャーへのインタビューなど、データを入手するためにあらゆるリソースを使います。
• 競合他社のインサイダーとして行動できる従業員（多くの場合）。 彼らは自分たちの利益のために顧客ベースを奪ったり、売却したりする準備ができているだけです。
• アマチュア ハッカーの場合 (非常にまれですが) - データが保存されているクラウドに侵入されたり、ネットワークがハッキングされたりする可能性があります。あるいは、誰かが面白半分であなたのデータ (たとえば、医薬品やアルコールの卸売業者に関するデータなど) を「抜き取ろう」としている可能性があります。見るだけで興味深いです）。

誰かがあなたの CRM に侵入すると、あなたの運用活動、つまり利益のほとんどを生み出すデータ量にアクセスできるようになります。 そして、CRM システムへの悪意のあるアクセスが得られた瞬間から、最終的に顧客ベースを手に入れた人に利益がもたらされ始めます。 まあ、または彼のパートナーと顧客（新しい雇用主を読んでください）。

良い、信頼できる CRMシステム はこれらのリスクをカバーし、セキュリティの分野で多くの嬉しいボーナスを提供できます。

では、CRM システムはセキュリティの観点から何ができるのでしょうか?

(例を挙げて説明します リージョンソフト CRM、 なぜなら他人に対しては責任を負いかねます）

• USB キーとパスワードを使用した XNUMX 要素認証。 リージョンソフト CRM システムへのログイン時に XNUMX 要素ユーザー認証モードをサポートします。 この場合、システムにログインする際には、パスワードの入力に加え、あらかじめ初期化したUSBキーをパソコンのUSBポートに差し込む必要があります。 XNUMX 要素認証モードは、パスワードの盗難や漏洩を防ぐのに役立ちます。

クリック可能

• 信頼できる IP アドレスと MAC アドレスから実行します。 セキュリティを強化するために、ユーザーが登録された IP アドレスおよび MAC アドレスからのみログインできないように制限できます。 ユーザーが (インターネット経由で) リモート接続する場合は、ローカル ネットワーク上の内部 IP アドレスと外部アドレスの両方を IP アドレスとして使用できます。
• ドメイン認証（Windows認証）。 ログイン時にユーザーパスワードを要求しないようにシステム起動を設定できます。 この場合、Windows 認証が行われ、WinAPI を使用してユーザーが識別されます。 システムは、システムの起動時にコンピュータが実行されているプロファイルのユーザーの下で起動されます。
• もう一つの仕組みは、 プライベートクライアント。 プライベート クライアントは、スーパーバイザのみが表示できるクライアントです。 これらのクライアントは、他のユーザーが管理者権限を含む完全な権限を持っている場合でも、他のユーザーのリストには表示されません。 このようにして、たとえば、信頼できるマネージャーに委託される、特に重要なクライアントのプールや別の理由からのグループを保護できます。
• アクセス権を分割する仕組み — CRM における標準的かつ主要なセキュリティ対策。 ユーザー権限を管理するプロセスを簡素化するには、 リージョンソフト CRM 権限は特定のユーザーではなくテンプレートに割り当てられます。 そして、ユーザー自身には、特定の権限セットを持つ XNUMX つまたは別のテンプレートが割り当てられます。 これにより、新入社員からインターン、取締役に至るまで、各従業員が機密データや機密ビジネス情報へのアクセスを許可または禁止する権限とアクセス権を割り当てることができます。
• 自動データバックアップシステム（バックアップ）スクリプトサーバー経由で設定可能 リージョンソフト アプリケーション サーバー.

これは単一のシステムを例として使用したセキュリティの実装であり、各ベンダーは独自のポリシーを持っています。 ただし、CRM システムは実際に情報を保護します。誰がどのレポートをいつ取得したか、誰がどのデータを閲覧したか、誰がダウンロードしたかなどを確認できます。 たとえ事後的に脆弱性を知ったとしても、その行為を放置することはなく、会社の信頼と忠誠心を悪用した従業員を簡単に特定できます。

リラックスしていますか？ 早い！ 不注意でデータ保護の問題を無視すると、まさにこの保護が不利に働く可能性があります。

脅威としてのCRMシステム

会社に少なくとも XNUMX 台の PC がある場合、それはすでにサイバー脅威の源となります。 したがって、ワークステーション (および従業員) の数、およびインストールおよび使用されるソフトウェアの種類が増えるほど、脅威レベルは増加します。 そして、CRM システムでは物事は簡単ではありません。結局のところ、これは顧客ベースと商業情報という最も重要で高価な資産を保存し、処理するように設計されたプログラムであり、ここではそのセキュリティに関する恐ろしい話をしています。 実際、すべてがそれほど暗いわけではありません。正しく対処すれば、CRM システムから恩恵とセキュリティだけを得ることができます。

危険な CRM システムの兆候は何ですか?

基本についての簡単な説明から始めましょう。 CRM にはクラウド バージョンとデスクトップ バージョンがあります。 クラウド型とは、DBMS (データベース) が会社内ではなく、データ センターのプライベート クラウドまたはパブリック クラウドに配置されているものです (たとえば、あなたはチェリャビンスクにいて、データベースはモスクワの非常にクールなデータ センターで実行されています) 、CRM ベンダーがそう決定し、この特定のプロバイダーと契約を結んでいるためです)。 デスクトップ (別名オンプレミス、サーバー - もはやそうではありません) は、独自のサーバーをベースにした DBMS を構築します (いやいや、高価なラックを備えた巨大なサーバー ルームを想像しないでください。中小企業ではほとんどの場合、単一のサーバー、または最新の構成の通常の PC など）、つまり物理的にオフィス内にあります。

どちらのタイプの CRM にも不正アクセスされる可能性はありますが、特に情報セキュリティをあまり気にしない中小企業の場合、アクセスの速度と容易さが異なります。

危険信号 #1

クラウド システム内のデータに関する問題が発生する可能性が高い理由は、お客様 (CRM テナント) - ベンダー - プロバイダーという複数のリンクで結ばれた関係にあります (より長いバージョンもあります: お客様 - ベンダー - ベンダーの IT アウトソーサー - プロバイダー) 。 関係内のリンクが 3 ～ 4 の場合は、1 ～ 2 よりもリスクが高くなります。ベンダー側 (契約の変更、プロバイダー サービスの未払い)、プロバイダー側​​ (不可抗力、ハッキング、技術的問題) で問題が発生する可能性があります。委託先側（マネージャーやエンジニアの変更）などもちろん、大手ベンダーはバックアップ データ センターを設け、リスクを管理し、DevOps 部門を維持しようとしていますが、これによって問題が排除されるわけではありません。

デスクトップ CRM は通常、レンタルではなく、企業によって購入されます。したがって、関係はよりシンプルかつ透明に見えます。CRM の実装中に、ベンダーは必要なセキュリティ レベル (アクセス権や物理 USB キーの区別から、USB キーの同梱に至るまで) を設定します。サーバーをコンクリートの壁などに設置し、CRM を所有する会社に制御を移管します。これにより、保護を強化したり、システム管理者を雇用したり、必要に応じてソフトウェア サプライヤーに問い合わせたりすることができます。 問題は、従業員との連携、ネットワークの保護、情報の物理的な保護に帰着します。 デスクトップ CRM を使用している場合は、データベースが「自宅」オフィスにあるため、インターネットが完全にシャットダウンされても作業は停止しません。

CRM を含むクラウドベースの統合オフィス システムを開発する会社で働いていた従業員の XNUMX 人が、クラウド テクノロジーについて語ります。 「私の職場の XNUMX つで、会社は基本的な CRM によく似たものを作成していましたが、それはすべてオンライン ドキュメントなどに接続されていました。 GA のある日、私たちは加入者クライアントの XNUMX 人から異常なアクティビティを目撃しました。 開発者ではないものの、高いレベルのアクセス権を持っている私たちが、リンク経由でクライアントが使用するインターフェイスを開いて、クライアントがどのような人気のサインを持っているかを確認できたときの、私たちアナリストの驚きを想像してみてください。 ちなみにクライアントはこの商用データを誰にも見られたくないそうです。 はい、それはバグでした。そして数年間修正されませんでした。私の意見では、問題はまだ存在しています。 それ以来、私はデスクトップ派で、あまりクラウドを信用していませんが、もちろん仕事や私生活でもクラウドを使用しており、そこで楽しいおしゃべりもしました。」

ハブレに関する私たちの調査によると、これらは先進的な企業の従業員です

クラウド CRM システムからのデータ損失は、サーバーの障害、サーバーの利用不能、不可抗力、ベンダー活動の終了などによるデータ損失が原因である可能性があります。 クラウドとは、インターネットへの継続的で中断のないアクセスを意味し、コード、アクセス権、追加のサイバーセキュリティ対策 (XNUMX 要素認証など) のレベルでの保護は、前例のないものでなければなりません。

危険信号 #2

ここで話しているのは XNUMX つの特性ではなく、ベンダーとそのポリシーに関連する一連の特性についてです。 私たちとその従業員が遭遇した重要な例をいくつか挙げてみましょう。

• ベンダーは、クライアントの DBMS が「回転」する、信頼性が不十分なデータ センターを選択する可能性があります。 彼はお金を節約し、SLA を制御せず、負荷を計算せず、その結果はあなたにとって致命的になります。
• ベンダーは、お客様が選択したデータセンターにサービスを転送する権利を拒否する場合があります。 これは SaaS ではよくある制限です。
• ベンダーはクラウド プロバイダーと法的または経済的な紛争を抱えている可能性があり、その場合、「対決」中にバックアップ アクションや速度などが制限される可能性があります。
• バックアップ作成サービスは追加料金で提供される場合があります。 CRM システムのクライアントは、バックアップが必要な瞬間、つまり最も重要で脆弱な瞬間にのみ知ることができる一般的な慣行です。
• ベンダー従業員は顧客データに無制限にアクセスできます。
• あらゆる性質のデータ漏洩が発生する可能性があります (人的ミス、詐欺、ハッカーなど)。

通常、これらの問題は小規模または若いベンダーに関連していますが、大手ベンダーでも繰り返しトラブルが発生しています (Google で調べてください)。 したがって、常に情報を保護する方法を用意し、選択した CRM システム プロバイダーと事前にセキュリティの問題について話し合う必要があります。 あなたが問題に関心を持っているという事実だけでも、サプライヤーはその実装を可能な限り責任を持って扱うようすでに強制されています (ベンダーの事務所ではなく、ベンダーのパートナーと取引している場合、これを行うことが特に重要です。重要なのは契約を締結してコミッションを受け取ることであり、これら XNUMX つの要素ではありません...よくわかりました)。

危険信号 #3

社内のセキュリティ業務の組織化。 XNUMX 年前、私たちは伝統的にハブレのセキュリティについて記事を書き、アンケートを実施しました。 サンプルはそれほど大きくありませんでしたが、回答は次のとおりです。

記事の最後には、「会社と従業員のセキュリティ」システムにおける関係を詳細に調査した出版物へのリンクを提供します。また、ここでは、その中で答えが見つかるはずの質問のリストを提供します。 (CRM が必要ない場合でも)

• 従業員はパスワードをどこに保存しますか?
• 会社のサーバー上のストレージへのアクセスはどのように構成されていますか?
• 商業情報や運用情報を含むソフトウェアはどのように保護されますか?
• すべての従業員はウイルス対策ソフトウェアを有効にしていますか?
• 顧客データにアクセスできる従業員は何名ですか?また、そのアクセス レベルはどの程度ですか?
• 新規採用者は何人いて、退職途中の従業員は何人いますか?
• どのくらいの期間、主要な従業員とコミュニケーションを取り、彼らの要望や苦情に耳を傾けてきましたか?
• プリンターは監視されていますか?
• 自分のガジェットを PC に接続する場合や、職場の Wi-Fi を使用する場合のポリシーはどのように整理されていますか?

実際、これらは基本的な質問であり、おそらくコメントにハードコアな質問が追加されるでしょうが、これは基本であり、XNUMX 人の従業員を抱える個人起業家であっても知っておくべき基本です。

では、どうやって自分を守ればよいのでしょうか？

• バックアップは最も重要なものですが、忘れられたり、ケアされなかったりすることがよくあります。 デスクトップ システムを使用している場合は、特定の頻度でデータ バックアップ システムをセットアップします (たとえば、RegionSoft CRM の場合、これは次のコマンドを使用して実行できます) リージョンソフト アプリケーション サーバー）コピーの適切な保管を整理します。 クラウド CRM を使用している場合は、契約を結ぶ前に、バックアップの作業がどのように構成されているかを必ず確認してください。バックアップの深さと頻度、保管場所、バックアップのコスト (多くの場合、「その期間の最新データ」のバックアップのみ) に関する情報が必要です。 」は無料で、本格的で安全なバックアップ コピーは有料サービスとして提供されます）。 一般的に、ここは貯蓄や怠慢が許される場所ではありません。 はい、バックアップから何が復元されたかを確認することを忘れないでください。
• 機能レベルとデータレベルでのアクセス権の分離。
• ネットワーク レベルでのセキュリティ - オフィスのサブネット内でのみ CRM の使用を許可し、モバイル デバイスのアクセスを制限し、自宅またはさらに悪い場合は公共のネットワーク (コワーキング スペース、カフェ、クライアント オフィス) からの CRM システムの操作を禁止する必要があります。 、など）。 モバイル バージョンには特に注意してください。作業用に大幅に切り詰められたバージョンにすぎないようにしてください。
• どのような場合でも、リアルタイム スキャンを備えたウイルス対策が必要ですが、企業データ セキュリティの場合は特にそうです。 ポリシー レベルで、自分で無効にすることを禁止します。
• サイバー衛生に関する従業員のトレーニングは時間の無駄ではなく、緊急の必要性があります。 警告するだけでなく、受け取った脅威に正しく反応することが重要であることをすべての同僚に伝える必要があります。 オフィス内でのインターネットや電子メールの使用を禁止するのは過去のことであり、深刻なネガティブな感情を引き起こす原因となるため、予防に取り組む必要があります。

もちろん、クラウド システムを使用すると、十分なレベルのセキュリティを実現できます。専用サーバーの使用、ルーターの構成、アプリケーション レベルとデータベース レベルでのトラフィックの分離、プライベート サブネットの使用、管理者向けの厳格なセキュリティ ルールの導入、バックアップによる中断のない運用の確保などです。必要な最大の頻度と完全性でネットワークを XNUMX 時間監視する...考えてみれば、それはそれほど難しいことではありませんが、かなり高価です。 しかし、実践が示すように、そのような措置を講じているのは一部の企業、ほとんどが大企業だけです。 したがって、私たちは、ためらわずにもう一度言います: クラウドとデスクトップの両方が単独で存在すべきではなく、データを保護してください。

CRM システムを導入するあらゆるケースに適用される、小さいながらも重要なヒントをいくつか紹介します。

• ベンダーの脆弱性を確認します。「ベンダー名の脆弱性」、「ベンダー名のハッキング」、「ベンダー名のデータ漏洩」という単語を組み合わせて情報を探します。 これは、新しい CRM システムを探す際の唯一のパラメータではありませんが、大脳皮質をチェックする必要があるだけであり、発生したインシデントの理由を理解することが特に重要です。
• データセンターについて、可用性、その数、フェイルオーバーの仕組みなどについてベンダーに問い合わせてください。
• CRM にセキュリティ トークンを設定し、システム内のアクティビティや異常なスパイクを監視します。
• 非中核従業員、つまり、通常の活動にこれらの機能を必要としない従業員に対して、レポートのエクスポートと API 経由のアクセスを無効にします。
• CRM システムがプロセスをログに記録し、ユーザーのアクションをログに記録するように構成されていることを確認してください。

これらは小さなことですが、全体像を完全に補完します。 そして実際、どんな些細な事でも安全ではありません。

CRM システムを導入すると、データのセキュリティが確保されます。ただし、それは導入が適切に実行され、情報セキュリティの問題が背景に追いやられない場合に限ります。 車を買ってブレーキ、ABS、エアバッグ、シートベルト、EDS をチェックしないのは愚かなことです。 結局のところ、重要なことはただ行くことではなく、安全に行き、無事にそこに着くことです。 ビジネスも同じです。

そして、覚えておいてください。労働安全規則が血で書かれているなら、ビジネスのサイバーセキュリティ規則はお金で書かれています。

サイバーセキュリティとその中での CRM システムの位置に関するトピックについては、次の詳細な記事をご覧ください。

• ビジネスの基本的な本能: 企業セキュリティの最先端 — 企業領域における潜在的なセキュリティ脅威の概要と、おおよその検出スキーム。
• 従業員からデータを保護する必要がありますか? - 従業員がビジネスにどのように損害を与える可能性があるか、また商業分野で従業員がどのようにこれを行うかについての詳細な分析。

CRMシステムをお探しなら、 RegionalSoft CRM は 31 月 15 日まで、XNUMX% 割引。 CRM または ERP が必要な場合は、当社の製品を注意深く検討し、その機能をお客様の目標や目標と比較してください。 ご質問や困難な点がございましたら、メールまたはお電話にてお問い合わせください。評価や付加機能なしで個別のオンライン プレゼンテーションを開催します。

テレグラムの私たちのチャンネルこの記事では、宣伝なしで、CRM とビジネスについて完全に正式ではないことを書きます。

出所： habr.com