ProHoster > Blog > administração > Sistemas CRM na perspectiva da segurança cibernética: proteção ou ameaça?

Sistemas CRM na perspectiva da segurança cibernética: proteção ou ameaça?

31 de março é o Dia Internacional do Backup, e a semana anterior é sempre repleta de histórias relacionadas à segurança. Na segunda-feira, já aprendemos sobre a Asus comprometida e “três fabricantes não identificados”. Empresas particularmente supersticiosas ficam em espera durante toda a semana, fazendo backups. E tudo porque somos todos um pouco descuidados em termos de segurança: alguém esquece de colocar o cinto de segurança no banco de trás, alguém ignora o prazo de validade dos produtos, alguém guarda seu login e senha embaixo do teclado e, melhor ainda, anota todas as senhas em um caderno. Os indivíduos conseguem desativar os antivírus “para não deixar o computador lento” e não utilizar a separação de direitos de acesso nos sistemas corporativos (que segredos numa empresa de 50 pessoas!). Provavelmente, a humanidade simplesmente ainda não desenvolveu o instinto de autopreservação cibernética, que, em princípio, pode se tornar um novo instinto básico.

As empresas também não desenvolveram tais instintos. Uma pergunta simples: um sistema CRM é uma ameaça à segurança da informação ou uma ferramenta de segurança? É improvável que alguém dê uma resposta precisa imediatamente. Aqui precisamos começar, como nos ensinaram nas aulas de inglês: depende... Depende das configurações, da forma de entrega do CRM, dos hábitos e crenças do fornecedor, do grau de desrespeito dos funcionários, da sofisticação dos atacantes . Afinal, tudo pode ser hackeado. Então, como viver?

Sistemas CRM na perspectiva da segurança cibernética: proteção ou ameaça?
Isso é segurança da informação em pequenas e médias empresas De Aprenda

Sistema CRM como proteção

Proteger os dados comerciais e operacionais e armazenar com segurança sua base de clientes é uma das principais tarefas de um sistema CRM, e nisso ele está acima de todos os demais softwares aplicativos da empresa.

Certamente você começou a ler este artigo e sorriu no fundo, dizendo quem precisa de suas informações. Se sim, então você provavelmente não lidou com vendas e não sabe o quão demandadas são as bases de clientes “vivas” e de alta qualidade e as informações sobre os métodos de trabalho com essa base. Os conteúdos do sistema CRM são interessantes não só para a gestão da empresa, mas também para:  

  • Atacantes (menos frequentemente) – eles têm um objetivo relacionado especificamente à sua empresa e usarão todos os recursos para obter dados: suborno de funcionários, hacking, compra de seus dados de gestores, entrevistas com gestores, etc.
  • Funcionários (com mais frequência) que podem atuar como insiders para seus concorrentes. Eles estão simplesmente prontos para retirar ou vender sua base de clientes para obter lucro próprio.
  • Para hackers amadores (muito raramente) - você pode ser hackeado na nuvem onde seus dados estão localizados ou a rede foi hackeada, ou talvez alguém queira “retirar” seus dados por diversão (por exemplo, dados sobre atacadistas de produtos farmacêuticos ou de álcool - apenas interessante de ver).

Se alguém entrar no seu CRM, terá acesso às suas atividades operacionais, ou seja, ao volume de dados com o qual você obtém a maior parte dos seus lucros. E a partir do momento em que é obtido o acesso malicioso ao sistema CRM, os lucros começam a sorrir para aquele em cujas mãos a base de clientes vai parar. Bem, ou seus parceiros e clientes (leia-se - novos empregadores).

Bom, confiável sistema CRM é capaz de cobrir esses riscos e oferecer vários bônus agradáveis ​​​​na área de segurança.

Então, o que um sistema CRM pode fazer em termos de segurança?

(contaremos com um exemplo RegionSoft CRM, porque Não podemos ser responsáveis ​​pelos outros)

  • Autenticação de dois fatores usando chave USB e senha. RegionSoft CRM suporta o modo de autorização de usuário de dois fatores ao fazer login no sistema. Neste caso, ao efetuar login no sistema, além de inserir a senha, é necessário inserir uma chave USB previamente inicializada na porta USB do computador. O modo de autorização de dois fatores ajuda a proteger contra roubo ou divulgação de senha.

Sistemas CRM na perspectiva da segurança cibernética: proteção ou ameaça? Clicável

  • Execute a partir de endereços IP e endereços MAC confiáveis. Para maior segurança, você pode restringir o login dos usuários apenas em endereços IP e endereços MAC registrados. Tanto os endereços IP internos na rede local quanto os endereços externos podem ser usados ​​como endereços IP se o usuário se conectar remotamente (através da Internet).
  • Autorização de domínio (autorização do Windows). A inicialização do sistema pode ser configurada para que a senha do usuário não seja necessária ao efetuar login. Neste caso ocorre a autorização do Windows, que identifica o usuário utilizando WinAPI. O sistema será iniciado sob o usuário cujo perfil o computador está executando no momento em que o sistema é iniciado.
  • Outro mecanismo é clientes particulares. Clientes particulares são clientes que só podem ser atendidos pelo seu supervisor. Esses clientes não aparecerão nas listas de outros usuários, mesmo que outros usuários tenham permissões totais, incluindo direitos de administrador. Desta forma, poderá proteger, por exemplo, um conjunto de clientes particularmente importantes ou um grupo por outro motivo, que será confiado a um gestor de confiança.
  • Mecanismo de divisão de direitos de acesso — uma medida de segurança padrão e primária em CRM. Para simplificar o processo de administração dos direitos do usuário, em RegionSoft CRM os direitos são atribuídos não a usuários específicos, mas a modelos. E o próprio usuário recebe um ou outro modelo, que possui um determinado conjunto de direitos. Isso permite que cada funcionário - desde novos contratados até estagiários e diretores - atribua permissões e direitos de acesso que permitirão/impedirão o acesso a dados confidenciais e informações comerciais confidenciais.
  • Sistema automático de backup de dados (backups)configurável via servidor de script Servidor de aplicativos RegionSoft.

Esta é a implementação de segurança usando um único sistema como exemplo, cada fornecedor tem suas próprias políticas. Porém, o sistema CRM realmente protege suas informações: você pode ver quem fez este ou aquele relatório e a que horas, quem visualizou quais dados, quem baixou e muito mais. Mesmo que você descubra a vulnerabilidade posteriormente, você não deixará o ato impune e poderá identificar facilmente o funcionário que abusou da confiança e lealdade da empresa.

Você está relaxado? Cedo! Essa mesma proteção pode funcionar contra você se você for descuidado e ignorar as questões de proteção de dados.

Sistema CRM como uma ameaça

Se a sua empresa possui pelo menos um PC, isso já é uma fonte de ameaça cibernética. Conseqüentemente, o nível de ameaça aumenta com o número de estações de trabalho (e funcionários) e com a variedade de software instalado e utilizado. E as coisas não são fáceis com os sistemas de CRM - afinal, este é um programa projetado para armazenar e processar o ativo mais importante e caro: uma base de clientes e informações comerciais, e aqui estamos contando histórias horríveis sobre sua segurança. Na verdade, nem tudo é tão sombrio de perto e, se for tratado corretamente, você não receberá nada além de benefícios e segurança do sistema CRM.

Quais são os sinais de um sistema CRM perigoso?

Vamos começar com uma breve excursão ao básico. Os CRMs vêm em versões para nuvem e desktop. Os de nuvem são aqueles cujo SGBD (banco de dados) não está localizado na sua empresa, mas em uma nuvem privada ou pública em algum data center (por exemplo, você está em Chelyabinsk e seu banco de dados está rodando em um data center super legal em Moscou , porque o fornecedor de CRM decidiu assim e tem um acordo com esse fornecedor específico). Desktop (também conhecido como servidor local - o que não é mais tão verdade) baseia seu SGBD em seus próprios servidores (não, não, não imagine uma enorme sala de servidores com racks caros, na maioria das vezes em pequenas e médias empresas é um único servidor ou mesmo um PC comum de configuração moderna), ou seja, fisicamente em seu escritório.

É possível obter acesso não autorizado aos dois tipos de CRM, mas a velocidade e a facilidade de acesso são diferentes, principalmente se estivermos falando de pequenas e médias empresas que não se preocupam muito com a segurança da informação.

Sinal de perigo nº 1


A razão para a maior probabilidade de problemas com dados em um sistema em nuvem é um relacionamento conectado por vários links: você (locatário de CRM) - fornecedor - provedor (há uma versão mais longa: você - fornecedor - terceirizador de TI do fornecedor - provedor) . 3-4 links no relacionamento apresentam mais riscos do que 1-2: pode ocorrer um problema do lado do fornecedor (mudança de contrato, não pagamento dos serviços do provedor), do lado do provedor (força maior, hacking, problemas técnicos), por parte do terceirizado (mudança de gerente ou engenheiro), etc. É claro que grandes fornecedores tentam ter data centers de backup, gerenciar riscos e manter seu departamento de DevOps, mas isso não exclui problemas.

O Desktop CRM geralmente não é alugado, mas adquirido pela empresa; portanto, o relacionamento parece mais simples e transparente: durante a implementação do CRM, o fornecedor configura os níveis de segurança necessários (desde diferenciar direitos de acesso e uma chave USB física até incluir o servidor em uma parede de concreto, etc.) e transfere o controle para a empresa proprietária do CRM, que pode aumentar a proteção, contratar um administrador de sistema ou entrar em contato com seu fornecedor de software conforme necessário. Os problemas se resumem a trabalhar com os funcionários, proteger a rede e proteger fisicamente as informações. Se você usa CRM desktop, mesmo um desligamento completo da Internet não interromperá o trabalho, já que o banco de dados está localizado em seu escritório “doméstico”.

Um de nossos funcionários, que trabalhou em uma empresa que desenvolveu sistemas de escritório integrados baseados em nuvem, incluindo CRM, fala sobre tecnologias de nuvem. “Em um dos meus trabalhos, a empresa estava criando algo muito parecido com um CRM básico, e tudo conectado a documentos online e assim por diante. Um dia, em GA, vimos atividade anormal de um de nossos clientes assinantes. Imagine a surpresa nossa, analistas, quando nós, não sendo desenvolvedores, mas tendo um alto nível de acesso, conseguimos simplesmente abrir a interface que o cliente utilizava através de um link e ver que tipo de sinal popular ele tinha. Aliás, parece que o cliente não gostaria que ninguém visse esses dados comerciais. Sim, foi um bug e não foi corrigido por vários anos - na minha opinião, as coisas ainda estão lá. Desde então, sou um entusiasta de desktops e não confio muito nas nuvens, embora, é claro, as utilizemos no trabalho e em nossas vidas pessoais, onde também nos divertimos alguns fakaps.”

Sistemas CRM na perspectiva da segurança cibernética: proteção ou ameaça?
Da nossa pesquisa sobre Habré, e estes são funcionários de empresas avançadas

A perda de dados de um sistema CRM em nuvem pode ser devido à perda de dados devido a falha do servidor, indisponibilidade de servidores, força maior, encerramento de atividades do fornecedor, etc. A nuvem significa acesso constante e ininterrupto à Internet, e a proteção deve ser sem precedentes: ao nível do código, dos direitos de acesso, das medidas adicionais de cibersegurança (por exemplo, autenticação de dois fatores).

Sinal de perigo nº 2


Não estamos falando nem de uma característica, mas de um conjunto de características relacionadas ao fornecedor e suas políticas. Vamos listar alguns exemplos importantes que nós e nossos funcionários encontramos.

  • O fornecedor pode escolher um data center insuficientemente confiável onde o SGBD dos clientes “girará”. Ele vai economizar dinheiro, não vai controlar o SLA, não vai calcular a carga e o resultado será fatal para você.
  • O fornecedor pode negar o direito de transferir o serviço para o data center de sua escolha. Esta é uma limitação bastante comum para SaaS.
  • O fornecedor pode ter um conflito jurídico ou econômico com o provedor de nuvem e, durante o “confronto”, as ações de backup ou, por exemplo, a velocidade podem ser limitadas.
  • O serviço de criação de backups poderá ser fornecido por um preço adicional. Uma prática comum que um cliente de um sistema CRM só pode conhecer no momento em que é necessário um backup, ou seja, no momento mais crítico e vulnerável.
  • Os funcionários do fornecedor podem ter acesso irrestrito aos dados do cliente.
  • Podem ocorrer vazamentos de dados de qualquer natureza (erro humano, fraude, hackers, etc.).

Normalmente, esses problemas estão associados a fornecedores pequenos ou jovens; no entanto, os grandes têm problemas repetidamente (pesquise no Google). Portanto, você deve sempre ter maneiras de proteger as informações ao seu lado e discutir questões de segurança com o fornecedor de sistema CRM selecionado com antecedência. Até o próprio fato do seu interesse no problema já obrigará o fornecedor a tratar a implementação da forma mais responsável possível (é especialmente importante fazer isso se você não estiver lidando com o escritório do fornecedor, mas com seu parceiro, para quem é importante fechar um acordo e receber uma comissão, e não esses dois fatores... bem, você entendeu).

Sinal de perigo nº 3


Organização do trabalho de segurança na sua empresa. Há um ano, tradicionalmente escrevemos sobre segurança no Habré e realizamos uma pesquisa. A amostra não foi muito grande, mas as respostas são indicativas:

Sistemas CRM na perspectiva da segurança cibernética: proteção ou ameaça?

Ao final do artigo, forneceremos links para nossas publicações, onde examinamos detalhadamente a relação no sistema “empresa-funcionário-segurança”, e aqui forneceremos uma lista de perguntas cujas respostas devem ser encontradas dentro sua empresa (mesmo que você não precise de CRM).

  • Onde os funcionários armazenam as senhas?
  • Como é organizado o acesso ao armazenamento nos servidores da empresa?
  • Como é protegido o software que contém informações comerciais e operacionais?
  • Todos os funcionários possuem software antivírus ativo?
  • Quantos funcionários têm acesso aos dados do cliente e qual é o nível de acesso?
  • Quantas novas contratações você tem e quantos funcionários estão em processo de saída?
  • Há quanto tempo você se comunica com funcionários importantes e ouve suas solicitações e reclamações?
  • As impressoras são monitoradas?
  • Como é organizada a política para conectar seus próprios gadgets ao PC, bem como usar o Wi-Fi do trabalho?

Na verdade, essas são questões básicas – provavelmente serão acrescentadas perguntas difíceis nos comentários, mas este é o básico, o básico que até um empresário individual com dois funcionários deve saber.

Então, como se proteger?

  • Os backups são a coisa mais importante que muitas vezes é esquecida ou não cuidada. Se você possui um sistema desktop, configure um sistema de backup de dados com uma determinada frequência (por exemplo, para RegionSoft CRM isso pode ser feito usando Servidor de aplicativos RegionSoft) e organizar o armazenamento adequado das cópias. Se você possui um CRM em nuvem, certifique-se de descobrir antes de fechar um contrato como é organizado o trabalho com backups: você precisa de informações sobre profundidade e frequência, local de armazenamento, custo de backup (muitas vezes apenas backups dos “dados mais recentes do período ”são gratuitos e uma cópia de backup segura e completa é fornecida como um serviço pago). Em geral, este definitivamente não é lugar para poupança ou negligência. E sim, não se esqueça de verificar o que foi restaurado dos backups.
  • Separação de direitos de acesso nos níveis de função e de dados.
  • Segurança no nível da rede - você precisa permitir o uso do CRM apenas dentro da sub-rede do escritório, limitar o acesso para dispositivos móveis, proibir trabalhar com o sistema CRM em casa ou, pior ainda, em redes públicas (espaços de coworking, cafés, escritórios de clientes , etc.). Tenha especial cuidado com a versão móvel - deixe que seja apenas uma versão bastante truncada para o trabalho.
  • Em qualquer caso, é necessário um antivírus com verificação em tempo real, mas principalmente no caso de segurança de dados corporativos. No nível da política, proíba desativá-lo você mesmo.
  • Treinar funcionários em higiene cibernética não é uma perda de tempo, mas uma necessidade urgente. É necessário transmitir a todos os colegas que é importante para eles não só avisar, mas também reagir corretamente à ameaça recebida. Proibir o uso da Internet ou do seu e-mail no escritório é coisa do passado e causa de grande negatividade, por isso você terá que trabalhar na prevenção.

Claro, usando um sistema em nuvem, você pode alcançar um nível de segurança suficiente: usar servidores dedicados, configurar roteadores e separar o tráfego no nível do aplicativo e no nível do banco de dados, usar sub-redes privadas, introduzir regras de segurança rígidas para administradores, garantir operação ininterrupta por meio de backups com a frequência e completude máxima necessária, para monitorar a rede XNUMX horas por dia... Se você pensar bem, não é tão difícil, mas bastante caro. Mas, como mostra a prática, apenas algumas empresas, na sua maioria grandes, tomam tais medidas. Portanto, não hesitamos em dizer novamente: tanto a nuvem quanto o desktop não devem viver sozinhos; proteja seus dados.

Algumas dicas pequenas, mas importantes para todos os casos de implementação de um sistema CRM

  • Verifique se há vulnerabilidades no fornecedor - procure informações usando combinações de palavras “Vulnerabilidade do nome do fornecedor”, “Nome do fornecedor hackeado”, “Vazamento de dados do nome do fornecedor”. Este não deve ser o único parâmetro na procura de um novo sistema de CRM, mas é simplesmente necessário assinalar o subcórtex, sendo especialmente importante compreender os motivos dos incidentes ocorridos.
  • Pergunte ao fornecedor sobre o data center: disponibilidade, quantos existem, como o failover é organizado.
  • Configure tokens de segurança em seu CRM, monitore atividades no sistema e picos incomuns.
  • Desabilitar exportação de relatórios e acesso via API para funcionários não essenciais – ou seja, aqueles que não necessitam dessas funções para suas atividades regulares.
  • Certifique-se de que seu sistema CRM esteja configurado para registrar processos e ações do usuário.

São pequenas coisas, mas complementam perfeitamente o quadro geral. E, de fato, nenhuma pequena coisa é segura.

Ao implementar um sistema CRM, você garante a segurança dos seus dados – mas somente se a implementação for realizada com competência e as questões de segurança da informação não forem relegadas a segundo plano. Concordo, é estúpido comprar um carro e não verificar freios, ABS, airbags, cintos de segurança, EDS. Afinal, o principal não é apenas ir, mas ir com segurança e chegar são e salvo. O mesmo acontece com os negócios.

E lembre-se: se as regras de segurança ocupacional estão escritas com sangue, as regras de segurança cibernética empresarial estão escritas em dinheiro.

Sobre o tema segurança cibernética e o lugar do sistema CRM nela, você pode ler nossos artigos detalhados:

Se você está procurando um sistema CRM, então RegionSoft CRM até 31 de março, 15% de desconto. Se você precisa de CRM ou ERP, estude cuidadosamente nossos produtos e compare suas capacidades com suas metas e objetivos. Se você tiver alguma dúvida ou dificuldade, escreva ou ligue, organizaremos uma apresentação online individual para você - sem avaliações ou sinos e assobios.

Sistemas CRM na perspectiva da segurança cibernética: proteção ou ameaça? Nosso canal no Telegram, em que, sem publicidade, escrevemos coisas não totalmente formais sobre CRM e negócios.

Fonte: habr.com

Adicionar um comentário