In 2008 kon ik een IT-bedrijf bezoeken. Bij iedere medewerker heerste een soort ongezonde spanning. De reden bleek simpel: mobiele telefoons liggen in een doos bij de ingang van het kantoor, er hangt een camera achterop, 2 grote extra “kijkende” camera’s op kantoor en monitoringsoftware met een keylogger. En ja, dit is niet het bedrijf dat SORM of levensondersteunende systemen voor vliegtuigen heeft ontwikkeld, maar eenvoudigweg een ontwikkelaar van bedrijfsapplicatiesoftware, die nu is overgenomen, verpletterd en niet langer bestaat (wat logisch lijkt). Als u zich nu uitstrekt en denkt dat dit in uw kantoor met hangmatten en M&M's in vazen zeker niet het geval is, dan kunt u zich zeer vergissen; het is gewoon zo dat de controle in elf jaar tijd heeft geleerd onzichtbaar en correct te zijn, zonder confrontaties. bezochte sites en gedownloade films.
Is het dus echt onmogelijk zonder dit alles, maar hoe zit het met vertrouwen, loyaliteit en geloof in mensen? Geloof het of niet, er zijn net zoveel bedrijven zonder beveiligingsmaatregelen. Maar werknemers slagen erin om hier en daar een puinhoop te maken - simpelweg omdat de menselijke factor werelden kan vernietigen, en niet alleen uw bedrijf. Dus waar kunnen uw medewerkers kattenkwaad uithalen?
Dit is geen erg serieuze post, die precies twee functies heeft: het dagelijks leven een beetje opfleuren en u herinneren aan fundamentele veiligheidszaken die vaak worden vergeten. Oh, en nogmaals herinneren aan — Is dergelijke software niet de rand van de beveiliging? 🙂
Laten we in willekeurige modus gaan!
Wachtwoorden, wachtwoorden, wachtwoorden...
Je praat erover en er komt een golf van verontwaardiging binnenstromen: hoe kan het toch, hebben ze zo vaak tegen de wereld gezegd, maar de dingen zijn er nog steeds! In bedrijven van alle niveaus, van individuele ondernemers tot multinationale ondernemingen, is dit een zeer gevoelig punt. Soms lijkt het mij dat als ze morgen een echte Death Star bouwen, er zoiets als admin/admin in het admin-paneel zal staan. Dus wat kunnen we verwachten van gewone gebruikers, voor wie hun eigen VKontakte-pagina veel duurder is dan een bedrijfsaccount? Dit zijn de punten die u moet controleren:
- Wachtwoorden schrijven op stukjes papier, op de achterkant van het toetsenbord, op de monitor, op de tafel onder het toetsenbord, op een sticker aan de onderkant van de muis (sluw!) - werknemers mogen dit nooit doen. En niet omdat er een vreselijke hacker binnenkomt en tijdens de lunch alle 1C naar een flashdrive downloadt, maar omdat er misschien een beledigde Sasha op kantoor is die gaat stoppen en iets vies gaat doen of de informatie voor de laatste keer wegneemt . Waarom doe je dit niet bij je volgende lunch?
Dit is wat? Dit ding slaat al mijn wachtwoorden op
- Eenvoudige wachtwoorden instellen voor toegang tot de pc en werkprogramma's. Geboortedata, qwerty123 en zelfs asdf zijn combinaties die thuishoren in grappen en op bashorg, en niet in het bedrijfsbeveiligingssysteem. Stel eisen aan wachtwoorden en hun lengte, en stel de frequentie van vervanging in.
Een wachtwoord is als ondergoed: verander het vaak, deel het niet met je vrienden, een lang wachtwoord is beter, wees mysterieus, verspreid het niet overal
- De standaard inlogwachtwoorden voor het programma van de leverancier zijn gebrekkig, al was het maar omdat bijna alle medewerkers van de leverancier ze kennen, en als je te maken hebt met een webgebaseerd systeem in de cloud, zal het voor niemand moeilijk zijn om de gegevens te verkrijgen. Vooral als je ook nog eens netwerkbeveiliging hebt op het niveau ‘trek niet aan het snoer’.
- Leg medewerkers uit dat de wachtwoordhint in het besturingssysteem er niet uit mag zien als “mijn verjaardag”, “naam van dochter”, “Gvoz-dika-78545-ap#1! in Engels." of “kwarts en een één en een nul.”
Mijn kat geeft me geweldige wachtwoorden! Hij loopt over mijn toetsenbord
Fysieke toegang tot zaken
Hoe organiseert uw bedrijf de toegang tot boekhoudkundige en personeelsdocumentatie (bijvoorbeeld tot persoonlijke dossiers van werknemers)? Laat me raden: als het een klein bedrijf is, dan op de boekhoudafdeling of op het kantoor van de baas in mappen op planken of in een kast; als het een groot bedrijf is, dan op de HR-afdeling in de schappen. Maar als het erg groot is, dan klopt hoogstwaarschijnlijk alles: een apart kantoor of blok met een magnetische sleutel, waar alleen bepaalde medewerkers toegang toe hebben en om daar te komen, moet je een van hen bellen en in hun bijzijn naar dit knooppunt gaan. Er is niets moeilijks aan het maken van dergelijke bescherming in welk bedrijf dan ook, of in ieder geval leren om het wachtwoord voor de kantoorkluis niet met krijt op de deur of aan de muur te schrijven (alles is gebaseerd op echte gebeurtenissen, lach niet).
Waarom is het belangrijk? Ten eerste hebben werknemers een pathologisch verlangen om de meest geheime dingen over elkaar te weten te komen: burgerlijke staat, salaris, medische diagnoses, opleiding, enz. Dit is zo'n compromis in de kantoorconcurrentie. En je profiteert absoluut niet van de ruzies die ontstaan als ontwerper Petya erachter komt dat hij 20 minder verdient dan ontwerper Alice. Ten tweede hebben medewerkers toegang tot de financiële informatie van het bedrijf (balansen, jaarverslagen, contracten). In de derde plaats kan iets eenvoudigweg verloren, beschadigd of gestolen worden om sporen uit de eigen werkgeschiedenis te verdoezelen.
Een pakhuis waar iemand een verlies is, iemand een schat
Als je een magazijn hebt, bedenk dan dat je vroeg of laat gegarandeerd criminelen tegenkomt - dit is gewoon hoe de psychologie van een persoon werkt, die een groot aantal producten ziet en er vast van overtuigd is dat een beetje van veel geen diefstal is, maar delen. En een eenheid goederen uit deze hoop kan 200 duizend, of 300 duizend, of enkele miljoenen kosten. Helaas kan niets de diefstal tegenhouden behalve pedante en totale controle en boekhouding: camera's, acceptatie en afschrijving met behulp van barcodes, automatisering van de magazijnboekhouding (bijvoorbeeld in onze de magazijnboekhouding is zo georganiseerd dat de manager en supervisor de beweging van goederen door het magazijn in realtime kunnen zien).
Bewapen daarom uw magazijn tot de tanden, zorg voor fysieke veiligheid tegen de externe vijand en volledige beveiliging tegen de interne vijand. Medewerkers in transport, logistiek en magazijnen moeten duidelijk begrijpen dat er controle is, dat het werkt, en dat ze zichzelf bijna zullen straffen.
*Hé, steek je handen niet in de infrastructuur
Als het verhaal over de serverruimte en de schoonmaakster zichzelf al heeft overleefd en al lang is gemigreerd naar verhalen over andere industrieën (dezelfde ging bijvoorbeeld over de mystieke uitschakeling van de ventilator op dezelfde afdeling), dan blijft de rest realiteit . De netwerk- en IT-beveiliging van kleine en middelgrote bedrijven laat veel te wensen over, en dit hangt vaak niet af van het feit of u een eigen systeembeheerder heeft of een uitgenodigde. Deze laatste gaat vaak nog beter om.
Waartoe zijn de medewerkers hier in staat?
- Het leukste en meest ongevaarlijke is om naar de serverruimte te gaan, aan de draden te trekken, te kijken, thee te morsen, vuil aan te brengen of zelf iets te proberen te configureren. Dit treft vooral “zelfverzekerde en geavanceerde gebruikers” die hun collega’s heldhaftig leren antivirussoftware uit te schakelen en de bescherming op een pc te omzeilen en er zeker van zijn dat ze de aangeboren goden van de serverruimte zijn. Over het algemeen is geautoriseerde beperkte toegang uw alles.
- Diefstal van apparatuur en vervanging van onderdelen. Houd jij van je bedrijf en heb je voor iedereen krachtige videokaarten geïnstalleerd zodat het facturatiesysteem, CRM en al het andere perfect kan werken? Geweldig! Alleen sluwe jongens (en soms meisjes) zullen ze gemakkelijk vervangen door een thuismodel, en thuis zullen ze games draaien op een nieuw kantoormodel - maar de halve wereld zal het niet weten. Het is hetzelfde verhaal met toetsenborden, muizen, koelers, UPS'en en alles wat op de een of andere manier binnen de hardwareconfiguratie kan worden vervangen. Als gevolg hiervan draagt u het risico van materiële schade, het volledige verlies ervan, en krijgt u tegelijkertijd niet de gewenste snelheid en kwaliteit van het werken met informatiesystemen en applicaties. Wat bespaart is een monitoringsysteem (ITSM-systeem) met geconfigureerde configuratiecontrole), dat compleet moet worden geleverd met een integere en principiële systeembeheerder.
Misschien wilt u op zoek naar een beter beveiligingssysteem? Ik weet niet zeker of dit teken voldoende is
- Het gebruik van uw eigen modems, toegangspunten of een soort gedeelde Wi-Fi maakt de toegang tot bestanden minder veilig en vrijwel oncontroleerbaar, waar aanvallers misbruik van kunnen maken (ook in samenspraak met werknemers). Bovendien is de kans dat een werknemer "met zijn eigen internet" werkuren doorbrengt op YouTube, humoristische sites en sociale netwerken veel groter.
- Uniforme wachtwoorden en logins voor toegang tot het sitebeheergedeelte, CMS en applicatiesoftware zijn verschrikkelijke dingen die een onbekwame of kwaadwillige werknemer in een ongrijpbare wreker veranderen. Als er vijf mensen uit hetzelfde subnet met dezelfde login/wachtwoord binnenkomen om een banner op te zetten, advertentielinks en -statistieken te controleren, de lay-out te corrigeren en een update te uploaden, zul je nooit raden wie van hen per ongeluk de CSS in een pompoen. Daarom: verschillende logins, verschillende wachtwoorden, loggen van acties en differentiatie van toegangsrechten.
- Vanzelfsprekend over de ongelicentieerde software die medewerkers naar hun pc slepen om tijdens werktijd een paar foto's te bewerken of iets heel hobbymatigs te maken. Heeft u nog nooit gehoord van de inspectie van afdeling “K” van de Centrale Directie Binnenlandse Zaken? Dan komt ze naar jou!
- Het antivirusprogramma zou moeten werken. Ja, sommige daarvan kunnen uw pc vertragen, irriteren en lijken over het algemeen een teken van lafheid, maar het is beter om dit te voorkomen dan later te betalen met downtime of, erger nog, gestolen gegevens.
- Waarschuwingen van het besturingssysteem over de gevaren van het installeren van een applicatie mogen niet worden genegeerd. Tegenwoordig is het downloaden van iets voor werk een kwestie van seconden en minuten. Bijvoorbeeld Direct.Commander of AdWords-editor, een SEO-parser, enz. Als alles min of meer duidelijk is met Yandex- en Google-producten, dan kan een andere picreizer, een gratis virusreiniger, een video-editor met drie effecten, screenshots, Skype-recorders en andere "kleine programma's" zowel een individuele pc als het hele bedrijfsnetwerk schaden . Train gebruikers om te lezen wat de computer van hen wil voordat ze de systeembeheerder bellen en zeggen dat “alles dood is.” Bij sommige bedrijven wordt het probleem eenvoudig opgelost: veel gedownloade nuttige hulpprogramma's worden op de netwerkshare opgeslagen en daar wordt ook een lijst met geschikte online oplossingen geplaatst.
- Het BYOD-beleid, of omgekeerd, het beleid om het gebruik van arbeidsmiddelen buiten kantoor toe te staan, is een zeer slechte kant van beveiliging. In dit geval hebben familieleden, vrienden, kinderen, openbare onbeschermde netwerken enz. toegang tot de technologie. Dit is puur Russische roulette: je kunt het 5 jaar volhouden, maar je kunt al je documenten en waardevolle bestanden kwijtraken of beschadigen. Nou ja, als een medewerker kwade bedoelingen heeft, is het net zo eenvoudig als het verzenden van twee bytes om gegevens te lekken met ‘lopende’ apparatuur. U moet ook niet vergeten dat werknemers vaak bestanden uitwisselen tussen hun pc's, wat weer gaten in de beveiliging kan creëren.
- Uw apparaten vergrendelen terwijl u weg bent, is een goede gewoonte voor zowel zakelijk als persoonlijk gebruik. Nogmaals, het beschermt je tegen nieuwsgierige collega's, kennissen en indringers op openbare plaatsen. Het is moeilijk om hieraan te wennen, maar op een van mijn werkplekken had ik een geweldige ervaring: collega's benaderden een ontgrendelde pc en Paint werd over het hele venster geopend met het opschrift "Vergrendel de computer!" en er veranderde iets in het werk, bijvoorbeeld de laatst opgepompte assembly werd gesloopt of de laatst geïntroduceerde bug werd verwijderd (dit was een testgroep). Het is wreed, maar 1-2 keer was genoeg, zelfs voor de meest houten. Hoewel ik vermoed dat niet-IT-mensen dergelijke humor misschien niet begrijpen.
- Maar de ergste zonde ligt natuurlijk bij de systeembeheerder en het management - als ze categorisch geen verkeerscontrolesystemen, apparatuur, licenties, enz. Gebruiken.
Dit is natuurlijk een basis, want de IT-infrastructuur is precies de plek waar hoe verder het bos in, hoe meer brandhout er is. En iedereen zou deze basis moeten hebben, en niet vervangen moeten worden door de woorden "we vertrouwen elkaar allemaal", "we zijn een familie", "wie heeft het nodig" - helaas, dit is voorlopig.
Dit is internet, schat, ze kunnen veel over je weten.
Het is tijd om veilig omgaan met internet te introduceren in de levensveiligheidscursus op school - en dit gaat helemaal niet over de maatregelen waarmee we van buitenaf worden ondergedompeld. Dit gaat specifiek over het vermogen om een link van een link te onderscheiden, te begrijpen waar sprake is van phishing en waar sprake is van oplichting, het niet openen van e-mailbijlagen met het onderwerp “Afstemmingsrapport” vanaf een onbekend adres zonder het te begrijpen, enz. Hoewel het lijkt alsof de schoolkinderen dit allemaal al onder de knie hebben, maar de werknemers niet. Er zijn veel trucs en fouten die het hele bedrijf in één keer in gevaar kunnen brengen.
- Sociale netwerken zijn een onderdeel van het internet dat geen plaats heeft op het werk, maar het blokkeren ervan op bedrijfsniveau anno 2019 is een impopulaire en demotiverende maatregel. Daarom hoeft u alleen maar aan alle werknemers te schrijven hoe u de onwettigheid van links kunt controleren, hen over de soorten fraude kunt vertellen en hen kunt vragen om op het werk te werken.
- Mail is een zere plek en misschien wel de meest populaire manier om informatie te stelen, malware te installeren en een pc en het hele netwerk te infecteren. Helaas beschouwen veel werkgevers de e-mailclient als een kostenbesparend hulpmiddel en gebruiken ze gratis diensten die 200 spam-e-mails per dag ontvangen die door filters enz. komen. En sommige onverantwoordelijke mensen openen dergelijke brieven en bijlagen, links, foto's - blijkbaar hopen ze dat de zwarte prins een erfenis voor hen heeft nagelaten. Waarna de beheerder heel veel werk heeft. Of was het zo bedoeld? Trouwens, nog een wreed verhaal: in één bedrijf werd voor elke spambrief aan de systeembeheerder de KPI verlaagd. Over het algemeen was er na een maand geen spam - de praktijk werd overgenomen door de moederorganisatie en er is nog steeds geen spam. We hebben dit probleem op elegante wijze opgelost: we hebben onze eigen e-mailclient ontwikkeld en in onze eigen e-mailclient ingebouwd , zodat al onze klanten ook zo'n handige functie krijgen.
De volgende keer dat u een vreemde e-mail ontvangt met een paperclip-symbool, klik er dan niet op!
- Messengers zijn ook een bron van allerlei onveilige links, maar dit is veel minder kwaadaardig dan mail (afgezien van de tijd die verloren gaat aan chatten).
Het lijkt erop dat dit allemaal kleine dingen zijn. Elk van deze kleine dingen kan echter rampzalige gevolgen hebben, vooral als uw bedrijf het doelwit is van een aanval van een concurrent. En dit kan letterlijk iedereen overkomen.
Spraakzame medewerkers
Dit is een zeer menselijke factor waar u moeilijk vanaf kunt komen. Medewerkers kunnen het werk bespreken in de gang, in een café, op straat, bij een klant thuis, luid praten over een andere klant, praten over werkprestaties en projecten thuis. Natuurlijk is de kans dat een concurrent achter je staat verwaarloosbaar (als je niet in hetzelfde zakencentrum zit - dit is gebeurd), maar de mogelijkheid dat een man die duidelijk zijn zakelijke aangelegenheden vermeldt, op een smartphone wordt gefilmd en op YouTube is, vreemd genoeg, hoger. Maar dit is ook onzin. Het is geen onzin als uw medewerkers vrijwillig informatie over een product of bedrijf presenteren op trainingen, conferenties, meetups, professionele forums of zelfs op Habré. Bovendien roepen mensen vaak opzettelijk hun tegenstanders op voor dergelijke gesprekken om concurrentie-informatie te verkrijgen.
Een onthullend verhaal. Op een IT-conferentie op galactische schaal legde de sectiespreker op een dia een compleet diagram uit van de organisatie van de IT-infrastructuur van een groot bedrijf (top 20). Het plan was enorm indrukwekkend, simpelweg kosmisch, bijna iedereen fotografeerde het en het vloog meteen over sociale netwerken met lovende recensies. Nou, toen betrapte de spreker ze met behulp van geotags, stands en sociale media. netwerken van degenen die het hebben gepost en smeekten om te worden verwijderd, omdat ze hem vrij snel belden en ah-ta-ta zeiden. Een babbelbox is een geschenk uit de hemel voor een spion.
Onwetendheid... bevrijdt je van straf
Volgens het mondiale rapport van Kaspersky Lab uit 2017 over bedrijven die in een periode van twaalf maanden te maken kregen met cyberveiligheidsincidenten, had één op de tien (12%) van de ernstigste incidenten betrekking op onzorgvuldige en slecht geïnformeerde werknemers.
Ga er niet van uit dat medewerkers alles weten over bedrijfsveiligheidsmaatregelen, maar waarschuw ze, geef trainingen, maak periodiek interessante nieuwsbrieven over beveiligingskwesties, houd vergaderingen bij een pizza en verhelder zaken opnieuw. En ja, een coole lifehack - markeer alle gedrukte en elektronische informatie met kleuren, tekens, inscripties: bedrijfsgeheim, geheim, voor officieel gebruik, algemene toegang. Dit werkt echt.
De moderne wereld heeft bedrijven in een zeer delicate positie geplaatst: het is noodzakelijk om een evenwicht te bewaren tussen de wens van de werknemer om niet alleen hard te werken op het werk, maar ook entertainment op de achtergrond/tijdens pauzes te ontvangen, en strikte bedrijfsveiligheidsregels. Als je hypercontrol en idiote volgprogramma's (ja, geen typfout - dit is geen beveiliging, dit is paranoia) en camera's achter je rug aanzet, zal het vertrouwen van de werknemers in het bedrijf afnemen, maar het behouden van vertrouwen is ook een bedrijfsbeveiligingsinstrument.
Weet daarom wanneer je moet stoppen, respecteer je medewerkers en maak back-ups. En het allerbelangrijkste: geef prioriteit aan veiligheid, en niet aan persoonlijke paranoia.
Als je nodig hebt en vergelijk hun mogelijkheden met uw doelen en doelstellingen. Als u vragen of moeilijkheden heeft, schrijf of bel, wij organiseren een individuele online presentatie voor u - zonder beoordelingen of toeters en bellen.
, waarin we zonder reclame niet geheel formele dingen schrijven over CRM en business.
Bron: www.habr.com