31. marec je Medzinárodný deň zálohovania a týždeň predtým je vždy plný príbehov súvisiacich s bezpečnosťou. V pondelok sme sa už dozvedeli o napadnutom Asuse a „troch nemenovaných výrobcoch“. Obzvlášť poverčivé spoločnosti sedia celý týždeň na špendlíkoch a robia si zálohy. A to všetko preto, že sme všetci trochu neopatrní z hľadiska bezpečnosti: niekto si zabudne zapnúť bezpečnostný pás na zadnom sedadle, niekto ignoruje dátum spotreby produktov, niekto ukladá svoje prihlasovacie meno a heslo pod klávesnicu a ešte lepšie si zapisuje všetky heslá v notebooku. Niektorým jednotlivcom sa podarí deaktivovať antivírusy, „aby nespomalili počítač“ a nepoužívať oddelenie prístupových práv v podnikových systémoch (aké tajomstvá v spoločnosti 50 ľudí!). Pravdepodobne si ľudstvo ešte nevyvinulo inštinkt kybernetického sebazáchovy, ktorý sa v zásade môže stať novým základným inštinktom.
Takéto inštinkty nemá rozvinuté ani podnikanie. Jednoduchá otázka: je CRM systém hrozbou informačnej bezpečnosti alebo bezpečnostným nástrojom? Je nepravdepodobné, že niekto dá presnú odpoveď hneď. Tu treba začať, ako nás učili na hodinách angličtiny: záleží... Závisí od nastavení, formy doručovania CRM, zvykov a presvedčení predajcu, miery ignorovania zamestnancov, sofistikovanosti útočníkov. . Všetko sa dá predsa hacknúť. Ako teda žiť?
Ide o informačnú bezpečnosť v malých a stredných podnikoch
CRM systém ako ochrana
Ochrana obchodných a prevádzkových dát a bezpečné uloženie vašej zákazníckej základne je jednou z hlavných úloh CRM systému a v tomto je nadštandardne nad všetkým ostatným aplikačným softvérom vo firme.
Určite ste začali čítať tento článok a uškrnuli ste sa, že kto potrebuje vaše informácie. Ak áno, pravdepodobne ste sa nezaoberali predajom a neviete, ako sú žiadané „živé“ a kvalitné zákaznícke bázy a informácie o spôsoboch práce s touto bázou. Obsah CRM systému je zaujímavý nielen pre vedenie spoločnosti, ale aj pre:
- Útočníci (menej často) – majú cieľ týkajúci sa konkrétne vašej spoločnosti a na získanie údajov použijú všetky zdroje: podplácanie zamestnancov, hackovanie, kupovanie vašich údajov od manažérov, rozhovory s manažérmi atď.
- Zamestnanci (častejšie), ktorí môžu pôsobiť ako insideri pre vašich konkurentov. Sú jednoducho pripravení odobrať alebo predať svoju klientsku základňu pre svoj vlastný zisk.
- Pre amatérskych hackerov (veľmi zriedkavo) - môžete sa dostať hackeri do cloudu, kde sa nachádzajú vaše údaje alebo je hacknutá sieť, alebo možno niekto chce zo zábavy „vytiahnuť“ vaše údaje (napríklad údaje o veľkoobchodoch s liekmi alebo alkoholom – len zaujímavé vidieť).
Ak sa niekto dostane do vášho CRM, bude mať prístup k vašim prevádzkovým aktivitám, teda k objemu dát, s ktorými dosahujete väčšinu svojich ziskov. A od okamihu získania škodlivého prístupu do CRM systému sa zisky začnú usmievať na toho, v koho rukách skončí klientska základňa. No, alebo jeho partneri a zákazníci (čítaj - noví zamestnávatelia).
Dobrý, spoľahlivý dokáže tieto riziká pokryť a poskytnúť kopu príjemných bonusov v oblasti bezpečnosti.
Čo teda dokáže CRM systém z hľadiska bezpečnosti?
(povieme vám to na príklade, pretože nemôžeme byť zodpovední za iných)
- Dvojfaktorové overenie pomocou USB kľúča a hesla. podporuje režim dvojfaktorovej autorizácie užívateľa pri prihlasovaní do systému. V tomto prípade musíte pri prihlasovaní do systému okrem zadania hesla vložiť do USB portu počítača vopred inicializovaný USB kľúč. Dvojfaktorový režim autorizácie pomáha chrániť pred krádežou alebo prezradením hesla.
Klikateľné
- Spúšťajte z dôveryhodných IP adries a MAC adries. Pre zvýšenie bezpečnosti môžete používateľom obmedziť prihlasovanie len z registrovaných IP adries a MAC adries. Interné IP adresy v lokálnej sieti aj externé adresy môžu byť použité ako IP adresy, ak sa používateľ pripája vzdialene (cez internet).
- Autorizácia domény (autorizácia systému Windows). Spustenie systému je možné nakonfigurovať tak, aby sa pri prihlasovaní nevyžadovalo heslo používateľa. V tomto prípade dôjde k autorizácii systému Windows, ktorá identifikuje používateľa pomocou WinAPI. Systém sa spustí pod užívateľom, pod profilom ktorého počítač beží v čase štartu systému.
- Ďalším mechanizmom je súkromných klientov. Súkromní klienti sú klienti, ktorých môže vidieť iba ich nadriadený. Títo klienti sa nezobrazia v zoznamoch iných používateľov, a to ani v prípade, že ostatní používatelia majú úplné povolenia vrátane práv správcu. Môžete tak ochrániť napríklad skupinu obzvlášť dôležitých klientov alebo z iného dôvodu skupinu, ktorá bude zverená spoľahlivému manažérovi.
- Mechanizmus rozdelenia prístupových práv — štandardné a primárne bezpečnostné opatrenie v CRM. Pre zjednodušenie procesu správy užívateľských práv, v práva nie sú priradené konkrétnym používateľom, ale šablónam. A samotnému používateľovi je priradená jedna alebo druhá šablóna, ktorá má určitú sadu práv. To umožňuje každému zamestnancovi – od nových zamestnancov cez stážistov až po riaditeľov – prideliť povolenia a prístupové práva, ktoré mu umožnia/zabránia v prístupe k citlivým údajom a citlivým obchodným informáciám.
- Systém automatického zálohovania dát (zálohy)konfigurovateľné cez skriptový server .
Ide o implementáciu bezpečnosti s použitím jedného systému ako príkladu, každý predajca má svoje vlastné zásady. CRM systém však skutočne chráni vaše informácie: môžete vidieť, kto a v akom čase odobral ten či onen report, kto si prezeral aké dáta, kto si ich stiahol a oveľa viac. Aj keď sa o zraniteľnosti dozviete až dodatočne, čin nenecháte bez trestu a ľahko identifikujete zamestnanca, ktorý zneužil dôveru a lojalitu spoločnosti.
Si uvoľnený? Čoskoro! Práve táto ochrana môže fungovať proti vám, ak ste neopatrný a ignorujete problémy s ochranou údajov.
CRM systém ako hrozba
Ak má vaša spoločnosť aspoň jeden počítač, je to už zdroj kybernetických hrozieb. V súlade s tým sa úroveň ohrozenia zvyšuje s počtom pracovných staníc (a zamestnancov) as rozmanitosťou nainštalovaného a používaného softvéru. A so systémami CRM to nie je jednoduché – koniec koncov, toto je program určený na ukladanie a spracovanie toho najdôležitejšieho a najdrahšieho aktíva: zákazníckej základne a komerčných informácií, a tu rozprávame hororové príbehy o jeho bezpečnosti. V skutočnosti nie je všetko zblízka také pochmúrne a pri správnom zaobchádzaní z CRM systému nedostanete nič iné, len úžitok a bezpečnosť.
Aké sú znaky nebezpečného CRM systému?
Začnime krátkou exkurziou do základov. CRM sa dodávajú v cloudových a desktopových verziách. Cloudové sú tie, ktorých DBMS (databáza) sa nenachádza vo vašej spoločnosti, ale v súkromnom alebo verejnom cloude v nejakom dátovom centre (napríklad sedíte v Čeľabinsku a vaša databáza beží v super cool dátovom centre v Moskve , pretože sa tak rozhodol predajca CRM a má zmluvu s týmto konkrétnym poskytovateľom). Desktop (aka on-premise, server – čo už nie je taká pravda) zakladá svoje DBMS na vašich vlastných serveroch (nie, nie, nepredstavujte si obrovskú serverovňu s drahými stojanmi, najčastejšie v malých a stredných podnikoch je to jeden server alebo aj obyčajné PC modernej konfigurácie), teda fyzicky vo vašej kancelárii.
K obom typom CRM je možné získať neoprávnený prístup, ale rýchlosť a jednoduchosť prístupu sú odlišné, najmä ak hovoríme o malých a stredných podnikoch, ktorým na informačnej bezpečnosti veľmi nezáleží.
Nebezpečný znak #1
Dôvodom vyššej pravdepodobnosti problémov s dátami v cloudovom systéme je vzťah prepojený viacerými väzbami: vy (nájomca CRM) - predajca - poskytovateľ (existuje dlhšia verzia: vy - predajca - IT outsourcer predajcu - poskytovateľ) . 3-4 odkazy vo vzťahu majú viac rizík ako 1-2: problém môže nastať na strane predajcu (zmena zmluvy, neplatenie služieb poskytovateľa), na strane poskytovateľa (vyššia moc, hacking, technické problémy), na strane outsourcera (zmena manažéra alebo inžiniera) atď. Samozrejme, veľkí predajcovia sa snažia mať záložné dátové centrá, riadiť riziká a udržiavať svoje oddelenie DevOps, ale to nevylučuje problémy.
Desktop CRM sa vo všeobecnosti neprenajíma, ale kupuje si ho spoločnosť; vzťah preto vyzerá jednoduchšie a transparentnejšie: počas implementácie CRM predajca nakonfiguruje potrebné úrovne zabezpečenia (od rozlišovania prístupových práv a fyzického USB kľúča až po priloženie server v betónovej stene a pod.) a prenesie kontrolu na spoločnosť, ktorá vlastní CRM, ktorá môže zvýšiť ochranu, najať správcu systému alebo podľa potreby kontaktovať dodávateľa softvéru. Problémy sa týkajú práce so zamestnancami, ochrany siete a fyzickej ochrany informácií. Ak používate desktop CRM, ani úplné vypnutie internetu nezastaví prácu, keďže databáza sa nachádza vo vašej „domácej“ kancelárii.
Jeden z našich zamestnancov, ktorý pracoval vo firme, ktorá vyvíjala cloudové integrované kancelárske systémy vrátane CRM, hovorí o cloudových technológiách. „Pri jednej z mojich prác spoločnosť vytvárala niečo veľmi podobné základnému CRM a všetko to bolo prepojené s online dokumentmi a tak ďalej. Jedného dňa sme v GA videli abnormálnu aktivitu jedného z našich predplatiteľských klientov. Predstavte si to prekvapenie nás, analytikov, keď my, nie sme vývojári, ale máme vysokú úroveň prístupu, sme jednoducho mohli otvoriť rozhranie, ktoré klient používal, prostredníctvom odkazu a zistiť, aké populárne označenie má. Mimochodom, zdá sa, že klient by nechcel, aby tieto komerčné dáta niekto videl. Áno, bola to chyba, ktorá nebola opravená niekoľko rokov - podľa mňa tam veci sú stále. Odvtedy som nadšenec pre stolné počítače a cloudom veľmi neverím, aj keď ich, samozrejme, používame v práci aj v osobnom živote, kde sme si užili aj pár fakaps.“
Z nášho prieskumu na Habré, a to sú zamestnanci vyspelých firiem
Strata údajov z cloudového CRM systému môže byť spôsobená stratou údajov v dôsledku zlyhania servera, nedostupnosti serverov, vyššej moci, ukončenia aktivít dodávateľa atď. Cloud znamená stály, neprerušovaný prístup na internet a ochrana musí byť bezprecedentná: na úrovni kódu, prístupových práv, dodatočných opatrení kybernetickej bezpečnosti (napríklad dvojfaktorové overenie).
Nebezpečný znak #2
Nehovoríme ani o jednej charakteristike, ale o skupine charakteristík súvisiacich s predajcom a jeho politikou. Uveďme niekoľko dôležitých príkladov, s ktorými sme sa my a naši zamestnanci stretli.
- Predajca si môže vybrať nedostatočne spoľahlivé dátové centrum, kde sa bude „točiť“ DBMS klientov. Ušetrí peniaze, nebude ovládať SLA, nevypočíta náklad a výsledok sa vám stane osudným.
- Predajca môže odoprieť právo na prenos služby do dátového centra podľa vášho výberu. Toto je pomerne bežné obmedzenie pre SaaS.
- Dodávateľ môže mať právny alebo ekonomický konflikt s poskytovateľom cloudu a následne počas „showdown“ môže dôjsť k obmedzeniu zálohovacích akcií alebo napríklad rýchlosti.
- Služba vytvárania záloh môže byť poskytovaná za príplatok. Bežná prax, o ktorej sa klient CRM systému môže dozvedieť až v momente, keď je potrebná záloha, teda v najkritickejšom a najzraniteľnejšom momente.
- Zamestnanci predajcu môžu mať neobmedzený prístup k údajom zákazníkov.
- Môže dôjsť k úniku údajov akéhokoľvek charakteru (ľudská chyba, podvod, hackeri atď.).
Zvyčajne sa tieto problémy spájajú s malými alebo mladými predajcami, no veľkí sa opakovane dostali do problémov (vygooglite). Vždy by ste preto mali mať na svojej strane spôsoby ochrany informácií + vopred prediskutovať bezpečnostné otázky s vybraným poskytovateľom CRM systému. Už samotný fakt vášho záujmu o problém už prinúti dodávateľa pristupovať k implementácii maximálne zodpovedne (je to dôležité najmä vtedy, ak nejednáte s kanceláriou predajcu, ale s jeho partnerom, pre ktorého je to dôležité uzavrieť dohodu a dostať províziu, a nie tieto dvojfaktorové... dobre si pochopil).
Nebezpečný znak #3
Organizácia zabezpečovacích prác vo Vašej spoločnosti. Pred rokom sme už tradične písali o bezpečnosti na Habré a robili prieskum. Vzorka nebola príliš veľká, ale odpovede sú orientačné:
Na konci článku uvedieme odkazy na naše publikácie, kde sme podrobne skúmali vzťah v systéme „firma-zamestnanec-zabezpečenie“ a tu uvedieme zoznam otázok, na ktoré treba nájsť odpovede v rámci vašej spoločnosti (aj keď nepotrebujete CRM).
- Kde zamestnanci ukladajú heslá?
- Ako je organizovaný prístup k úložisku na serveroch spoločnosti?
- Ako je chránený softvér, ktorý obsahuje obchodné a prevádzkové informácie?
- Majú všetci zamestnanci aktívny antivírusový softvér?
- Koľko zamestnancov má prístup ku klientskym údajom a akú úroveň prístupu majú?
- Koľko nových zamestnancov máte a koľko zamestnancov je v procese odchodu?
- Ako dlho komunikujete s kľúčovými zamestnancami a počúvate ich požiadavky a sťažnosti?
- Sú tlačiarne monitorované?
- Ako je organizovaná politika pre pripojenie vlastných miniaplikácií k počítaču, ako aj používanie pracovnej siete Wi-Fi?
V skutočnosti sú to základné otázky — hardcore sa pravdepodobne pridajú v komentároch, ale toto je základ, ktorého základy by mal poznať aj individuálny podnikateľ s dvoma zamestnancami.
Ako sa teda chrániť?
- Zálohy sú najdôležitejšou vecou, na ktorú sa často zabúda alebo sa o ňu nestará. Ak máte počítačový systém, nastavte systém zálohovania údajov s danou frekvenciou (napríklad pre RegionSoft CRM to možno vykonať pomocou ) a organizovať správne uloženie kópií. Ak máte cloudové CRM, určite si pred uzatvorením zmluvy zistite, ako je práca so zálohami organizovaná: potrebujete informácie o hĺbke a frekvencii, mieste uloženia, nákladoch na zálohovanie (často len zálohy „najnovších dát za dané obdobie“ ” sú bezplatné a ako platená služba sa poskytuje plnohodnotné bezpečné záložné kopírovanie). Vo všeobecnosti to rozhodne nie je miesto na šetrenie alebo nedbanlivosť. A áno, nezabudnite skontrolovať, čo sa obnovuje zo záloh.
- Oddelenie prístupových práv na funkčnej a dátovej úrovni.
- Bezpečnosť na úrovni siete – je potrebné povoliť používanie CRM len v rámci kancelárskej podsiete, obmedziť prístup pre mobilné zariadenia, zakázať prácu s CRM systémom z domu alebo ešte horšie z verejných sietí (coworkingy, kaviarne, kancelárie klientov , atď.). Pri mobilnej verzii buďte obzvlášť opatrní – nech je to len značne oklieštená verzia na prácu.
- Antivírus so skenovaním v reálnom čase je potrebný v každom prípade, no najmä v prípade zabezpečenia firemných dát. Na úrovni pravidiel zakážte, aby ste to sami zakázali.
- Školenie zamestnancov o kybernetickej hygiene nie je strata času, ale naliehavá potreba. Je potrebné odkázať všetkým kolegom, že je dôležité, aby nielen varovali, ale aj správne reagovali na prijatú hrozbu. Zákaz používania internetu alebo vášho emailu v kancelárii je minulosťou a príčinou akútnej negativity, takže budete musieť popracovať na prevencii.
Samozrejme, pomocou cloudového systému môžete dosiahnuť dostatočnú úroveň zabezpečenia: používať dedikované servery, konfigurovať routery a oddeľovať prevádzku na úrovni aplikácie a databázy, využívať privátne podsiete, zaviesť prísne bezpečnostné pravidlá pre správcov, zabezpečiť nepretržitú prevádzku prostredníctvom záloh s maximálnou potrebnou frekvenciou a úplnosťou, monitorovať sieť XNUMX hodín denne... Ak sa nad tým zamyslíte, nie je to také ťažké, ale dosť drahé. Ako však ukazuje prax, takéto opatrenia prijímajú iba niektoré spoločnosti, väčšinou veľké. Preto opäť neváhame povedať: cloud aj desktop by nemali žiť samostatne, chráňte svoje dáta.
Niekoľko malých, ale dôležitých rád pre všetky prípady implementácie CRM systému
- Skontrolujte zraniteľnosť dodávateľa – vyhľadajte informácie pomocou kombinácií slov „Zraniteľnosť názvu dodávateľa“, „Napadnutie názvu dodávateľa“, „Únik údajov názvu dodávateľa“. Toto by nemal byť jediný parameter pri hľadaní nového CRM systému, ale je jednoducho potrebné zaškrtnúť podkôru a obzvlášť dôležité je pochopiť dôvody incidentov, ktoré sa vyskytli.
- Opýtajte sa predajcu na dátové centrum: dostupnosť, koľko ich je, ako je organizované núdzové prepnutie.
- Nastavte bezpečnostné tokeny vo svojom CRM, monitorujte aktivitu v rámci systému a nezvyčajné výkyvy.
- Zakázať export reportov a prístup cez API pre non-core zamestnancov – teda tých, ktorí tieto funkcie pre svoju bežnú činnosť nepotrebujú.
- Uistite sa, že váš CRM systém je nakonfigurovaný na zaznamenávanie procesov a akcií používateľov.
Sú to maličkosti, ale dokonale dopĺňajú celkový obraz. A v skutočnosti nie sú žiadne maličkosti bezpečné.
Implementáciou CRM systému zaistíte bezpečnosť svojich údajov – avšak iba v prípade, ak je implementácia vykonaná kompetentne a otázky informačnej bezpečnosti nie sú odsúvané do úzadia. Súhlasíte, je hlúpe kúpiť si auto a nekontrolovať brzdy, ABS, airbagy, bezpečnostné pásy, EDS. Koniec koncov, hlavnou vecou nie je len ísť, ale ísť bezpečne a dostať sa tam v poriadku. Rovnako je to aj s podnikaním.
A pamätajte: ak sú pravidlá bezpečnosti práce napísané krvou, pravidlá kybernetickej bezpečnosti v podnikaní sú napísané v peniazoch.
Na tému kybernetická bezpečnosť a miesto CRM systému v nej si môžete prečítať naše podrobné články:
- — prehľad možných bezpečnostných hrozieb v podnikovej sfére a približná schéma detekcie.
- — podrobná analýza toho, ako môžu zamestnanci poškodiť vaše podnikanie a ako to robia v komerčnej sfére.
Ak hľadáte CRM systém, tak ďalej . Ak potrebujete CRM alebo ERP, pozorne si preštudujte naše produkty a porovnajte ich možnosti s vašimi cieľmi a zámermi. Ak máte akékoľvek otázky alebo ťažkosti, napíšte alebo zavolajte, zorganizujeme pre vás individuálnu online prezentáciu - bez hodnotenia alebo zvončekov.
, v ktorej bez reklamy píšeme nie úplne formálne veci o CRM a biznise.
Zdroj: hab.com