Em 2008, pude visitar uma empresa de TI. Havia algum tipo de tensão prejudicial à saúde em todos os funcionários. A razão acabou por ser simples: os telemóveis estão numa caixa na entrada do escritório, há uma câmara atrás das costas, 2 grandes câmaras adicionais de “olhar” no escritório e software de monitorização com keylogger. E sim, esta não é a empresa que desenvolveu SORM ou sistemas de suporte à vida de aeronaves, mas simplesmente uma desenvolvedora de software de aplicação de negócios, agora absorvida, esmagada e não existente mais (o que parece lógico). Se você agora está se espreguiçando e pensando que no seu escritório com redes e M&M em vasos definitivamente não é esse o caso, pode estar muito enganado - só que ao longo de 11 anos o controle aprendeu a ser invisível e correto, sem confrontos ao longo sites visitados e filmes baixados.
Então é realmente impossível sem tudo isso, mas e a confiança, a lealdade, a fé nas pessoas? Acredite ou não, existem tantas empresas sem medidas de segurança. Mas os funcionários conseguem bagunçar aqui e ali – simplesmente porque o fator humano pode destruir mundos, não apenas a sua empresa. Então, onde seus funcionários podem fazer travessuras?
Este não é um post muito sério, que tem exatamente duas funções: alegrar um pouco o dia a dia e lembrar coisas básicas de segurança que muitas vezes são esquecidas. Ah, e mais uma vez lembrá-lo de — Esse software não é o limite da segurança? 🙂
Vamos no modo aleatório!
Senhas, senhas, senhas...
Você fala deles e surge uma onda de indignação: como é que isso já foi dito tantas vezes ao mundo, mas as coisas continuam aí! Em empresas de todos os níveis, desde empreendedores individuais até corporações multinacionais, este é um ponto muito delicado. Às vezes me parece que se amanhã eles construírem uma verdadeira Estrela da Morte, haverá algo como admin/admin no painel de administração. Então, o que podemos esperar dos usuários comuns, para quem sua própria página VKontakte é muito mais cara do que uma conta corporativa? Aqui estão os pontos a serem verificados:
- Escrever senhas em pedaços de papel, na parte de trás do teclado, no monitor, na mesa embaixo do teclado, em um adesivo na parte inferior do mouse (astúcia!) - os funcionários nunca deveriam fazer isso. E não porque um hacker terrível entrará e baixará todo o 1C em uma unidade flash durante o almoço, mas porque pode haver uma Sasha ofendida no escritório que vai pedir demissão e fazer algo sujo ou tirar as informações pela última vez . Por que não fazer isso no seu próximo almoço?
Isso é o que? Essa coisa armazena todas as minhas senhas
- Definir senhas simples para entrar no PC e nos programas de trabalho. Datas de nascimento, qwerty123 e até asdf são combinações que pertencem às piadas e ao bashorg, e não ao sistema de segurança corporativo. Defina requisitos para senhas e seu comprimento e defina a frequência de substituição.
Uma senha é como uma roupa íntima: mude com frequência, não compartilhe com seus amigos, uma senha longa é melhor, seja misterioso, não a espalhe por toda parte
- As senhas de login do programa padrão do fornecedor são falhas, até porque quase todos os funcionários do fornecedor as conhecem, e se você estiver lidando com um sistema baseado na web na nuvem, não será difícil para ninguém obter os dados. Especialmente se você também tiver segurança de rede no nível “não puxe o cabo”.
- Explique aos funcionários que a dica de senha no sistema operacional não deve ser parecida com “meu aniversário”, “nome da filha”, “Gvoz-dika-78545-ap#1! Em inglês." ou “quartos e um e um zero”.
Meu gato me dá ótimas senhas! Ele está andando pelo meu teclado
Acesso físico aos casos
Como sua empresa organiza o acesso à documentação contábil e pessoal (por exemplo, aos arquivos pessoais dos funcionários)? Deixe-me adivinhar: se for uma empresa pequena, então no departamento de contabilidade ou no escritório do chefe, em pastas nas prateleiras ou em um armário; se for uma grande empresa, então no departamento de RH, nas prateleiras. Mas se for muito grande, provavelmente está tudo correto: um escritório separado ou bloco com chave magnética, onde apenas alguns funcionários têm acesso e para chegar lá é necessário ligar para um deles e entrar neste nó na presença deles. Não há nada difícil em fazer essa proteção em qualquer negócio, ou pelo menos aprender a não escrever a senha do cofre do escritório com giz na porta ou na parede (tudo é baseado em acontecimentos reais, não ria).
Por que isso é importante? Em primeiro lugar, os trabalhadores têm um desejo patológico de descobrir o que há de mais secreto uns sobre os outros: estado civil, salário, diagnósticos médicos, educação, etc. Este é um grande compromisso na competição de escritório. E você absolutamente não se beneficia das brigas que surgirão quando o designer Petya descobrir que ganha 20 mil a menos que a designer Alice. Em segundo lugar, os colaboradores podem aceder à informação financeira da empresa (balanços, relatórios anuais, contratos). Em terceiro lugar, algo pode simplesmente ser perdido, danificado ou roubado para encobrir vestígios na própria história profissional.
Um armazém onde alguém é uma perda, alguém é um tesouro
Se você tem um armazém, considere que mais cedo ou mais tarde você certamente encontrará criminosos - é assim que funciona a psicologia de uma pessoa que vê um grande volume de produtos e acredita firmemente que um pouco de muito não é roubo, mas compartilhamento. E uma unidade de mercadoria dessa pilha pode custar 200 mil, ou 300 mil, ou vários milhões. Infelizmente, nada pode impedir o roubo, exceto o controle e contabilidade pedantes e totais: câmeras, aceitação e baixa por meio de códigos de barras, automação da contabilidade do armazém (por exemplo, em nosso a contabilidade do armazém é organizada de forma que o gerente e o supervisor possam ver a movimentação das mercadorias no armazém em tempo real).
Portanto, arme seu armazém até os dentes, garanta a segurança física do inimigo externo e total segurança do interno. Os funcionários dos transportes, da logística e dos armazéns devem compreender claramente que existe controle, que funciona e que quase se punirão.
*ei, não mexa na infraestrutura
Se a história da sala dos servidores e da faxineira já sobreviveu e há muito migrou para contos de outras indústrias (por exemplo, a mesma falou sobre o desligamento místico do ventilador na mesma enfermaria), então o resto permanece realidade . A segurança de rede e de TI de pequenas e médias empresas deixa muito a desejar, e isso muitas vezes não depende se você tem seu próprio administrador de sistema ou um administrador convidado. Este último costuma lidar ainda melhor.
Então, do que os funcionários aqui são capazes?
- O mais legal e inofensivo é ir até a sala do servidor, puxar os fios, olhar, derramar chá, sujar ou tentar configurar algo você mesmo. Isso afeta especialmente “usuários confiantes e avançados” que heroicamente ensinam seus colegas a desabilitar antivírus e ignorar a proteção em um PC e têm certeza de que são deuses inatos da sala de servidores. Em geral, o acesso limitado autorizado é tudo para você.
- Roubo de equipamentos e substituição de componentes. Você ama sua empresa e instalou placas de vídeo poderosas para todos para que o sistema de faturamento, CRM e tudo mais funcionem perfeitamente? Ótimo! Somente caras astutos (e às vezes meninas) os substituirão facilmente por um modelo doméstico, e em casa eles rodarão jogos em um novo modelo de escritório - mas metade do mundo não saberá. É a mesma história com teclados, mouses, coolers, UPSs e tudo que pode de alguma forma ser substituído dentro da configuração de hardware. Com isso, você corre o risco de danos materiais, sua perda total e, ao mesmo tempo, não obtém a velocidade e a qualidade desejadas no trabalho com sistemas de informação e aplicações. O que salva é um sistema de monitoramento (sistema ITSM) com controle de configuração configurado), que deve ser fornecido completo com um administrador de sistema incorruptível e íntegro.
Talvez você queira procurar um sistema de segurança melhor? Não tenho certeza se este sinal é suficiente
- Usar seus próprios modems, pontos de acesso ou algum tipo de Wi-Fi compartilhado torna o acesso aos arquivos menos seguro e praticamente incontrolável, o que pode ser aproveitado por invasores (inclusive em conluio com funcionários). Pois bem, além disso, a probabilidade de um funcionário “com Internet própria” passar horas de trabalho no YouTube, sites de humor e redes sociais é muito maior.
- Senhas e logins unificados para acessar a área de administração do site, CMS e software aplicativo são coisas terríveis que transformam um funcionário inepto ou mal-intencionado em um vingador indescritível. Se você tiver 5 pessoas da mesma sub-rede com o mesmo login/senha para colocar um banner, verificar links e métricas de publicidade, corrigir o layout e fazer upload de uma atualização, você nunca vai adivinhar qual delas acidentalmente transformou o CSS em um abóbora. Portanto: logins diferentes, senhas diferentes, registro de ações e diferenciação de direitos de acesso.
- Escusado será dizer sobre o software não licenciado que os funcionários arrastam para seus PCs para editar algumas fotos durante o horário de trabalho ou criar algo muito relacionado a um hobby. Ainda não ouviu falar da fiscalização do departamento “K” da Direcção Central de Assuntos Internos? Então ela vem até você!
- O antivírus deve funcionar. Sim, alguns deles podem tornar o seu PC lento, irritá-lo e geralmente parecer um sinal de covardia, mas é melhor evitá-los do que pagar mais tarde com tempo de inatividade ou, pior, com dados roubados.
- Os avisos do sistema operacional sobre os perigos da instalação de um aplicativo não devem ser ignorados. Hoje, baixar algo para o trabalho é questão de segundos e minutos. Por exemplo, Direct.Commander ou editor do AdWords, algum analisador de SEO, etc. Se tudo estiver mais ou menos claro com os produtos Yandex e Google, então outro picreizer, um limpador de vírus gratuito, um editor de vídeo com três efeitos, capturas de tela, gravadores do Skype e outros “pequenos programas” podem prejudicar um PC individual e toda a rede da empresa . Treine os usuários para lerem o que o computador deseja deles antes de ligarem para o administrador do sistema e dizerem que “está tudo morto”. Em algumas empresas, o problema é resolvido de forma simples: muitos utilitários úteis baixados são armazenados no compartilhamento de rede e uma lista de soluções on-line adequadas também é publicada lá.
- A política BYOD ou, inversamente, a política de permitir o uso de equipamentos de trabalho fora do escritório é um lado muito maligno da segurança. Neste caso, familiares, amigos, filhos, redes públicas desprotegidas, etc. têm acesso à tecnologia. Isto é puramente uma roleta russa - você pode passar 5 anos e sobreviver, mas pode perder ou danificar todos os seus documentos e arquivos valiosos. Bem, além disso, se um funcionário tiver intenções maliciosas, é tão fácil quanto enviar dois bytes para vazar dados com equipamentos “ambulantes”. Você também precisa lembrar que os funcionários geralmente transferem arquivos entre seus computadores pessoais, o que novamente pode criar brechas de segurança.
- Bloquear seus dispositivos enquanto você estiver ausente é um bom hábito tanto para uso corporativo quanto pessoal. Mais uma vez, protege você de colegas curiosos, conhecidos e intrusos em locais públicos. É difícil se acostumar com isso, mas em um dos meus locais de trabalho tive uma experiência maravilhosa: colegas se aproximaram de um PC desbloqueado e o Paint foi aberto em toda a janela com a inscrição “Bloqueie o computador!” e algo mudou no trabalho, por exemplo, a última montagem bombeada foi demolida ou o último bug introduzido foi removido (este era um grupo de testes). É cruel, mas 1-2 vezes foi suficiente, mesmo para os mais de madeira. Embora, eu suspeito, pessoas que não sejam de TI possam não entender esse humor.
- Mas o pior pecado, é claro, recai sobre o administrador e gerenciamento do sistema - se eles categoricamente não usarem sistemas de controle de tráfego, equipamentos, licenças, etc.
Isto é, claro, uma base, porque a infra-estrutura de TI é o local onde quanto mais dentro da floresta, mais lenha existe. E todos deveriam ter essa base, e não ser substituídos pelas palavras “todos confiamos uns nos outros”, “somos uma família”, “quem precisa” - infelizmente, isso é por enquanto.
Esta é a Internet, querido, eles podem saber muito sobre você.
É hora de introduzir o uso seguro da Internet no curso de segurança de vida na escola - e não se trata de forma alguma das medidas nas quais estamos imersos de fora. Trata-se especificamente da capacidade de distinguir um link de um link, entender onde há phishing e onde há fraude, não abrir anexos de e-mail com o assunto “Relatório de reconciliação” de um endereço desconhecido sem entendê-lo, etc. Embora, ao que parece, os alunos já tenham dominado tudo isso, mas os funcionários não. Existem muitos truques e erros que podem comprometer toda a empresa de uma só vez.
- As redes sociais são uma secção da Internet que não tem lugar no trabalho, mas bloqueá-las a nível empresarial em 2019 é uma medida impopular e desmotivadora. Portanto, basta escrever para todos os funcionários como verificar a ilegalidade dos links, informar sobre os tipos de fraude e pedir que trabalhem.
- O correio é um ponto sensível e talvez a forma mais popular de roubar informações, plantar malware e infectar um PC e toda a rede. Infelizmente, muitos empregadores consideram o cliente de e-mail uma ferramenta de economia de custos e usam serviços gratuitos que recebem 200 e-mails de spam por dia que passam por filtros, etc. E alguns irresponsáveis abrem essas cartas e anexos, links, fotos - aparentemente, esperam que o príncipe negro tenha deixado uma herança para eles. Depois disso, o administrador terá muito, muito trabalho. Ou foi planejado dessa forma? A propósito, outra história cruel: em uma empresa, para cada carta de spam enviada ao administrador do sistema, o KPI era reduzido. Em geral, depois de um mês não houve spam - a prática foi adotada pela organização controladora e ainda não há spam. Resolvemos esse problema com elegância - desenvolvemos nosso próprio cliente de e-mail e o incorporamos em nosso próprio , para que todos os nossos clientes também recebam um recurso tão conveniente.
Da próxima vez que você receber um e-mail estranho com o símbolo de um clipe de papel, não clique nele!
- Os mensageiros também são uma fonte de todos os tipos de links inseguros, mas isso é muito menos prejudicial do que o correio (sem contar o tempo perdido conversando em chats).
Parece que tudo isso são pequenas coisas. Porém, cada uma dessas pequenas coisas pode ter consequências desastrosas, principalmente se a sua empresa for alvo de ataque de um concorrente. E isso pode acontecer literalmente com qualquer pessoa.
Funcionários tagarelas
Este é o fator muito humano do qual será difícil se livrar. Os funcionários podem discutir o trabalho no corredor, em um café, na rua, na casa de um cliente, falar alto sobre outro cliente, falar sobre conquistas profissionais e projetos em casa. Claro, a probabilidade de um concorrente estar atrás de você é insignificante (se você não estiver no mesmo centro de negócios - isso aconteceu), mas a possibilidade de um cara declarando claramente seus negócios ser filmado em um smartphone e postado em O YouTube é, curiosamente, mais alto. Mas isso também é besteira. Não é besteira quando seus funcionários apresentam voluntariamente informações sobre um produto ou empresa em treinamentos, conferências, encontros, fóruns profissionais ou mesmo no Habré. Além disso, as pessoas muitas vezes convocam deliberadamente seus oponentes para essas conversas, a fim de conduzir inteligência competitiva.
Uma história reveladora. Em uma conferência de TI em escala galáctica, o palestrante da seção apresentou em um slide um diagrama completo da organização da infraestrutura de TI de uma grande empresa (20 principais). O esquema foi megaimpressionante, simplesmente cósmico, quase todo mundo o fotografou e instantaneamente voou pelas redes sociais com ótimas críticas. Bem, então o palestrante os pegou usando geotags, stands, redes sociais. redes de quem postou e implorou para ser deletado, porque ligaram para ele bem rápido e disseram ah-ta-ta. Uma tagarela é uma dádiva de Deus para um espião.
A ignorância... liberta você do castigo
De acordo com o relatório global de 2017 da Kaspersky Lab sobre empresas que sofreram incidentes de cibersegurança num período de 12 meses, um em cada dez (11%) dos tipos de incidentes mais graves envolveu funcionários descuidados e desinformados.
Não presuma que os funcionários sabem tudo sobre medidas de segurança corporativa, não deixe de avisá-los, ministrar treinamentos, fazer newsletters periódicas interessantes sobre questões de segurança, realizar reuniões tomando pizza e esclarecer novamente os assuntos. E sim, um truque legal - marque todas as informações impressas e eletrônicas com cores, sinais, inscrições: segredo comercial, segredo, para uso oficial, acesso geral. Isso realmente funciona.
O mundo moderno colocou as empresas em uma posição muito delicada: é necessário manter um equilíbrio entre o desejo do funcionário não apenas de trabalhar duro no trabalho, mas também de receber conteúdo de entretenimento em segundo plano/durante os intervalos, e regras rígidas de segurança corporativa. Se você ativar programas de hipercontrole e rastreamento idiotas (sim, não é um erro de digitação - isso não é segurança, isso é paranóia) e câmeras nas suas costas, a confiança dos funcionários na empresa diminuirá, mas manter a confiança também é uma ferramenta de segurança corporativa.
Portanto, saiba quando parar, respeite seus colaboradores e faça backups. E o mais importante, priorize a segurança, não a paranóia pessoal.
Se você precisar e compare suas capacidades com suas metas e objetivos. Se você tiver alguma dúvida ou dificuldade, escreva ou ligue, organizaremos uma apresentação online individual para você - sem avaliações ou sinos e assobios.
, em que, sem publicidade, escrevemos coisas não totalmente formais sobre CRM e negócios.
Fonte: habr.com