企業の不安

2008年にIT企業を訪問することができました。 どの従業員にもある種の不健全な緊張感が漂っていました。 理由は単純だったことが判明しました。携帯電話はオフィスの入り口のボックスの中にあり、背面にはカメラがあり、オフィスにはさらに 2 つの大型の「監視」カメラがあり、キーロガーを備えた監視ソフトウェアがありました。 そして、はい、これはSORMや航空機の生命維持システムを開発した会社ではなく、単にビジネスアプリケーションソフトウェアの開発者であり、現在は吸収され、潰され、もう存在しません（これは論理的だと思われます）。 今、あなたが背伸びをして、ハンモックや花瓶に M&M が置かれているオフィスでは絶対にそんなことはないと思っているとしたら、それは大きな間違いである可能性があります。それは、11 年以上かけて、コントロールが目に見えず、正確であることを学習しただけです。サイトにアクセスして映画をダウンロードしました。

それでは、これらすべてがなければ本当に不可能なのでしょうか。しかし、人々への信頼、忠誠心、信仰はどうでしょうか? 信じられないかもしれませんが、セキュリティ対策を講じていない企業は同じくらい多くあります。 しかし、従業員はあちこちで混乱を起こします。それは単に人的要因が会社だけでなく世界を破壊する可能性があるからです。 では、従業員はどこでいたずらをすることができるのでしょうか?

これはそれほど深刻な投稿ではなく、日常生活を少し明るくすることと、忘れられがちな基本的な安全事項を思い出させることの XNUMX つの役割を持っています。 ああ、もう一度思い出してください クールで安全なCRMシステム ――こうしたソフトウェアこそがセキュリティの最先端ではないでしょうか。 🙂

ランダムモードでいきましょう！

パスワード、パスワード、パスワード...

あなたが彼らについて話すと、憤りの波が押し寄せてきます。「どうしてそんなことがあるの？彼らは何度も世界に話したのに、事態はまだそこにあるのです！」 個人起業家から多国籍企業に至るまで、あらゆるレベルの企業にとって、これは非常に厄介な点です。 時々、明日彼らが本物のデス・スターを建設したら、管理パネルに admin/admin のようなものが表示されるのではないかと思うことがあります。 では、自分の VKontakte ページが企業アカウントよりもはるかに高価な一般ユーザーに何を期待できるでしょうか? チェックすべきポイントは次のとおりです。

• 紙片、キーボードの裏側、モニター、キーボードの下のテーブル、マウスの底のステッカーにパスワードを書き込む (ずるい!) - 従業員は決してこれを行うべきではありません。 それは、ひどいハッカーがやって来て、ランチ中に 1C のすべてをフラッシュ ドライブにダウンロードするからではなく、オフィスに気分を害したサーシャがいて、辞めて何か汚いことをするか、最後に情報を持ち出すかもしれないからです。 。 次のランチでこれをやってみませんか？

これは何？ これには私のパスワードがすべて保存されています

• PCや作業プログラムにアクセスするための簡単なパスワードを設定します。 生年月日、qwerty123、さらには asdf などの組み合わせはジョークや bashorg に属するものであり、企業のセキュリティ システムには含まれていません。 パスワードとその長さの要件を設定し、置き換える頻度を設定します。

パスワードは下着のようなものです。頻繁に変更し、友達と共有しないでください。長い方が良いです。謎めいたものにし、あちこちに散らばらないようにしてください。

• ベンダーのデフォルトのプログラム ログイン パスワードには欠陥があります。ベンダーのほぼすべての従業員がパスワードを知っており、クラウド内の Web ベース システムを扱っている場合は、誰でもデータを取得するのは難しくありません。 特に、「コードを引っ張らない」レベルのネットワーク セキュリティも備えている場合はなおさらです。
• オペレーティング システムのパスワードのヒントは、「私の誕生日」、「娘の名前」、「Gvoz-dika-78545-ap#1!」などのようにしてはいけないことを従業員に説明します。 英語で。" または「クォーツとXNUMXとXNUMX」。    

私の猫は素晴らしいパスワードを教えてくれます。 彼は私のキーボードの上を歩いています

ケースへの物理的なアクセス

あなたの会社では、会計および人事文書 (従業員の個人ファイルなど) へのアクセスをどのように管理していますか? 推測してみましょう。中小企業の場合は、経理部門か上司のオフィスの本棚またはクローゼットのフォルダーにあります。大企業の場合は、人事部の本棚にあります。 しかし、それが非常に大規模な場合は、おそらくすべてが正しいでしょう。磁気キーが付いた別のオフィスまたはブロック。特定の従業員のみがアクセスでき、そこに到達するには、従業員の XNUMX 人に電話して、従業員のいる前でこのノードに入る必要があります。 どのようなビジネスにおいてもそのような保護を行うこと、あるいは少なくともオフィスの金庫のパスワードをドアや壁にチョークで書かないことを学ぶことは、何も難しいことではありません (すべては実際の出来事に基づいています。笑わないでください)。

どうしてそれが重要ですか？ 第一に、労働者は、結婚歴、給与、医学的診断、学歴など、お互いの最も秘密なことを知りたいという病的な欲求を持っています。 これはオフィス競争における妥協です。 そして、デザイナーのペティアがデザイナーのアリスよりも収入が20万少ないことを知ったときに起こる口論からは絶対に利益を得られません。 第二に、従業員は会社の財務情報 (貸借対照表、年次報告書、契約書) にアクセスできます。 第三に、自分の職歴の痕跡を隠すために、単純に何かを紛失したり、破損したり、盗まれたりする可能性があります。

誰かが損で、誰かが宝物の倉庫

倉庫がある場合は、遅かれ早かれ犯罪者に遭遇するのは確実であると考えてください。これは、大量の商品を見て、少量の商品は強盗ではないと強く信じている人の心理の仕組みにすぎません。共有すること。 そして、この山から出てくる商品の価格は 200 万、300 万、あるいは数百万にもなります。 残念なことに、カメラ、バーコードを使用した受領と清算、倉庫会計の自動化（たとえば、当社の リージョンソフト CRM 倉庫会計は、管理者と監督者が倉庫内での商品の動きをリアルタイムで確認できるように構成されています)。

したがって、倉庫を徹底的に武装し、外部の敵からの物理的なセキュリティを確保し、内部の敵からの完全なセキュリティを確保します。 輸送、物流、倉庫の従業員は、管理があり、それが機能しており、ほとんど自分自身を罰することになることを明確に理解する必要があります。

*おい、インフラに手を突っ込まないでくれ

サーバールームと清掃員の話がすでに廃れ、他の業界の話に移って久しいとしても（たとえば、同じ病棟の人工呼吸器の謎の停止について同じ話があった）、残りは現実のままです。 。 中小企業のネットワークおよび IT セキュリティにはまだ改善の余地が多くありますが、多くの場合、これは自社のシステム管理者がいるか、招待されたシステム管理者がいるかによって決まりません。 多くの場合、後者の方がうまく対処できます。

では、ここの従業員は何ができるのでしょうか？

• 最も素晴らしく、最も無害な方法は、サーバー ルームに行って、ワイヤーを引っ張ったり、見たり、お茶をこぼしたり、汚れを塗ったり、自分で何かを設定してみたりすることです。 これは特に、ウイルス対策機能を無効にして PC の保護をバイパスする方法を同僚に英雄的に教え、自分たちがサーバー ルームの生来の神であると確信している「自信のある上級ユーザー」に影響を及ぼします。 一般に、許可された制限付きアクセスがすべてです。
• 機器の盗難と部品のすり替え。 あなたは自分の会社を愛しており、請求システム、CRM、その他すべてが完璧に動作できるように、強力なビデオ カードを全員にインストールしていますか? 素晴らしい！ 狡猾な男（場合によっては女の子）だけが簡単に家庭用モデルに置き換え、自宅では新しいオフィスモデルでゲームを実行しますが、世界の半分は知りません。 キーボード、マウス、クーラー、UPS、その他ハードウェア構成内で何らかの方法で交換できるものすべてについても同様です。 その結果、物的損害やその完全な損失のリスクを負うことになると同時に、情報システムやアプリケーションで必要な速度と品質の作業が得られなくなります。 節約できるのは、設定された構成制御を備えた監視システム (ITSM システム) であり、これは、腐敗のない原則的なシステム管理者によって完全に提供される必要があります。

より優れたセキュリティ システムをお探しですか? この標識で十分かどうかわかりません

• 独自のモデム、アクセス ポイント、またはある種の共有 Wi-Fi を使用すると、ファイルへのアクセスの安全性が低下し、事実上制御不能になり、攻撃者 (従業員との共謀など) によって悪用される可能性があります。 それに、「自分のインターネットを持っている」従業員が YouTube、ユーモア サイト、ソーシャル ネットワークに勤務時間を費やす可能性ははるかに高くなります。  
• サイト管理エリア、CMS、アプリケーション ソフトウェアにアクセスするための統一されたパスワードとログインは、無能または悪意のある従業員をとらえどころのない復讐者に変える恐ろしいものです。 同じサブネットから同じログイン/パスワードを持つ 5 人のユーザーがバナーを掲載し、広告リンクと指標を確認し、レイアウトを修正し、更新をアップロードするためにやって来た場合、そのうちの誰が誤って CSS を変更したのか推測することはできません。かぼちゃ。 したがって、異なるログイン、異なるパスワード、アクションのログ、およびアクセス権の区別が必要になります。
• 従業員が勤務時間中に数枚の写真を編集したり、非常に趣味に関連したものを作成したりするために、PC にドラッグするライセンスのないソフトウェアについては言うまでもありません。 中央総務局K課の査察について聞いたことがありませんか？ それから彼女はあなたのところに来ます！
• ウイルス対策が機能するはずです。 確かに、それらの中には PC の速度を低下させたり、イライラさせたりするものもあります。また、一般的には卑劣さの表れのように見えますが、後でダウンタイムやさらに悪いことにデータの盗難という代償を払うよりは、それを防ぐ方が良いでしょう。
• アプリケーションのインストールの危険性に関するオペレーティング システムの警告は無視してはなりません。 今日では、仕事のために何かをダウンロードするのは数秒から数分の問題です。 たとえば、Direct.Commander または AdWords エディタ、一部の SEO パーサーなどです。 Yandex と Google 製品ですべてが多かれ少なかれ明らかな場合、別の picreizer、無料のウイルス クリーナー、XNUMX つのエフェクトを備えたビデオ エディター、スクリーンショット、Skype レコーダー、その他の「小さなプログラム」は、個々の PC と企業ネットワーク全体の両方に損害を与える可能性があります。 。 ユーザーがシステム管理者に電話して「すべてがだめだ」と言う前に、コンピュータがユーザーに何を要求しているのかを読み取るように訓練してください。 一部の企業では、この問題は簡単に解決されます。ダウンロードされた多くの便利なユーティリティがネットワーク共有に保存され、適切なオンライン ソリューションのリストもそこに掲載されます。
• BYOD ポリシー、あるいは逆に、オフィス外での作業機器の使用を許可するポリシーは、セキュリティの非常に邪悪な側面です。 この場合、親戚、友人、子供、保護されていない公共のネットワークなどがテクノロジーにアクセスできます。 これは純粋にロシアンルーレットです。5年間生き延びることはできますが、すべての書類や貴重なファイルを紛失したり破損したりする可能性があります。 まあ、その上、従業員に悪意がある場合、「歩行型」機器を使用してデータを漏洩するために XNUMX バイトを送信するのと同じくらい簡単です。 また、従業員は自分のパソコン間でファイルを頻繁に転送するため、これによってもセキュリティの抜け穴が生じる可能性があることにも留意する必要があります。
• 外出中にデバイスをロックすることは、企業でも個人でも使用する場合に良い習慣です。 繰り返しますが、公共の場所で好奇心旺盛な同僚、知人、侵入者からあなたを守ります。 これに慣れるのは難しいですが、私の職場の 1 つで素晴らしい経験をしました。ロックが解除された PC に同僚が近づくと、ウィンドウ全体にペイントが開かれ、「コンピューターをロックしてください!」という文字が表示されました。 そして、作業中に何かが変更されました。たとえば、最後にポンプアップされたアセンブリが破壊されたり、最後に導入されたバグが削除されたりしました (これはテスト グループでした)。 残酷ですが、木製のものでも2〜XNUMX回で十分でした。 とはいえ、IT に詳しくない人には、このようなユーモアは理解できないかもしれません。
• しかし、もちろん、最悪の罪はシステム管理者と管理者にあります - 彼らが交通制御システム、機器、ライセンスなどを断固として使用しない場合。

もちろん、これは拠点です。IT インフラストラクチャは、森の奥に行けば行くほど、より多くの薪が存在するまさに場所だからです。 そして、誰もがこの基盤を持つべきであり、「私たちは皆、お互いを信頼している」、「私たちは家族だ」、「誰がそれを必要としているのか」という言葉に置き換えられるべきではありません。残念ながら、これは当面の間です。

ここはインターネットです、ベイビー、彼らはあなたについて多くのことを知ることができます。

インターネットの安全な取り扱いを学校の生活安全コースに導入する時期が来ています。そしてこれは、私たちが外部から組み込まれる対策に関するものではまったくありません。 これは具体的には、リンクとリンクを区別する能力、どこがフィッシングでどこが詐欺であるかを理解する能力、見覚えのないアドレスから送られてきた「調停レポート」という件名の電子メールの添付ファイルを理解せずに開かない能力などに関するものです。 どうやら、学生たちはすでにこれらすべてを習得しているようですが、従業員はまだ習得していません。 会社全体を一度に危険にさらす可能性のあるトリックや間違いはたくさんあります。

• ソーシャル ネットワークはインターネットの一部であり、職場には存在しませんが、2019 年に企業レベルでソーシャル ネットワークをブロックすることは不評であり、やる気を失わせる措置です。 したがって、リンクの違法性を確認する方法をすべての従業員に文書で書き、詐欺の種類について伝え、職場で働くように依頼するだけで済みます。

• メールは厄介な点であり、おそらく情報を盗み、マルウェアを植え付け、PC とネットワーク全体を感染させる最も一般的な方法です。 悲しいことに、多くの雇用主は電子メール クライアントをコスト削減ツールと考えており、フィルタなどを通過するスパム メールを 200 日あたり XNUMX 通受信する無料サービスを使用しています。 そして、一部の無責任な人々は、そのような手紙や添付ファイル、リンク、写真を開きます-明らかに、彼らは黒王子が彼らに遺産を残してくれることを望んでいます。 その後、管理者は非常に多くの仕事をすることになります。 それともそのように意図されていたのでしょうか？ ちなみに、もう一つ残酷な話があります。ある会社では、システム管理者にスパムメールが届くたびに KPI が減少しました。 一般に、XNUMX か月後にはスパムはなくなりました。この慣行は親組織によって採用され、今でもスパムはありません。 私たちはこの問題をエレガントに解決しました。独自の電子メール クライアントを開発し、独自の電子メール クライアントに組み込みました。 リージョンソフト CRM、したがって、すべてのクライアントもこのような便利な機能を受け取ります。

次回、クリップのマークが付いた奇妙なメールを受け取ったら、決してクリックしないでください。

• メッセンジャーもあらゆる種類の安全でないリンクの発信源ですが、メールよりもはるかに害が少ないです (チャットで無駄に時間を費やした場合は除きます)。

これらはすべて小さなことのようです。 しかし、特にあなたの会社が競合他社の攻撃の標的になった場合、これらの小さなことのそれぞれが悲惨な結果をもたらす可能性があります。 そして、これは文字通り誰にでも起こり得ることです。

おしゃべりな従業員

これはまさに人間的な要因であり、取り除くのは困難です。 従業員は、廊下、カフェ、路上、顧客の家で仕事について話したり、別の顧客について大声で話したり、自宅で仕事の成果やプロジェクトについて話したりすることができます。 もちろん、競合他社があなたの後ろに立っている可能性は無視できますが（同じビジネスセンターにいない場合、これは実際に起こっています）、自分のビジネス内容を明確に述べている男性がスマートフォンで撮影され、投稿される可能性はあります。奇妙なことに、YouTube の方が高いです。 しかし、これもデタラメです。 従業員がトレーニング、カンファレンス、ミートアップ、専門フォーラム、さらには Habré などで、製品や会社に関する情報を進んで提示するのは、たわごとではありません。 さらに、人々は競争上のインテリジェンスを行うために、意図的に対戦相手をそのような会話に呼び出すことがよくあります。

暴露話。 ある銀河規模の IT カンファレンスで、セクションの講演者は、ある大企業 (上位 20) の IT インフラストラクチャの組織の完全な図をスライド上にレイアウトしました。 この計画は非常に印象的で、まさに宇宙的で、ほぼ全員がそれを写真に撮り、即座にソーシャルネットワーク上に広まり、絶賛されました。 さて、その後、スピーカーはジオタグ、スタンド、ソーシャルメディアを使用して彼らを捕まえました。 それを投稿して削除を懇願した人々のネットワークに、彼らはすぐに電話をかけてきて、ああ、た、と言いました。 おしゃべりはスパイにとって天の恵みだ。

無知はあなたを罰から解放します

Kaspersky Lab が 2017 か月間にサイバーセキュリティ インシデントに遭遇した企業に関する 12 年の世界的なレポートによると、最も深刻なインシデント タイプの 11 件に XNUMX 件 (XNUMX%) に、不注意で情報を知らされていない従業員が関与していました。

従業員が企業のセキュリティ対策についてすべてを知っていると想定せず、必ず従業員に警告し、トレーニングを提供し、セキュリティ問題に関する興味深い定期ニュースレターを作成し、ピザを食べながら会議を開き、問題を再度明確にしてください。 そして、そうです、クールなライフハックです。すべての印刷情報と電子情報を色、記号、碑文でマークします。企業秘密、秘密、公式使用、一般アクセスなどです。 これは本当に効果があります。

現代社会では、企業は非常にデリケートな立場に置かれています。仕事に熱心に取り組むだけでなく、バ​​ックグラウンドや休憩中にエンターテイメント コンテンツも受け取りたいという従業員の願望と、厳格な企業セキュリティ ルールとの間のバランスを維持する必要があります。 ハイパーコントロールや愚かな追跡プログラム (はい、タイプミスではありません。これはセキュリティではありません。パラノイアです) や背後でカメラをオンにすると、会社に対する従業員の信頼は低下しますが、信頼を維持することは企業のセキュリティ ツールでもあります。

したがって、いつ停止すべきかを理解し、従業員を尊重し、バックアップを作成してください。 そして最も重要なことは、個人的な被害妄想ではなく、安全を優先することです。

必要な場合は CRM または ERP - 当社の製品を詳しく見てみましょう そして、彼らの能力をあなたの目標や目的と比較してください。 ご質問や困難な点がございましたら、メールまたはお電話にてお問い合わせください。評価や付加機能なしで個別のオンライン プレゼンテーションを開催します。

テレグラムの私たちのチャンネルこの記事では、宣伝なしで、CRM とビジネスについて完全に正式ではないことを書きます。

出所： habr.com