Sistemet CRM nga perspektiva e sigurisë kibernetike: mbrojtje apo kërcënim?

31 Marsi është Dita Ndërkombëtare e Rezervimit dhe një javë më parë është gjithmonë plot me histori të lidhura me sigurinë. Të hënën, ne mësuam tashmë për Asusin e komprometuar dhe "tre prodhues të paidentifikuar". Veçanërisht kompanitë supersticioze ulen me kunja dhe hala gjatë gjithë javës, duke bërë kopje rezervë. Dhe e gjitha sepse të gjithë jemi pak të pakujdesshëm për sa i përket sigurisë: dikush harron të vendosë rripin e sigurimit në sediljen e pasme, dikush injoron datën e skadencës së produkteve, dikush ruan hyrjen dhe fjalëkalimin e tij nën tastierë, dhe akoma më mirë, shkruan të gjitha fjalëkalimet në një fletore. Disa individë arrijnë të çaktivizojnë antiviruset "në mënyrë që të mos ngadalësojnë kompjuterin" dhe të mos përdorin ndarjen e të drejtave të aksesit në sistemet e korporatave (çfarë sekretesh në një kompani prej 50 personash!). Ndoshta, njerëzimi thjesht nuk e ka zhvilluar ende instinktin e vetë-ruajtjes kibernetike, i cili, në parim, mund të bëhet një instinkt i ri bazë.

As biznesi nuk ka zhvilluar instinkte të tilla. Një pyetje e thjeshtë: është një sistem CRM një kërcënim për sigurinë e informacionit apo një mjet sigurie? Nuk ka gjasa që dikush të japë një përgjigje të saktë menjëherë. Këtu duhet të fillojmë, siç na mësuan në mësimet e anglishtes: varet... Varet nga cilësimet, forma e dorëzimit të CRM, zakonet dhe besimet e shitësit, shkalla e mospërfilljes së punonjësve, sofistikimi i sulmuesve. . Në fund të fundit, gjithçka mund të hakohet. Pra, si të jetosh?

Kjo është siguria e informacionit në bizneset e vogla dhe të mesme Nga LiveJournal

Sistemi CRM si mbrojtje

Mbrojtja e të dhënave komerciale dhe operacionale dhe ruajtja e sigurt e bazës suaj të klientëve është një nga detyrat kryesore të një sistemi CRM, dhe në këtë ai është mbi të gjitha programet e tjera aplikative në kompani.

Me siguri keni filluar ta lexoni këtë artikull dhe keni buzëqeshur thellë, duke thënë, kush ka nevojë për informacionin tuaj. Nëse po, atëherë ndoshta nuk jeni marrë me shitjet dhe nuk e dini se sa të kërkuara janë bazat e klientëve "të gjallë" dhe me cilësi të lartë dhe informacioni rreth metodave të punës me këtë bazë. Përmbajtja e sistemit CRM është interesante jo vetëm për menaxhmentin e kompanisë, por edhe për:  

• Sulmuesit (më rrallë) - ata kanë një qëllim që lidhet posaçërisht me kompaninë tuaj dhe do të përdorin të gjitha burimet për të marrë të dhëna: ryshfet i punonjësve, hakerimi, blerja e të dhënave tuaja nga menaxherët, intervistat me menaxherët, etj.
• Punonjës (më shpesh) të cilët mund të veprojnë si të brendshëm për konkurrentët tuaj. Ata thjesht janë gati të heqin ose shesin bazën e tyre të klientëve për përfitimin e tyre.
• Për hakerat amatorë (shumë rrallë) - mund të hakeroheni në renë kompjuterike ku ndodhen të dhënat tuaja ose rrjeti është hakuar, ose ndoshta dikush dëshiron t'i "tërheqë" të dhënat tuaja për argëtim (për shembull, të dhënat për shitësit me shumicë farmaceutike ose alkoolike - thjesht interesante për të parë).

Nëse dikush futet në CRM-në tuaj, ai do të ketë akses në aktivitetet tuaja operative, domethënë në vëllimin e të dhënave me të cilat ju bëni shumicën e fitimeve tuaja. Dhe që nga momenti kur fitohet qasja me qëllim të keq në sistemin CRM, fitimet fillojnë t'i buzëqeshin atij në duart e të cilit përfundon baza e klientit. Epo, ose partnerët dhe klientët e tij (lexo - punëdhënësit e rinj).

E mirë, e besueshme Sistemi CRM është në gjendje të mbulojë këto rreziqe dhe të sigurojë një mori bonusesh të këndshme në fushën e sigurisë.

Pra, çfarë mund të bëjë një sistem CRM për sa i përket sigurisë?

(do t'ju tregojmë me një shembull RegionSoft CRM, sepse Ne nuk mund të jemi përgjegjës për të tjerët)

• Autentifikimi me dy faktorë duke përdorur një çelës USB dhe fjalëkalim. RegionSoft CRM mbështet modalitetin e autorizimit të përdoruesit me dy faktorë kur hyni në sistem. Në këtë rast, kur hyni në sistem, përveç futjes së fjalëkalimit, duhet të futni një çelës USB që është inicializuar paraprakisht në portën USB të kompjuterit. Modaliteti i autorizimit me dy faktorë ndihmon në mbrojtjen kundër vjedhjes ose zbulimit të fjalëkalimit.

E klikueshme

• Drejtoni nga adresat IP të besuara dhe adresat MAC. Për siguri të shtuar, mund t'i kufizoni përdoruesit që të hyjnë vetëm nga adresat IP të regjistruara dhe adresat MAC. Të dy adresat IP të brendshme në rrjetin lokal dhe adresat e jashtme mund të përdoren si adresa IP nëse përdoruesi lidhet nga distanca (përmes internetit).
• Autorizimi i domenit (autorizimi i Windows). Nisja e sistemit mund të konfigurohet në mënyrë që fjalëkalimi i përdoruesit të mos kërkohet kur identifikoheni. Në këtë rast, ndodh autorizimi i Windows, i cili identifikon përdoruesin duke përdorur WinAPI. Sistemi do të lansohet nën përdoruesin në profilin e të cilit kompjuteri funksionon në momentin e fillimit të sistemit.
• Një mekanizëm tjetër është klientët privatë. Klientët privatë janë klientë që mund të shihen vetëm nga mbikëqyrësi i tyre. Këta klientë nuk do të shfaqen në listat e përdoruesve të tjerë, edhe nëse përdoruesit e tjerë kanë leje të plota, duke përfshirë të drejtat e administratorit. Në këtë mënyrë, ju mund të mbroni, për shembull, një grup klientësh veçanërisht të rëndësishëm ose një grup për një arsye tjetër, i cili do t'i besohet një menaxheri të besueshëm.
• Mekanizmi për ndarjen e të drejtave të aksesit — një masë standarde dhe parësore sigurie në CRM. Për të thjeshtuar procesin e administrimit të të drejtave të përdoruesve, në RegionSoft CRM të drejtat nuk u caktohen përdoruesve specifikë, por shablloneve. Dhe vetë përdoruesit i është caktuar një ose një model tjetër, i cili ka një grup të caktuar të drejtash. Kjo i lejon çdo punonjësi - nga të punësuarit e rinj tek praktikantët tek drejtorët - të caktojë leje dhe të drejta aksesi që do t'i lejojnë/parandalojnë ata të aksesojnë të dhëna të ndjeshme dhe informacione të ndjeshme biznesi.
• Sistemi automatik i rezervimit të të dhënave (kopje rezervë)i konfigurueshëm nëpërmjet serverit të skriptit Serveri i aplikacionit RegionSoft.

Ky është zbatimi i sigurisë duke përdorur një sistem të vetëm si shembull, çdo shitës ka politikat e veta. Sidoqoftë, sistemi CRM mbron me të vërtetë informacionin tuaj: ju mund të shihni se kush e mori këtë apo atë raport dhe në çfarë kohe, kush shikoi çfarë të dhënash, kush e shkarkoi atë dhe shumë më tepër. Edhe nëse e zbuloni cenueshmërinë pas faktit, nuk do ta lini aktin pa u ndëshkuar dhe mund të identifikoni lehtësisht punonjësin që ka abuzuar me besimin dhe besnikërinë e kompanisë.

Jeni të relaksuar? Herët! Vetë kjo mbrojtje mund të funksionojë kundër jush nëse jeni të pakujdesshëm dhe injoroni çështjet e mbrojtjes së të dhënave.

Sistemi CRM si një kërcënim

Nëse kompania juaj ka të paktën një PC, ky është tashmë një burim kërcënimi kibernetik. Prandaj, niveli i kërcënimit rritet me numrin e stacioneve të punës (dhe punonjësve) dhe me shumëllojshmërinë e softuerit të instaluar dhe përdorur. Dhe gjërat nuk janë të lehta me sistemet CRM - në fund të fundit, ky është një program i krijuar për të ruajtur dhe përpunuar asetin më të rëndësishëm dhe më të shtrenjtë: bazën e klientëve dhe informacionin tregtar, dhe këtu po tregojmë histori tmerri për sigurinë e tij. Në fakt, jo gjithçka është aq e zymtë nga afër, dhe nëse trajtohet siç duhet, nuk do të merrni asgjë tjetër përveç përfitimit dhe sigurisë nga sistemi CRM.

Cilat janë shenjat e një sistemi të rrezikshëm CRM?

Le të fillojmë me një ekskursion të shkurtër në bazat. CRM-të vijnë në versione cloud dhe desktop. Cloud janë ato DBMS (baza e të dhënave) e të cilëve nuk është e vendosur në kompaninë tuaj, por në një re private ose publike në një qendër të dhënash (për shembull, ju jeni ulur në Chelyabinsk dhe baza e të dhënave juaj po funksionon në një qendër të dhënash super të lezetshme në Moskë. , sepse shitësi CRM vendosi kështu dhe ai ka një marrëveshje me këtë ofrues të veçantë). Desktop (i njohur ndryshe si serveri në premisë - që nuk është më aq i vërtetë) bazoni DBMS-në e tyre në serverët tuaj (jo, jo, mos imagjinoni një dhomë të madhe serveri me rafte të shtrenjta, më shpesh në bizneset e vogla dhe të mesme është një server i vetëm apo edhe një PC i zakonshëm me konfigurim modern), domethënë fizikisht në zyrën tuaj.

Është e mundur të fitohet akses i paautorizuar në të dy llojet e CRM, por shpejtësia dhe lehtësia e aksesit janë të ndryshme, veçanërisht nëse flasim për SMB që nuk kujdesen shumë për sigurinë e informacionit.

Shenja e rrezikut numër 1

Arsyeja për gjasat më të larta të problemeve me të dhënat në një sistem cloud është marrëdhënia e lidhur me disa lidhje: ju (qiramarrësi CRM) - shitës - ofrues (ekziston një version më i gjatë: ju - shitësi - kontraktuesi i IT-së i shitësit - ofruesi) . 3-4 lidhje në një marrëdhënie kanë më shumë rreziqe se 1-2: një problem mund të ndodhë nga ana e shitësit (ndryshimi i kontratës, mospagesa e shërbimeve të ofruesit), nga ana e ofruesit (forca madhore, hakimi, problemet teknike), nga ana e transferuesit (ndërrimi i menaxherit ose inxhinierit), etj. Sigurisht, shitësit e mëdhenj përpiqen të kenë qendra rezervë të të dhënave, të menaxhojnë rreziqet dhe të mbajnë departamentin e tyre DevOps, por kjo nuk përjashton problemet.

Desktop CRM në përgjithësi nuk merret me qira, por blihet nga kompania; në përputhje me rrethanat, marrëdhënia duket më e thjeshtë dhe më transparente: gjatë zbatimit të CRM, shitësi konfiguron nivelet e nevojshme të sigurisë (nga diferencimi i të drejtave të aksesit dhe një çelës fizik USB deri në mbylljen e server në një mur betoni, etj.) dhe transferon kontrollin te kompania që zotëron CRM, e cila mund të rrisë mbrojtjen, të punësojë një administrator sistemi ose të kontaktojë furnizuesin e saj të softuerit sipas nevojës. Problemet lidhen me punën me punonjësit, mbrojtjen e rrjetit dhe mbrojtjen fizike të informacionit. Nëse përdorni CRM desktop, edhe një mbyllje e plotë e Internetit nuk do të ndalojë punën, pasi baza e të dhënave ndodhet në zyrën tuaj "shtëpi".

Një nga punonjësit tanë, i cili ka punuar në një kompani që ka zhvilluar sisteme zyrash të integruara të bazuara në cloud, duke përfshirë CRM, flet për teknologjitë cloud. “Në një nga punët e mia, kompania po krijonte diçka shumë të ngjashme me një CRM bazë, dhe e gjitha ishte e lidhur me dokumentet online e kështu me radhë. Një ditë në GA pamë një aktivitet jonormal nga një prej klientëve tanë abonent. Imagjinoni habinë tonë, analistët, kur ne, duke mos qenë zhvillues, por duke pasur një nivel të lartë aksesi, thjesht mundëm të hapnim ndërfaqen që klienti përdorte përmes një lidhjeje dhe të shihnim se çfarë lloj shenje popullore kishte. Meqë ra fjala, duket se klienti nuk do të donte që askush t'i shihte këto të dhëna komerciale. Po, ishte një gabim dhe nuk u rregullua për disa vite - për mendimin tim, gjërat janë ende atje. Që atëherë, unë kam qenë një entuziast i desktopit dhe nuk u besoj shumë reve, megjithëse, natyrisht, ne i përdorim ato në punë dhe në jetën tonë personale, ku kemi pasur edhe disa fakapa argëtuese.”

Nga sondazhi ynë në Habré, dhe këta janë punonjës të kompanive të avancuara

Humbja e të dhënave nga një sistem CRM cloud mund të jetë për shkak të humbjes së të dhënave për shkak të dështimit të serverit, mosdisponueshmërisë së serverëve, forcës madhore, përfundimit të aktiviteteve të shitësve, etj. Reja nënkupton qasje të vazhdueshme, të pandërprerë në internet dhe mbrojtja duhet të jetë e paprecedentë: në nivelin e kodit, të drejtave të aksesit, masave shtesë të sigurisë kibernetike (për shembull, vërtetimi me dy faktorë).

Shenja e rrezikut numër 2

Nuk po flasim as për një karakteristikë, por për një grup karakteristikash që lidhen me shitësin dhe politikat e tij. Le të rendisim disa shembuj të rëndësishëm që kemi hasur ne dhe punonjësit tanë.

• Shitësi mund të zgjedhë një qendër të dhënash mjaft të besueshme ku DBMS e klientëve do të "rrotullohet". Ai do të kursejë para, nuk do të kontrollojë SLA, nuk do të llogarisë ngarkesën dhe rezultati do të jetë fatal për ju.
• Shitësi mund të mohojë të drejtën për të transferuar shërbimin në qendrën e të dhënave të zgjedhjes suaj. Ky është një kufizim mjaft i zakonshëm për SaaS.
• Shitësi mund të ketë një konflikt ligjor ose ekonomik me ofruesin e resë kompjuterike dhe më pas gjatë "shfaqjes", veprimet rezervë ose, për shembull, shpejtësia mund të kufizohen.
• Shërbimi i krijimit të kopjeve rezervë mund të ofrohet me një çmim shtesë. Një praktikë e zakonshme për të cilën një klient i një sistemi CRM mund të mësojë vetëm në momentin kur nevojitet një kopje rezervë, domethënë në momentin më kritik dhe më të cenueshëm.
• Punonjësit e shitësve mund të kenë akses të papenguar në të dhënat e klientit.
• Mund të ndodhin rrjedhje të të dhënave të çdo natyre (gabim njerëzor, mashtrim, hakerë, etj.).

Zakonisht këto probleme lidhen me shitës të vegjël ose të rinj, megjithatë, të mëdhenjtë janë futur vazhdimisht në telashe (google it). Prandaj, duhet të keni gjithmonë mënyra për të mbrojtur informacionin nga ana juaj + të diskutoni paraprakisht çështjet e sigurisë me ofruesin e zgjedhur të sistemit CRM. Edhe vetë fakti i interesit tuaj për problemin do ta detyrojë tashmë furnizuesin ta trajtojë zbatimin sa më me përgjegjësi (është veçanërisht e rëndësishme ta bëni këtë nëse nuk keni të bëni me zyrën e shitësit, por me partnerin e tij, për të cilin është e rendesishme te lidhesh nje marreveshje dhe te marresh nje komision, dhe jo keto dy faktoresh... mire e kuptove).

Shenja e rrezikut numër 3

Organizimi i punës së sigurisë në kompaninë tuaj. Një vit më parë, ne kemi shkruar tradicionalisht për sigurinë në Habré dhe kemi kryer një sondazh. Mostra nuk ishte shumë e madhe, por përgjigjet janë indikative:

Në fund të artikullit, ne do të ofrojmë lidhje me botimet tona, ku kemi shqyrtuar në detaje marrëdhëniet në sistemin "kompani-punonjës-siguri" dhe këtu do të ofrojmë një listë pyetjesh, përgjigjet e të cilave duhet të gjenden brenda kompaninë tuaj (edhe nëse nuk keni nevojë për CRM).

• Ku i ruajnë punonjësit fjalëkalimet?
• Si organizohet qasja në ruajtje në serverët e kompanisë?
• Si mbrohet softueri që përmban informacione komerciale dhe operacionale?
• A kanë të gjithë punonjësit softuer antivirus aktiv?
• Sa punonjës kanë akses në të dhënat e klientit dhe çfarë niveli aksesi ka kjo?
• Sa punonjës të rinj keni dhe sa punonjës janë në proces largimi?
• Sa kohë keni komunikuar me punonjësit kryesorë dhe keni dëgjuar kërkesat dhe ankesat e tyre?
• A monitorohen printerët?
• Si organizohet politika për lidhjen e veglave tuaja me kompjuterin tuaj, si dhe përdorimin e Wi-Fi të punës?

Në fakt, këto janë pyetje themelore - me siguri do të shtohen në komente, por këto janë bazat, bazat e të cilave duhet t'i dijë edhe një sipërmarrës individual me dy punonjës.

Pra, si të mbroni veten?

• Rezervimet janë gjëja më e rëndësishme për të cilën shpesh harrohet ose nuk kujdeset. Nëse keni një sistem desktopi, konfiguroni një sistem rezervë të dhënash me një frekuencë të caktuar (për shembull, për RegionSoft CRM kjo mund të bëhet duke përdorur Serveri i aplikacionit RegionSoft) dhe organizoni ruajtjen e duhur të kopjeve. Nëse keni një CRM cloud, sigurohuni që të mësoni përpara se të lidhni një kontratë se si organizohet puna me kopje rezervë: keni nevojë për informacione në lidhje me thellësinë dhe frekuencën, vendndodhjen e ruajtjes, koston e rezervimit (shpesh vetëm kopje rezervë të "të dhënave më të fundit për periudhën ” janë falas dhe ofrohet një kopje rezervë e plotë dhe e sigurt si shërbim me pagesë). Në përgjithësi, ky nuk është padyshim vendi për kursime ose neglizhencë. Dhe po, mos harroni të kontrolloni se çfarë është restauruar nga kopjet rezervë.
• Ndarja e të drejtave të aksesit në nivelet e funksionit dhe të të dhënave.
• Siguria në nivelin e rrjetit - duhet të lejoni përdorimin e CRM vetëm brenda nënrrjetit të zyrës, të kufizoni aksesin për pajisjet celulare, të ndaloni punën me sistemin CRM nga shtëpia ose, edhe më keq, nga rrjetet publike (hapësirat e bashkëpunimit, kafenetë, zyrat e klientëve , etj.). Jini veçanërisht të kujdesshëm me versionin celular - le të jetë vetëm një version shumë i cunguar për punë.
• Një antivirus me skanim në kohë reale nevojitet në çdo rast, por veçanërisht në rastin e sigurisë së të dhënave të korporatës. Në nivelin e politikave, ndaloni vetë çaktivizimin e tij.
• Trajnimi i punonjësve për higjienën kibernetike nuk është humbje kohe, por një nevojë urgjente. Është e nevojshme t'u përcillni të gjithë kolegëve se është e rëndësishme që ata jo vetëm të paralajmërojnë, por edhe të reagojnë drejt ndaj kërcënimit të marrë. Ndalimi i përdorimit të internetit ose emailit tuaj në zyrë është një gjë e së kaluarës dhe një shkak i negativitetit akut, ndaj do t'ju duhet të punoni për parandalimin.

Sigurisht, duke përdorur një sistem cloud, mund të arrini një nivel të mjaftueshëm sigurie: përdorni serverë të dedikuar, konfiguroni ruterat dhe ndani trafikun në nivelin e aplikacionit dhe nivelin e bazës së të dhënave, përdorni nënrrjeta private, futni rregulla strikte sigurie për administratorët, siguroni funksionim të pandërprerë përmes kopjeve rezervë me frekuencën dhe plotësinë maksimale të kërkuar, për të monitoruar rrjetin gjatë gjithë orës... Nëse mendoni për këtë, nuk është aq e vështirë, por mjaft e shtrenjtë. Por, siç tregon praktika, vetëm disa kompani, kryesisht ato të mëdha, marrin masa të tilla. Prandaj, nuk hezitojmë të themi përsëri: si cloud ashtu edhe desktopi nuk duhet të jetojnë më vete; mbrojini të dhënat tuaja.

Disa këshilla të vogla por të rëndësishme për të gjitha rastet e zbatimit të një sistemi CRM

• Kontrolloni shitësin për dobësi - kërkoni informacione duke përdorur kombinime të fjalëve "Dënueshmëria e emrit të shitësit", "Emri i shitësit i hakuar", "Rrjedhja e të dhënave të emrit të shitësit". Ky nuk duhet të jetë parametri i vetëm në kërkimin e një sistemi të ri CRM, por thjesht është e nevojshme të shënoni nënkorteksin, dhe është veçanërisht e rëndësishme të kuptoni arsyet e incidenteve që kanë ndodhur.
• Pyetni shitësin për qendrën e të dhënave: disponueshmërinë, sa janë, si organizohet failover.
• Vendosni argumentet e sigurisë në CRM-në tuaj, monitoroni aktivitetin brenda sistemit dhe pikat e pazakonta.
• Çaktivizoni eksportimin e raporteve dhe aksesin nëpërmjet API-së për punonjësit jo-thelbësorë - domethënë ata që nuk kanë nevojë për këto funksione për aktivitetet e tyre të rregullta.
• Sigurohuni që sistemi juaj CRM është i konfiguruar për të regjistruar proceset dhe regjistrimin e veprimeve të përdoruesit.

Këto janë gjëra të vogla, por ato plotësojnë në mënyrë të përkryer pamjen e përgjithshme. Dhe, në fakt, asnjë gjë e vogël nuk është e sigurt.

Duke zbatuar një sistem CRM, ju siguroni sigurinë e të dhënave tuaja - por vetëm nëse zbatimi kryhet me kompetencë dhe çështjet e sigurisë së informacionit nuk kthehen në plan të dytë. Pajtohem, është marrëzi të blesh një makinë dhe të mos kontrollosh frenat, ABS, airbags, rripat e sigurimit, EDS. Në fund të fundit, gjëja kryesore nuk është vetëm të shkosh, por të shkosh i sigurt dhe të arrish atje shëndoshë e mirë. Është e njëjta gjë me biznesin.

Dhe mbani mend: nëse rregullat e sigurisë në punë shkruhen me gjak, rregullat e sigurisë kibernetike të biznesit shkruhen me para.

Në temën e sigurisë kibernetike dhe vendin e sistemit CRM në të, mund të lexoni artikujt tanë të detajuar:

• Instinkti themelor i biznesit: skaji i sigurisë së korporatës — një përmbledhje e kërcënimeve të mundshme të sigurisë në sferën e korporatës dhe një skemë e përafërt zbulimi.
• A duhet të mbroni të dhënat nga punonjësit? — një analizë e detajuar se si punonjësit mund të dëmtojnë biznesin tuaj dhe si e bëjnë këtë në sferën tregtare.

Nëse jeni duke kërkuar për një sistem CRM, atëherë vazhdoni RegionSoft CRM deri më 31 Mars 15% zbritje. Nëse keni nevojë për CRM ose ERP, studioni me kujdes produktet tona dhe krahasoni aftësitë e tyre me qëllimet dhe objektivat tuaja. Nëse keni ndonjë pyetje ose vështirësi, shkruani ose telefononi, ne do të organizojmë një prezantim individual në internet për ju - pa vlerësime ose këmbanat dhe bilbilat.

Kanali ynë në Telegram, në të cilën, pa reklama, ne shkruajmë gjëra jo plotësisht formale për CRM dhe biznesin.

Burimi: www.habr.com