ProHoster > Blog > administratë > Pasiguria e korporatës

Pasiguria e korporatës

Në vitin 2008, munda të vizitoja një kompani IT. Kishte një lloj tensioni jo të shëndetshëm në çdo punonjës. Arsyeja doli të jetë e thjeshtë: telefonat celularë janë në një kuti në hyrje të zyrës, ka një aparat fotografik pas shpinës, 2 kamera të mëdha shtesë "duke parë" në zyrë dhe softuer monitorimi me një keylogger. Dhe po, kjo nuk është kompania që ka zhvilluar SORM ose sisteme të mbështetjes së jetës së avionëve, por thjesht një zhvillues i softuerit të aplikacioneve të biznesit, tashmë të zhytur, të grimcuar dhe jo më ekzistues (gjë që duket logjike). Nëse tani po shtriheni dhe mendoni se në zyrën tuaj me hamak dhe M&M në vazo nuk është kështu, mund të gaboheni shumë - thjesht mbi 11 vjet kontrolli ka mësuar të jetë i padukshëm dhe korrekt, pa përballje. faqet e vizituara dhe filmat e shkarkuar.

Pra, a është vërtet e pamundur pa të gjitha këto, por ç'të themi për besimin, besnikërinë, besimin tek njerëzit? Besoni apo jo, ka po aq kompani pa masa sigurie. Por punonjësit arrijnë të ngatërrojnë si këtu ashtu edhe atje - thjesht sepse faktori njerëzor mund të shkatërrojë botë, jo vetëm kompaninë tuaj. Pra, ku mund të përballen punonjësit tuaj për të keqen?

Pasiguria e korporatës

Ky nuk është një postim shumë serioz, i cili ka saktësisht dy funksione: të ndriçojë pak jetën e përditshme dhe t'ju kujtojë gjërat bazë të sigurisë që shpesh harrohen. Oh, dhe një herë ju kujtoj sistem i ftohtë dhe i sigurt CRM — A nuk është një softuer i tillë avantazhi i sigurisë? 🙂

Le të shkojmë në modalitetin e rastësishëm!

Fjalëkalimet, fjalëkalimet, fjalëkalimet...

Ti flet për ta dhe vërshon një valë indinjate: si mundet, i thanë botës kaq shumë herë, por gjërat janë ende aty! Në kompanitë e të gjitha niveleve, nga sipërmarrësit individualë tek korporatat shumëkombëshe, ky është një vend shumë i dhembshëm. Ndonjëherë më duket se nëse nesër ndërtojnë një Yll të Vdekjes së vërtetë, do të ketë diçka si admin/admin në panelin e administratorit. Pra, çfarë mund të presim nga përdoruesit e zakonshëm, për të cilët faqja e tyre VKontakte është shumë më e shtrenjtë se një llogari e korporatës? Këtu janë pikat për të kontrolluar:

  • Shkrimi i fjalëkalimeve në copa letre, në anën e pasme të tastierës, në monitor, në tryezë nën tastierë, në një ngjitëse në fund të miut (dinak!) - punonjësit nuk duhet ta bëjnë kurrë këtë. Dhe jo sepse një haker i tmerrshëm do të hyjë dhe do të shkarkojë të gjithë 1C në një flash drive gjatë drekës, por sepse mund të ketë një Sasha të ofenduar në zyrë që do të heqë dorë dhe do të bëjë diçka të pistë ose do të heqë informacionin për herë të fundit . Pse të mos e bëni këtë në drekën tuaj të ardhshme?

Pasiguria e korporatës
Kjo është çfarë? Kjo gjë ruan të gjitha fjalëkalimet e mia

  • Vendosja e fjalëkalimeve të thjeshta për të hyrë në PC dhe programet e punës. Datat e lindjes, qwerty123 dhe madje asdf janë kombinime që bëjnë pjesë në shaka dhe në bashorg, dhe jo në sistemin e sigurisë së korporatës. Vendosni kërkesat për fjalëkalimet dhe gjatësinë e tyre dhe vendosni frekuencën e zëvendësimit.

Pasiguria e korporatës
Një fjalëkalim është si të brendshmet: ndërroje shpesh, mos e ndaj me miqtë, një i gjatë është më i mirë, ji misterioz, mos e shpërnda kudo.

  • Fjalëkalimet e paracaktuara të hyrjes në programin e shitësit janë të meta, vetëm sepse pothuajse të gjithë punonjësit e shitësit i njohin ato, dhe nëse keni të bëni me një sistem të bazuar në ueb në cloud, nuk do të jetë e vështirë për askënd që të marrë të dhënat. Sidomos nëse keni gjithashtu sigurinë e rrjetit në nivelin "mos e tërhiq kordonin".
  • Shpjegojuni punonjësve se aludimi i fjalëkalimit në sistemin operativ nuk duhet të duket si "ditëlindja ime", "emri i vajzës", "Gvoz-dika-78545-ap#1! në Anglisht." ose "kuarta dhe një dhe një zero".    

Pasiguria e korporatës
Macja ime më jep fjalëkalime të shkëlqyera! Ai po ecën nëpër tastierën time

Akses fizik në rastet

Si e organizon kompania juaj aksesin në dokumentacionin e kontabilitetit dhe personelit (për shembull, në dosjet personale të punonjësve)? Më lejoni të hamendësoj: nëse është një biznes i vogël, atëherë në departamentin e kontabilitetit ose në zyrën e shefit në dosje në rafte ose në një dollap; nëse është një biznes i madh, atëherë në departamentin e burimeve njerëzore në rafte. Por nëse është shumë i madh, atëherë ka shumë të ngjarë që gjithçka është e saktë: një zyrë ose bllok i veçantë me një çelës magnetik, ku vetëm punonjës të caktuar kanë qasje dhe për të arritur atje, duhet të telefononi njërin prej tyre dhe të shkoni në këtë nyje në praninë e tyre. Nuk ka asgjë të vështirë të bësh një mbrojtje të tillë në çdo biznes, ose të paktën të mësosh të mos shkruash fjalëkalimin për kasafortën e zyrës me shkumës në derë ose në mur (gjithçka bazohet në ngjarje reale, mos qesh).

Pse është e rëndësishme? Së pari, punëtorët kanë një dëshirë patologjike për të zbuluar gjërat më sekrete për njëri-tjetrin: statusin martesor, pagën, diagnozat mjekësore, arsimin, etj. Ky është një kompromis i tillë në konkurrencën e zyrave. Dhe ju absolutisht nuk përfitoni nga grindjet që do të lindin kur stilisti Petya zbulon se fiton 20 mijë më pak se stilisti Alice. Së dyti, atje punonjësit mund të kenë akses në informacionin financiar të kompanisë (bilancat, raportet vjetore, kontratat). Së treti, diçka thjesht mund të humbasë, dëmtohet ose vidhet për të mbuluar gjurmët në historinë e punës së dikujt.

Një depo ku dikush është një humbje, dikush është një thesar

Nëse keni një depo, konsideroni se herët a vonë ju garantohet të takoni kriminelë - kështu funksionon thjesht psikologjia e një personi, i cili sheh një vëllim të madh produktesh dhe beson me vendosmëri se pak nga shumë nuk është grabitje, por ndarjen. Dhe një njësi mallrash nga ky grumbull mund të kushtojë 200 mijë, ose 300 mijë, ose disa milionë. Fatkeqësisht, asgjë nuk mund ta ndalojë vjedhjen, përveç kontrollit dhe kontabilitetit pedant dhe total: kamera, pranim dhe fshirje duke përdorur barkode, automatizimi i kontabilitetit të magazinës (për shembull, në tonë RegionSoft CRM Kontabiliteti i magazinës është i organizuar në atë mënyrë që menaxheri dhe mbikëqyrësi mund të shohin lëvizjen e mallrave nëpër magazinë në kohë reale).

Prandaj armatosni deri në dhëmbë depon tuaj, siguroni siguri fizike nga armiku i jashtëm dhe siguri të plotë nga ajo e brendshme. Punonjësit në transport, logjistikë dhe magazina duhet të kuptojnë qartë se ka kontroll, funksionon dhe ata pothuajse do të ndëshkojnë veten.

*Hej, mos i fut duart në infrastrukturë

Nëse historia për dhomën e serverit dhe pastruesen e ka mbijetuar tashmë veten dhe ka migruar prej kohësh në tregime të industrive të tjera (për shembull, i njëjti shkoi për mbylljen mistike të ventilatorit në të njëjtin repart), atëherë pjesa tjetër mbetet realitet. . Siguria e rrjetit dhe e TI-së e bizneseve të vogla dhe të mesme lë shumë për të dëshiruar dhe kjo shpesh nuk varet nga fakti nëse keni administratorin tuaj të sistemit apo një të ftuar. Kjo e fundit shpesh e përballon edhe më mirë.

Pra, çfarë janë të aftë punonjësit këtu?

  • Gjëja më e bukur dhe më e padëmshme është të shkoni në dhomën e serverit, të tërhiqni telat, të shikoni, të derdhni çaj, të aplikoni papastërti ose të përpiqeni të konfiguroni diçka vetë. Kjo prek veçanërisht "përdoruesit e sigurt dhe të avancuar" të cilët heroikisht i mësojnë kolegët e tyre të çaktivizojnë antivirusin dhe të anashkalojnë mbrojtjen në një PC dhe janë të sigurt se ata janë perëndi të lindur të dhomës së serverit. Në përgjithësi, aksesi i kufizuar i autorizuar është gjithçka juaj.
  • Vjedhja e pajisjeve dhe zëvendësimi i komponentëve. A e doni kompaninë tuaj dhe keni instaluar karta video të fuqishme për të gjithë, në mënyrë që sistemi i faturimit, CRM dhe gjithçka tjetër të funksionojnë në mënyrë perfekte? E shkëlqyeshme! Vetëm djemtë dinakë (dhe nganjëherë vajzat) do t'i zëvendësojnë lehtësisht me një model shtëpie, dhe në shtëpi ata do të bëjnë lojëra në një model të ri zyre - por gjysma e botës nuk do ta dijë. Është e njëjta histori me tastierat, minjtë, ftohësit, UPS-të dhe gjithçka që mund të zëvendësohet disi brenda konfigurimit të harduerit. Si rrjedhojë, ju mbani rrezikun e dëmtimit të pronës, humbjes së plotë të saj dhe në të njëjtën kohë nuk merrni shpejtësinë dhe cilësinë e dëshiruar të punës me sistemet dhe aplikacionet e informacionit. Ajo që kursen është një sistem monitorimi (sistemi ITSM) me kontroll të konfiguruar të konfigurimit), i cili duhet të furnizohet i plotë me një administrator të sistemit të pakorruptueshëm dhe parimor.

Pasiguria e korporatës
Ndoshta dëshironi të kërkoni një sistem më të mirë sigurie? Nuk jam i sigurt nëse kjo shenjë është e mjaftueshme

  • Përdorimi i modemeve, pikave të hyrjes ose një lloj Wi-Fi të përbashkët e bën aksesin në skedarë më pak të sigurt dhe praktikisht të pakontrollueshëm, të cilat mund të shfrytëzohen nga sulmuesit (përfshirë marrëveshjet e fshehta me punonjësit). Epo, përveç kësaj, gjasat që një punonjës "me internetin e tij" të kalojë orët e punës në YouTube, faqet humoristike dhe rrjetet sociale është shumë më i lartë.  
  • Fjalëkalimet dhe hyrjet e unifikuara për të hyrë në zonën e administratorit të faqes, CMS, programet e aplikacionit janë gjëra të tmerrshme që e kthejnë një punonjës të paaftë ose keqdashës në një hakmarrës të pakapshëm. Nëse keni 5 persona nga i njëjti nënrrjet me të njëjtin hyrje/fjalëkalim që hyjnë për të vendosur një baner, për të kontrolluar lidhjet dhe metrikat e reklamave, për të korrigjuar paraqitjen dhe për të ngarkuar një përditësim, nuk do ta merrni kurrë me mend se cili prej tyre e ktheu aksidentalisht CSS në një kungull. Prandaj: hyrje të ndryshme, fjalëkalime të ndryshme, regjistrime të veprimeve dhe diferencim të të drejtave të aksesit.
  • Eshtë e panevojshme të thuhet për softuerin e palicencuar që punonjësit e tërheqin në kompjuterët e tyre për të redaktuar disa foto gjatë orarit të punës ose për të krijuar diçka shumë të lidhur me hobi. Nuk keni dëgjuar për inspektimin e departamentit “K” të Drejtorisë Qendrore të Punëve të Brendshme? Pastaj ajo vjen tek ju!
  • Antivirusi duhet të funksionojë. Po, disa prej tyre mund të ngadalësojnë kompjuterin tuaj, t'ju irritojnë dhe në përgjithësi të duken si një shenjë frikacake, por është më mirë ta parandaloni atë sesa të paguani më vonë me kohë joproduktive ose, më keq, të dhëna të vjedhura.
  • Paralajmërimet e sistemit operativ për rreziqet e instalimit të një aplikacioni nuk duhet të injorohen. Sot, shkarkimi i diçkaje për punë është çështje sekondash dhe minutash. Për shembull, redaktori Direct.Commander ose AdWords, disa analizues SEO, etj. Nëse gjithçka është pak a shumë e qartë me produktet Yandex dhe Google, atëherë një tjetër picreizer, një pastrues falas virusesh, një redaktues video me tre efekte, pamje nga ekrani, regjistrues Skype dhe "programe të tjera të vogla" mund të dëmtojnë si një kompjuter individual ashtu edhe të gjithë rrjetin e kompanisë. . Trajnoni përdoruesit të lexojnë atë që kompjuteri kërkon prej tyre përpara se të telefonojnë administratorin e sistemit dhe të thonë se "gjithçka ka vdekur". Në disa kompani, çështja zgjidhet thjesht: shumë shërbime të dobishme të shkarkuara ruhen në ndarjen e rrjetit, dhe një listë e zgjidhjeve të përshtatshme në internet është postuar gjithashtu atje.
  • Politika BYOD ose, anasjelltas, politika e lejimit të përdorimit të pajisjeve të punës jashtë zyrës është një anë shumë e keqe e sigurisë. Në këtë rast, të afërmit, miqtë, fëmijët, rrjetet publike të pambrojtura, etj. kanë akses në teknologji. Kjo është një ruletë thjesht ruse - mund të shkoni për 5 vjet dhe të arrini, por mund të humbni ose dëmtoni të gjitha dokumentet dhe skedarët tuaj të vlefshëm. Epo, përveç kësaj, nëse një punonjës ka qëllime keqdashëse, është po aq e lehtë sa dërgimi i dy bajt për të rrjedhur të dhëna me pajisje "në këmbë". Ju gjithashtu duhet të mbani mend se punonjësit shpesh transferojnë skedarë midis kompjuterëve të tyre personalë, gjë që përsëri mund të krijojë boshllëqe sigurie.
  • Bllokimi i pajisjeve kur jeni larg është një zakon i mirë si për përdorim të korporatës ashtu edhe për përdorim personal. Përsëri, ju mbron nga kolegët kureshtarë, të njohurit dhe ndërhyrësit në vende publike. Është e vështirë të mësohesh me këtë, por në një nga vendet e mia të punës pata një përvojë të mrekullueshme: kolegët iu afruan një kompjuteri të shkyçur dhe Paint u hap në të gjithë dritaren me mbishkrimin "Blloko kompjuterin!" dhe diçka ndryshoi në punë, për shembull, montimi i fundit i pompuar u prish ose defekti i fundit i futur u hoq (ky ishte një grup testimi). Është mizore, por 1-2 herë mjaftuan edhe për ato më të drunjtë. Edhe pse, dyshoj, njerëzit jo-IT mund të mos e kuptojnë një humor të tillë.
  • Por mëkati më i keq, natyrisht, qëndron tek administratori dhe menaxhmenti i sistemit - nëse ata kategorikisht nuk përdorin sisteme të kontrollit të trafikut, pajisje, licenca, etj.

Kjo është, sigurisht, një bazë, sepse infrastruktura e TI-së është pikërisht vendi ku sa më larg në pyll, aq më shumë dru zjarri ka. Dhe të gjithë duhet ta kenë këtë bazë, dhe jo të zëvendësohen me fjalët "ne të gjithë i besojmë njëri-tjetrit", "ne jemi një familje", "kush ka nevojë për të" - mjerisht, kjo është për momentin.

Ky është interneti, zemër, ata mund të dinë shumë për ju.

Është koha për të futur trajtimin e sigurt të internetit në kursin e sigurisë së jetës në shkollë - dhe kjo nuk ka të bëjë aspak me masat në të cilat jemi zhytur nga jashtë. Kjo ka të bëjë veçanërisht me aftësinë për të dalluar një lidhje nga një lidhje, për të kuptuar se ku është phishing dhe ku është një mashtrim, për të mos hapur bashkëngjitjet e postës elektronike me temën "Raporti i pajtimit" nga një adresë e panjohur pa e kuptuar atë, etj. Ndonëse, siç duket, nxënësit e shkollës tashmë i kanë zotëruar të gjitha këto, por punonjësit jo. Ka shumë hile dhe gabime që mund të rrezikojnë të gjithë kompaninë menjëherë.

  • Rrjetet sociale janë një pjesë e internetit që nuk ka vend në punë, por bllokimi i tyre në nivel kompanie në vitin 2019 është një masë jopopullore dhe demotivuese. Prandaj, thjesht duhet t'u shkruani të gjithë punonjësve se si të kontrolloni paligjshmërinë e lidhjeve, t'u tregoni atyre për llojet e mashtrimit dhe t'u kërkoni atyre të punojnë në punë.

Pasiguria e korporatës

  • Posta është një pikë e lënduar dhe ndoshta mënyra më e popullarizuar për të vjedhur informacione, për të mbjellë malware dhe për të infektuar një PC dhe të gjithë rrjetin. Mjerisht, shumë punëdhënës e konsiderojnë klientin e postës elektronike si një mjet që kursen kosto dhe përdorin shërbime falas që marrin 200 emaile të padëshiruara në ditë që kalojnë nëpër filtra, etj. Dhe disa njerëz të papërgjegjshëm hapin letra dhe bashkëngjitje të tilla, lidhje, fotografi - me sa duket, ata shpresojnë që princi i zi u la një trashëgimi. Pas së cilës administratori ka shumë, shumë punë. Apo ishte menduar kështu? Nga rruga, një tjetër histori mizore: në një kompani, për çdo letër spam drejtuar administratorit të sistemit, KPI u zvogëlua. Në përgjithësi, pas një muaji nuk kishte asnjë spam - praktika u miratua nga organizata mëmë, dhe ende nuk ka spam. Ne e zgjidhëm këtë çështje në mënyrë elegante - zhvilluam klientin tonë të emailit dhe e ndërtuam atë në tonën RegionSoft CRM, kështu që të gjithë klientët tanë marrin gjithashtu një veçori kaq të përshtatshme.

Pasiguria e korporatës
Herën tjetër që do të merrni një email të çuditshëm me një simbol kapëse letre, mos klikoni mbi të!

  • Lajmëtarët janë gjithashtu një burim i të gjitha llojeve të lidhjeve të pasigurta, por kjo është shumë më pak e keqe se posta (duke mos llogaritur kohën e humbur duke biseduar në biseda).

Duket se të gjitha këto janë gjëra të vogla. Megjithatë, secila nga këto gjëra të vogla mund të ketë pasoja katastrofike, veçanërisht nëse kompania juaj është objektivi i sulmit të një konkurrenti. Dhe kjo mund t'i ndodhë fjalë për fjalë kujtdo.

Pasiguria e korporatës

Punonjës llafazan

Ky është vetë faktori njerëzor që do ta keni të vështirë ta hiqni qafe. Punonjësit mund të diskutojnë punën në korridor, në një kafene, në rrugë, në shtëpinë e një klienti, të flasin me zë të lartë për një klient tjetër, të flasin për arritjet e punës dhe projektet në shtëpi. Sigurisht, gjasat që një konkurrent të qëndrojë pas jush është i papërfillshëm (nëse nuk jeni në të njëjtën qendër biznesi - kjo ka ndodhur), por mundësia që një djalë që tregon qartë punët e tij të biznesit të filmohet në një smartphone dhe të postohet në YouTube është, çuditërisht, më i lartë. Por edhe kjo është marrëzi. Nuk është marrëzi kur punonjësit tuaj paraqesin me dëshirë informacione për një produkt ose kompani në trajnime, konferenca, takime, forume profesionale, apo edhe në Habré. Për më tepër, njerëzit shpesh i thërrasin qëllimisht kundërshtarët e tyre në biseda të tilla për të kryer inteligjencë konkurruese.

Një histori zbuluese. Në një konferencë IT në shkallë galaktike, folësi i seksionit paraqiti në një diagram një diagram të plotë të organizimit të infrastrukturës së IT të një kompanie të madhe (20 më të mirët). Skema ishte mega mbresëlënëse, thjesht kozmike, pothuajse të gjithë e fotografuan atë dhe ajo fluturoi menjëherë nëpër rrjetet sociale me komente të shkëlqyera. Epo, atëherë folësi i kapi ata duke përdorur etiketa gjeografike, stenda, media sociale. rrjetet e atyre që e postuan dhe luteshin të fshihej, sepse e thirrën shumë shpejt dhe i thanë ah-ta-ta. Një muhabet është një dhuratë nga perëndia për një spiun.

Injoranca... ju çliron nga ndëshkimi

Sipas raportit global të Kaspersky Lab për vitin 2017 të bizneseve që përjetojnë incidente të sigurisë kibernetike në një periudhë 12-mujore, një në dhjetë (11%) nga llojet më të rënda të incidenteve përfshinin punonjës të pakujdesshëm dhe të painformuar.

Mos supozoni se punonjësit dinë gjithçka për masat e sigurisë së korporatës, sigurohuni që t'i paralajmëroni ata, të ofroni trajnime, të bëni buletine periodike interesante për çështjet e sigurisë, të mbani takime për pica dhe t'i sqaroni përsëri çështjet. Dhe po, një hak i lezetshëm i jetës - shënoni të gjitha informacionet e shtypura dhe elektronike me ngjyra, shenja, mbishkrime: sekret tregtar, sekret, për përdorim zyrtar, akses të përgjithshëm. Kjo me të vërtetë funksionon.

Bota moderne i ka vendosur kompanitë në një pozicion shumë delikat: është e nevojshme të ruhet një ekuilibër midis dëshirës së punonjësit për të punuar shumë në punë, por edhe për të marrë përmbajtje argëtuese në sfond/gjatë pushimeve, dhe rregullave strikte të sigurisë së korporatës. Nëse aktivizoni hiperkontrollin dhe programet e gjurmimit moronik (po, jo një gabim shtypi - kjo nuk është siguri, kjo është paranoja) dhe kamerat pas shpine, atëherë besimi i punonjësve në kompani do të bjerë, por ruajtja e besimit është gjithashtu një mjet për sigurinë e korporatës .

Prandaj, dijeni kur të ndaloni, respektoni punonjësit tuaj dhe bëni kopje rezervë. Dhe më e rëndësishmja, jepni përparësi sigurisë, jo paranojës personale.

Nëse keni nevojë CRM ose ERP - hidhini një vështrim më të afërt produkteve tona dhe krahasoni aftësitë e tyre me qëllimet dhe objektivat tuaja. Nëse keni ndonjë pyetje ose vështirësi, shkruani ose telefononi, ne do të organizojmë një prezantim individual në internet për ju - pa vlerësime ose këmbanat dhe bilbilat.

Pasiguria e korporatës Kanali ynë në Telegram, në të cilën, pa reklama, ne shkruajmë gjëra jo plotësisht formale për CRM dhe biznesin.

Burimi: www.habr.com

Shto një koment