În 2008, am putut să vizitez o companie IT. A existat un fel de tensiune nesănătoasă în fiecare angajat. Motivul s-a dovedit a fi simplu: telefoanele mobile sunt într-o cutie la intrarea în birou, există o cameră în spate, 2 camere mari suplimentare „care se uită” la birou și software de monitorizare cu un keylogger. Și da, aceasta nu este compania care a dezvoltat SORM sau sisteme de susținere a vieții aeronavelor, ci pur și simplu un dezvoltator de software de aplicații pentru afaceri, acum absorbit, zdrobit și inexistent (ceea ce pare logic). Dacă acum te întinzi și te gândești că în biroul tău cu hamace și M&M în vaze cu siguranță nu este cazul, s-ar putea să te înșeli foarte mult - doar că peste 11 ani controlul a învățat să fie invizibil și corect, fără confruntări asupra site-uri vizitate și filme descărcate.
Deci este cu adevărat imposibil fără toate acestea, dar cum rămâne cu încrederea, loialitatea, credința în oameni? Credeți sau nu, există tot atâtea companii fără măsuri de securitate. Dar angajații reușesc să încurce atât aici, cât și acolo - pur și simplu pentru că factorul uman poate distruge lumi, nu doar compania ta. Deci, unde pot angajații tăi să facă rău?
Aceasta nu este o postare foarte serioasă, care are exact două funcții: să înveselească puțin viața de zi cu zi și să-ți amintească de lucruri de siguranță de bază care sunt adesea uitate. Oh, și încă o dată îți amintesc de — Nu este un astfel de software marginea securității? 🙂
Să mergem în modul aleatoriu!
Parole, parole, parole...
Vorbești despre ei și se rostogolește un val de indignare: cum se poate, au spus de atâtea ori lumii, dar lucrurile sunt încă acolo! În companiile de toate nivelurile, de la antreprenori individuali la corporații multinaționale, acesta este un loc foarte dureros. Uneori mi se pare că dacă mâine construiesc o adevărată Steaua Morții, va fi ceva de genul admin/admin în panoul de administrare. Deci, la ce ne putem aștepta de la utilizatorii obișnuiți, pentru care propria lor pagină VKontakte este mult mai scumpă decât un cont corporativ? Iată punctele de verificat:
- Scrierea parolelor pe bucăți de hârtie, pe spatele tastaturii, pe monitor, pe masa de sub tastatură, pe un autocolant pe fundul mouse-ului (sprețuitor!) - angajații nu ar trebui să facă asta niciodată. Și nu pentru că un hacker teribil va intra și va descărca tot 1C pe o unitate flash în timpul prânzului, ci pentru că poate fi o Sasha jignită în birou care va renunța și va face ceva murdar sau va lua informațiile pentru ultima dată. . De ce să nu faci asta la următorul tău prânz?
Acesta este ce? Chestia asta stochează toate parolele mele
- Setarea parolelor simple pentru a intra pe PC și în programele de lucru. Datele de naștere, qwerty123 și chiar asdf sunt combinații care aparțin în glume și pe bashorg, și nu în sistemul de securitate corporativă. Setați cerințele pentru parole și lungimea acestora și setați frecvența de înlocuire.
O parolă este ca lenjeria: schimbă-o des, nu o distribui prietenilor tăi, una lungă este mai bună, fii misterioasă, nu o împrăștiați peste tot
- Parolele implicite de conectare la program ale furnizorului sunt defecte, fie că doar pentru că aproape toți angajații vânzătorului le cunosc, iar dacă aveți de-a face cu un sistem bazat pe web în cloud, nu va fi dificil pentru nimeni să obțină datele. Mai ales dacă aveți și securitatea rețelei la nivelul „nu trageți cablul”.
- Explicați angajaților că indicația de parolă din sistemul de operare nu ar trebui să arate ca „ziua mea de naștere”, „numele fiicei”, „Gvoz-dika-78545-ap#1! în limba engleză." sau „sferturi și un unu și un zero”.
Pisica mea îmi oferă parole grozave! El se plimbă pe tastatura mea
Acces fizic la cazuri
Cum organizează compania dvs. accesul la documentația contabilă și de personal (de exemplu, la dosarele personale ale angajaților)? Lasă-mă să ghicesc: dacă este o afacere mică, atunci în departamentul de contabilitate sau în biroul șefului în dosare pe rafturi sau într-un dulap dacă este o afacere mare, atunci în departamentul de resurse umane pe rafturi. Dar dacă este foarte mare, atunci cel mai probabil totul este corect: un birou sau bloc separat cu o cheie magnetică, unde doar anumiți angajați au acces și pentru a ajunge acolo, trebuie să sunați pe unul dintre ei și să intrați în acest nod în prezența lor. Nu este nimic dificil să faci o astfel de protecție în orice afacere, sau cel puțin să înveți să nu scrii cu cretă parola pentru seiful biroului pe ușă sau pe perete (totul se bazează pe evenimente reale, nu râzi).
De ce este important? În primul rând, lucrătorii au dorința patologică de a afla cele mai secrete lucruri unul despre celălalt: stare civilă, salariu, diagnostice medicale, educație etc. Acesta este un astfel de compromis în competiția de birou. Și tu nu beneficiezi absolut de certurile care vor apărea atunci când designerul Petya va afla că câștigă cu 20 de mii mai puțin decât designerul Alice. În al doilea rând, acolo angajații pot accesa informațiile financiare ale companiei (bilanţuri, rapoarte anuale, contracte). În al treilea rând, ceva poate fi pur și simplu pierdut, deteriorat sau furat pentru a acoperi urmele din propria istorie a muncii.
Un depozit în care cineva este o pierdere, cineva este o comoară
Dacă aveți un depozit, luați în considerare că, mai devreme sau mai târziu, aveți garanția de a întâlni criminali - pur și simplu așa funcționează psihologia unei persoane, care vede un volum mare de produse și crede cu fermitate că puțin din mult nu este jaf, ci partajarea. Și o unitate de mărfuri din această grămadă poate costa 200 de mii, sau 300 de mii sau câteva milioane. Din păcate, nimic nu poate opri furtul decât controlul pedant și total și contabilitatea: camere foto, acceptare și ștergere folosind coduri de bare, automatizarea contabilității depozitului (de exemplu, în contabilitatea depozitului este organizată în așa fel încât managerul și supervizorul să poată vedea mișcarea mărfurilor prin depozit în timp real).
Prin urmare, înarmați-vă depozitul până în dinți, asigurați-vă securitatea fizică față de inamicul extern și securitatea completă față de cel intern. Angajații din transport, logistică și depozite trebuie să înțeleagă clar că există control, funcționează și aproape că se vor pedepsi singuri.
*hei, nu vă băgați mâna în infrastructură
Dacă povestea despre camera de server și femeia de curățenie a supraviețuit deja și a migrat de mult la poveștile altor industrii (de exemplu, aceeași a fost despre oprirea mistică a ventilatorului din aceeași sală), atunci restul rămân realitate. . Securitatea rețelei și IT a întreprinderilor mici și mijlocii lasă de dorit, iar acest lucru nu depinde de multe ori dacă aveți propriul administrator de sistem sau unul invitat. Acesta din urmă face față adesea și mai bine.
Deci de ce sunt capabili angajații de aici?
- Cel mai frumos și mai inofensiv lucru este să mergi în camera serverului, să tragi de fire, să te uiți, să vărsați ceai, să aplicați murdărie sau să încercați să configurați singur ceva. Acest lucru afectează în special „utilizatorii încrezători și avansați” care își învață eroic colegii să dezactiveze antivirusul și să ocolească protecția pe un computer și sunt siguri că sunt zeii înnăscut ai camerei serverului. În general, accesul limitat autorizat este totul.
- Furtul de echipamente și înlocuirea componentelor. Îți place compania și ai instalat plăci video puternice pentru toată lumea, astfel încât sistemul de facturare, CRM și orice altceva să poată funcționa perfect? Grozav! Doar băieții vicleni (și uneori fete) le vor înlocui cu ușurință cu un model acasă, iar acasă vor rula jocuri pe un nou model de birou - dar jumătate din lume nu va ști. Este aceeași poveste cu tastaturi, mouse-uri, coolere, UPS-uri și tot ce poate fi înlocuit cumva în configurația hardware. Ca urmare, suportați riscul de deteriorare a proprietății, pierderea completă a acesteia și, în același timp, nu obțineți viteza și calitatea dorită a muncii cu sistemele și aplicațiile informaționale. Ceea ce salvează este un sistem de monitorizare (sistem ITSM) cu control configurat configurat), care trebuie să fie furnizat complet cu un administrator de sistem incoruptibil și principial.
Poate vrei să cauți un sistem de securitate mai bun? Nu sunt sigur dacă acest semn este suficient
- Utilizarea propriilor modemuri, puncte de acces sau un fel de Wi-Fi partajat face ca accesul la fișiere să fie mai puțin sigur și practic necontrolat, ceea ce poate fi profitat de atacatori (inclusiv în coluziune cu angajații). Ei bine, în plus, probabilitatea ca un angajat „cu propriul său internet” să petreacă ore de lucru pe YouTube, site-uri pline de umor și rețele sociale este mult mai mare.
- Parolele și login-urile unificate pentru accesarea zonei de administrare a site-ului, CMS, aplicații software sunt lucruri groaznice care transformă un angajat inept sau rău intenționat într-un răzbunător evaziv. Dacă aveți 5 persoane din aceeași subrețea cu aceeași autentificare/parolă care vin să pună un banner, să verifice linkurile și valorile publicitare, să corecteze aspectul și să încarce o actualizare, nu veți ghici niciodată care dintre ele a transformat accidental CSS-ul într-un dovleac. Prin urmare: autentificări diferite, parole diferite, înregistrarea acțiunilor și diferențierea drepturilor de acces.
- Inutil să spun despre software-ul fără licență pe care angajații îl trage pe computerele lor pentru a edita câteva fotografii în timpul orelor de lucru sau pentru a crea ceva foarte legat de hobby. Nu ați auzit de inspecția departamentului „K” al Direcției Centrale Afaceri Interne? Atunci ea vine la tine!
- Antivirusul ar trebui să funcționeze. Da, unele dintre ele vă pot încetini computerul, vă pot irita și, în general, pot părea un semn de lașitate, dar este mai bine să o preveniți decât să plătiți mai târziu cu timpul de nefuncționare sau, mai rău, cu date furate.
- Avertismentele sistemului de operare cu privire la pericolele instalării unei aplicații nu trebuie ignorate. Astăzi, descărcarea ceva pentru serviciu este o chestiune de secunde și minute. De exemplu, Direct.Commander sau editor AdWords, un parser SEO etc. Dacă totul este mai mult sau mai puțin clar cu produsele Yandex și Google, atunci un alt picreizer, un curator de viruși gratuit, un editor video cu trei efecte, capturi de ecran, recordere Skype și alte „programe minuscule” pot dăuna atât unui computer individual, cât și întregii rețele ale companiei. . Antrenați utilizatorii să citească ce vrea computerul de la ei înainte să sune administratorul de sistem și să spună că „totul este mort”. În unele companii, problema este rezolvată simplu: multe utilități utile descărcate sunt stocate în partajarea rețelei și o listă de soluții online potrivite este, de asemenea, postată acolo.
- Politica BYOD sau, dimpotrivă, politica de a permite utilizarea echipamentelor de lucru în afara biroului este o latură foarte rea a securității. În acest caz, rudele, prietenii, copiii, rețelele publice neprotejate etc. au acces la tehnologie. Aceasta este ruleta pur rusească - puteți merge timp de 5 ani și vă puteți descurca, dar vă puteți pierde sau deteriora toate documentele și fișierele valoroase. Ei bine, în plus, dacă un angajat are intenții rău intenționate, este la fel de ușor ca să trimită doi octeți pentru a scurge date cu echipamente „de plimbare”. De asemenea, trebuie să rețineți că angajații transferă adesea fișiere între computerele lor personale, ceea ce din nou poate crea lacune de securitate.
- Blocarea dispozitivelor în timp ce sunteți plecat este un obicei bun atât pentru uz corporativ, cât și pentru uz personal. Din nou, te protejează de colegii curioși, cunoscuții și intrușii din locurile publice. Este dificil să mă obișnuiesc cu asta, dar la unul dintre locurile mele de muncă am avut o experiență minunată: colegii s-au apropiat de un computer deblocat, iar Paint a fost deschis pe toată fereastra cu inscripția „Blocați computerul!” și ceva s-a schimbat în lucru, de exemplu, ultimul ansamblu pompat a fost demolat sau ultimul bug introdus a fost eliminat (acesta a fost un grup de testare). Este crud, dar de 1-2 ori a fost suficient chiar și pentru cei mai de lemn. Deși, bănuiesc, oamenii non-IT s-ar putea să nu înțeleagă un astfel de umor.
- Dar cel mai mare păcat, desigur, revine administratorului de sistem și conducerii - dacă nu folosesc categoric sisteme de control al traficului, echipamente, licențe etc.
Aceasta este, desigur, o bază, pentru că infrastructura IT este chiar locul în care cu cât mai departe în pădure, cu atât mai mult lemn de foc. Și toată lumea ar trebui să aibă această bază și să nu fie înlocuită cu cuvintele „toți avem încredere unii în alții”, „suntem o familie”, „cine are nevoie de ea” - din păcate, aceasta este pentru moment.
Acesta este Internetul, dragă, ei pot ști multe despre tine.
Este timpul să introducem manipularea în siguranță a internetului în cursul de siguranță a vieții de la școală - și nu este deloc vorba despre măsurile în care suntem cufundați din exterior. Este vorba în special despre capacitatea de a distinge un link de un link, de a înțelege unde este phishingul și unde este o înșelătorie, nu de a deschide atașamente de e-mail cu subiectul „Raport de reconciliere” de la o adresă necunoscută, fără a o înțelege etc. Deși, se pare, școlarii au stăpânit deja toate acestea, dar angajații nu. Există o mulțime de trucuri și greșeli care pot pune în pericol întreaga companie deodată.
- Rețelele de socializare sunt o secțiune a internetului care nu are loc la locul de muncă, dar blocarea lor la nivel de companie în 2019 este o măsură nepopulară și demotivantă. Prin urmare, trebuie doar să scrieți tuturor angajaților cum să verificați ilegalitatea link-urilor, să le spuneți despre tipurile de fraudă și să le cereți să lucreze la locul de muncă.
- E-mailul este un punct dureros și poate cel mai popular mod de a fura informații, de a planta malware și de a infecta un computer și întreaga rețea. Din păcate, mulți angajatori consideră clientul de e-mail un instrument de economisire a costurilor și folosesc servicii gratuite care primesc 200 de e-mailuri spam pe zi care trec prin filtre etc. Și unii iresponsabili deschid astfel de scrisori și atașamente, link-uri, imagini - se pare că speră că prințul negru le-a lăsat o moștenire. După care administratorul are multă, multă muncă. Sau a fost intentionat asa? Apropo, o altă poveste crudă: într-o companie, pentru fiecare scrisoare de spam adresată administratorului de sistem, KPI a fost redus. În general, după o lună nu a existat spam - practica a fost adoptată de organizația-mamă și încă nu există spam. Am rezolvat această problemă în mod elegant - am dezvoltat propriul nostru client de e-mail și l-am construit în al nostru , astfel încât toți clienții noștri primesc și o funcție atât de convenabilă.
Data viitoare când primiți un e-mail ciudat cu simbolul unei agrafe, nu faceți clic pe el!
- Mesagerii sunt, de asemenea, o sursă de tot felul de link-uri nesigure, dar acest lucru este mult mai puțin rău decât poșta (fără a socoti timpul pierdut în chat-uri).
Se pare că toate acestea sunt lucruri mărunte. Cu toate acestea, fiecare dintre aceste lucruri mici poate avea consecințe dezastruoase, mai ales dacă compania ta este ținta atacului unui concurent. Și acest lucru se poate întâmpla literalmente oricui.
Angajați discutați
Acesta este chiar factorul uman de care îți va fi greu să scapi. Angajații pot discuta despre munca pe coridor, într-o cafenea, pe stradă, acasă la un client, vorbesc cu voce tare despre un alt client, vorbesc despre realizările și proiectele de acasă. Desigur, probabilitatea ca un concurent să stea în spatele tău este neglijabilă (dacă nu te afli în același centru de afaceri - acest lucru s-a întâmplat), dar posibilitatea ca un tip care își declară clar afacerile de afaceri să fie filmat pe un smartphone și postat pe YouTube este, destul de ciudat, mai ridicat. Dar și asta e o prostie. Nu este o prostie când angajații tăi prezintă de bunăvoie informații despre un produs sau companie la cursuri, conferințe, întâlniri, forumuri profesionale sau chiar pe Habré. Mai mult decât atât, oamenii își cheamă adesea în mod deliberat adversarii la astfel de conversații pentru a conduce inteligență competitivă.
O poveste revelatoare. La o conferință IT la scară galactică, vorbitorul secțiunii a prezentat pe un slide o diagramă completă a organizării infrastructurii IT a unei companii mari (top 20). Schema a fost mega impresionantă, pur și simplu cosmică, aproape toată lumea a fotografiat-o și a zburat instantaneu pe rețelele de socializare cu recenzii excelente. Ei bine, atunci vorbitorul i-a prins folosind geotag-uri, standuri, social media. rețelele celor care l-au postat și au implorat să fie șters, pentru că l-au sunat destul de repede și i-au spus ah-ta-ta. O vorbăreală este o mană cerească pentru un spion.
Ignoranța... te eliberează de pedeapsă
Potrivit raportului global din 2017 al Kaspersky Lab, despre companiile care au suferit incidente de securitate cibernetică într-o perioadă de 12 luni, unul din zece (11%) dintre cele mai grave tipuri de incidente au implicat angajați neglijenți și neinformați.
Nu presupuneți că angajații știu totul despre măsurile de securitate ale corporației, asigurați-vă că îi avertizați, oferă instruire, fac buletine informative periodice interesante despre probleme de securitate, țin întâlniri la pizza și clarifică din nou problemele. Și da, un cool life hack - marcați toate informațiile tipărite și electronice cu culori, semne, inscripții: secret comercial, secret, pentru uz oficial, acces general. Acest lucru chiar funcționează.
Lumea modernă a pus companiile într-o poziție foarte delicată: este necesar să se mențină un echilibru între dorința angajatului de a nu numai să muncească din greu la locul de muncă, ci și de a primi conținut de divertisment în fundal/în pauze și reguli stricte de securitate corporativă. Dacă activați programele de hipercontrol și de urmărire stupidă (da, nu o greșeală de tipar - asta nu este securitate, asta este paranoia) și camerele la spatele tău, atunci încrederea angajaților în companie va scădea, dar menținerea încrederii este, de asemenea, un instrument pentru securitatea corporativă. .
Prin urmare, știți când să vă opriți, respectați-vă angajații și faceți copii de rezervă. Și cel mai important, acordați prioritate siguranței, nu paranoiei personale.
Dacă aveți nevoie și comparați capacitățile lor cu scopurile și obiectivele dvs. Dacă aveți întrebări sau dificultăți, scrieți sau sunați, vom organiza o prezentare online individuală pentru dvs. - fără evaluări sau clopoței și fluiere.
, în care, fără publicitate, scriem lucruri nu tocmai formale despre CRM și business.
Sursa: www.habr.com