Leta 2008 sem lahko obiskal IT podjetje. V vsakem zaposlenem je bila nekakšna nezdrava napetost. Izkazalo se je, da je razlog preprost: mobilni telefoni so v škatli na vhodu v pisarno, zadaj je kamera, 2 veliki dodatni “gledajoči” kameri v pisarni in program za spremljanje s keyloggerjem. In ja, to ni podjetje, ki je razvilo SORM ali sisteme za vzdrževanje življenja v letalih, ampak preprosto razvijalec poslovne aplikacijske programske opreme, ki je zdaj absorbirana, zdrobljena in ne obstaja več (kar se zdi logično). Če se zdaj raztezate in mislite, da v vaši pisarni z visečimi mrežami in M&M v vazah temu zagotovo ni tako, se lahko zelo motite – le kontrola se je v 11 letih naučila biti nevidna in pravilna, brez obračunov nad obiskana spletna mesta in preneseni filmi.
Pa brez vsega tega res ne gre, kaj pa zaupanje, zvestoba, vera v ljudi? Verjeli ali ne, prav toliko je podjetij brez varnostnih ukrepov. A zaposlenim uspe zamočiti tako tu kot tam – preprosto zato, ker lahko človeški faktor uniči svetove, ne le vašega podjetja. Torej, kje lahko vaši zaposleni delajo nagajivost?
Tole ni zelo resna objava, ki ima ravno dve funkciji: malo popestriti vsakdanjik in spomniti na osnovne varnostne stvari, na katere pogosto pozabljamo. Oh, in še enkrat vas spomnim — Ali ni taka programska oprema rob varnosti? 🙂
Pojdimo v naključnem načinu!
Gesla, gesla, gesla...
Govoriš o njih in nakoplje se val ogorčenja: kako je to mogoče, tolikokrat so povedali svetu, pa stvari še vedno obstajajo! V podjetjih vseh ravni, od samostojnih podjetnikov do multinacionalnih korporacij, je to zelo boleča točka. Včasih se mi zdi, da če bodo jutri zgradili pravo Zvezdo smrti, bo na skrbniški plošči nekaj takega kot admin/admin. Kaj torej lahko pričakujemo od običajnih uporabnikov, za katere je lastna stran VKontakte veliko dražja od korporativnega računa? Preverite naslednje točke:
- Pisanje gesel na liste papirja, na hrbtno stran tipkovnice, na monitor, na mizico pod tipkovnico, na nalepko na spodnji strani miške (zvitost!) – tega zaposleni nikoli ne bi smeli početi. Pa ne zato, ker bo vstopil strašni heker in med kosilom prenesel ves 1C na bliskovni pogon, ampak zato, ker je v pisarni morda užaljeni Saša, ki bo dal odpoved in naredil nekaj umazanega ali še zadnjič odnesel informacije . Zakaj ne bi tega naredili ob naslednjem kosilu?
To je kaj? Ta stvar hrani vsa moja gesla
- Nastavitev preprostih gesel za vstop v osebni računalnik in delovne programe. Rojstni datumi, qwerty123 in celo asdf so kombinacije, ki sodijo v šale in na basorg, ne pa v korporativni varnostni sistem. Določite zahteve za gesla in njihovo dolžino ter nastavite pogostost zamenjave.
Geslo je kot spodnje perilo: pogosto ga menjajte, ne delite ga s prijatelji, dolgo je boljše, bodite skrivnostni, ne trosite ga vsepovsod
- Ponudnikova privzeta gesla za prijavo v program so pomanjkljiva že zato, ker jih poznajo skoraj vsi zaposleni pri prodajalcu, in če imate opravka s spletnim sistemom v oblaku, nikomur ne bo težko pridobiti podatkov. Še posebej, če imate tudi varnost omrežja na ravni "ne vlecite za kabel".
- Zaposlenim razložite, da namig za geslo v operacijskem sistemu ne sme izgledati kot “moj rojstni dan”, “ime hčerke”, “Gvoz-dika-78545-ap#1! v angleščini." ali "kvart in ena in nič."
Moja mačka mi daje odlična gesla! Hodi po moji tipkovnici
Fizični dostop do primerov
Kako je v vašem podjetju urejen dostop do računovodske in kadrovske dokumentacije (na primer do osebnih map zaposlenih)? Naj ugibam: če je malo podjetje, potem v računovodstvu ali v šefovi pisarni v mapah na policah ali v omari, če je veliko podjetje, pa v kadrovski službi na policah. Če pa je zelo velik, potem je najverjetneje vse pravilno: ločena pisarna ali blok z magnetnim ključem, do katerega imajo dostop samo določeni zaposleni in da pridete tja, morate poklicati enega od njih in iti v to vozlišče v njihovi prisotnosti. Nič ni težko narediti takšne zaščite v vsakem poslu ali se vsaj naučiti, da gesla za pisarniški sef ne pišete s kredo na vrata ali steno (vse temelji na resničnih dogodkih, ne smejte se).
Zakaj je pomembno? Prvič, delavci imajo patološko željo drug o drugem izvedeti najbolj skrivne stvari: zakonski stan, plačo, zdravstvene diagnoze, izobrazbo itd. To je takšen kompromis v pisarniškem tekmovanju. In nikakor vam ne koristijo prepiri, ki bodo nastali, ko bo oblikovalec Petya izvedel, da zasluži 20 tisočakov manj kot oblikovalka Alice. Drugič, tam lahko zaposleni dostopajo do finančnih informacij podjetja (bilance, letna poročila, pogodbe). Tretjič, nekaj se lahko preprosto izgubi, poškoduje ali ukrade, da bi prikrili sledi v lastni delovni zgodovini.
Skladišče, kjer je nekdo izguba, nekdo zaklad
Če imate skladišče, upoštevajte, da boste prej ali slej zagotovo naleteli na kriminalce - preprosto tako deluje psihologija človeka, ki vidi veliko količino izdelkov in trdno verjame, da malo od velikega ni rop, ampak delitev. In enota blaga iz tega kupa lahko stane 200 tisoč ali 300 tisoč ali več milijonov. Na žalost kraje ne more ustaviti nič razen pedantne in popolne kontrole in računovodstva: kamere, prevzem in odpis s črtnimi kodami, avtomatizacija skladiščnega računovodstva (npr. skladiščno računovodstvo je organizirano tako, da lahko vodja in nadzornik v realnem času spremljata gibanje blaga po skladišču).
Zato do zob oborožite svoje skladišče, zagotovite fizično varnost pred zunanjim sovražnikom in popolno varnost pred notranjim. Zaposleni v transportu, logistiki, skladiščih morajo jasno razumeti, da obstaja kontrola, deluje in bodo skoraj sami sebe kaznovali.
*hej, ne tikaj rok v infrastrukturo
Če je zgodba o strežniški sobi in čistilki že preživela samo sebe in se je že zdavnaj preselila v zgodbe drugih industrij (isti se je na primer lotil mističnega izklopa ventilatorja na istem oddelku), potem ostalo ostaja realnost. . Varnost omrežij in informacijske tehnologije malih in srednje velikih podjetij pušča veliko želenega, kar pogosto ni odvisno od tega, ali imate svojega sistemskega skrbnika ali povabljenega. Slednji se pogosto znajde še bolje.
Česa so torej zaposleni tukaj sposobni?
- Najlepše in najbolj neškodljivo je iti v strežniško sobo, potegniti za žice, pogledati, politi čaj, nanesti umazanijo ali poskusiti nekaj konfigurirati sam. To še posebej prizadene »samozavestne in napredne uporabnike«, ki junaško učijo svoje kolege, naj onemogočijo antivirus in zaobidejo zaščito na osebnem računalniku in so prepričani, da so prirojeni bogovi strežniške sobe. Na splošno je pooblaščen omejen dostop vaše vse.
- Kraja opreme in zamenjava komponent. Imate radi svoje podjetje in ste vsem namestili zmogljive grafične kartice, da lahko sistem obračunavanja, CRM in vse ostalo deluje brezhibno? Super! Samo zviti fantje (in včasih dekleta) jih bodo zlahka zamenjali z domačim modelom, doma pa bodo igrali igre na novem pisarniškem modelu - a pol sveta ne bo vedelo. Enaka zgodba je s tipkovnicami, miškami, hladilniki, UPS-i in vsem, kar se da nekako zamenjati znotraj strojne konfiguracije. Posledično nosite tveganje za poškodovanje lastnine, njeno popolno izgubo, hkrati pa ne dobite želene hitrosti in kakovosti dela z informacijskimi sistemi in aplikacijami. Rešuje nadzorni sistem (ITSM sistem) z nastavljenim konfiguracijskim nadzorom), ki mora biti dobavljen v kompletu z nepodkupljivim in načelnim sistemskim administratorjem.
Morda želite poiskati boljši varnostni sistem? Nisem prepričan, če je ta znak dovolj
- Uporaba lastnih modemov, dostopnih točk ali neke vrste skupnega Wi-Fi-ja naredi dostop do datotek manj varen in praktično neobvladljiv, kar lahko izkoristijo napadalci (tudi v dogovoru z zaposlenimi). No, poleg tega je verjetnost, da bo zaposleni "s svojim internetom" delovni čas preživljal na YouTubu, humorističnih straneh in družbenih omrežjih, veliko večja.
- Poenotena gesla in prijave za dostop do skrbniškega področja spletnega mesta, CMS, aplikacijske programske opreme so grozljive stvari, ki nesposobnega ali zlonamernega zaposlenega spremenijo v izmuzljivega maščevalca. Če imate 5 ljudi iz istega podomrežja z istim uporabniškim imenom/geslom, da bi postavili pasico, preverili oglaševalske povezave in meritve, popravili postavitev in naložili posodobitev, ne boste nikoli uganili, kateri od njih je pomotoma spremenil CSS v buča. Torej: različne prijave, različna gesla, beleženje dejanj in razlikovanje pravic dostopa.
- Ni treba posebej poudarjati nelicenčne programske opreme, ki jo zaposleni vlečejo na svoje osebne računalnike, da uredijo nekaj fotografij med delovnim časom ali ustvarijo nekaj zelo hobijevskega. Ali še niste slišali za inšpekcijo oddelka "K" Centralnega direktorata za notranje zadeve? Potem pride ona k tebi!
- Antivirus bi moral delovati. Da, nekateri od njih lahko upočasnijo vaš računalnik, vas razdražijo in se na splošno zdijo znak strahopetnosti, vendar je bolje, da jih preprečite, kot da pozneje plačate z izpadi ali, še huje, z ukradenimi podatki.
- Opozoril operacijskega sistema o nevarnosti namestitve aplikacije ne smemo zanemariti. Danes je prenos nečesa za delo stvar sekund in minut. Na primer Direct.Commander ali urejevalnik AdWords, kakšen razčlenjevalnik SEO itd. Če je z izdelki Yandex in Google vse bolj ali manj jasno, potem lahko še en picreizer, brezplačen čistilec virusov, urejevalnik videa s tremi učinki, posnetki zaslona, snemalniki Skype in drugi "drobni programi" škodujejo tako posameznemu računalniku kot celotnemu omrežju podjetja. . Naučite uporabnike, da preberejo, kaj računalnik želi od njih, preden pokličejo sistemskega skrbnika in rečejo, da je »vse mrtvo«. V nekaterih podjetjih je težava rešena preprosto: veliko prenesenih uporabnih pripomočkov je shranjenih v omrežnem deležu, tam pa je objavljen tudi seznam ustreznih spletnih rešitev.
- Politika BYOD ali, nasprotno, politika dovoljevanja uporabe delovne opreme izven pisarne je zelo zlobna plat varnosti. V tem primeru imajo dostop do tehnologije sorodniki, prijatelji, otroci, javna nezaščitena omrežja itd. To je čisto ruska ruleta - lahko greš 5 let in preživiš, lahko pa izgubiš ali poškoduješ vse svoje dokumente in dragocene datoteke. No, poleg tega, če ima zaposleni zlonamerni namen, je to tako preprosto kot pošiljanje dveh bajtov za uhajanje podatkov s "hodečo" opremo. Prav tako se morate zavedati, da zaposleni pogosto prenašajo datoteke med svojimi osebnimi računalniki, kar lahko spet povzroči varnostne vrzeli.
- Zaklepanje naprav med vašo odsotnostjo je dobra navada za poslovno in osebno uporabo. Spet vas ščiti pred radovednimi sodelavci, znanci in vsiljivci na javnih mestih. Težko se je navaditi na to, a na enem od delovnih mest sem imel čudovito izkušnjo: sodelavci so pristopili k odklenjenemu računalniku in čez celotno okno se je odprl Paint z napisom "Zakleni računalnik!" in nekaj se je spremenilo v delu, na primer zadnji načrpani sklop je bil porušen ali zadnja uvedena napaka odstranjena (to je bila skupina za testiranje). To je kruto, vendar je bilo 1-2 krat dovolj tudi za najbolj lesene. Čeprav sumim, da ljudje, ki niso IT, morda ne bodo razumeli takšnega humorja.
- Najhujši greh pa je seveda na strani skrbnika sistema in vodstva - če kategorično ne uporabljajo sistemov za nadzor prometa, opreme, licenc itd.
To je seveda osnova, saj je prav IT infrastruktura tista, kjer bolj ko gre v gozd, več je drv. In vsak bi moral imeti to osnovo in ne nadomestiti z besedami "vsi si zaupamo", "smo družina", "kdo to potrebuje" - žal, to je zaenkrat.
To je internet, srček, lahko vedo veliko o tebi.
Čas je, da varno ravnanje z internetom uvedemo v tečaj varnosti življenja v šoli - pri tem pa sploh ne gre za ukrepe, v katere smo potopljeni od zunaj. Tu gre predvsem za zmožnost razlikovanja povezave od povezave, razumevanje, kje je lažno predstavljanje in kje prevara, ne odpiranje e-poštnih prilog z zadevo »Poročilo o uskladitvi« z neznanega naslova, ne da bi ga razumeli itd. Čeprav so, kot kaže, šolarji vse to že obvladali, zaposleni pa še ne. Obstaja veliko trikov in napak, ki lahko ogrozijo celotno podjetje naenkrat.
- Družbena omrežja so tisti del spleta, ki nima mesta na delovnem mestu, a je njihova blokada na ravni podjetja v letu 2019 nepriljubljen in demotivirajoč ukrep. Zato morate vsem zaposlenim samo napisati, kako preveriti nezakonitost povezav, jim povedati o vrstah goljufij in jih prositi za delo v službi.
- Pošta je boleča točka in morda najbolj priljubljen način za krajo informacij, nameščanje zlonamerne programske opreme ter okužbo računalnika in celotnega omrežja. Žal, mnogi delodajalci menijo, da je e-poštni odjemalec varčevalno orodje in uporabljajo brezplačne storitve, ki prejmejo 200 neželenih e-poštnih sporočil na dan, ki gredo skozi filtre itd. In nekateri neodgovorni ljudje odpirajo takšna pisma in priponke, povezave, slike - očitno upajo, da jim je črni princ pustil dediščino. Po kateri ima skrbnik veliko, veliko dela. Ali pa je bilo tako mišljeno? Mimogrede, še ena kruta zgodba: v enem podjetju so za vsako neželeno pismo sistemskemu administratorju znižali KPI. Na splošno po enem mesecu ni bilo neželene pošte - prakso je sprejela matična organizacija in še vedno ni neželene pošte. To težavo smo rešili elegantno - razvili smo lastnega e-poštnega odjemalca in ga vgradili v svojega , zato so vse naše stranke deležne tudi te priročne funkcije.
Ko boste naslednjič prejeli nenavadno e-poštno sporočilo s simbolom sponke za papir, ga ne kliknite!
- Messengerji so tudi vir najrazličnejših nevarnih povezav, vendar je to veliko manjše zlo kot pošta (če ne štejemo zapravljenega časa s klepetanjem v klepetih).
Zdi se, da so vse to malenkosti. Vsaka od teh malenkosti pa ima lahko katastrofalne posledice, še posebej, če je vaše podjetje tarča napada konkurence. In to se lahko zgodi dobesedno vsakomur.
Klepetajoči zaposleni
To je tisti človeški dejavnik, ki se ga boste težko znebili. Zaposleni lahko razpravljajo o delu na hodniku, v kavarni, na ulici, pri stranki, glasno govorijo o drugi stranki, govorijo o delovnih dosežkih in projektih doma. Seveda je verjetnost, da za vami stoji konkurent, zanemarljiva (če niste v istem poslovnem centru - to se je že zgodilo), a možnost, da se tip, ki jasno pove svoje poslovne zadeve, posname na pametni telefon in objavi na YouTube je, nenavadno, višji. Ampak tudi to je sranje. Ni sranje, če vaši zaposleni rade volje predstavijo informacije o izdelku ali podjetju na izobraževanjih, konferencah, srečanjih, strokovnih forumih ali celo na Habréju. Poleg tega ljudje pogosto namerno kličejo svoje nasprotnike na takšne pogovore, da bi izvedli konkurenčno obveščevalno analizo.
Razkrivajoča zgodba. Na eni galaktične IT konference je govornik sekcije na prosojnici predstavil celoten diagram organizacije IT infrastrukture velikega podjetja (top 20). Shema je bila mega impresivna, preprosto vesoljska, skoraj vsi so jo fotografirali in v trenutku je preletela družbena omrežja z navdušenimi kritikami. No, potem jih je govornik ujel z uporabo geografskih oznak, stojal, družbenih omrežij. omrežja tistih, ki so to objavili in prosili za izbris, ker so ga kar hitro poklicali in rekli ah-ta-ta. Klepetalka je božji dar za vohuna.
Nevednost... te osvobodi kazni
Glede na globalno poročilo družbe Kaspersky Lab za leto 2017 o podjetjih, ki so se v 12-mesečnem obdobju srečala s kibernetskimi incidenti, je eden od desetih (11 %) najresnejših vrst incidentov vključeval neprevidne in neobveščene zaposlene.
Ne domnevajte, da zaposleni vedo vse o korporativnih varnostnih ukrepih, poskrbite, da jih opozorite, zagotovite usposabljanje, pripravite zanimiva občasna glasila o varnostnih vprašanjih, organizirajte sestanke ob pici in ponovno razjasnite vprašanja. In ja, kul life hack - označite vse tiskane in elektronske informacije z barvami, znaki, napisi: poslovna skrivnost, skrivnost, za uradno uporabo, splošni dostop. To res deluje.
Sodobni svet je podjetja postavil v zelo občutljiv položaj: vzdrževati je treba ravnotežje med željo zaposlenega, da ne le trdo dela na delovnem mestu, ampak tudi prejema zabavne vsebine v ozadju/med odmori, in strogimi korporativnimi varnostnimi pravili. Če za hrbtom vklopite hiperkontrolo in moronske sledilne programe (ja, ni tipkarska napaka - to ni varnost, to je paranoja) in kamere, bo zaupanje zaposlenih v podjetje padlo, a ohranjanje zaupanja je tudi orodje korporativne varnosti.
Zato vedite, kdaj se morate ustaviti, spoštujte svoje zaposlene in naredite varnostne kopije. In kar je najpomembnejše, dajte prednost varnosti, ne osebni paranoji.
Če potrebujete in primerjajte njihove zmožnosti s svojimi cilji. Če imate kakršnakoli vprašanja ali težave, pišite ali pokličite, za vas bomo organizirali individualno spletno predstavitev - brez ocenjevanja in naklapanja.
, v katerem brez oglaševanja pišemo ne povsem formalne stvari o CRM in poslovanju.
Vir: www.habr.com