Sistem CRM tina sudut pandang cybersecurity: panyalindungan atanapi ancaman?

31 Maret nyaéta Poé Cadangan Internasional, sareng saminggu sateuacanna sok pinuh ku carita-carita anu aya hubunganana sareng kaamanan. Dinten Senén, urang parantos diajar ngeunaan Asus anu dikompromi sareng "tilu pabrik anu henteu namina." Utamana perusahaan tahayul linggih dina pin sareng jarum saminggu, ngadamel cadangan. Sareng sadaya sabab urang sadayana sakedik teu ati-ati dina hal kaamanan: aya anu hilap nyepetkeun sabuk korsina dina korsi tukang, aya anu teu malire tanggal béakna produk, aya anu nyimpen login sareng kecap akses na handapeun keyboard, sareng langkung saé, nyerat. kabéh kecap akses dina notebook. Sababaraha individu ngatur mareuman antipirus "supaya teu ngalambatkeun komputer" sareng henteu nganggo pamisahan hak aksés dina sistem perusahaan (naon rahasia dina perusahaan 50 urang!). Panginten, manusa ngan saukur teu acan ngembangkeun naluri pelestarian diri cyber, anu, prinsipna, tiasa janten naluri dasar anu énggal.

Usaha ogé henteu ngembangkeun naluri sapertos kitu. Patarosan basajan: naha sistem CRM mangrupikeun ancaman kaamanan inpormasi atanapi alat kaamanan? Teu mungkin saha waé bakal masihan jawaban anu akurat langsung. Di dieu urang kedah ngamimitian, sakumaha anu diajarkeun dina pelajaran basa Inggris: éta gumantung ... Éta gumantung kana setélan, bentuk pangiriman CRM, kabiasaan sareng kapercayaan anu ngajual, darajat disregard karyawan, kecanggihan panyerang. . Barina ogé, sagalana bisa hacked. Jadi kumaha hirup?

Ieu kaamanan inpormasi dina usaha leutik sareng sedeng Ti LiveJournal

Sistim CRM salaku panyalindungan

Ngajagi data komérsial sarta operasional sarta aman nyimpen basa customer anjeun salah sahiji tugas utama sistem CRM, sarta dina ieu sirah na taktak luhureun sakabeh software aplikasi sejenna di parusahaan.

Pasti anjeun mimiti maca tulisan ieu sareng nyengir jero, nyarios, anu peryogi inpormasi anjeun. Upami kitu, maka anjeun panginten henteu acan ngurus penjualan sareng henteu terang kumaha paménta "hirup" sareng basis pelanggan kualitas luhur sareng inpormasi ngeunaan metode damel sareng dasar ieu. Eusi sistem CRM pikaresepeun henteu ngan ukur pikeun manajemén perusahaan, tapi ogé pikeun:  

• Penyerang (kirang sering) - aranjeunna gaduh tujuan khusus anu aya hubunganana sareng perusahaan anjeun sareng bakal ngagunakeun sagala sumber pikeun nyandak data: nyogok karyawan, hacking, mésér data anjeun ti manajer, wawancara sareng manajer, jsb.
• Karyawan (leuwih sering) anu bisa meta salaku insiders pikeun pesaing Anjeun. Éta ngan saukur siap nyandak atanapi ngajual basis klien maranéhanana pikeun kauntungan sorangan.
• Pikeun peretas amatir (jarang pisan) - anjeun tiasa diretas kana méga dimana data anjeun aya atanapi jaringanna diretas, atanapi panginten aya anu hoyong "tarik kaluar" data anjeun pikeun senang-senang (contona, data ngeunaan grosir farmasi atanapi alkohol - ngan metot ningali).

Upami aya anu asup kana CRM anjeun, aranjeunna bakal ngagaduhan aksés kana kagiatan operasional anjeun, nyaéta, kana volume data anu anjeun hasilkeun kalolobaan kauntungan anjeun. Sarta ti momen aksés jahat kana sistem CRM geus miboga, kauntungan ngawitan seuri dina hiji di leungeun nu base klien ends up. Muhun, atanapi mitra na konsumén (baca - dunungan anyar).

Alus, dipercaya Sistim CRM nyaeta bisa nutupan resiko ieu sarta nyadiakeun kebat tina bonus pikaresepeun dina widang kaamanan.

Janten, naon anu tiasa dilakukeun ku sistem CRM dina hal kaamanan?

(Kami bakal nyaritakeun anjeun kalayan conto RegionSoft CRM, sabab Urang teu bisa tanggung jawab ka batur)

• Auténtikasi dua-faktor ngagunakeun konci USB sareng kecap akses. RegionSoft CRM ngarojong mode otorisasi pamaké dua-faktor nalika asup kana sistem. Dina hal ieu, nalika logging kana sistem, salian nuliskeun sandi, anjeun kudu nyelapkeun konci USB nu geus initialized sateuacanna kana port USB komputer. Mode otorisasi dua-faktor mantuan ngajaga tina maling sandi atawa panyingkepan.

Bisa diklik

• Jalankeun tina alamat IP anu dipercaya sareng alamat MAC. Pikeun kaamanan anu ditingkatkeun, anjeun tiasa ngawatesan pangguna pikeun log in ngan tina alamat IP sareng alamat MAC anu kadaptar. Kadua alamat IP internal dina jaringan lokal sareng alamat éksternal tiasa dianggo salaku alamat IP upami pangguna nyambung jarak jauh (ngaliwatan Internét).
• Otorisasi domain (otorisasi Windows). Sistem ngamimitian tiasa dikonpigurasi supados kecap akses pangguna henteu diperyogikeun nalika log in. Dina hal ieu, otorisasi Windows lumangsung, nu nangtukeun pamaké ngagunakeun WinAPI. Sistem bakal diluncurkeun dina pangguna handapeun profilna komputer dijalankeun nalika sistem ngamimitian.
• mékanisme sejen nyaeta klien swasta. Klién swasta nyaéta klien anu ngan ukur tiasa ditingali ku pengawasna. Klién ieu moal muncul dina daptar pamaké séjén, sanajan pamaké séjén boga idin pinuh, kaasup hak administrator. Ku cara kieu, anjeun tiasa ngajagi, contona, kolam renang klien anu penting atanapi grup pikeun alesan anu sanés, anu bakal dipercayakeun ka manajer anu dipercaya.
• Mékanisme pikeun ngabagi hak aksés - ukuran kaamanan standar sareng primér dina CRM. Pikeun nyederhanakeun prosés administrasi hak pamaké, di RegionSoft CRM hak ditugaskeun teu ka pamaké husus, tapi pikeun template. Jeung pamaké sorangan ditugaskeun hiji atawa template sejen, nu boga set tangtu hak. Hal ieu ngamungkinkeun unggal pagawe - ti hires anyar pikeun interns ka direksi - napelkeun idin sarta hak aksés nu bakal ngidinan / nyegah aranjeunna tina ngakses data sénsitip sarta informasi bisnis sénsitip.
• Sistem cadangan data otomatis (cadangan)configurable via server Aksara Server Aplikasi RegionSoft.

Ieu palaksanaan kaamanan ngagunakeun sistem tunggal sabagé conto, unggal ngajual boga kawijakan sorangan. Nanging, sistem CRM leres-leres ngajagi inpormasi anjeun: anjeun tiasa ningali saha anu nyandak laporan ieu atanapi éta sareng iraha waktosna, saha anu ningali data naon, saha anu ngaunduhna, sareng seueur deui. Malah lamun manggihan ngeunaan kerentanan sanggeus kanyataan, anjeun moal ninggalkeun kalakuan unpunished tur bisa kalayan gampang ngaidentipikasi pagawe anu abused kapercayaan tur kasatiaan pausahaan.

Anjeun santai? Mimiti! Perlindungan ieu tiasa dianggo ngalawan anjeun upami anjeun teu malire sareng teu malire masalah panyalindungan data.

Sistim CRM salaku anceman

Upami perusahaan anjeun gaduh sahenteuna hiji PC, ieu mangrupikeun sumber ancaman cyber. Sasuai, tingkat anceman naek kalawan jumlah workstations (jeung karyawan) sarta kalawan rupa-rupa software dipasang sarta dipaké. Sareng hal-hal henteu gampang sareng sistem CRM - saatosna, ieu mangrupikeun program anu dirancang pikeun nyimpen sareng ngolah aset anu paling penting sareng mahal: basis palanggan sareng inpormasi komérsial, sareng di dieu urang nyarioskeun carita horor ngeunaan kaamananna. Kanyataanna, teu sagalana jadi surem nepi deukeut, sarta lamun diatur leres, anjeun bakal nampa nanaon tapi kauntungan sarta kaamanan tina sistem CRM.

Naon tanda-tanda sistem CRM anu bahaya?

Hayu urang mimitian ku wisata pondok kana dasar. CRMs aya dina versi awan sareng desktop. Awan nyaéta jalma anu DBMS (database) henteu aya di perusahaan anjeun, tapi dina awan pribadi atanapi umum di sababaraha pusat data (contona, anjeun linggih di Chelyabinsk, sareng pangkalan data anjeun dijalankeun dina pusat data anu super cool di Moscow. , sabab padagang CRM mutuskeun kitu sareng anjeunna gaduh perjanjian sareng panyadia khusus ieu). Desktop (alias on-premise, server - anu henteu deui leres) ngadasarkeun DBMS na dina server anjeun nyalira (henteu, henteu, ulah ngabayangkeun kamar server anu ageung sareng rak mahal, paling sering dina usaha leutik sareng sedeng éta. server tunggal atawa malah hiji PC biasa tina konfigurasi modern), nyaeta, fisik di kantor Anjeun.

Kasebut nyaéta dimungkinkeun pikeun meunangkeun aksés diidinan pikeun duanana jenis CRM, tapi speed na betah aksés béda, utamana lamun urang ngobrol ngeunaan SMBs nu teu paduli teuing ngeunaan kaamanan informasi.

Tanda Bahaya #1

Alesan pikeun kamungkinan masalah anu langkung ageung sareng data dina sistem awan nyaéta hubungan anu dihubungkeun ku sababaraha tautan: anjeun (tenant CRM) - vendor - panyadia (aya versi anu langkung panjang: anjeun - vendor - IT outsourcer vendor - panyadia) . 3-4 Tumbu dina hubungan hiji boga resiko leuwih ti 1-2: masalah bisa lumangsung di sisi vendor urang (robah kontrak, non-mayar jasa panyadia), di sisi panyadia urang (force majeure, Hacking, masalah teknis), di sisi outsourcer (robah manajer atanapi insinyur), jsb. Tangtosna, padagang ageung nyobian gaduh pusat data cadangan, ngatur résiko sareng ngajaga jabatan DevOps na, tapi ieu henteu ngaluarkeun masalah.

Desktop CRM umumna henteu disewa, tapi dipésér ku perusahaan; sasuai, hubunganna katingali langkung saderhana sareng langkung transparan: salami palaksanaan CRM, padagang ngonpigurasikeun tingkat kaamanan anu diperyogikeun (tina ngabédakeun hak aksés sareng konci USB fisik pikeun ngalampirkeun server dina témbok beton, jeung sajabana) sarta mindahkeun kontrol ka parusahaan nu owns CRM nu, nu bisa ningkatkeun panyalindungan, nyewa administrator sistem, atawa ngahubungan supplier software na sakumaha perlu. Masalahna turun pikeun damel sareng karyawan, ngajagi jaringan sareng ngajagi inpormasi sacara fisik. Upami anjeun nganggo CRM desktop, bahkan pareum lengkep Internét moal ngeureunkeun damel, sabab pangkalan data aya di kantor "imah" anjeun.

Salah sahiji karyawan urang, anu digawé di hiji parusahaan nu ngembangkeun sistem kantor terpadu basis awan, kaasup CRM, ceramah ngeunaan téhnologi awan. "Di salah sahiji padamelan abdi, perusahaan nyiptakeun hal anu sami sareng CRM dasar, sareng sadayana disambungkeun kana dokumén online sareng saterasna. Hiji dinten di GA kami ningali kagiatan abnormal ti salah sahiji klien palanggan kami. Bayangkeun kaheranan urang, analis, nalika urang, sanés pamekar, tapi gaduh tingkat aksés anu luhur, ngan saukur tiasa muka antarmuka anu dianggo ku klien liwat tautan sareng ningali naon jinis tanda anu populér. Ngomong-ngomong, sigana yén klien henteu hoyong saha waé ningali data komérsial ieu. Leres, éta bug, sareng éta henteu dibenerkeun sababaraha taun - dina pamanggih kuring, hal-hal masih aya. Ti saprak éta, kuring janten peminat desktop sareng henteu percanten pisan kana méga, sanaos, tangtosna, kami nganggo éta dina padamelan sareng kahirupan pribadi urang, dimana urang ogé ngagaduhan sababaraha fakaps anu pikaresepeun.

Tina survey kami ngeunaan Habré, sareng ieu mangrupikeun karyawan perusahaan maju

Leungitna data tina sistem CRM awan bisa jadi alatan leungitna data alatan gagalna server, unavailability of server, force majeure, terminasi kagiatan vendor, jsb. Awan hartina aksés konstan, uninterrupted ka Internet, sarta panyalindungan kudu unprecedented: dina tingkat kode, hak aksés, ukuran cybersecurity tambahan (contona, auténtikasi dua-faktor).

Tanda Bahaya #2

Urang malah teu ngobrol ngeunaan hiji ciri, tapi ngeunaan grup ciri nu patali jeung ngajual jeung kawijakan na. Hayu urang daptar sababaraha conto penting nu urang jeung karyawan urang geus encountered.

• Ngajual tiasa milih pusat data anu teu tiasa dipercaya dimana DBMS klien bakal "revolve". Anjeunna bakal nyimpen duit, moal ngadalikeun SLA, moal ngitung beban, sarta hasilna bakal fatal pikeun anjeun.
• Anu ngajual tiasa nampik hak pikeun mindahkeun jasa ka pusat data anu anjeun pikahoyong. Ieu mangrupikeun watesan anu cukup umum pikeun SaaS.
• Anu ngajual tiasa gaduh konflik hukum atanapi ékonomi sareng panyadia awan, teras salami "showdown," tindakan cadangan atanapi, contona, laju tiasa diwatesan.
• Ladenan nyieun cadangan tiasa disayogikeun kalayan harga tambahan. Praktek umum anu klien sistem CRM ngan ukur tiasa diajar dina waktos cadangan diperyogikeun, nyaéta, dina waktos anu paling kritis sareng rentan.
• Karyawan ngical paralatan tiasa gaduh aksés anu teu kaganggu kana data palanggan.
• Bocor data naon waé tiasa lumangsung (kasalahan manusa, panipuan, peretas, jsb.).

Biasana masalah ieu pakait sareng padagang leutik atanapi ngora, kumaha oge, anu ageung parantos sababaraha kali janten masalah (google éta). Ku alatan éta, anjeun kudu salawasna boga cara ngajaga informasi di sisi anjeun + ngabahas masalah kaamanan jeung panyadia sistem CRM dipilih sateuacanna. Malahan kanyataan yén minat anjeun dina masalah éta bakal maksa supplier pikeun ngubaran palaksanaan sakumaha responsibly sabisa (utamana penting pikeun ngalakukeun ieu lamun anjeun teu nungkulan kantor nu ngajual urang, tapi jeung pasangan na, pikeun saha éta. penting pikeun nyimpulkeun hiji perjangjian sarta nampa komisi a, sarta teu dua-faktor ieu ... ogé anjeun ngartos).

Tanda Bahaya #3

Organisasi gawé kaamanan di perusahaan anjeun. Sataun ka tukang, urang sacara tradisional nyerat ngeunaan kaamanan dina Habré sareng ngalaksanakeun survey. Sampelna henteu ageung pisan, tapi jawabanna nunjukkeun:

Dina ahir tulisan, kami bakal nyayogikeun tautan kana publikasi kami, dimana kami nalungtik sacara rinci hubungan dina sistem "perusahaan-pagawe-kaamanan", sareng di dieu kami bakal nyayogikeun daptar patarosan anu jawabanana kedah dipendakan dina perusahaan anjeun (sanaos anjeun henteu peryogi CRM).

• Dimana karyawan nyimpen kecap akses?
• Kumaha aksés ka panyimpenan dina server perusahaan diatur?
• Kumaha parangkat lunak anu ngandung inpormasi komérsial sareng operasional ditangtayungan?
• Naha sadaya karyawan gaduh software antipirus aktip?
• Sabaraha karyawan gaduh aksés kana data klien, sareng naon tingkat aksés ieu?
• Sabaraha karyawan anyar anjeun gaduh sareng sabaraha karyawan anu badé angkat?
• Sabaraha lami anjeun komunikasi sareng karyawan konci sareng ngadangukeun pamundut sareng keluhanna?
• Dupi printer diawaskeun?
• Kumaha kawijakan diatur pikeun nyambungkeun gadget anjeun ka PC anjeun, kitu ogé nganggo Wi-Fi kerja?

Nyatana, ieu mangrupikeun patarosan dasar - hardcore sigana bakal ditambah dina koméntar, tapi ieu mangrupikeun dasar, dasar-dasar anu kedah terang bahkan pangusaha individu sareng dua karyawan.

Jadi kumaha ngajaga diri?

• Nyadangkeun mangrupikeun hal anu paling penting anu sering dipopohokeun atanapi henteu diurus. Upami anjeun gaduh sistem desktop, setel sistem cadangan data kalayan frekuensi anu ditangtukeun (contona, pikeun RegionSoft CRM, ieu tiasa dilakukeun nganggo Server Aplikasi RegionSoft) sareng atur panyimpenan anu leres tina salinan. Upami anjeun gaduh CRM awan, pastikeun pikeun milarian sateuacan nyimpulkeun kontrak kumaha cara damel sareng cadangan: anjeun peryogi inpormasi ngeunaan jerona sareng frékuénsi, lokasi panyimpen, biaya cadangan (sering ngan ukur cadangan "data pangénggalna pikeun jaman éta. ” gratis, sareng salinan cadangan anu lengkep sareng aman disayogikeun salaku jasa anu mayar). Sacara umum, ieu téh pasti lain tempat pikeun tabungan atawa lalawora. Sareng enya, tong hilap parios naon anu disimpen tina cadangan.
• Pemisahan hak aksés dina tingkat fungsi sareng data.
• Kaamanan di tingkat jaringan - anjeun kedah ngijinkeun panggunaan CRM ngan ukur dina subnet kantor, ngawatesan aksés pikeun alat sélulér, ngalarang damel sareng sistem CRM ti bumi atanapi, bahkan parah, tina jaringan umum (ruang kerja bareng, kafe, kantor klien. , jsb.). Utamana ati-ati sareng vérsi sélulér - ngantepkeun éta ngan ukur versi anu dipotong pisan pikeun digawé.
• Antipirus sareng scanning sacara real-time diperyogikeun dina sagala hal, tapi khususna dina kasus kaamanan data perusahaan. Dina tingkat kawijakan, nyaram nganonaktipkeun éta sorangan.
• Ngalatih karyawan ngeunaan kabersihan siber sanés miceunan waktos, tapi kabutuhan anu mendesak. Perlu nepikeun ka sadaya kolega yén penting pikeun aranjeunna henteu ngan ukur ngingetkeun, tapi ogé ngaréspon leres kana ancaman anu ditampi. Nyaram pamakean Internét atanapi email anjeun di kantor mangrupikeun hal anu kapungkur sareng nyababkeun negativity akut, janten anjeun kedah ngusahakeun pencegahan.

Tangtosna, nganggo sistem awan, anjeun tiasa ngahontal tingkat kaamanan anu cekap: nganggo server khusus, ngonpigurasikeun router sareng lalu lintas misah dina tingkat aplikasi sareng tingkat database, nganggo subnet swasta, ngenalkeun aturan kaamanan anu ketat pikeun pangurus, mastikeun operasi anu teu diganggu ku cadangan. kalawan frékuénsi maksimum diperlukeun tur completeness, pikeun ngawas jaringan sabudeureun jam ... Lamun mikir ngeunaan eta, teu nu hese, tapi rada mahal. Tapi, sakumaha prakték nunjukkeun, ngan ukur sababaraha perusahaan, kalolobaanana ageung, nyandak ukuran sapertos kitu. Ku alatan éta, urang ulah ragu ngomong deui: duanana awan na desktop teu kudu hirup sorangan; ngajaga data anjeun.

Sababaraha tip leutik tapi penting pikeun sadaya kasus palaksanaan sistem CRM

• Pariksa karentanan vendor - milarian inpormasi nganggo kombinasi kecap "Kerentanan Ngaran Vendor", "Nami Vendor diretas", "Bocor data Ngaran Vendor". Ieu teu kudu hijina parameter dina pilarian pikeun sistem CRM anyar, tapi ngan saukur perlu keletik subcortex, sarta hususna penting pikeun ngarti alesan pikeun kajadian anu lumangsungna.
• Tanya vendor ngeunaan puseur data: kasadiaan, sabaraha aya, kumaha failover diatur.
• Setel token kaamanan dina CRM anjeun, pantau kagiatan dina sistem sareng paku anu teu biasa.
• Nonaktipkeun ékspor laporan sareng aksés via API pikeun pagawé non-inti - nyaéta, jalma anu henteu peryogi fungsi ieu pikeun kagiatan rutinna.
• Pastikeun yén sistem CRM anjeun dikonpigurasi pikeun log prosés sareng log tindakan pangguna.

Ieu mangrupikeun hal-hal alit, tapi aranjeunna sampurna ngalengkepan gambar umum. Jeung, kanyataanna, euweuh hal saeutik anu aman.

Ku nerapkeun sistem CRM, anjeun mastikeun kaamanan data anjeun - tapi ngan lamun palaksanaan dilaksanakeun neuleu, sarta isu kaamanan informasi teu relegated ka tukang. Satuju, éta bodo mésér mobil teu pariksa rem, ABS, airbags, sabuk korsi, EDS. Barina ogé, hal utama henteu ngan indit, tapi pikeun balik aman tur nepi ka dinya aman jeung sora. Nya sami sareng bisnis.

Jeung inget: lamun aturan kaamanan pagawean ditulis dina getih, aturan cybersecurity bisnis ditulis dina duit.

Dina topik cybersecurity sareng tempat sistem CRM di jerona, anjeun tiasa maca tulisan kami anu lengkep:

• Naluri Usaha Dasar: Ujung Kaamanan Perusahaan - Tinjauan kamungkinan ancaman kaamanan dina lingkup perusahaan sareng skéma deteksi perkiraan.
• Naha anjeun kedah ngajagi data tina karyawan? - analisa rinci ngeunaan kumaha karyawan tiasa ngarugikeun bisnis anjeun sareng kumaha aranjeunna ngalakukeun ieu dina widang komérsial.

Upami anjeun milarian sistem CRM, teras RegionSoft CRM nepi ka 31 Maret, diskon 15%.. Upami anjeun peryogi CRM atanapi ERP, taliti diajar produk urang sareng bandingkeun kamampuanana sareng tujuan sareng tujuan anjeun. Upami anjeun gaduh patarosan atanapi kasusah, nyerat atanapi nelepon, kami bakal ngatur presentasi online individu pikeun anjeun - tanpa rating atanapi bel sareng whistles.

Saluran kami di Telegram, di mana, tanpa iklan, urang nulis teu sagemblengna hal formal ngeunaan CRM jeung bisnis.

sumber: www.habr.com