31. mars er den internasjonale sikkerhetskopieringsdagen, og uken før er alltid full av sikkerhetsrelaterte historier. På mandag fikk vi allerede vite om den kompromitterte Asus og "tre navngitte produsenter." Spesielt overtroiske selskaper sitter på nåler hele uken og tar sikkerhetskopier. Og alt fordi vi alle er litt uforsiktige når det gjelder sikkerhet: noen glemmer å feste sikkerhetsbeltet i baksetet, noen ignorerer utløpsdatoen til produktene, noen lagrer påloggingsnavnet og passordet sitt under tastaturet, og enda bedre, skriver ned alle passordene i en notatbok. Noen enkeltpersoner klarer å deaktivere antivirus "for ikke å bremse datamaskinen" og ikke bruke separasjon av tilgangsrettigheter i bedriftssystemer (hvilke hemmeligheter i et selskap på 50 personer!). Sannsynligvis har menneskeheten ganske enkelt ennå ikke utviklet instinktet for cyber-selvoppholdelse, som i prinsippet kan bli et nytt grunnleggende instinkt.
Næringslivet har heller ikke utviklet slike instinkter. Et enkelt spørsmål: er et CRM-system en informasjonssikkerhetstrussel eller et sikkerhetsverktøy? Det er usannsynlig at noen vil gi et nøyaktig svar med en gang. Her må vi starte, slik vi ble undervist i engelsktimene: det kommer an på... Det avhenger av innstillingene, formen for CRM-levering, leverandørens vaner og tro, graden av ignorering av ansatte, sofistikeringen til angripere . Tross alt kan alt hackes. Så hvordan leve?
Dette er informasjonssikkerhet i små og mellomstore bedrifter
CRM-system som beskyttelse
Beskyttelse av kommersielle og operasjonelle data og sikker lagring av kundebasen er en av hovedoppgavene til et CRM-system, og i dette er det hode og skuldre over all annen applikasjonsprogramvare i selskapet.
Du begynte sikkert å lese denne artikkelen og gliste dypt ned og sa hvem trenger informasjonen din. I så fall har du sannsynligvis ikke jobbet med salg og vet ikke hvor etterspurt "live" og høykvalitets kundebaser og informasjon om metoder for å jobbe med denne basen er. Innholdet i CRM-systemet er interessant ikke bare for selskapets ledelse, men også for:
- Angripere (sjeldnere) - de har et mål spesifikt knyttet til din bedrift og vil bruke alle ressurser for å skaffe data: bestikkelser av ansatte, hacking, kjøp av data fra ledere, intervjuer med ledere, etc.
- Ansatte (oftere) som kan fungere som innsidere for dine konkurrenter. De er ganske enkelt klare til å ta bort eller selge sin kundebase for egen fortjeneste.
- For amatørhackere (veldig sjelden) - du kan bli hacket inn i skyen der dataene dine er plassert eller nettverket er hacket, eller kanskje noen ønsker å "trekke ut" dataene dine for moro skyld (for eksempel data om farmasøytiske eller alkoholgrossister - bare interessant å se).
Hvis noen kommer inn i CRM-en din, vil de ha tilgang til dine operasjonelle aktiviteter, det vil si mengden data du tjener mest på. Og fra det øyeblikket ondsinnet tilgang til CRM-systemet er oppnådd, begynner fortjenesten å smile til den som klientbasen havner i. Vel, eller hans partnere og kunder (les - nye arbeidsgivere).
Bra, pålitelig er i stand til å dekke disse risikoene og gi en haug med hyggelige bonuser innen sikkerhet.
Så, hva kan et CRM-system gjøre når det gjelder sikkerhet?
(vi skal fortelle deg med et eksempel, fordi Vi kan ikke være ansvarlige for andre)
- Tofaktorautentisering med USB-nøkkel og passord. støtter to-faktor brukerautorisasjonsmodus når du logger på systemet. I dette tilfellet, når du logger på systemet, må du i tillegg til å skrive inn passordet sette inn en USB-nøkkel som er initialisert på forhånd i datamaskinens USB-port. To-faktor autorisasjonsmodus bidrar til å beskytte mot passordtyveri eller avsløring.
Klikkbar
- Kjør fra pålitelige IP-adresser og MAC-adresser. For økt sikkerhet kan du begrense brukere fra kun å logge på fra registrerte IP-adresser og MAC-adresser. Både interne IP-adresser på det lokale nettverket og eksterne adresser kan brukes som IP-adresser dersom brukeren kobler seg eksternt (via Internett).
- Domeneautorisasjon (Windows-autorisasjon). Systemoppstarten kan konfigureres slik at brukerpassordet ikke kreves ved innlogging. I dette tilfellet oppstår Windows-autorisasjon, som identifiserer brukeren som bruker WinAPI. Systemet vil bli lansert under brukeren hvis profil datamaskinen kjører på det tidspunktet systemet starter.
- En annen mekanisme er private kunder. Privatkunder er klienter som kun kan sees av deres veileder. Disse klientene vil ikke vises i andre brukeres lister, selv om andre brukere har fulle tillatelser, inkludert administratorrettigheter. På denne måten kan du beskytte for eksempel en pool av spesielt viktige kunder eller en gruppe av en annen grunn, som vil bli overlatt til en pålitelig leder.
- Mekanisme for å dele tilgangsrettigheter — et standard og primært sikkerhetstiltak i CRM. For å forenkle prosessen med å administrere brukerrettigheter, i rettigheter tildeles ikke til bestemte brukere, men til maler. Og brukeren selv blir tildelt en eller annen mal, som har et visst sett med rettigheter. Dette lar hver ansatt - fra nyansatte til praktikanter til direktører - tildele tillatelser og tilgangsrettigheter som vil tillate/hindre dem fra å få tilgang til sensitive data og sensitiv forretningsinformasjon.
- System for automatisk sikkerhetskopiering av data (sikkerhetskopiering)konfigurerbar via skriptserver .
Dette er implementeringen av sikkerhet ved å bruke et enkelt system som et eksempel, hver leverandør har sine egne retningslinjer. Imidlertid beskytter CRM-systemet virkelig informasjonen din: du kan se hvem som tok denne eller den rapporten og på hvilket tidspunkt, hvem som så hvilke data, hvem som lastet den ned og mye mer. Selv om du finner ut om sårbarheten i ettertid, vil du ikke la handlingen være ustraffet og kan enkelt identifisere den ansatte som misbrukte tilliten og lojaliteten til selskapet.
Er du avslappet? Tidlig! Denne beskyttelsen kan virke mot deg hvis du er uforsiktig og ignorerer databeskyttelsesproblemer.
CRM-system som en trussel
Hvis bedriften din har minst én PC, er dette allerede en kilde til cybertrussel. Følgelig øker trusselnivået med antall arbeidsstasjoner (og ansatte) og med mangfoldet av programvare installert og brukt. Og ting er ikke lett med CRM-systemer - tross alt er dette et program designet for å lagre og behandle den viktigste og mest kostbare ressursen: en kundebase og kommersiell informasjon, og her forteller vi skrekkhistorier om sikkerheten. Faktisk er ikke alt så dystert på nært hold, og hvis det håndteres riktig, får du ikke annet enn fordel og sikkerhet fra CRM-systemet.
Hva er tegnene på et farlig CRM-system?
La oss starte med en kort utflukt til det grunnleggende. CRM-er kommer i sky- og desktopversjoner. Skyen er de hvis DBMS (database) ikke er plassert i din bedrift, men i en privat eller offentlig sky i et datasenter (du sitter for eksempel i Chelyabinsk, og databasen din kjører i et superkult datasenter i Moskva , fordi CRM-leverandøren bestemte det og han har en avtale med denne spesielle leverandøren). Desktop (aka on-premise, server - som ikke lenger er så sant) baserer DBMS på dine egne servere (nei, nei, ikke se for deg et stort serverrom med dyre rack, oftest i små og mellomstore bedrifter er det en enkelt server eller til og med en vanlig PC med moderne konfigurasjon), det vil si fysisk på kontoret ditt.
Det er mulig å få uautorisert tilgang til begge typer CRM, men hastigheten og lette tilgangen er forskjellig, spesielt hvis vi snakker om SMB-er som ikke bryr seg så mye om informasjonssikkerhet.
Fareskilt #1
Årsaken til den høyere sannsynligheten for problemer med data i et skysystem er forholdet forbundet med flere lenker: du (CRM-leietaker) - leverandør - leverandør (det finnes en lengre versjon: du - leverandør - IT-outsourcer av leverandøren - leverandør) . 3-4 lenker i et forhold har flere risikoer enn 1-2: et problem kan oppstå på leverandørens side (endring av kontrakt, manglende betaling av leverandørtjenester), på leverandørens side (force majeure, hacking, tekniske problemer), på outsourcers side (skifte av leder eller ingeniør) mv. Selvfølgelig prøver store leverandører å ha backup av datasentre, administrere risikoer og vedlikeholde DevOps-avdelingen, men dette utelukker ikke problemer.
Desktop CRM leies vanligvis ikke, men kjøpes av selskapet; følgelig ser forholdet enklere og mer gjennomsiktig ut: under implementeringen av CRM konfigurerer leverandøren de nødvendige sikkerhetsnivåene (fra å differensiere tilgangsrettigheter og en fysisk USB-nøkkel til å vedlegge server i betongvegg etc.) og overfører kontrollen til selskapet som eier CRM, som kan øke beskyttelsen, leie inn en systemadministrator eller kontakte programvareleverandøren ved behov. Problemene kommer ned til å jobbe med ansatte, beskytte nettverket og fysisk beskytte informasjon. Hvis du bruker desktop CRM, vil ikke en fullstendig nedleggelse av Internett stoppe arbeidet, siden databasen er plassert på ditt "hjemme" kontor.
En av våre ansatte, som jobbet i et selskap som utviklet skybaserte integrerte kontorsystemer, inkludert CRM, snakker om skyteknologier. "På en av jobbene mine skapte selskapet noe som ligner på en grunnleggende CRM, og det hele var koblet til elektroniske dokumenter og så videre. En dag i GA så vi unormal aktivitet fra en av våre abonnentkunder. Forestill deg overraskelsen til oss, analytikere, da vi, som ikke var utviklere, men som hadde et høyt tilgangsnivå, ganske enkelt kunne åpne grensesnittet som klienten brukte via en lenke og se hva slags populært skilt han hadde. For øvrig ser det ut til at klienten ikke vil at noen skal se disse kommersielle dataene. Ja, det var en feil, og det ble ikke fikset på flere år - etter min mening er ting der fortsatt. Siden den gang har jeg vært en skrivebordsentusiast og stoler egentlig ikke på skyene, selv om vi selvfølgelig bruker dem på jobb og i våre personlige liv, hvor vi også hadde noen morsomme fakaps.»
Fra vår undersøkelse om Habré, og disse er ansatte i avanserte bedrifter
Tap av data fra et cloud CRM-system kan skyldes datatap på grunn av serverfeil, utilgjengelighet av servere, force majeure, oppsigelse av leverandøraktiviteter osv. Skyen betyr konstant, uavbrutt tilgang til Internett, og beskyttelsen må være enestående: på kodenivå, tilgangsrettigheter, ytterligere cybersikkerhetstiltak (for eksempel tofaktorautentisering).
Fareskilt #2
Vi snakker ikke engang om én egenskap, men om en gruppe egenskaper knyttet til leverandøren og dens retningslinjer. La oss liste opp noen viktige eksempler som vi og våre ansatte har møtt.
- Leverandøren kan velge et utilstrekkelig pålitelig datasenter der kundens DBMS vil "revolvere". Han vil spare penger, vil ikke kontrollere SLA, vil ikke beregne belastningen, og resultatet vil være fatalt for deg.
- Leverandøren kan nekte retten til å overføre tjenesten til datasenteret du velger. Dette er en ganske vanlig begrensning for SaaS.
- Leverandøren kan ha en juridisk eller økonomisk konflikt med skyleverandøren, og under «showdown» kan sikkerhetskopieringshandlinger eller for eksempel hastighet være begrenset.
- Tjenesten med å lage sikkerhetskopier kan tilbys mot en tilleggspris. En vanlig praksis som en klient av et CRM-system bare kan lære om i det øyeblikket det er behov for en sikkerhetskopi, det vil si i det mest kritiske og sårbare øyeblikket.
- Leverandøransatte kan ha uhindret tilgang til kundedata.
- Datalekkasjer av enhver art kan forekomme (menneskelige feil, svindel, hackere, etc.).
Vanligvis er disse problemene forbundet med små eller unge leverandører, men store har gjentatte ganger havnet i problemer (google det). Derfor bør du alltid ha måter å beskytte informasjon på din side + diskutere sikkerhetsproblemer med den valgte CRM-systemleverandøren på forhånd. Selv det faktum at du er interessert i problemet vil allerede tvinge leverandøren til å behandle implementeringen så ansvarlig som mulig (det er spesielt viktig å gjøre dette hvis du ikke har å gjøre med leverandørens kontor, men med partneren hans, som det er for viktig å inngå en avtale og motta en provisjon, og ikke disse tofaktorene... vel forstod du).
Fareskilt #3
Organisering av sikkerhetsarbeid i din bedrift. For et år siden skrev vi tradisjonelt om sikkerhet på Habré og gjennomførte en undersøkelse. Utvalget var ikke veldig stort, men svarene er veiledende:
På slutten av artikkelen vil vi gi lenker til publikasjonene våre, der vi undersøkte forholdet i "bedrift-ansatt-sikkerhet"-systemet i detalj, og her vil vi gi en liste over spørsmål som svarene bør finnes innenfor din bedrift (selv om du ikke trenger CRM).
- Hvor lagrer ansatte passord?
- Hvordan er tilgangen til lagring på bedriftens servere organisert?
- Hvordan beskyttes programvare som inneholder kommersiell og operasjonell informasjon?
- Har alle ansatte aktiv antivirusprogramvare?
- Hvor mange ansatte har tilgang til klientdata, og hvilket tilgangsnivå har dette?
- Hvor mange nyansatte har du og hvor mange ansatte er i ferd med å slutte?
- Hvor lenge har du kommunisert med nøkkelmedarbeidere og lyttet til deres forespørsler og klager?
- Overvåkes skrivere?
- Hvordan er retningslinjene organisert for å koble dine egne dingser til PC-en din, samt bruk av Wi-Fi på jobb?
Faktisk er dette grunnleggende spørsmål - hardcore vil sannsynligvis bli lagt til i kommentarene, men dette er det grunnleggende, det grunnleggende som selv en individuell gründer med to ansatte bør vite.
Så hvordan beskytte deg selv?
- Sikkerhetskopier er det viktigste som ofte enten blir glemt eller ikke tatt vare på. Hvis du har et skrivebordssystem, sett opp et sikkerhetskopieringssystem med en gitt frekvens (for eksempel for RegionSoft CRM kan dette gjøres ved å bruke ) og organisere riktig lagring av kopier. Hvis du har en sky-CRM, sørg for å finne ut før du inngår en kontrakt hvordan arbeidet med sikkerhetskopiering er organisert: du trenger informasjon om dybde og frekvens, lagringssted, kostnad for sikkerhetskopiering (ofte bare sikkerhetskopier av "siste data for perioden ” er gratis, og en fullverdig, sikker sikkerhetskopiering tilbys som en betalt tjeneste). Generelt er dette definitivt ikke stedet for besparelser eller uaktsomhet. Og ja, ikke glem å sjekke hva som er gjenopprettet fra sikkerhetskopier.
- Separasjon av tilgangsrettigheter på funksjons- og datanivå.
- Sikkerhet på nettverksnivå - du må tillate bruk av CRM kun innenfor kontorundernettet, begrense tilgangen for mobile enheter, forby arbeid med CRM-systemet hjemmefra eller, enda verre, fra offentlige nettverk (coworking spaces, kafeer, klientkontorer) , etc.). Vær spesielt forsiktig med mobilversjonen - la den kun være en sterkt avkortet versjon for jobben.
- Et antivirus med sanntidsskanning er nødvendig uansett, men spesielt når det gjelder bedriftens datasikkerhet. På policynivå, forby å deaktivere det selv.
- Opplæring av ansatte i cyberhygiene er ikke bortkastet tid, men et presserende behov. Det er nødvendig å formidle til alle kolleger at det er viktig for dem ikke bare å advare, men også å reagere riktig på trusselen som mottas. Å forby bruk av Internett eller e-posten din på kontoret er en saga blott og en årsak til akutt negativitet, så du må jobbe med forebygging.
Selvfølgelig, ved å bruke et skysystem, kan du oppnå et tilstrekkelig sikkerhetsnivå: bruk dedikerte servere, konfigurer rutere og separer trafikk på applikasjonsnivå og databasenivå, bruk private undernett, introduser strenge sikkerhetsregler for administratorer, sørg for uavbrutt drift gjennom sikkerhetskopier med maksimal nødvendig frekvens og fullstendighet, for å overvåke nettverket døgnet rundt... Hvis du tenker på det, er det ikke så vanskelig, men ganske dyrt. Men som praksis viser, er det bare noen selskaper, for det meste store, som tar slike tiltak. Derfor nøler vi ikke med å si igjen: både skyen og skrivebordet skal ikke leve alene; beskytt dataene dine.
Noen små, men viktige tips for alle tilfeller av implementering av et CRM-system
- Sjekk leverandøren for sårbarheter - se etter informasjon ved å bruke kombinasjoner av ord "Vendor Name vulnerability", "Vendor Name hacked", "Vendor Name datalekkasje". Dette skal ikke være den eneste parameteren i søket etter et nytt CRM-system, men det er rett og slett nødvendig å krysse av for subcortex, og det er spesielt viktig å forstå årsakene til hendelsene som har skjedd.
- Spør leverandøren om datasenteret: tilgjengelighet, hvor mange det er, hvordan failover er organisert.
- Sett opp sikkerhetstokens i CRM, overvåk aktivitet i systemet og uvanlige topper.
- Deaktiver eksport av rapporter og tilgang via API for ikke-kjerneansatte – det vil si de som ikke trenger disse funksjonene til sine vanlige aktiviteter.
- Sørg for at CRM-systemet ditt er konfigurert til å logge prosesser og logge brukerhandlinger.
Dette er små ting, men de kompletterer det helhetlige bildet perfekt. Og faktisk er ingen småting trygge.
Ved å implementere et CRM-system sikrer du sikkerheten til dine data – men kun dersom implementeringen utføres kompetent, og informasjonssikkerhetsspørsmål ikke henvises til bakgrunnen. Enig, det er dumt å kjøpe en bil og ikke sjekke bremser, ABS, kollisjonsputer, sikkerhetsbelter, EDS. Det viktigste er tross alt ikke bare å gå, men å gå trygt og komme seg dit i god behold. Det er det samme med business.
Og husk: hvis arbeidssikkerhetsregler er skrevet i blod, er forretningsreglene for cybersikkerhet skrevet i penger.
Om emnet cybersikkerhet og CRM-systemets plass i det, kan du lese våre detaljerte artikler:
- — en oversikt over mulige sikkerhetstrusler i bedriftssfæren og et omtrentlig deteksjonsskjema.
- — en detaljert analyse av hvordan ansatte kan skade virksomheten din og hvordan de gjør dette i den kommersielle sfæren.
Hvis du ser etter et CRM-system, så på . Hvis du trenger CRM eller ERP, studer produktene våre nøye og sammenlign deres evner med dine mål og mål. Hvis du har spørsmål eller problemer, skriv eller ring, vi organiserer en individuell nettpresentasjon for deg - uten rangeringer eller ringeklokker.
, der vi, uten reklame, skriver ikke helt formelle ting om CRM og virksomhet.
Kilde: www.habr.com