31. marec je mednarodni dan varnostnega kopiranja in teden pred njim je vedno poln zgodb, povezanih z varnostjo. V ponedeljek smo že izvedeli za ogroženi Asus in »tri neimenovane proizvajalce«. Še posebej vraževerna podjetja ves teden sedijo na trnih in delajo varnostne kopije. In vse zato, ker smo vsi nekoliko malomarni glede varnosti: nekdo pozabi pripeti varnostni pas na zadnjem sedežu, nekdo ignorira rok uporabnosti izdelkov, nekdo shrani svojo prijavo in geslo pod tipkovnico, še bolje, zapiše vsa gesla v zvezku. Nekateri posamezniki uspejo onemogočiti protivirusne programe, "da ne bi upočasnili računalnika" in ne uporabljajo ločevanja pravic dostopa v korporativnih sistemih (kakšne skrivnosti v podjetju s 50 ljudmi!). Verjetno človeštvo preprosto še ni razvilo instinkta kibernetske samoohranitve, ki načeloma lahko postane nov osnovni instinkt.
Tudi posel ni razvil takih instinktov. Preprosto vprašanje: ali je sistem CRM grožnja informacijski varnosti ali varnostno orodje? Malo verjetno je, da bo kdo takoj dal točen odgovor. Tukaj moramo začeti, kot so nas učili pri urah angleščine: odvisno ... Odvisno je od nastavitev, oblike dostave CRM, navad in prepričanj prodajalca, stopnje neupoštevanja zaposlenih, prefinjenosti napadalcev. . Konec koncev je vse mogoče vdreti. Kako torej živeti?
To je informacijska varnost v malih in srednjih podjetjih
CRM sistem kot zaščita
Varovanje komercialnih in operativnih podatkov ter varno hranjenje vaše baze strank je ena izmed glavnih nalog CRM sistema in je pri tem na glavo nad vso drugo aplikativno programsko opremo v podjetju.
Zagotovo ste začeli brati ta članek in se globoko v sebi zarežali, češ, kdo potrebuje vaše podatke. Če je tako, potem se verjetno niste ukvarjali s prodajo in ne veste, kako povpraševane so »žive« in kakovostne baze strank ter informacije o načinih dela s to bazo. Vsebine CRM sistema so zanimive ne le za vodstvo podjetja, ampak tudi za:
- Napadalci (redkeje) - imajo cilj, vezan specifično na vaše podjetje, in bodo uporabili vse vire za pridobitev podatkov: podkupovanje zaposlenih, vdiranje, odkup vaših podatkov od menedžerjev, razgovori z menedžerji itd.
- Zaposleni (pogosteje), ki lahko delujejo kot insajderji za vaše konkurente. Preprosto so pripravljeni odvzeti ali prodati svojo bazo strank za svoj dobiček.
- Za amaterske hekerje (zelo redko) - lahko vam vdrejo v oblak, kjer se nahajajo vaši podatki ali vdrejo v omrežje, ali pa želi nekdo za zabavo "izpuliti" vaše podatke (na primer podatke o veletrgovcih z zdravili ali alkoholom - samo zanimivo za videt).
Če nekdo vstopi v vaš CRM, bo imel dostop do vaših operativnih aktivnosti, torej do količine podatkov, s katerimi ustvarite večino svojega dobička. In od trenutka, ko je pridobljen zlonamerni dostop do sistema CRM, se dobiček začne nasmihati tistemu, v čigar rokah konča baza strank. No, ali njegovi partnerji in stranke (beri - novi delodajalci).
Dobro, zanesljivo je sposoben pokriti ta tveganja in zagotoviti kup prijetnih bonusov na področju varnosti.
Torej, kaj lahko sistem CRM naredi v smislu varnosti?
(povedali vam bomo s primerom, Ker Ne moremo biti odgovorni za druge)
- Dvostopenjska avtentikacija z uporabo USB ključa in gesla. podpira dvofaktorski način avtorizacije uporabnika pri prijavi v sistem. V tem primeru morate ob prijavi v sistem poleg vnosa gesla v USB vhod računalnika vstaviti USB ključ, ki je bil predhodno inicializiran. Dvofaktorski avtorizacijski način pomaga zaščititi pred krajo ali razkritjem gesla.
Možnost klikanja
- Zaženite z zaupanja vrednih naslovov IP in naslovov MAC. Za večjo varnost lahko uporabnikom omejite prijavo samo z registriranih naslovov IP in naslovov MAC. Kot naslove IP se lahko uporabljajo tako notranji naslovi IP v lokalnem omrežju kot zunanji naslovi, če se uporabnik poveže na daljavo (preko interneta).
- Avtorizacija domene (avtorizacija Windows). Zagon sistema je mogoče konfigurirati tako, da ob prijavi ni potrebno vnesti uporabniškega gesla. V tem primeru pride do avtorizacije sistema Windows, ki identificira uporabnika s pomočjo WinAPI. Sistem se bo zagnal pod uporabnikom, pod profilom katerega se računalnik izvaja ob zagonu sistema.
- Drug mehanizem je zasebne stranke. Zasebne stranke so stranke, ki jih lahko vidi le njihov nadrejeni. Ti odjemalci ne bodo prikazani na seznamih drugih uporabnikov, tudi če imajo drugi uporabniki polna dovoljenja, vključno s skrbniškimi pravicami. Na ta način lahko zaščitite na primer skupino posebej pomembnih strank ali skupino iz drugega razloga, ki bo zaupana zanesljivemu upravitelju.
- Mehanizem za delitev pravic dostopa — standardni in primarni varnostni ukrep v CRM. Za poenostavitev postopka upravljanja uporabniških pravic v pravice niso dodeljene določenim uporabnikom, temveč predlogam. In uporabniku samemu je dodeljena ena ali druga predloga, ki ima določen nabor pravic. To vsakemu zaposlenemu – od novozaposlenih do pripravnikov do direktorjev – omogoča, da dodelijo dovoljenja in pravice dostopa, ki jim bodo omogočile/preprečile dostop do občutljivih podatkov in občutljivih poslovnih informacij.
- Sistem samodejnega varnostnega kopiranja podatkov (varnostne kopije)nastavljiv prek skriptnega strežnika .
To je implementacija varnosti z uporabo enega samega sistema kot primera, vsak prodajalec ima svoje politike. Vendar pa sistem CRM resnično varuje vaše podatke: vidite lahko, kdo je vzel to ali ono poročilo in kdaj, kdo si je ogledal katere podatke, kdo jih je prenesel in še veliko več. Tudi če za ranljivost izveste naknadno, dejanja ne boste pustili nekaznovanega in boste zlahka identificirali zaposlenega, ki je zlorabil zaupanje in lojalnost podjetja.
Ste sproščeni? zgodaj! Prav ta zaščita lahko deluje proti vam, če ste neprevidni in zanemarite vprašanja varstva podatkov.
CRM sistem kot grožnja
Če ima vaše podjetje vsaj en osebni računalnik, je to že vir kibernetske grožnje. Skladno s tem stopnja ogroženosti narašča s številom delovnih postaj (in zaposlenih) ter z raznolikostjo nameščene in uporabljene programske opreme. In stvari s sistemi CRM niso enostavne - navsezadnje je to program, zasnovan za shranjevanje in obdelavo najpomembnejšega in najdražjega sredstva: baze strank in komercialnih informacij, in tukaj pripovedujemo grozljive zgodbe o njegovi varnosti. Pravzaprav od blizu ni vse tako mračno in ob pravilnem ravnanju boste od sistema CRM deležni le koristi in varnosti.
Kateri so znaki nevarnega sistema CRM?
Začnimo s kratkim izletom v osnove. CRM-ji so na voljo v različicah v oblaku in namizju. Oblačni so tisti, katerih DBMS (baza podatkov) se ne nahaja v vašem podjetju, ampak v zasebnem ali javnem oblaku v nekem podatkovnem centru (na primer, sedite v Čeljabinsku, vaša baza podatkov pa teče v super kul podatkovnem centru v Moskvi , ker se je tako odločil prodajalec CRM in ima s tem ponudnikom sklenjen dogovor). Namizni računalniki (aka lokalni, strežnik – kar ni več tako res) temeljijo na svojih DBMS na vaših lastnih strežnikih (ne, ne, ne predstavljajte si ogromne strežniške sobe z dragimi regali, najpogosteje v malih in srednje velikih podjetjih en strežnik ali celo navaden osebni računalnik sodobne konfiguracije), torej fizično v vaši pisarni.
Do obeh vrst CRM-jev je sicer možen nepooblaščen dostop, vendar sta hitrost in enostavnost dostopa različni, še posebej, če govorimo o malih in srednje velikih podjetjih, ki jim informacijska varnost ni pomembna.
Znak za nevarnost #1
Razlog za večjo verjetnost težav s podatki v sistemu v oblaku je razmerje, ki ga povezuje več povezav: vi (CRM najemnik) – prodajalec – ponudnik (obstaja daljša različica: vi – prodajalec – IT zunanji izvajalec prodajalca – ponudnika) . 3-4 povezave v razmerju imajo več tveganja kot 1-2: težava se lahko pojavi na strani prodajalca (sprememba pogodbe, neplačilo storitev ponudnika), na strani ponudnika (višja sila, vdor, tehnične težave), na strani zunanjega izvajalca (menjava vodje ali inženirja) itd. Seveda se veliki ponudniki trudijo imeti rezervne podatkovne centre, obvladovati tveganja in vzdrževati svoj oddelek DevOps, vendar to ne izključuje težav.
Namizni CRM se praviloma ne najame, ampak ga podjetje kupi, zato je razmerje videti enostavnejše in preglednejše: prodajalec med implementacijo CRM konfigurira potrebne varnostne nivoje (od razlikovanja dostopnih pravic in fizičnega ključa USB do oviranja strežnik v betonski steni ipd.) in prenese nadzor na podjetje, ki je lastnik CRM, ki lahko poveča zaščito, najame sistemskega skrbnika ali se po potrebi obrne na svojega dobavitelja programske opreme. Težave se nanašajo na delo z zaposlenimi, zaščito omrežja in fizično zaščito informacij. Če uporabljate namizni CRM, tudi popolna zaustavitev interneta ne bo ustavila dela, saj se baza podatkov nahaja v vaši »domači« pisarni.
Eden naših zaposlenih, ki je delal v podjetju, ki je razvijalo integrirane pisarniške sisteme v oblaku, vključno s CRM, govori o oblačnih tehnologijah. »V eni izmed mojih služb je podjetje ustvarjalo nekaj zelo podobnega osnovnemu CRM-ju, vse pa je bilo povezano s spletnimi dokumenti in tako naprej. Nekega dne smo v GA opazili neobičajno dejavnost enega od naših naročnikov. Predstavljajte si presenečenje nas, analitikov, ko smo, ker nismo razvijalci, ampak imamo visoko raven dostopa, preprosto lahko uporabili povezavo za odpiranje vmesnika, ki ga je uporabljal odjemalec, da bi videli, kakšen priljubljen znak ima. Mimogrede, zdi se, da stranka ne bi želela, da bi kdo videl te komercialne podatke. Da, bila je napaka in ni bila odpravljena več let - po mojem mnenju so stvari še vedno tam. Od takrat sem navdušenec nad namizjem in oblakom ne zaupam prav nič, čeprav jih seveda uporabljamo v službi in zasebnem življenju, kjer smo imeli tudi nekaj zabavnih fakapov.«
Iz naše ankete na Habréju so to zaposleni v naprednih podjetjih
Do izgube podatkov iz CRM sistema v oblaku lahko pride zaradi izgube podatkov zaradi okvare strežnika, nedosegljivosti strežnikov, višje sile, prenehanja dejavnosti prodajalca itd. Oblak pomeni stalen, nemoten dostop do interneta, zaščita pa mora biti brez primere: na ravni kode, pravic dostopa, dodatnih ukrepov kibernetske varnosti (na primer dvofaktorska avtentikacija).
Znak za nevarnost #2
Sploh ne govorimo o eni funkciji, ampak o skupini funkcij, povezanih s prodajalcem in njegovimi politikami. Naj naštejemo nekaj pomembnih primerov, s katerimi smo se srečali mi in naši zaposleni.
- Prodajalec lahko izbere premalo zanesljiv podatkovni center, kjer se bo "vrtel" naročnikov DBMS. Prihranil bo denar, ne bo nadzoroval SLA, ne bo izračunal obremenitve in rezultat bo za vas usoden.
- Prodajalec lahko zavrne pravico do prenosa storitve v podatkovni center po vaši izbiri. To je dokaj pogosta omejitev za SaaS.
- Prodajalec ima lahko pravni ali ekonomski konflikt s ponudnikom oblaka, nato pa so lahko med »razkazovanjem« omejena varnostna dejanja ali na primer hitrost.
- Storitev izdelave varnostnih kopij je možna za doplačilo. Pogosta praksa, ki jo odjemalec sistema CRM lahko spozna šele v trenutku, ko je potrebna varnostna kopija, torej v najbolj kritičnem in ranljivem trenutku.
- Zaposleni pri prodajalcih imajo lahko neoviran dostop do podatkov o strankah.
- Lahko pride do uhajanja podatkov kakršne koli narave (človeška napaka, goljufija, hekerji itd.).
Običajno so te težave povezane z majhnimi ali mladimi ponudniki, vendar so veliki že večkrat zašli v težave (guoglajte). Zato morate vedno imeti na svoji strani načine za zaščito informacij + o varnostnih vprašanjih se predhodno pogovorite z izbranim ponudnikom sistema CRM. Že samo dejstvo, da se zanimate za težavo, bo dobavitelja že prisililo, da pristopi k izvajanju čim bolj odgovorno (to je še posebej pomembno, če nimate opravka s pisarno prodajalca, temveč z njegovim partnerjem, za katerega je pomembno skleniti pogodbo in prejeti provizijo, ne pa te dvofaktorske... no ste razumeli).
Znak za nevarnost #3
Organizacija varnostnega dela v vašem podjetju. Pred letom dni smo na Habréju tradicionalno pisali o varnosti in izvedli anketo. Vzorec ni bil zelo velik, vendar so odgovori okvirni:
Na koncu prispevka bomo navedli povezave do naših publikacij, kjer smo podrobno preučili razmerje v sistemu "podjetje-zaposleni-varnost", tukaj pa bomo navedli seznam vprašanj, na katera naj bi našli odgovore v okviru vaše podjetje (tudi če ne potrebujete CRM).
- Kje zaposleni shranjujejo gesla?
- Kako je organiziran dostop do shrambe na strežnikih podjetja?
- Kako je zaščitena programska oprema, ki vsebuje komercialne in operativne informacije?
- Ali imajo vsi zaposleni aktivno protivirusno programsko opremo?
- Koliko zaposlenih ima dostop do podatkov o strankah in kakšno raven dostopa imajo ti?
- Koliko novih zaposlenih imate in koliko zaposlenih je v fazi odhoda?
- Koliko časa ste komunicirali s ključnimi zaposlenimi in prisluhnili njihovim zahtevam in pritožbam?
- Ali se tiskalniki spremljajo?
- Kako je organizirana politika za povezovanje lastnih pripomočkov z računalnikom in uporabo službenega Wi-Fi?
Pravzaprav so to osnovna vprašanja-verjetno bodo v komentarjih dodali hardcore, a to so osnove, katerih osnove bi moral poznati tudi samostojni podjetnik z dvema zaposlenima.
Kako se torej zaščititi?
- Varnostne kopije so najpomembnejša stvar, na katero se pogosto pozabi ali zanjo ni poskrbljeno. Če imate namizni sistem, nastavite sistem varnostnega kopiranja podatkov z določeno frekvenco (na primer za RegionSoft CRM je to mogoče storiti z ) in organizirati ustrezno hrambo kopij. Če imate CRM v oblaku, se pred sklenitvijo pogodbe obvezno pozanimajte, kako je organizirano delo z varnostnimi kopijami: potrebujete podatke o globini in pogostosti, lokaciji shranjevanja, stroških varnostne kopije (pogosto le varnostne kopije »najnovejših podatkov za obdobje«). ” so brezplačni, popolno, varno varnostno kopiranje pa je na voljo kot plačljiva storitev). Na splošno to zagotovo ni kraj za varčevanje ali malomarnost. In ja, ne pozabite preveriti, kaj je obnovljeno iz varnostnih kopij.
- Ločevanje pravic dostopa na funkcijski in podatkovni ravni.
- Varnost na omrežni ravni - dovoliti morate uporabo CRM samo znotraj podomrežja pisarne, omejiti dostop za mobilne naprave, prepovedati delo s sistemom CRM od doma ali, še huje, iz javnih omrežij (coworking prostori, kavarne, pisarne za stranke). itd.). Še posebej bodite previdni pri mobilni različici - naj bo le močno okrnjena različica za delo.
- Protivirusni program s pregledovanjem v realnem času je potreben v vsakem primeru, predvsem pa v primeru varnosti podatkov podjetja. Na ravni pravilnika sami prepovedajte onemogočanje.
- Usposabljanje zaposlenih o kibernetski higieni ni izguba časa, ampak nujna potreba. Vsem sodelavcem je treba sporočiti, da jim ni pomembno le opozoriti, ampak tudi pravilno reagirati na prejeto grožnjo. Prepoved uporabe interneta ali vaše elektronske pošte v pisarni je preteklost in povzročitelj akutne negativnosti, zato boste morali delati na preventivi.
Seveda lahko z uporabo sistema v oblaku dosežete zadostno raven varnosti: uporabite namenske strežnike, konfigurirate usmerjevalnike in ločite promet na ravni aplikacije in baze podatkov, uporabite zasebna podomrežja, uvedete stroga varnostna pravila za skrbnike, zagotovite nemoteno delovanje z varnostnimi kopijami. z največjo zahtevano frekvenco in popolnostjo, za nadzor omrežja 24 ur na dan ... Če dobro pomislite, ni tako težko, ampak precej drago. Toda, kot kaže praksa, le nekatera podjetja, večinoma velika, sprejmejo takšne ukrepe. Zato ne oklevamo ponoviti: tako oblak kot namizje ne smeta živeti sama od sebe; zaščitite svoje podatke.
Nekaj majhnih, a pomembnih nasvetov za vse primere uvedbe CRM sistema
- Preverite, ali ima prodajalec ranljivosti - poiščite informacije z uporabo kombinacij besed »Ranljivost imena dobavitelja«, »Vdor v ime prodajalca«, »Uhajanje podatkov o imenu prodajalca«. To ne bi smel biti edini parameter pri iskanju novega sistema CRM, ampak je preprosto treba označiti podkorteks, še posebej pomembno pa je razumeti razloge za incidente, ki so se zgodili.
- Vprašajte prodajalca o podatkovnem centru: razpoložljivosti, koliko jih je, kako je organiziran nadomestni način delovanja.
- Nastavite varnostne žetone v vašem CRM, spremljajte aktivnost znotraj sistema in nenavadne skoke.
- Onemogočite izvoz poročil in dostop preko API-ja za neosnovne zaposlene – torej tiste, ki teh funkcij ne potrebujejo za svoje redne dejavnosti.
- Prepričajte se, da je vaš sistem CRM konfiguriran za beleženje procesov in dejanj uporabnikov.
To so majhne stvari, vendar odlično dopolnjujejo celotno sliko. In pravzaprav nobena malenkost ni varna.
Z uvedbo sistema CRM zagotovite varnost svojih podatkov – vendar le, če je uvedba izvedena kompetentno in vprašanja informacijske varnosti niso potisnjena v ozadje. Strinjam se, neumno je kupiti avto in ne preveriti zavor, ABS, zračnih blazin, varnostnih pasov, EDS. Konec koncev, glavna stvar ni le iti, ampak iti varno in priti tja varno. Enako je s poslom.
In ne pozabite: če so pravila varnosti pri delu napisana s krvjo, so pravila kibernetske varnosti poslovanja napisana v denarju.
Na temo kibernetske varnosti in mestu sistema CRM v njej si lahko preberete naše podrobne članke:
- — pregled možnih varnostnih groženj v podjetniški sferi in okvirna shema odkrivanja.
- — podrobno analizo, kako lahko zaposleni škodijo vašemu poslu in kako to počnejo v komercialni sferi.
Če iščete sistem CRM, potem naprej . Če potrebujete CRM ali ERP, natančno preučite naše izdelke in primerjajte njihove zmogljivosti s svojimi cilji. Če imate kakršnakoli vprašanja ali težave, pišite ali pokličite, za vas bomo organizirali individualno spletno predstavitev - brez ocenjevanja in naklapanja.
, v katerem brez oglaševanja pišemo ne povsem formalne stvari o CRM in poslovanju.
Vir: www.habr.com