31 Mac ialah Hari Sandaran Antarabangsa, dan minggu sebelumnya sentiasa penuh dengan cerita berkaitan keselamatan. Pada hari Isnin, kami telah mengetahui tentang Asus yang dikompromi dan "tiga pengeluar yang tidak dinamakan." Terutamanya syarikat tahyul duduk di atas pin dan jarum sepanjang minggu, membuat sandaran. Dan ini semua kerana kita semua cuai sedikit dari segi keselamatan: seseorang terlupa untuk mengikat tali pinggang keledar di tempat duduk belakang, seseorang mengabaikan tarikh tamat tempoh produk, seseorang menyimpan log masuk dan kata laluan mereka di bawah papan kekunci, dan lebih baik lagi, menulis semua kata laluan dalam buku nota. Sesetengah individu berjaya melumpuhkan antivirus "supaya tidak memperlahankan komputer" dan tidak menggunakan pengasingan hak akses dalam sistem korporat (apa rahsia dalam syarikat 50 orang!). Mungkin, manusia masih belum mengembangkan naluri pemeliharaan diri siber, yang, pada dasarnya, boleh menjadi naluri asas baru.
Perniagaan juga tidak mengembangkan naluri sedemikian. Soalan mudah: adakah sistem CRM ancaman keselamatan maklumat atau alat keselamatan? Tidak mungkin sesiapa akan memberikan jawapan yang tepat dengan segera. Di sini kita perlu bermula, seperti yang diajar dalam pelajaran Bahasa Inggeris: ia bergantung... Ia bergantung pada tetapan, bentuk penyampaian CRM, tabiat dan kepercayaan vendor, tahap tidak menghiraukan pekerja, kecanggihan penyerang . Lagipun, semuanya boleh digodam. Jadi bagaimana untuk hidup?
Ini adalah keselamatan maklumat dalam perniagaan kecil dan sederhana
Sistem CRM sebagai perlindungan
Melindungi data komersil dan operasi serta menyimpan pangkalan pelanggan anda dengan selamat adalah salah satu tugas utama sistem CRM, dan dalam hal ini ia adalah kepala dan bahu mengatasi semua perisian aplikasi lain dalam syarikat.
Pasti anda mula membaca artikel ini dan tersengih dalam-dalam, berkata, siapa yang memerlukan maklumat anda. Jika ya, maka anda mungkin belum berurusan dengan jualan dan tidak tahu bagaimana permintaan "secara langsung" dan pangkalan pelanggan berkualiti tinggi serta maklumat tentang kaedah bekerja dengan pangkalan ini. Kandungan sistem CRM menarik bukan sahaja kepada pengurusan syarikat, tetapi juga untuk:
- Penyerang (kurang kerap) - mereka mempunyai matlamat yang berkaitan khusus dengan syarikat anda dan akan menggunakan semua sumber untuk mendapatkan data: rasuah pekerja, penggodaman, membeli data anda daripada pengurus, temu bual dengan pengurus, dsb.
- Pekerja (lebih kerap) yang boleh bertindak sebagai orang dalam untuk pesaing anda. Mereka hanya bersedia untuk mengambil atau menjual pangkalan pelanggan mereka untuk keuntungan mereka sendiri.
- Untuk penggodam amatur (jarang sekali) - anda mungkin digodam ke dalam awan tempat data anda berada atau rangkaian digodam, atau mungkin seseorang mahu "menarik keluar" data anda untuk berseronok (contohnya, data mengenai pemborong farmaseutikal atau alkohol - menarik untuk dilihat).
Jika seseorang masuk ke CRM anda, mereka akan mempunyai akses kepada aktiviti operasi anda, iaitu, kepada volum data yang anda perolehi sebahagian besar keuntungan anda. Dan dari saat akses berniat jahat kepada sistem CRM diperoleh, keuntungan mula tersenyum pada orang yang berada di tangan pangkalan pelanggannya. Nah, atau rakan kongsi dan pelanggannya (baca - majikan baru).
Baik, boleh dipercayai mampu menampung risiko ini dan menyediakan sekumpulan bonus yang menyenangkan dalam bidang keselamatan.
Jadi, apakah yang boleh dilakukan oleh sistem CRM dari segi keselamatan?
(kami akan memberitahu anda dengan contoh, kerana Kita tidak boleh bertanggungjawab terhadap orang lain)
- Pengesahan dua faktor menggunakan kunci USB dan kata laluan. menyokong mod kebenaran pengguna dua faktor apabila log masuk ke sistem. Dalam kes ini, apabila log masuk ke sistem, selain daripada memasukkan kata laluan, anda mesti memasukkan kunci USB yang telah dimulakan terlebih dahulu ke dalam port USB komputer. Mod kebenaran dua faktor membantu melindungi daripada kecurian atau pendedahan kata laluan.
Boleh diklik
- Jalankan daripada alamat IP yang dipercayai dan alamat MAC. Untuk keselamatan yang dipertingkatkan, anda boleh menyekat pengguna daripada log masuk hanya daripada alamat IP berdaftar dan alamat MAC. Kedua-dua alamat IP dalaman pada rangkaian tempatan dan alamat luaran boleh digunakan sebagai alamat IP jika pengguna menyambung dari jauh (melalui Internet).
- Keizinan domain (keizinan Windows). Permulaan sistem boleh dikonfigurasikan supaya kata laluan pengguna tidak diperlukan semasa log masuk. Dalam kes ini, kebenaran Windows berlaku, yang mengenal pasti pengguna menggunakan WinAPI. Sistem akan dilancarkan di bawah pengguna di bawah profilnya komputer sedang berjalan pada masa sistem bermula.
- Mekanisme lain ialah pelanggan persendirian. Pelanggan persendirian adalah pelanggan yang hanya boleh dilihat oleh penyelia mereka. Pelanggan ini tidak akan muncul dalam senarai pengguna lain, walaupun pengguna lain mempunyai kebenaran penuh, termasuk hak pentadbir. Dengan cara ini, anda boleh melindungi, sebagai contoh, kumpulan pelanggan atau kumpulan yang sangat penting atas sebab lain, yang akan diamanahkan kepada pengurus yang boleh dipercayai.
- Mekanisme untuk membahagikan hak akses β langkah keselamatan standard dan utama dalam CRM. Untuk memudahkan proses mentadbir hak pengguna, dalam hak diberikan bukan kepada pengguna tertentu, tetapi kepada templat. Dan pengguna itu sendiri diberikan satu atau templat lain, yang mempunyai set hak tertentu. Ini membolehkan setiap pekerja - daripada pekerja baharu kepada pelatih kepada pengarah - untuk memberikan kebenaran dan hak akses yang akan membenarkan/menghalang mereka daripada mengakses data sensitif dan maklumat perniagaan yang sensitif.
- Sistem sandaran data automatik (sandaran)boleh dikonfigurasikan melalui pelayan skrip .
Ini adalah pelaksanaan keselamatan menggunakan satu sistem sebagai contoh, setiap vendor mempunyai polisi sendiri. Walau bagaimanapun, sistem CRM benar-benar melindungi maklumat anda: anda boleh melihat siapa yang mengambil laporan ini atau itu dan pada masa apa, siapa yang melihat data apa, siapa yang memuat turunnya dan banyak lagi. Walaupun anda mengetahui tentang kelemahan selepas fakta itu, anda tidak akan membiarkan perbuatan itu tidak dihukum dan dengan mudah boleh mengenal pasti pekerja yang menyalahgunakan kepercayaan dan kesetiaan syarikat.
Adakah anda santai? Awal! Perlindungan ini boleh bertindak terhadap anda jika anda cuai dan mengabaikan isu perlindungan data.
Sistem CRM sebagai ancaman
Jika syarikat anda mempunyai sekurang-kurangnya satu PC, ini sudah menjadi sumber ancaman siber. Sehubungan itu, tahap ancaman meningkat dengan bilangan stesen kerja (dan pekerja) dan dengan kepelbagaian perisian yang dipasang dan digunakan. Dan perkara ini tidak mudah dengan sistem CRM - lagipun, ini adalah program yang direka untuk menyimpan dan memproses aset yang paling penting dan mahal: pangkalan pelanggan dan maklumat komersial, dan di sini kami menceritakan kisah seram tentang keselamatannya. Sebenarnya, tidak semuanya begitu suram dari dekat, dan jika dikendalikan dengan betul, anda tidak akan menerima apa-apa selain manfaat dan keselamatan daripada sistem CRM.
Apakah tanda-tanda sistem CRM berbahaya?
Mari kita mulakan dengan lawatan singkat ke asas-asas. CRM datang dalam versi awan dan desktop. Cloud adalah mereka yang DBMS (pangkalan data)nya tidak terletak di syarikat anda, tetapi dalam awan peribadi atau awam di beberapa pusat data (contohnya, anda sedang duduk di Chelyabinsk, dan pangkalan data anda berjalan di pusat data yang sangat keren di Moscow , kerana vendor CRM memutuskan begitu dan dia mempunyai perjanjian dengan pembekal tertentu ini). Desktop (aka di premis, pelayan - yang tidak lagi benar) mendasarkan DBMS mereka pada pelayan anda sendiri (tidak, tidak, jangan bayangkan bilik pelayan yang besar dengan rak mahal, selalunya dalam perniagaan kecil dan sederhana ia pelayan tunggal atau bahkan PC biasa konfigurasi moden), iaitu, secara fizikal di pejabat anda.
Adalah mungkin untuk mendapatkan akses tanpa kebenaran kepada kedua-dua jenis CRM, tetapi kelajuan dan kemudahan akses adalah berbeza, terutamanya jika kita bercakap tentang SMB yang tidak begitu mengambil berat tentang keselamatan maklumat.
Tanda Bahaya #1
Sebab kemungkinan masalah yang lebih tinggi dengan data dalam sistem awan ialah hubungan yang disambungkan oleh beberapa pautan: anda (penyewa CRM) - vendor - pembekal (terdapat versi yang lebih panjang: anda - vendor - penyumber luar IT vendor - pembekal) . 3-4 pautan dalam hubungan mempunyai lebih banyak risiko daripada 1-2: masalah boleh berlaku di pihak vendor (perubahan kontrak, tidak membayar perkhidmatan penyedia), di pihak penyedia (force majeure, penggodaman, masalah teknikal), di pihak penyumber luar (pertukaran pengurus atau jurutera), dsb. Sudah tentu, vendor besar cuba mempunyai pusat data sandaran, mengurus risiko dan mengekalkan jabatan DevOps mereka, tetapi ini tidak mengecualikan masalah.
CRM Desktop secara amnya tidak disewa, tetapi dibeli oleh syarikat; oleh itu, perhubungan itu kelihatan lebih mudah dan lebih telus: semasa pelaksanaan CRM, vendor mengkonfigurasi tahap keselamatan yang diperlukan (daripada membezakan hak akses dan kunci USB fizikal untuk melampirkan pelayan di dinding konkrit, dsb.) dan memindahkan kawalan kepada syarikat yang memiliki CRM, yang boleh meningkatkan perlindungan, mengupah pentadbir sistem atau menghubungi pembekal perisiannya jika perlu. Masalah datang kepada bekerja dengan pekerja, melindungi rangkaian dan melindungi maklumat secara fizikal. Jika anda menggunakan CRM desktop, walaupun penutupan Internet sepenuhnya tidak akan berhenti berfungsi, kerana pangkalan data terletak di pejabat "rumah" anda.
Salah seorang pekerja kami, yang bekerja di sebuah syarikat yang membangunkan sistem pejabat bersepadu berasaskan awan, termasuk CRM, bercakap tentang teknologi awan. βDi salah satu pekerjaan saya, syarikat itu mencipta sesuatu yang hampir serupa dengan CRM asas, dan semuanya disambungkan kepada dokumen dalam talian dan sebagainya. Pada suatu hari di GA, kami melihat aktiviti luar biasa daripada salah seorang pelanggan pelanggan kami. Bayangkan betapa terkejutnya kami, penganalisis, apabila kami, bukan pembangun, tetapi mempunyai tahap akses yang tinggi, hanya dapat membuka antara muka yang digunakan pelanggan melalui pautan dan melihat jenis tanda popular yang dia ada. By the way, nampaknya pelanggan tidak mahu sesiapa melihat data komersial ini. Ya, ia adalah pepijat, dan ia tidak diperbaiki selama beberapa tahun - pada pendapat saya, perkara masih ada. Sejak itu, saya menjadi peminat desktop dan tidak begitu mempercayai awan, walaupun, sudah tentu, kami menggunakannya dalam kerja dan dalam kehidupan peribadi kami, di mana kami turut berseronok.β
Daripada tinjauan kami tentang HabrΓ©, dan ini adalah pekerja syarikat maju
Kehilangan data daripada sistem CRM awan mungkin disebabkan oleh kehilangan data akibat kegagalan pelayan, ketiadaan pelayan, force majeure, penamatan aktiviti vendor, dsb. Awan bermaksud capaian berterusan, tanpa gangguan ke Internet, dan perlindungan mestilah tidak pernah berlaku sebelum ini: pada tahap kod, hak akses, langkah keselamatan siber tambahan (contohnya, pengesahan dua faktor).
Tanda Bahaya #2
Kami tidak bercakap tentang satu ciri, tetapi tentang sekumpulan ciri yang berkaitan dengan vendor dan polisinya. Mari kita senaraikan beberapa contoh penting yang kami dan pekerja kami temui.
- Vendor boleh memilih pusat data yang tidak boleh dipercayai di mana DBMS pelanggan akan "berputar". Dia akan menjimatkan wang, tidak akan mengawal SLA, tidak akan mengira beban, dan hasilnya akan membawa maut untuk anda.
- Vendor mungkin menafikan hak untuk memindahkan perkhidmatan ke pusat data pilihan anda. Ini adalah had yang agak biasa untuk SaaS.
- Vendor mungkin mempunyai konflik undang-undang atau ekonomi dengan pembekal awan, dan kemudian semasa "pertarungan", tindakan sandaran atau, sebagai contoh, kelajuan mungkin terhad.
- Perkhidmatan membuat sandaran mungkin disediakan dengan harga tambahan. Amalan biasa yang pelanggan sistem CRM hanya boleh belajar pada masa sandaran diperlukan, iaitu, pada saat yang paling kritikal dan terdedah.
- Pekerja vendor boleh mempunyai akses tanpa halangan kepada data pelanggan.
- Kebocoran data dalam sebarang bentuk boleh berlaku (kesilapan manusia, penipuan, penggodam, dll.).
Biasanya masalah ini dikaitkan dengan vendor kecil atau muda, namun, masalah besar berulang kali mendapat masalah (google). Oleh itu, anda harus sentiasa mempunyai cara untuk melindungi maklumat di sebelah anda + membincangkan isu keselamatan dengan pembekal sistem CRM yang dipilih terlebih dahulu. Malah hakikat minat anda terhadap masalah itu sudah akan memaksa pembekal untuk memperlakukan pelaksanaan itu dengan bertanggungjawab yang mungkin (adalah sangat penting untuk melakukan ini jika anda berurusan bukan dengan pejabat vendor, tetapi dengan rakan kongsinya, untuk siapa ia penting untuk membuat perjanjian dan menerima komisen, dan bukan dua faktor ini... fahamkah anda).
Tanda Bahaya #3
Organisasi kerja keselamatan di syarikat anda. Setahun yang lalu, kami secara tradisinya menulis tentang keselamatan di HabrΓ© dan menjalankan tinjauan. Sampel tidak terlalu besar, tetapi jawapannya menunjukkan:
Pada penghujung artikel, kami akan menyediakan pautan ke penerbitan kami, di mana kami meneliti secara terperinci hubungan dalam sistem "syarikat-pekerja-keselamatan", dan di sini kami akan menyediakan senarai soalan yang jawapannya harus ditemui dalam syarikat anda (walaupun anda tidak memerlukan CRM).
- Di manakah pekerja menyimpan kata laluan?
- Bagaimanakah akses kepada storan pada pelayan syarikat diatur?
- Bagaimanakah perisian yang mengandungi maklumat komersial dan operasi dilindungi?
- Adakah semua pekerja mempunyai perisian antivirus yang aktif?
- Berapa ramai pekerja mempunyai akses kepada data pelanggan, dan apakah tahap akses yang ada pada ini?
- Berapa ramai pekerja baharu yang anda ada dan berapa ramai pekerja yang sedang dalam proses untuk berhenti?
- Berapa lama anda telah berkomunikasi dengan pekerja utama dan mendengar permintaan dan aduan mereka?
- Adakah pencetak dipantau?
- Bagaimanakah dasar disusun untuk menyambungkan alat anda sendiri ke PC anda, serta menggunakan Wi-Fi tempat kerja?
Sebenarnya, ini adalah soalan asasβtegar mungkin akan ditambah dalam ulasan, tetapi ini adalah asas, asas yang perlu diketahui walaupun seorang usahawan individu dengan dua pekerja.
Jadi bagaimana untuk melindungi diri anda?
- Sandaran adalah perkara paling penting yang selalunya terlupa atau tidak dijaga. Jika anda mempunyai sistem desktop, sediakan sistem sandaran data dengan frekuensi tertentu (contohnya, untuk RegionSoft CRM ini boleh dilakukan menggunakan ) dan mengatur penyimpanan salinan yang betul. Jika anda mempunyai CRM awan, pastikan anda mengetahui sebelum membuat kontrak bagaimana kerja dengan sandaran diatur: anda memerlukan maklumat tentang kedalaman dan kekerapan, lokasi storan, kos sandaran (selalunya hanya sandaran "data terkini untuk tempoh tersebut β adalah percuma, dan penyalinan sandaran yang lengkap dan selamat disediakan sebagai perkhidmatan berbayar). Secara umum, ini pastinya bukan tempat untuk simpanan atau kecuaian. Dan ya, jangan lupa untuk menyemak apa yang dipulihkan daripada sandaran.
- Pengasingan hak capaian pada tahap fungsi dan data.
- Keselamatan di peringkat rangkaian - anda perlu membenarkan penggunaan CRM hanya dalam subnet pejabat, mengehadkan akses untuk peranti mudah alih, melarang bekerja dengan sistem CRM dari rumah atau, lebih teruk lagi, dari rangkaian awam (ruang kerja bersama, kafe, pejabat pelanggan , dan lain-lain.). Berhati-hati terutamanya dengan versi mudah alih - biarkan ia hanya versi yang sangat dipotong untuk kerja.
- Antivirus dengan pengimbasan masa nyata diperlukan dalam apa jua keadaan, tetapi terutamanya dalam hal keselamatan data korporat. Di peringkat dasar, larang melumpuhkannya sendiri.
- Melatih pekerja tentang kebersihan siber bukanlah membuang masa, tetapi keperluan mendesak. Adalah perlu untuk menyampaikan kepada semua rakan sekerja bahawa penting bagi mereka bukan sahaja untuk memberi amaran, tetapi juga untuk bertindak balas dengan betul terhadap ancaman yang diterima. Melarang penggunaan Internet atau e-mel anda di pejabat adalah perkara lama dan punca negatif akut, jadi anda perlu berusaha untuk pencegahan.
Sudah tentu, menggunakan sistem awan, anda boleh mencapai tahap keselamatan yang mencukupi: gunakan pelayan khusus, konfigurasikan penghala dan trafik berasingan pada peringkat aplikasi dan peringkat pangkalan data, gunakan subnet peribadi, perkenalkan peraturan keselamatan yang ketat untuk pentadbir, pastikan operasi tanpa gangguan melalui sandaran dengan kekerapan dan kesempurnaan maksimum yang diperlukan, untuk memantau rangkaian sepanjang masa... Jika anda memikirkannya, ia tidak begitu sukar, tetapi agak mahal. Tetapi, seperti yang ditunjukkan oleh amalan, hanya sesetengah syarikat, kebanyakannya besar, mengambil langkah sedemikian. Oleh itu, kami tidak teragak-agak untuk mengatakan sekali lagi: kedua-dua awan dan desktop tidak sepatutnya hidup sendiri; lindungi data anda.
Beberapa petua kecil tetapi penting untuk semua kes melaksanakan sistem CRM
- Semak vendor untuk kelemahan - cari maklumat menggunakan gabungan perkataan "Kerentanan Nama Vendor", "Nama Vendor digodam", "Kebocoran data Nama Vendor". Ini bukan satu-satunya parameter dalam pencarian sistem CRM baharu, tetapi ia hanya perlu untuk menandakan subkorteks, dan amat penting untuk memahami sebab kejadian yang berlaku.
- Tanya vendor tentang pusat data: ketersediaan, bilangan yang ada, cara failover diatur.
- Sediakan token keselamatan dalam CRM anda, pantau aktiviti dalam sistem dan lonjakan luar biasa.
- Lumpuhkan eksport laporan dan akses melalui API untuk pekerja bukan teras - iaitu mereka yang tidak memerlukan fungsi ini untuk aktiviti biasa mereka.
- Pastikan sistem CRM anda dikonfigurasikan untuk log proses dan log tindakan pengguna.
Ini adalah perkara kecil, tetapi ia melengkapkan gambaran keseluruhan dengan sempurna. Dan, sebenarnya, tidak ada perkara kecil yang selamat.
Dengan melaksanakan sistem CRM, anda memastikan keselamatan data anda - tetapi hanya jika pelaksanaan dijalankan dengan cekap, dan isu keselamatan maklumat tidak diturunkan ke latar belakang. Setuju, adalah bodoh untuk membeli kereta dan tidak memeriksa brek, ABS, beg udara, tali pinggang keledar, EDS. Lagipun, perkara utama bukan hanya untuk pergi, tetapi untuk pergi dengan selamat dan sampai ke sana dengan selamat dan sihat. Begitu juga dengan perniagaan.
Dan ingat: jika peraturan keselamatan pekerjaan ditulis dalam darah, peraturan keselamatan siber perniagaan ditulis dalam wang.
Mengenai topik keselamatan siber dan tempat sistem CRM di dalamnya, anda boleh membaca artikel terperinci kami:
- β gambaran keseluruhan kemungkinan ancaman keselamatan dalam sfera korporat dan skim pengesanan anggaran.
- β analisis terperinci tentang cara pekerja boleh membahayakan perniagaan anda dan cara mereka melakukannya dalam bidang komersial.
Jika anda sedang mencari sistem CRM, teruskan . Jika anda memerlukan CRM atau ERP, teliti produk kami dan bandingkan keupayaannya dengan matlamat dan objektif anda. Jika anda mempunyai sebarang soalan atau kesulitan, tulis atau hubungi, kami akan menganjurkan pembentangan dalam talian individu untuk anda - tanpa penilaian atau loceng dan wisel.
, di mana, tanpa pengiklanan, kami menulis bukan perkara formal sepenuhnya tentang CRM dan perniagaan.
Sumber: www.habr.com