ProHoster > Блог > Administrasi > Insecurity perusahaan

Insecurity perusahaan

Ing taun 2008, aku bisa ngunjungi perusahaan IT. Ana sawetara jinis ketegangan sing ora sehat ing saben karyawan. Alasane dadi prasaja: ponsel ana ing kothak ing lawang mlebu kantor, ana kamera ing mburi, 2 kamera "looking" tambahan gedhe ing kantor lan piranti lunak ngawasi nganggo keylogger. Lan ya, iki dudu perusahaan sing ngembangake SORM utawa sistem dhukungan urip pesawat, nanging mung pangembang piranti lunak aplikasi bisnis, saiki diserap, remuk lan ora ana maneh (sing katon logis). Yen sampeyan saiki mbentang metu lan mikir sing ing kantor karo hammocks lan M&M ing vas iki mesthi ora cilik, sampeyan bisa banget salah - mung liwat 11 taun kontrol wis sinau dadi siro lan bener, tanpa showdowns liwat situs sing dibukak lan film sing diundhuh.

Dadi, apa pancene mokal tanpa kabeh iki, nanging kepiye kapercayan, kasetyan, kapercayan marang manungsa? Pracaya utawa ora, ana akeh perusahaan sing ora duwe langkah keamanan. Nanging karyawan bisa nggawe kekacoan ing kene - mung amarga faktor manungsa bisa ngrusak jagad, ora mung perusahaan sampeyan. Dadi, ing ngendi karyawan sampeyan bisa nindakake piala?

Insecurity perusahaan

Iki dudu kiriman sing serius banget, sing duwe rong fungsi: kanggo nyegerake urip saben dina lan ngelingake sampeyan babagan safety dhasar sing asring dilalekake. Oh, lan sepisan maneh ngelingake sampeyan sistem CRM kelangan lan aman - Apa piranti lunak kasebut ora dadi pinggiran keamanan? 🙂

Ayo dadi ing mode acak!

Tembung sandhi, sandhi, sandhi...

Sampeyan pirembagan bab wong-wong mau lan gelombang nesu muter ing: carane bisa dadi, padha marang donya supaya kakehan, nanging iku isih ana! Ing perusahaan kabeh tingkat, saka pengusaha individu nganti perusahaan multinasional, iki minangka titik sing lara banget. Kadhangkala, yen sesuk padha mbangun Death Star sing nyata, bakal ana sing kaya admin / admin ing panel admin. Dadi apa sing bisa diarepake saka pangguna biasa, sing kaca VKontakte dhewe luwih larang tinimbang akun perusahaan? Ing ngisor iki titik sing kudu dipriksa:

  • Nulis sandhi ing potongan kertas, ing mburi keyboard, ing monitor, ing meja ing ngisor keyboard, ing stiker ing ngisor mouse (licik!) - karyawan ora kudu nindakake iki. Lan ora amarga peretas sing nggegirisi bakal mlebu lan ndownload kabeh 1C menyang flash drive sajrone nedha awan, nanging amarga bisa uga ana Sasha sing gelo ing kantor sing bakal mandheg lan nindakake apa-apa sing reged utawa njupuk informasi sing pungkasan. . Apa ora nindakake iki ing nedha awan sabanjure?

Insecurity perusahaan
Iki opo? Bab iki nyimpen kabeh sandi

  • Nyetel sandhi prasaja kanggo ngetik PC lan program kerja. Tanggal lair, qwerty123 lan malah asdf minangka kombinasi sing kalebu ing lelucon lan ing bashorg, lan ora ana ing sistem keamanan perusahaan. Setel syarat kanggo sandhi lan dawa, lan nyetel frekuensi panggantos.

Insecurity perusahaan
Sandi kaya jeroan: kerep ganti, aja bareng karo kanca-kanca, sing dawa luwih apik, misterius, aja nyebar ing ngendi wae.

  • Tembung sandhi login program standar vendor cacat, yen mung amarga meh kabeh karyawan vendor ngerti, lan yen sampeyan lagi nangani sistem basis web ing méga, ora bakal angel sapa wae entuk data kasebut. Utamane yen sampeyan uga duwe keamanan jaringan ing tingkat "aja narik kabel".
  • Nerangake karyawan sing pitunjuk sandi ing sistem operasi ngirim ora katon kaya "ulang tahunku", "jeneng putri", "Gvoz-dika-78545-ap # 1! ing basa Inggris." utawa "quarts lan siji lan nul."    

Insecurity perusahaan
Kucingku menehi sandhi sing apik! Dheweke mlaku ngliwati keyboardku

Akses fisik kanggo kasus

Kepiye perusahaan sampeyan ngatur akses menyang dokumentasi akuntansi lan personel (umpamane, file pribadi karyawan)? Ayo kula ngira: yen bisnis cilik, banjur ing departemen akuntansi utawa ing kantor bos ing folder ing rak utawa ing lemari, yen bisnis gedhe, banjur ing departemen HR ing rak. Nanging yen gedhe banget, mesthine kabeh bener: kantor utawa blok sing kapisah kanthi kunci magnetik, ing ngendi mung karyawan tartamtu sing duwe akses lan tekan kono, sampeyan kudu nelpon salah siji saka wong-wong mau lan pindhah menyang simpul iki ing ngarsane. Ora ana sing angel kanggo nggawe proteksi kasebut ing bisnis apa wae, utawa paling ora sinau ora nulis sandhi kanggo kantor aman ing kapur ing lawang utawa ing tembok (kabeh adhedhasar acara nyata, aja ngguyu).

Apa sebabe penting? Kaping pisanan, buruh duwe kepinginan patologis kanggo ngerteni perkara sing paling rahasia babagan saben liyane: status perkawinan, gaji, diagnosa medis, pendidikan, lan liya-liyane. Iki minangka kompromi ing kompetisi kantor. Lan sampeyan pancen ora entuk manfaat saka squabbles sing bakal muncul nalika desainer Petya nemokake yen dheweke entuk 20 ewu kurang saka desainer Alice. Kapindho, ana karyawan bisa ngakses informasi finansial perusahaan (neraca, laporan taunan, kontrak). Katelu, soko mung bisa ilang, rusak utawa dicolong kanggo nutupi jejak ing sajarah karya dhewe.

Gudang sing ana wong sing rugi, ana sing dadi bandha

Yen sampeyan duwe gudang, nimbang manawa cepet utawa mengko sampeyan dijamin bakal nemoni para penjahat - iki mung cara kerja psikologi wong, sing ndeleng volume produk sing akeh lan yakin manawa akeh banget ora rampokan, nanging andum. Lan siji unit barang saka tumpukan iki bisa regane 200 ewu, utawa 300 ewu, utawa sawetara yuta. Sayange, ora ana sing bisa mungkasi nyolong kajaba kontrol pedantic lan total lan akuntansi: kamera, acceptance lan write-off nggunakake barcode, otomatisasi akuntansi gudang (contone, ing kita RegionSoft CRM Akuntansi gudang diatur kanthi cara supaya manajer lan pengawas bisa ndeleng obahe barang liwat gudang kanthi wektu nyata).

Mulane, lengen gudang sampeyan menyang untu, njamin keamanan fisik saka mungsuh njaba lan keamanan lengkap saka internal. Karyawan ing transportasi, logistik, lan gudang kudu ngerti kanthi jelas manawa ana kontrol, kerjane, lan meh bakal ngukum awake dhewe.

*heh, aja nyopot tangan sampeyan menyang infrastruktur

Yen crita babagan kamar server lan wanita pembersih wis urip luwih suwe lan wis suwe pindhah menyang crita industri liyane (contone, sing padha karo mateni ventilator mistik ing bangsal sing padha), mula liyane tetep dadi kasunyatan. . Keamanan jaringan lan IT saka bisnis cilik lan menengah akeh sing dikarepake, lan iki asring ora gumantung apa sampeyan duwe administrator sistem dhewe utawa sing diundang. Sing terakhir asring ngatasi luwih apik.

Dadi apa sing bisa ditindakake para karyawan ing kene?

  • Sing paling apik lan paling ora mbebayani yaiku menyang kamar server, narik kabel, ndeleng, tumpah teh, aplikasi rereget, utawa nyoba ngatur dhewe. Iki utamane mengaruhi "pangguna sing percaya diri lan maju" sing kanthi heroik ngajar kanca-kancane kanggo mateni antivirus lan nglindhungi proteksi ing PC lan yakin manawa dheweke minangka dewa bawaan saka ruangan server. Umumé, akses winates sing sah iku kabeh.
  • Nyolong peralatan lan substitusi komponen. Apa sampeyan seneng karo perusahaan sampeyan lan wis nginstal kertu video sing kuat kanggo kabeh wong supaya sistem tagihan, CRM lan liya-liyane bisa mlaku kanthi sampurna? apik tenan! Mung wong lanang licik (lan kadhangkala bocah-bocah wadon) bakal gampang ngganti karo model omah, lan ing omah bakal mbukak game ing model kantor anyar - nanging setengah donya ora bakal ngerti. Iku crita sing padha karo keyboard, clurut, coolers, UPS lan kabeh sing bisa diganti ing konfigurasi hardware. Akibaté, sampeyan nanggung risiko karusakan kanggo properti, mundhut lengkap, lan ing wektu sing padha ora entuk kacepetan sing dikarepake lan kualitas karya karo sistem informasi lan aplikasi. Sing nyimpen yaiku sistem ngawasi (sistem ITSM) kanthi kontrol konfigurasi sing dikonfigurasi), sing kudu diwenehake lengkap karo administrator sistem sing ora rusak lan prinsip.

Insecurity perusahaan
Mungkin sampeyan pengin golek sistem keamanan sing luwih apik? Aku ora yakin yen tandha iki cukup

  • Nggunakake modem, titik akses, utawa sawetara jinis Wi-Fi sing dienggo bareng ndadekake akses menyang file kurang aman lan ora bisa dikendhaleni, sing bisa dimanfaatake dening panyerang (kalebu kolusi karo karyawan). Kajaba iku, kemungkinan karyawan "karo Internet dhewe" bakal nglampahi jam kerja ing YouTube, situs humor lan jaringan sosial luwih dhuwur.  
  • Tembung sandhi lan login sing digabung kanggo ngakses area admin situs, CMS, piranti lunak aplikasi minangka perkara sing nggegirisi sing ndadekake karyawan sing ora sopan utawa jahat dadi pembales sing angel dipahami. Yen sampeyan duwe 5 wong saka subnet sing padha karo login / sandhi sing padha teka kanggo masang spanduk, mriksa pranala lan metrik iklan, mbenerake tata letak lan upload nganyari, sampeyan ora bakal bisa ngira sapa sing ora sengaja ngowahi CSS dadi a waluh. Mulane: login beda, sandhi beda, logging tumindak lan diferensiasi hak akses.
  • Ora perlu ngomong babagan piranti lunak sing ora dilisensi sing diseret karyawan menyang PC supaya bisa ngowahi sawetara foto sajrone jam kerja utawa nggawe sing gegandhengan karo hobi. Apa sampeyan ora krungu babagan pemeriksaan departemen "K" Direktorat Dalam Negeri Pusat? Banjur dheweke teka kanggo sampeyan!
  • Antivirus kudu bisa. Ya, sawetara wong bisa alon-alon PC, jengkel lan umume katon minangka tandha pengecut, nanging luwih apik kanggo nyegah tinimbang mbayar maneh kanthi downtime utawa, luwih elek, data sing dicolong.
  • Bebaya sistem operasi babagan bebaya nginstal aplikasi kudu ora diabaikan. Dina iki, ndownload barang kanggo kerja mung sawetara detik lan menit. Contone, Direct.Commander utawa editor AdWords, sawetara parser SEO, etc. Yen kabeh luwih utawa kurang jelas karo produk Yandex lan Google, banjur picreizer liyane, pembersih virus gratis, editor video kanthi telung efek, gambar, perekam Skype lan "program cilik" liyane bisa ngrusak PC individu lan kabeh jaringan perusahaan. . Latih pangguna kanggo maca apa sing dikarepake komputer saka dheweke sadurunge nelpon administrator sistem lan ujar manawa "kabeh wis mati." Ing sawetara perusahaan, masalah kasebut dirampungake kanthi gampang: akeh utilitas migunani sing diunduh disimpen ing bagean jaringan, lan dhaptar solusi online sing cocog uga dipasang ing kana.
  • Kabijakan BYOD utawa, kosok balene, kabijakan ngidini panggunaan peralatan kerja ing njaba kantor minangka sisih keamanan sing ala banget. Ing kasus iki, sederek, kanca, bocah, jaringan sing ora dilindhungi umum, lan liya-liyane duwe akses menyang teknologi kasebut. Iki sejatine sifate roulette Russian - sampeyan bisa pindhah kanggo 5 taun lan njaluk dening, nanging sampeyan bisa ilang utawa ngrusak kabeh dokumen lan file terkenal. Kajaba iku, yen karyawan duwe niat jahat, gampang kaya ngirim rong bita kanggo bocor data nganggo peralatan "mlaku". Sampeyan uga kudu ngelingi manawa karyawan asring nransfer file ing antarane komputer pribadi, sing bisa nggawe celah keamanan maneh.
  • Ngunci piranti nalika sampeyan lagi adoh minangka pakulinan sing apik kanggo panggunaan perusahaan lan pribadi. Maneh, nglindhungi sampeyan saka kolega sing penasaran, kenalan lan penyusup ing papan umum. Pancen angel digunakake, nanging ing salah sawijining papan kerja, aku duwe pengalaman sing apik: kanca-kanca nyedhaki PC sing ora dikunci, lan Paint dibukak ing kabeh jendhela kanthi tulisan "Kunci komputer!" lan ana sing diganti ing karya, contone, Déwan pompa pungkasan kabongkar utawa bug ngenalaken pungkasan dibusak (iki klompok testing). Iku kejem, nanging 1-2 kaping cukup malah kanggo kayu-kayuan paling. Senajan, aku curiga, wong non-IT bisa uga ora ngerti humor kuwi.
  • Nanging dosa paling awon, mesthi, dumunung ing administrator sistem lan Manajemen - yen padha categorically ora nggunakake sistem kontrol lalu lintas, peralatan, lisensi, etc.

Iki mesthi dadi basis, amarga infrastruktur IT minangka papan sing luwih akeh menyang alas, luwih akeh kayu bakar. Lan saben wong kudu duwe basis iki, lan ora diganti dening tembung "kita kabeh dipercaya saben liyane", "kita minangka kulawarga", "sing perlu" - sayangé, iki kanggo wektu.

Iki Internet, bayi, dheweke bisa ngerti akeh babagan sampeyan.

Iki wektu kanggo ngenalake penanganan Internet sing aman menyang kursus safety urip ing sekolah - lan iki dudu babagan langkah-langkah sing ditindakake saka njaba. Iki khusus babagan kemampuan kanggo mbedakake link saka link, ngerti ngendi phishing lan ngendi scam, ora mbukak lampiran email karo subyek "Laporan Rekonsiliasi" saka alamat sing ora dingerteni tanpa ngerti, etc. Sanadyan, bocah-bocah sekolah wis nguwasani kabeh iki, nanging para karyawan durung. Ana akeh trik lan kesalahan sing bisa mbebayani kabeh perusahaan sekaligus.

  • Jaringan sosial minangka bagean saka Internet sing ora duwe papan kerja, nanging ngalangi ing tingkat perusahaan ing 2019 minangka langkah sing ora populer lan nyuda motivasi. Mulane, sampeyan mung kudu nulis kanggo kabeh karyawan carane mriksa ilegalitas pranala, marang wong-wong mau bab jinis penipuan lan takon kanggo bisa ing karya.

Insecurity perusahaan

  • Mail minangka titik perih lan bisa uga cara sing paling populer kanggo nyolong informasi, nandur malware, lan nginfeksi PC lan kabeh jaringan. Sayange, akeh pengusaha nganggep klien email minangka alat sing ngirit biaya lan nggunakake layanan gratis sing nampa 200 email spam saben dina sing liwat saringan, lsp. Lan sawetara wong sing ora tanggung jawab mbukak surat lan lampiran, tautan, gambar kasebut - ketoke, dheweke ngarep-arep yen pangeran ireng ninggalake warisan kanggo dheweke. Sawise administrator wis akeh, akeh karya. Utawa iki dimaksudaké supaya? Miturut cara, crita kejam liyane: ing siji perusahaan, kanggo saben surat spam menyang administrator sistem, KPI dikurangi. Umumé, sawise sasi ora ana spam - praktik kasebut diadopsi dening organisasi induk, lan isih ora ana spam. Kita ngrampungake masalah iki kanthi elegan - kita ngembangake klien email dhewe lan nggawe dhewe RegionSoft CRM, supaya kabeh klien kita uga nampa fitur trep kuwi.

Insecurity perusahaan
Sabanjure sampeyan nampa email aneh karo simbol klip kertas, aja klik ing!

  • Utusan uga sumber saka kabeh jinis pranala ora aman, nanging iki luwih ala tinimbang mail (ora ngetung wektu boroske chattering ing chats).

Iku misale jek sing iki kabeh iku cilik. Nanging, saben perkara cilik kasebut bisa nyebabake akibat sing mbebayani, utamane yen perusahaan sampeyan dadi target serangan pesaing. Lan iki bisa kelakon kanggo sapa wae.

Insecurity perusahaan

Karyawan chatty

Iki faktor manungsa banget sing bakal angel kanggo njaluk nyisihaken saka. Karyawan bisa ngrembug babagan kerja ing koridor, ing kafe, ing dalan, ing omah klien, ngomong kanthi banter babagan klien liyane, ngomong babagan prestasi lan proyek ing omah. Mesthine, kemungkinan pesaing sing ngadeg ing mburi sampeyan bisa diabaikan (yen sampeyan ora ana ing pusat bisnis sing padha - iki wis kedadeyan), nanging kemungkinan wong lanang kanthi jelas nyatakake urusane bisnis bakal direkam ing smartphone lan dikirim ing YouTube, anehe, luwih dhuwur. Nanging iki uga omong kosong. Ora omong kosong yen karyawan sampeyan gelem menehi informasi babagan produk utawa perusahaan ing pelatihan, konferensi, rapat, forum profesional, utawa malah ing Habré. Kajaba iku, wong asring sengaja nelpon mungsuh kanggo obrolan kasebut supaya bisa nindakake intelijen kompetitif.

Crita sing ngungkapake. Ing salah sawijining konferensi IT skala galaksi, speaker bagean kasebut nampilake diagram lengkap babagan organisasi infrastruktur IT perusahaan gedhe (20 ndhuwur). Skema kasebut mega nyengsemake, mung kosmik, meh kabeh wong motret, lan langsung mabur ing jaringan sosial kanthi ulasan ngelem. Nah, banjur speaker nyekel dheweke nggunakake geotag, stand, media sosial. jaringan sing dikirim lan njaluk dibusak, amarga padha nelpon dheweke cukup cepet lan ngandika ah-ta-ta. A chatterbox punika godsend kanggo mata-mata.

Bodho ... mbebasake sampeyan saka paukuman

Miturut laporan global Kaspersky Lab 2017 babagan bisnis sing ngalami kedadeyan cybersecurity sajrone 12 wulan, siji saka sepuluh (11%) saka jinis kedadeyan sing paling serius melu karyawan sing ora peduli lan ora ngerti.

Aja nganggep manawa karyawan ngerti kabeh babagan langkah-langkah keamanan perusahaan, manawa sampeyan ngelingake, menehi latihan, nggawe buletin periodik sing menarik babagan masalah keamanan, nganakake rapat babagan pizza lan njlentrehake masalah maneh. Lan ya, hack urip sing keren - tandhani kabeh informasi sing dicithak lan elektronik kanthi warna, pratandha, prasasti: rahasia dagang, rahasia, kanggo panggunaan resmi, akses umum. Iki pancene bisa.

Donya modern wis nyelehake perusahaan ing posisi sing alus banget: perlu kanggo njaga keseimbangan antarane kepinginan karyawan supaya ora mung kerja keras ing karya, nanging uga nampa konten hiburan ing latar mburi / sajrone istirahat, lan aturan keamanan perusahaan sing ketat. Yen sampeyan ngaktifake program hypercontrol lan moronic tracking (ya, dudu kesalahan ketik - iki dudu keamanan, iki paranoia) lan kamera ing mburi sampeyan, mula kepercayaan karyawan ing perusahaan bakal mudhun, nanging njaga kapercayan uga minangka alat keamanan perusahaan.

Mula, ngerti kapan kudu mandheg, ngormati karyawan, lan gawe serep. Lan sing paling penting, prioritasake safety, dudu paranoia pribadi.

Yen sampeyan perlu CRM utawa ERP - deleng produk kita kanthi cetha lan mbandhingake kemampuane karo tujuan lan tujuan sampeyan. Yen sampeyan duwe pitakonan utawa kangelan, nulis utawa nelpon, kita bakal ngatur presentation online individu kanggo sampeyan - tanpa ratings utawa lonceng lan whistles.

Insecurity perusahaan Saluran kita ing Telegram, kang, tanpa iklan, kita nulis ora tanggung formal bab CRM lan bisnis.

Source: www.habr.com

Add a comment