31 marca to Międzynarodowy Dzień Kopii Zapasowych, a tydzień poprzedzający zawsze jest pełen historii związanych z bezpieczeństwem. W poniedziałek dowiedzieliśmy się już o skompromitowanym Asusie i „trzech anonimowych producentach”. Szczególnie przesądne firmy przez cały tydzień siedzą na szpilkach i igłach, robiąc kopie zapasowe. A wszystko dlatego, że wszyscy jesteśmy trochę nieostrożni w kwestii bezpieczeństwa: ktoś zapomina zapiąć pas na tylnym siedzeniu, ktoś ignoruje datę ważności produktów, ktoś przechowuje swój login i hasło pod klawiaturą, a jeszcze lepiej zapisuje wszystkie hasła w notatniku. Niektórym udaje się wyłączyć programy antywirusowe „aby nie spowalniać komputera” i nie stosować separacji praw dostępu w systemach korporacyjnych (co za tajemnice w 50-osobowej firmie!). Prawdopodobnie ludzkość po prostu nie rozwinęła jeszcze instynktu cybersamozachowawczego, który w zasadzie może stać się nowym podstawowym instynktem.
Biznes też nie rozwinął takich instynktów. Proste pytanie: czy system CRM jest zagrożeniem dla bezpieczeństwa informacji, czy narzędziem bezpieczeństwa? Jest mało prawdopodobne, że ktokolwiek od razu udzieli dokładnej odpowiedzi. Od tego trzeba zacząć, jak uczono nas na lekcjach języka angielskiego: to zależy... To zależy od ustawień, formy dostarczania CRM, nawyków i przekonań dostawcy, stopnia lekceważenia pracowników, wyrafinowania atakujących . W końcu wszystko można zhakować. Jak więc żyć?
To jest bezpieczeństwo informacji w małych i średnich firmach
System CRM jako zabezpieczenie
Ochrona danych handlowych i operacyjnych oraz bezpieczne przechowywanie bazy klientów to jedno z głównych zadań systemu CRM i pod tym względem przewyższa wszystkie inne aplikacje w firmie.
Na pewno zacząłeś czytać ten artykuł i szeroko się uśmiechnąłeś, mówiąc, komu potrzebne są Twoje informacje. Jeśli tak, to prawdopodobnie nie miałeś do czynienia ze sprzedażą i nie wiesz, jak popularne są „żywe” i wysokiej jakości bazy klientów oraz informacje o metodach pracy z tą bazą. Zawartość systemu CRM jest interesująca nie tylko dla kierownictwa firmy, ale także dla:
- Atakujący (rzadziej) - mają cel związany konkretnie z Twoją firmą i wykorzystają wszelkie zasoby, aby pozyskać dane: przekupywanie pracowników, hackowanie, wykupywanie Twoich danych od menedżerów, wywiady z menadżerami itp.
- Pracownicy (częściej), którzy mogą pełnić rolę insiderów dla konkurencji. Są po prostu gotowi odebrać lub sprzedać swoją bazę klientów dla własnego zysku.
- Dla hakerów-amatorów (bardzo rzadko) - możesz zostać włamany do chmury, w której znajdują się Twoje dane lub do sieci, a może ktoś będzie chciał „wyciągnąć” Twoje dane dla zabawy (np. dane o hurtowniach farmaceutycznych czy alkoholowych - po prostu ciekawe).
Jeśli ktoś dostanie się do Twojego CRM, będzie miał dostęp do Twoich działań operacyjnych, czyli do wolumenu danych, dzięki którym generujesz większość swoich zysków. A od momentu uzyskania złośliwego dostępu do systemu CRM, zyski zaczynają uśmiechać się do tego, w czyich rękach trafia baza klientów. Cóż, albo jego partnerzy i klienci (czytaj – nowi pracodawcy).
Dobry, niezawodny jest w stanie pokryć te ryzyka i zapewnić szereg przyjemnych bonusów w dziedzinie bezpieczeństwa.
Co zatem system CRM może zrobić w zakresie bezpieczeństwa?
(powiemy Ci na przykładzie, ponieważ Nie możemy odpowiadać za innych)
- Uwierzytelnianie dwuskładnikowe przy użyciu klucza USB i hasła. obsługuje tryb dwuetapowej autoryzacji użytkownika podczas logowania do systemu. W takim przypadku logując się do systemu, oprócz podania hasła, należy włożyć do portu USB komputera uprzednio zainicjowany klucz USB. Tryb autoryzacji dwuskładnikowej pomaga chronić przed kradzieżą lub ujawnieniem hasła.
Możliwe do kliknięcia
- Uruchamiaj z zaufanych adresów IP i adresów MAC. Aby zwiększyć bezpieczeństwo, możesz uniemożliwić użytkownikom logowanie się wyłącznie z zarejestrowanych adresów IP i adresów MAC. Jako adresy IP można wykorzystać zarówno wewnętrzne adresy IP w sieci lokalnej, jak i adresy zewnętrzne, jeśli użytkownik łączy się zdalnie (przez Internet).
- Autoryzacja domeny (autoryzacja Windows). Uruchamianie systemu można skonfigurować tak, aby przy logowaniu nie było wymagane podanie hasła użytkownika. W takim przypadku następuje autoryzacja systemu Windows, która identyfikuje użytkownika za pomocą WinAPI. System zostanie uruchomiony z poziomu użytkownika, na którego profilu działa komputer w chwili uruchomienia systemu.
- Innym mechanizmem jest klienci prywatni. Klienci prywatni to klienci, z którymi może zapoznać się wyłącznie ich przełożony. Ci klienci nie będą wyświetlani na listach innych użytkowników, nawet jeśli inni użytkownicy mają pełne uprawnienia, w tym uprawnienia administratora. Można w ten sposób zabezpieczyć np. grupę szczególnie ważnych klientów lub grupę z innego powodu, którą powierzymy rzetelnemu menadżerowi.
- Mechanizm podziału praw dostępu — standardowy i podstawowy środek bezpieczeństwa w CRM. Aby uprościć proces administrowania uprawnieniami użytkowników, w uprawnienia przypisywane są nie konkretnym użytkownikom, ale szablonom. A samemu użytkownikowi przypisany jest ten czy inny szablon, który ma określony zestaw praw. Dzięki temu każdy pracownik – od nowo zatrudnionych, przez stażystów, aż po dyrektorów – może przypisać uprawnienia i prawa dostępu, które pozwolą mu uzyskać dostęp do wrażliwych danych i poufnych informacji biznesowych lub je uniemożliwią.
- System automatycznego tworzenia kopii zapasowych danych (kopie zapasowe)konfigurowalne poprzez serwer skryptów .
Jest to realizacja zabezpieczeń na przykładzie pojedynczego systemu, każdy dostawca ma swoją własną politykę. Jednak system CRM naprawdę chroni Twoje informacje: możesz zobaczyć, kto i o której godzinie sporządził ten lub inny raport, kto przeglądał jakie dane, kto je pobrał i wiele więcej. Nawet jeśli o podatności dowiesz się po fakcie, nie pozostawisz czynu bez kary i łatwo zidentyfikujesz pracownika, który nadużył zaufania i lojalności firmy.
Czy jesteś zrelaksowany? Wczesny! Ta właśnie ochrona może zadziałać przeciwko Tobie, jeśli zachowasz ostrożność i zignorujesz kwestie ochrony danych.
System CRM jako zagrożenie
Jeśli Twoja firma posiada przynajmniej jeden komputer PC, jest to już źródło cyberzagrożenia. W związku z tym poziom zagrożenia wzrasta wraz z liczbą stacji roboczych (i pracowników) oraz różnorodnością zainstalowanego i używanego oprogramowania. A z systemami CRM nie jest łatwo – w końcu jest to program przeznaczony do przechowywania i przetwarzania najważniejszego i najdroższego zasobu: bazy klientów oraz informacji handlowych, a tutaj opowiadamy straszne historie o jego bezpieczeństwie. Tak naprawdę z bliska nie wszystko wygląda tak ponuro i jeśli zostanie to właściwie potraktowane, z systemu CRM otrzymasz same korzyści i bezpieczeństwo.
Jakie są oznaki niebezpiecznego systemu CRM?
Zacznijmy od krótkiej wycieczki do podstaw. CRM są dostępne w wersjach chmurowych i stacjonarnych. Chmury to te, których DBMS (baza danych) nie jest zlokalizowana w Twojej firmie, ale w chmurze prywatnej lub publicznej w jakimś centrum danych (na przykład siedzisz w Czelabińsku, a Twoja baza danych działa w super fajnym centrum danych w Moskwie , ponieważ tak zdecydował sprzedawca CRM i ma umowę z tym konkretnym dostawcą). Desktop (czyli lokalny, serwerowy - co już nie jest prawdą) opiera swój system DBMS na własnych serwerach (nie, nie, nie wyobrażaj sobie ogromnej serwerowni z drogimi szafami, najczęściej w małych i średnich firmach to pojedynczy serwer lub nawet zwykły komputer PC o nowoczesnej konfiguracji), czyli fizycznie w Twoim biurze.
Możliwe jest uzyskanie nieautoryzowanego dostępu do obu typów CRM, jednak szybkość i łatwość dostępu są różne, szczególnie jeśli mówimy o małych i średnich przedsiębiorstwach, które nie przywiązują dużej wagi do bezpieczeństwa informacji.
Znak niebezpieczeństwa nr 1
Powodem większego prawdopodobieństwa problemów z danymi w systemie chmurowym jest relacja połączona kilkoma ogniwami: Ty (najemca CRM) – sprzedawca – dostawca (istnieje dłuższa wersja: Ty – sprzedawca – outsourcer IT dostawcy – dostawca) . 3-4 ogniwa w relacji niosą ze sobą większe ryzyko niż 1-2: może wystąpić problem po stronie sprzedawcy (zmiana umowy, brak zapłaty za usługi dostawcy), po stronie dostawcy (siła wyższa, hacking, problemy techniczne), po stronie outsourcera (zmiana menadżera lub inżyniera) itp. Oczywiście duzi dostawcy starają się mieć zapasowe centra danych, zarządzać ryzykiem i utrzymywać swój dział DevOps, ale to nie wyklucza problemów.
Desktop CRM z reguły nie jest wynajmowany, ale kupowany przez firmę, w związku z czym relacja wygląda na prostszą i bardziej przejrzystą: podczas wdrażania CRM sprzedawca konfiguruje niezbędne poziomy bezpieczeństwa (od różnicowania praw dostępu i fizycznego klucza USB po dołączenie serwer w betonowej ścianie itp.) i przekazuje kontrolę firmie będącej właścicielem CRM, która może zwiększyć ochronę, zatrudnić administratora systemu lub w razie potrzeby skontaktować się z dostawcą oprogramowania. Problemy sprowadzają się do współpracy z pracownikami, ochrony sieci i fizycznej ochrony informacji. Jeśli korzystasz z CRM na komputerze, nawet całkowite wyłączenie Internetu nie zatrzyma pracy, ponieważ baza danych znajduje się w Twoim „domowym” biurze.
O technologiach chmurowych opowiada jeden z naszych pracowników, który pracował w firmie tworzącej zintegrowane systemy biurowe w chmurze, w tym CRM. „W jednej z moich prac firma tworzyła coś bardzo podobnego do podstawowego CRM, a wszystko było połączone z dokumentami online i tak dalej. Pewnego dnia w GA zaobserwowaliśmy nienormalną aktywność u jednego z naszych klientów-abonentów. Wyobraźcie sobie zdziwienie nas, analityków, kiedy my, nie będąc programistami, ale mając wysoki poziom dostępu, mogliśmy po prostu otworzyć interfejs, z którego korzystał klient, poprzez link i zobaczyć, jaki ma popularny znak. Swoją drogą wygląda na to, że klient nie chciałby, żeby ktokolwiek widział te dane handlowe. Tak, to był błąd i nie został naprawiony przez kilka lat – moim zdaniem problem nadal istnieje. Od tego czasu jestem entuzjastą komputerów stacjonarnych i nie bardzo ufam chmurom, chociaż oczywiście używamy ich w pracy i życiu osobistym, gdzie też zdarzały nam się zabawne fakapy”.
Z naszej ankiety na temat Habré i są to pracownicy zaawansowanych firm
Utrata danych z systemu CRM w chmurze może wynikać z utraty danych na skutek awarii serwera, niedostępności serwerów, działania siły wyższej, zakończenia działalności dostawcy itp. Chmura oznacza stały, nieprzerwany dostęp do Internetu, a ochrona musi być bezprecedensowa: na poziomie kodu, praw dostępu, dodatkowych zabezpieczeń cyberbezpieczeństwa (np. uwierzytelnianie dwuskładnikowe).
Znak niebezpieczeństwa nr 2
Nie mówimy nawet o jednej cesze, ale o grupie cech związanych z dostawcą i jego polityką. Wymieńmy kilka ważnych przykładów, z którymi spotkaliśmy się my i nasi pracownicy.
- Sprzedawca może wybrać niewystarczająco niezawodne centrum danych, w którym DBMS klientów będzie się „obrócał”. Zaoszczędzi pieniądze, nie będzie kontrolował umowy SLA, nie obliczy obciążenia, a wynik będzie dla ciebie fatalny.
- Sprzedawca może odmówić prawa przeniesienia usługi do wybranego przez Ciebie centrum danych. Jest to dość powszechne ograniczenie w przypadku SaaS.
- Sprzedawca może mieć konflikt prawny lub ekonomiczny z dostawcą chmury i wtedy w trakcie „rozgrywki” mogą zostać ograniczone działania zapasowe lub np. prędkość.
- Usługa tworzenia kopii zapasowych może być świadczona za dodatkową opłatą. Powszechna praktyka, o której klient systemu CRM może się dowiedzieć dopiero w momencie, gdy potrzebna jest kopia zapasowa, czyli w najbardziej krytycznym i wrażliwym momencie.
- Pracownicy dostawców mogą mieć nieograniczony dostęp do danych klientów.
- Mogą wystąpić wszelkiego rodzaju wycieki danych (błąd ludzki, oszustwo, hakerzy itp.).
Zazwyczaj problemy te dotyczą małych lub młodych dostawców, jednakże duzi dostawcy wielokrotnie wpadali w kłopoty (wygoogluj). Dlatego zawsze warto mieć po swojej stronie sposoby na zabezpieczenie informacji + wcześniej omówić kwestie bezpieczeństwa z wybranym dostawcą systemu CRM. Już sam fakt Twojego zainteresowania problemem zmusi dostawcę do jak najbardziej odpowiedzialnego potraktowania wdrożenia (jest to szczególnie ważne, jeśli masz do czynienia nie z biurem dostawcy, ale z jego partnerem, dla którego jest to ważne, żeby zawrzeć umowę i otrzymać prowizję, a nie te dwuczynnikowe… dobrze zrozumiałeś).
Znak niebezpieczeństwa nr 3
Organizacja pracy ochrony w Twojej firmie. Rok temu tradycyjnie pisaliśmy o bezpieczeństwie na Habré i przeprowadziliśmy ankietę. Próba nie była zbyt duża, ale odpowiedzi mają charakter orientacyjny:
Na końcu artykułu zamieścimy linki do naszych publikacji, w których szczegółowo zbadaliśmy relację w systemie „firma-pracownik-bezpieczeństwo”, a tutaj podajemy listę pytań, na które odpowiedzi warto znaleźć w ramach Twojej firmy (nawet jeśli nie potrzebujesz CRM).
- Gdzie pracownicy przechowują hasła?
- Jak zorganizowany jest dostęp do pamięci masowej na serwerach firmy?
- W jaki sposób chronione jest oprogramowanie zawierające informacje handlowe i operacyjne?
- Czy wszyscy pracownicy mają aktywne oprogramowanie antywirusowe?
- Ilu pracowników ma dostęp do danych klientów i jaki jest ich poziom?
- Ilu nowych pracowników zatrudniacie, a ilu jest w trakcie odchodzenia?
- Jak długo komunikujesz się z kluczowymi pracownikami i wysłuchujesz ich próśb i skarg?
- Czy drukarki są monitorowane?
- Jak zorganizowane są zasady podłączania własnych gadżetów do komputera i korzystania z służbowego Wi-Fi?
Tak naprawdę to są podstawowe pytania – w komentarzach pewnie dodamy hardkor, ale to są podstawy, które powinien znać nawet indywidualny przedsiębiorca zatrudniający dwóch pracowników.
Jak zatem się chronić?
- Kopie zapasowe to najważniejsza rzecz, o której często się zapomina lub nie dba o nią. Jeśli posiadasz system stacjonarny, skonfiguruj system tworzenia kopii zapasowych danych z określoną częstotliwością (na przykład w przypadku RegionSoft CRM można to zrobić za pomocą ) i zorganizować odpowiednie przechowywanie kopii. Jeśli posiadasz CRM w chmurze, koniecznie przed zawarciem umowy dowiedz się, jak zorganizowana jest praca z kopiami zapasowymi: potrzebujesz informacji o głębokości i częstotliwości, lokalizacji przechowywania, kosztach tworzenia kopii zapasowych (często tylko kopie zapasowe „najnowszych danych za okres ” są bezpłatne, a pełnowartościowe, bezpieczne kopiowanie zapasowe udostępniane jest jako usługa płatna). Generalnie to na pewno nie jest miejsce na oszczędzanie i zaniedbania. I tak, nie zapomnij sprawdzić, co zostało przywrócone z kopii zapasowych.
- Rozdzielenie praw dostępu na poziomie funkcji i danych.
- Bezpieczeństwo na poziomie sieci – trzeba zezwolić na korzystanie z CRM tylko w obrębie podsieci biurowej, ograniczyć dostęp dla urządzeń mobilnych, zabronić pracy z systemem CRM z domu lub, co gorsza, z sieci publicznych (przestrzenie coworkingowe, kawiarnie, biura klientów itp.). Zachowaj szczególną ostrożność w przypadku wersji mobilnej – niech będzie to tylko mocno okrojona wersja do pracy.
- W każdym przypadku potrzebny jest program antywirusowy ze skanowaniem w czasie rzeczywistym, ale szczególnie w przypadku bezpieczeństwa danych korporacyjnych. Na poziomie zasad zabraniaj samodzielnego wyłączania.
- Szkolenie pracowników w zakresie higieny cybernetycznej nie jest stratą czasu, ale pilną potrzebą. Należy przekazać wszystkim współpracownikom, że ważne jest, aby nie tylko ostrzegali, ale także właściwie reagowali na otrzymane zagrożenie. Zakaz korzystania z Internetu lub poczty elektronicznej w biurze należy już do przeszłości i jest przyczyną ostrego negatywnego nastawienia, dlatego będziesz musiał pracować nad zapobieganiem.
Oczywiście korzystając z systemu chmurowego można osiągnąć wystarczający poziom bezpieczeństwa: używać serwerów dedykowanych, konfigurować routery i rozdzielać ruch na poziomie aplikacji i poziomu bazy danych, wykorzystywać prywatne podsieci, wprowadzać rygorystyczne zasady bezpieczeństwa dla administratorów, zapewniać nieprzerwaną pracę poprzez kopie zapasowe z maksymalną niezbędną częstotliwością i kompletnością, aby monitorować sieć przez całą dobę... Jeśli się nad tym zastanowić, nie jest to takie trudne, ale dość kosztowne. Jednak, jak pokazuje praktyka, tylko niektóre firmy, przeważnie duże, podejmują takie działania. Dlatego nie wahamy się powiedzieć jeszcze raz: zarówno chmura, jak i pulpit nie powinny żyć samodzielnie; chroń swoje dane.
Kilka małych, ale ważnych wskazówek we wszystkich przypadkach wdrożenia systemu CRM
- Sprawdź dostawcę pod kątem luk w zabezpieczeniach — szukaj informacji za pomocą kombinacji słów „luka w nazwie dostawcy”, „hackowanie nazwy dostawcy”, „wyciek danych nazwy dostawcy”. Nie powinien to być jedyny parametr w poszukiwaniu nowego systemu CRM, ale po prostu trzeba zaznaczyć podkorę, a szczególnie ważne jest zrozumienie przyczyn zaistniałych incydentów.
- Zapytaj dostawcę o centrum danych: dostępność, ile ich jest, jak zorganizowane jest przełączanie awaryjne.
- Skonfiguruj tokeny bezpieczeństwa w swoim CRM, monitoruj aktywność w systemie i nietypowe skoki.
- Wyłącz eksport raportów i dostęp przez API dla pracowników non-core - czyli takich, którzy nie potrzebują tych funkcji do swojej normalnej działalności.
- Upewnij się, że Twój system CRM jest skonfigurowany do rejestrowania procesów i działań użytkowników.
To drobiazgi, ale doskonale uzupełniają całościowy obraz. I tak naprawdę, żadne małe rzeczy nie są bezpieczne.
Wdrażając system CRM, zapewniasz bezpieczeństwo swoich danych – ale tylko pod warunkiem, że wdrożenie zostanie przeprowadzone kompetentnie, a kwestie bezpieczeństwa informacji nie zostaną sprowadzone na dalszy plan. Zgadzam się, głupio jest kupować samochód i nie sprawdzać hamulców, ABS, poduszek powietrznych, pasów bezpieczeństwa, EDS. Przecież najważniejsze jest nie tylko pojechać, ale bezpiecznie pojechać i dotrzeć tam cały i zdrowy. Podobnie jest z biznesem.
I pamiętaj: jeśli zasady bezpieczeństwa pracy są pisane krwią, zasady cyberbezpieczeństwa biznesu są pisane pieniędzmi.
Na temat cyberbezpieczeństwa i miejsca w nim systemu CRM przeczytasz nasze szczegółowe artykuły:
- — przegląd możliwych zagrożeń bezpieczeństwa w sferze korporacyjnej i przybliżony schemat wykrywania.
- — szczegółową analizę tego, jak pracownicy mogą zaszkodzić Twojemu biznesowi i jak robią to w sferze komercyjnej.
Jeśli szukasz systemu CRM, to nie czekaj . Jeśli potrzebujesz CRM lub ERP, dokładnie przestudiuj nasze produkty i porównaj ich możliwości ze swoimi celami i zadaniami. Jeśli masz jakieś pytania lub trudności, napisz lub zadzwoń, zorganizujemy dla Ciebie indywidualną prezentację online - bez ocen i bajerów.
, w którym bez reklam piszemy nie do końca formalne rzeczy o CRM i biznesie.
Źródło: www.habr.com