Informācijas drošība un ēdināšana: kā vadītāji domā par IT produktiem

Sveiks, Habr! Esmu persona, kas patērē IT produktus caur App Store, Sberbank Online, Delivery Club un ir saistīta ar IT nozari, ciktāl. Īsāk sakot, manas profesionālās darbības specifika ir sniegt konsultāciju pakalpojumus sabiedriskās ēdināšanas uzņēmumiem par biznesa procesu optimizāciju un attīstību. Pēdējā laikā liels skaits pasūtījumu ir sācis saņemt no iestāžu īpašniekiem, kuru mērķis ir izveidot savā uzņēmumā informācijas drošības sistēmu.

Sāksim ar pāris smieklīgiem stāstiem. Stāsts numur viens. Vienā neformālā ēdināšanas kafejnīcā vadītāji mainījās ik pēc trim mēnešiem. Savulaik pats pirmais vadītājs, būdams liels padomju vēstures cienītājs, izveidoja paroli “07111917” un norādīja to uz visiem resursiem, ar kuriem kaut kādā veidā saskārās, pildot savus pienākumus: automatizētajā grāmatvedības programmā IIKO, piekļuve Plazius lojalitātes programmai, sistēmu drošības un ugunsdrošības uzstādīšana. Kādu dienu šis vadītājs tika pieķerts, pārdodot viesu personas datus konkurentiem, un tika veiksmīgi atlaists. Tomēr revolucionārā parole “07111917” turpināja dzīvot un tika nodota no viena menedžera otram. Tā rezultātā katrs viesmīlis iestādē zināja, kā izveidot savienojumu ar biroja Wi-Fi. Turklāt viesi uzzināja arī šo paroli, jo viesmīļi aiz sirds laipnības ieteica viņiem pieslēgties lielāka ātruma internetam ar nosaukumu “internet_office”.

Sabiedriskajā ēdināšanā darbinieki bieži izmanto informācijas drošības vājās vietas saviem savtīgiem mērķiem.

Stāsts numur divi. Skaists jauneklis rudzupuķu zilā jakā tiekas ar lielas restorānu holdinga kompānijas izpilddirektoru. Starp viņiem notiek šāds dialogs:

— Mūsu uzņēmums specializējas informācijas produktos. Šodien iesaku apsvērt iespēju iegādāties jaunās paaudzes paroļu pārvaldnieku “Hawkeye”[1]. Tas ir unikāls ar to, ka tam ir augsta uzticamības pakāpe gan mākoņa versijai, gan kastes versijai. Šifrēšana tiek veikta, izmantojot AES-256 algoritmu. Papildus jebkura paroļu pārvaldnieka standarta funkcijām, Hawkeye ir uzlabotas dublējumkopijas un drošības audits. ko tu saki?
— Konstantīns, paldies par informāciju, kāda ir atšķirība starp kastītes un mākoņa versiju un kāpēc man tas viss ir vajadzīgs?

Abi minētie stāsti attiecas uz vienu un to pašu problēmu - vadītāju zemo informētību par informācijas drošības lomu un nozīmi uzņēmumu dzīvē. Bet ir papildu nianse. Arī veids, kā IT uzņēmumu pārstāvji izsaka savus priekšlikumus, maz palīdz vadītājiem saprast, kāpēc viņiem nepieciešami IT produkti. Vairāku gadu savas konsultēšanas prakses laikā esmu nonācis pie stingras pārliecības, ka HoReCa segments ir mazattīstīts tirgus informācijas drošības principu ieviešanas un uzturēšanas IT rīku piegādātāju vidū. Šajā tekstā vēlos dalīties ar fragmentu no neliela pētījuma, ko veicām sabiedriskās ēdināšanas uzņēmumu vadītāju vidū, lai noteiktu viņu informētības pakāpi par IT produktu ieviešanu un lietošanu. Pirmkārt, es vēlos koncentrēties uz paroļu pārvaldnieku izmantošanu. Piebildīšu, ka pētījumu diktēja vēlme labāk izprast vadītāju domāšanu, lai efektīvāk popularizētu viņu konsultāciju pakalpojumus.

Īsumā par metodiku. Tika izvēlēta kvalitatīva datu iegūšanas stratēģija. Veicām divpadsmit neformālas intervijas ar vadītājiem un viņu vietniekiem sešās sabiedriskās ēdināšanas iestādēs. Intervijas anketā bija divdesmit jautājumi, kas attiecās uz vispārējo informācijas drošības filozofiju, normatīvā regulējuma zināšanām, darbu ar personas datiem, individuālo uzņēmumu drošības sistēmas tehniskajām iespējām un izmantotajiem IT produktiem, tajā skaitā darbu ar paroļu pārvaldniekiem. Visas intervijas tika pārrakstītas, un rezultāti tika apkopoti.

Ikviens ir bijis situācijā, kad nevar atcerēties sava konta paroli.

Ja sākam ar konceptuāliem jautājumiem, tad lielākā daļa aptaujāto uzņēmumu informācijas drošību saista tikai ar savu darbinieku personas datu glabāšanu. Vadītāji neiedziļinās jautājuma tehniskās puses detaļās. Viņus uztrauc tas, cik efektīvi šī vai cita programmatūra ietaupīs laiku, palīdzēs drošā datu glabāšanā un cik viegli to būs lietot. Turklāt prioritātes tiek noteiktas šādā secībā: (1) – laiks – (2) – drošība – (3) – lietojamība.

“Klausies, man jāsastāda laika uzskaites tabulas, grafiki un jāsagatavo atskaites īpašniekiem. Restorānā nepārtraukti kaut kas plīst. Man ļoti trūkst laika, lai nodarbotos ar programmu iestatījumiem un pārinstalēšanu. Mums nav IT speciālista. Ja ir kas ātrs un ērts, tad varam pamēģināt.” (vīrietis, 41 gads)

“Informācijas drošība šeit aprobežojas ar to, ka darba grāmatas tiek glabātas seifā, un pases dati atrodas tajā augšējā plauktā pie grāmatveža. Tas viss ir slikti, un es to saprotu. Bet drošības iestatīšana garīgi prasa laiku, un šobrīd man tā nav. Mums bija pieredze uzlabotas antivīrusu programmas iegādē, mēs pat iegādājāmies licenci. Pastāvīgi nāca kaut kādi paziņojumi, tas bija neērti, novērsa manu uzmanību no darba” (vīrietis, 35 gadi)

“Apmēram pirms sešiem mēnešiem mums biznesa inkubatorā tika organizēts seminārs par federālo likumu 152. Toreiz un arī tagad es maz saprotu no personas datiem. Galvenais, un es par to teicu īpašniekam, ir tas, ka mums ir jāsakārto lietas personāla uzskaitē. Man, grāmatvedei, ir piekļuve datiem, vienojoties ar mani, un tas arī viss. Tagad mums šeit, protams, ir bardaks” (sieviete, 34 gadi).

Kā liecināja interviju rezultāti, piecās no sešām iestādēm nav informācijas drošības nodrošināšanas standartu un procedūru, nav arī atbildīgo personu. Turklāt nav neviena darbinieka vai ārpakalpojuma speciālista, kas būtu iesaistīts drošības sistēmas izveidē un uzraudzībā. Kā teica kāds intervējamais:

“Mums ir zēns, kurš pievieno informāciju restorāna vietnei. Teorētiski viņš to visu varētu izdarīt” (sieviete, 35 gadi).

Pārvaldnieku bažas par personas datu drošību ir saprotamas. Arvien vairāk lietu tiek uzsāktas ar administratīvo un kriminālsods, mainās prasības operatoru pārbaudēm personas dati. Restorānu nozarē šī tēma kļūst arvien aktuālāka, jo papildus iekšējai piekļuvei kontiem lielākajai daļai iestāžu ir lojalitātes programmas, kurās iedzīvotāju skaits sasniedz tūkstošos.

Manuprāt, šobrīd IT nozares pārstāvjiem ir labas izredzes iekļūt tirgū, kur ir skaidri noteikta problēma un nepieciešamība to risināt. Tuvāko trīs gadu laikā pieprasījums pēc informācijas drošības sistēmas izbūves sabiedriskajā ēdināšanā tikai pieaugs. Īpaši reģionos.

Tomēr, neskatoties uz visu virspusējo izpratni par to, kā jāstrukturē informācijas drošības sistēma, visi aptaujātie izmanto paroļu pārvaldniekus. Turklāt daži uzliek pienākumu saviem vietniekiem, šefpavāriem un administratoriem tos izmantot. Vispirms respondentiem jautājām, kādus paroļu pārvaldniekus jūs izmantojat savos uzņēmumos:

"Es nezinu, vai es to izrunāšu pareizi vai nē, bet tagad es izmantoju Zoho[2]. Pārsteidzoši, es varu apskatīt paroli pat no sava tālruņa un no sava darba datora. Vienīgais, kas man jāatceras, ir piekļuves pamata parole. Tāpēc es to ierakstīju savā dienasgrāmatā” (32 gadus veca sieviete).

“Klausies, es nejauši sāku lietot paroļu pārvaldnieku. Draugs no universitātes strādā bankā un ļauj man to izmantot. To sauc Passwork [3], pagaidām šķiet ērti, ietaupa laiku. Mums radās problēma, ka atlaists darbinieks pieteicās grāmatvedības sistēmā un apskatīja mūsu ieņēmumus. Pavisam nejauši uzzinājām, ka restorānā lietotās paroles ir radījis viņš. Viss bija steidzami jāpārtaisa. Tā radās vajadzība pēc vadītāja” (vīrietis, 41 gads).

“Nedaudz mācījos par IT speciālistu mūsu tehniskajā nodaļā. Kad es domāju par paroļu pārvaldnieku, es izvēlējos CommonKey[4], jo tas lieliski tiek galā ar darbinieku personīgo profilu administrēšanas funkciju. Tas ir ļoti ērti mūsu picēriju tīklam” (vīrietis, 38 gadi).

Es atzīmēju, ka es atlasīju visnozīmīgākos respondentu komentārus. Lielākā daļa aptaujāto nevarēja atcerēties precīzus savu vadītāju vārdus. Dažiem paroļu pārvaldnieks ir paredzēts tikai datu glabāšanai pārlūkprogrammā. Kopumā respondenti, izvēloties konkrētu produktu, nejautā par kriptogrāfijas mehānismu, kas ir paroļu pārvaldnieka pamatā. Viņu prioritātes ir ātrums un lietošanas ērtums.

Neskatoties uz to, ka respondentu vidū ir vispārēja izpratne par to, kāpēc viņiem ir nepieciešams paroļu pārvaldnieks, respondenti tos izmanto neregulāri. Kā teica sieviete respondente:

“Kad jūs no vienas puses rausta banketa klients, no otras piegādātājs, bet trešajā – darbinieki jautā, kad būs alga, un tajā pašā laikā jūs veidojat kontu jaunam darbiniekam, vienīgais atliek uz lapiņas pierakstīt lietotājvārdu un paroli” (sieviete, 41 gads).

Tomēr ir noteiktas prakses. Ir vairākas problēmas, kuru dēļ paroļu pārvaldnieki tiek izmantoti ēdināšanas pakalpojumu nozarē. Kādas ir šīs problēmas?

Pirmkārt, piekļuve lojalitātes programmām. Insaideriem nav noslēpums, ka darbinieki "drādās" ar atlaidēm; naudas atmaksas tiek ieskaitītas plastikāta kartēs, kas saistītas ar personāla radiem un draugiem utt. Visefektīvākais veids, kā novērst krāpšanu, ir regulāri pārraudzīt konta darbību lojalitātes programmas aizmugurē. Situāciju sarežģī fakts, ka programmai ir jābūt piekļuvei vismaz trim cilvēkiem: vadītājam, mārketinga speciālistam (īsziņu un push sūtīšanai) un operatoram, kurš apkalpo lojalitātes programmu (tehnisku kļūmju vai papildu iespēju pievienošanas gadījumā). ).

“Vienīgā reize, kad cenšos atcerēties izmantot paroļu pārvaldnieku, ir strādājot ar mūsu viesu bāzi. Papildus piekļuvei viesu personas datiem caur šo datu bāzi var ieskaitīt vai debetēt virtuālo naudu. Reizi mēnesī es mainu paroli un ierindoju piekļuvi atkarībā no lietotāja statusa. Tāpēc informācija ir pastāvīgi jāatjaunina. Paroļu pārvaldnieks atvieglo lietas šajā ziņā” (vīrietis, 48 ​​gadi).

Otrkārt, katram uzņēmumam ir magnētiskās personāla kartes piekļuvei automatizētai grāmatvedības sistēmai (piemēram, IIKO vai R-Keeper). Ir interesanti gadījumi. Viesmīlis pamet un aiziet ar karti. Faktiski aizgājušais viesmīlis zina paroli, lai piekļūtu sistēmai, kurā tiek atspoguļoti uzņēmuma finanšu rādītāji, tiek dzēsti un norakstīti ēdieni, kā arī tiek reģistrēts personāla darba laiks.

“Bija stāsts, kad atlaists darbinieks noslēdza sazvērestību ar bārmeni un pārdeva alkoholu par reprezentācijas izdevumiem. Kaut kā dīvainā veidā šim draugam joprojām bija atbloķēta karte un viņš to izmantoja” (vīrietis, 38 gadi)

Treškārt, vadītāji nāk un iet, bet konti paliek. Jaunā vadītāja profesionālā adaptācija palēninās, kad viņš sēž pie monitora ekrāna un mēģina piezvanīt iepriekšējam menedžerim, lai noskaidrotu e-pasta pieteikumvārdu un paroli, Mercury un EGAIS sistēmas, viņa personīgo kontu METRO uzņēmumu portālā utt.

“Es parasti nevarēju atrisināt problēmas, ja nebija piekļuves esošajiem kontiem. Iepriekšējam vadītājam bija sliktas attiecības ar īpašnieku un viņš man neko nedeva. Man bija viss jāatjauno, jāiziet cauri tā melnrakstiem un jāpierunā cilvēks dalīties ar informāciju. Pēc tam es stingri nolēmu, ka visas savas paroles glabāšu īpašā programmā” (sieviete, 29 gadi).

Neatkārtojiet kļūdu Kosovas prezidents, izmantojiet paroļu pārvaldnieku

Visas iepriekš minētās situācijas var būt noderīgas IT izstrādātāju pārstāvjiem, lai formulētu kompetentus komerciālus priekšlikumus restorānu nozares pārstāvjiem. Vēlreiz uzsveru, ka HoReCa tirgus ir gatavs patērēt IT produktus. Tas attiecas ne tikai uz paroļu pārvaldniekiem, bet arī pretvīrusu programmatūru, videonovērošanas sistēmām un biznesa procesu optimizāciju.

Rakstot tekstu, es sapratu nopietnas komerciālas perspektīvas ieviest informācijas drošības standartus restorānos, kafejnīcās un bāros. Tāpēc lūdzu ikvienu interesentu komentāros ierakstīt, kādu programmatūru Jūs ieteiktu HoReCa pārstāvjiem uzticamas informācijas drošības sistēmas izveidei. Lai noslēgtu tēmu par paroļu pārvaldniekiem, lūdzu, piedalieties zemāk esošajā aptaujā. Būšu ļoti pateicīgs par detalizētiem komentāriem par jūsu izvēli.

[1] Nosaukums ir izdomāts. Jebkuras līdzības ar citiem paroļu pārvaldniekiem ir tikai līdzības un nekas vairāk.
[2] Respondents atsaucas uz Zoho Vault paroļu pārvaldnieku: www.zoho.com/vault
[3] Respondents atsaucas uz Passwork paroļu pārvaldnieku: passwork.ru
[4] Respondents nozīmē CommonKey paroļu pārvaldnieku: www.commonkey.com

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Kādu paroļu pārvaldnieku jūs izmantojat savos uzņēmumos?

• CommonKey

• Pasūtījums

• Vaultier

• SimpliSafe

• Cits

Nobalsoja 8 lietotāji. 1 lietotājs atturējās.

Avots: www.habr.com