Den 31 mars är det internationella säkerhetskopieringsdagen, och veckan innan är alltid full av säkerhetsrelaterade berättelser. På måndagen lärde vi oss redan om den komprometterade Asus och "tre namnlösa tillverkare." Särskilt vidskepliga företag sitter på nålar hela veckan och gör säkerhetskopior. Och allt för att vi alla är lite slarviga när det gäller säkerheten: någon glömmer att spänna fast säkerhetsbältet i baksätet, någon struntar i produkternas utgångsdatum, någon lagrar sitt användarnamn och lösenord under tangentbordet, och ännu hellre, skriver ner alla lösenord i en anteckningsbok. Vissa individer lyckas inaktivera antivirus "för att inte sakta ner datorn" och inte använda separation av åtkomsträttigheter i företagssystem (vilka hemligheter i ett företag med 50 personer!). Förmodligen har mänskligheten helt enkelt ännu inte utvecklat instinkten för cybersjälvbevarelsedrift, som i princip kan bli en ny grundläggande instinkt.
Företagen har inte heller utvecklat sådana instinkter. En enkel fråga: är ett CRM-system ett informationssäkerhetshot eller ett säkerhetsverktyg? Det är osannolikt att någon kommer att ge ett korrekt svar direkt. Här måste vi börja, som vi fick lära oss på engelska lektioner: det beror på... Det beror på inställningarna, formen för CRM-leverans, leverantörens vanor och övertygelser, graden av ignorering av anställda, angriparnas sofistikerade . Allt kan trots allt hackas. Så hur ska man leva?
Detta är informationssäkerhet i små och medelstora företag
CRM-system som skydd
Att skydda kommersiella och operativa data och säkert lagra din kundbas är en av de viktigaste uppgifterna för ett CRM -system, och i detta är det huvud och axlar framför allt annat applikationsprogramvara i företaget.
Visst började du läsa den här artikeln och flirade inifrån och sa, vem behöver din information. Om så är fallet, har du förmodligen inte hanterat försäljningen och inte vet hur efterfrågan "live" och högkvalitativa kundbaser och information om metoder för att arbeta med denna bas är. Innehållet i CRM -systemet är intressant inte bara för företagets ledning, utan också för:
- Angripare (mindre ofta) - de har ett mål specifikt relaterat till ditt företag och kommer att använda alla resurser för att få data: mutor av anställda, hacking, köp av din data från chefer, intervjuer med chefer, etc.
- Anställda (oftare) som kan fungera som insiders för dina konkurrenter. De är helt enkelt redo att ta bort eller sälja sin kundbas för sin egen vinst.
- För amatörhackare (mycket sällan) - du kan bli hackad in i molnet där din data finns eller nätverket hackas, eller så kanske någon vill "dra ut" dina data för skojs skull (till exempel data om läkemedels- eller alkoholgrossister - bara intressant att se).
Om någon kommer in i din CRM kommer de att ha tillgång till din operativa aktivitet, det vill säga till den volym av data som du gör de flesta av dina vinster. Och från det ögonblick som skadlig tillgång till CRM -systemet erhålls börjar vinsten le på den i vars händer kundbasen hamnar. Tja, eller hans partners och kunder (läs - nya arbetsgivare).
Bra, pålitlig kan täcka dessa risker och ge ett gäng trevliga bonusar inom säkerhetsområdet.
Så vad kan ett CRM-system göra när det gäller säkerhet?
(vi ska berätta med ett exempel, därför att Vi kan inte ta ansvar för andra)
- Tvåfaktorautentisering med hjälp av en USB-nyckel och lösenord. stöder tvåfaktors användarbehörighetsläge när du loggar in i systemet. I det här fallet, när du loggar in på systemet, måste du, förutom att ange lösenordet, sätta in en USB-nyckel som har initierats i förväg i datorns USB-port. Tvåfaktorsauktoriseringsläge hjälper till att skydda mot lösenordsstöld eller avslöjande.
Klickbar
- Kör från betrodda IP-adresser och MAC-adresser. För ökad säkerhet kan du begränsa användare från att bara logga in från registrerade IP-adresser och MAC-adresser. Både interna IP-adresser på det lokala nätverket och externa adresser kan användas som IP-adresser om användaren ansluter på distans (via Internet).
- Domänauktorisering (Windows-auktorisering). Systemstarten kan konfigureras så att användarlösenordet inte krävs vid inloggning. I det här fallet sker Windows-auktorisering, vilket identifierar användaren som använder WinAPI. Systemet kommer att startas under den användare under vars profil datorn körs vid den tidpunkt då systemet startar.
- En annan mekanism är privata kunder. Privatkunder är kunder som endast kan ses av sin handledare. Dessa klienter kommer inte att visas i andra användares listor, även om andra användare har fullständiga behörigheter, inklusive administratörsrättigheter. På så sätt kan du skydda till exempel en pool av särskilt viktiga kunder eller en grupp av annan anledning, som kommer att anförtros till en pålitlig chef.
- Mekanism för att dela åtkomsträttigheter — En standard och primär säkerhetsåtgärd i CRM. För att förenkla processen för att administrera användarrättigheter, i Rättigheter tilldelas inte specifika användare utan till mallar. Och användaren själv tilldelas en eller annan mall, som har en viss uppsättning rättigheter. Detta tillåter varje anställd - från nyanställda till praktikanter till styrelseledamöter - att tilldela behörigheter och åtkomsträttigheter som gör det möjligt för/förhindra att de får åtkomst till känslig information och känslig affärsinformation.
- Automatiskt säkerhetskopieringssystem (säkerhetskopiering)konfigurerbar via skriptserver .
Detta är implementeringen av säkerhet med ett enda system som ett exempel, varje leverantör har sina egna policyer. Men CRM-systemet skyddar verkligen din information: du kan se vem som tog den eller den rapporten och vid vilken tidpunkt, vem som såg vilken data, vem som laddade ner den och mycket mer. Även om du får reda på sårbarheten i efterhand kommer du inte att lämna handlingen ostraffad och kan enkelt identifiera den anställde som missbrukade företagets förtroende och lojalitet.
Är du avslappnad? Tidigt! Just detta skydd kan motverka dig om du slarvar och ignorerar dataskyddsfrågor.
CRM-system som ett hot
Om ditt företag har minst en dator är detta redan en källa till cyberhot. Följaktligen ökar hotnivån med antalet arbetsstationer (och anställda) och med mängden programvara som installeras och används. Och saker är inte lätt med CRM -system - trots allt är detta ett program som är utformat för att lagra och bearbeta den viktigaste och dyra tillgången: en kundbas och kommersiell information, och här berättar vi skräckhistorier om dess säkerhet. Faktum är att allt inte är så dystert på nära håll, och om det hanteras på rätt sätt får du inget annat än nytta och trygghet av CRM-systemet.
Vilka är tecknen på ett farligt CRM-system?
Låt oss börja med en kort utflykt till grunderna. CRM finns i moln- och skrivbordsversioner. Cloud Ones är de vars DBMS (databas) inte finns i ditt företag, men i ett privat eller offentligt moln i något datacenter (till exempel sitter du i Chelyabinsk, och din databas körs i ett super cool datacenter i Moskva , eftersom CRM-leverantören beslutade det och han har ett avtal med just denna leverantör). Desktop (aka on-premise, server-som inte längre är så sant) baserar sina DBM på dina egna servrar (nej, nej, föreställ dig inte ett enormt serverrum med dyra rack, oftast i små och medelstora företag det är en enda server eller till och med en vanlig PC med modern konfiguration), det vill säga fysiskt på ditt kontor.
Det är möjligt att få obehörig åtkomst till båda typerna av CRM, men hastigheten och enkel åtkomst är olika, speciellt om vi pratar om små och medelstora företag som inte bryr sig så mycket om informationssäkerhet.
Fara tecken #1
Anledningen till den högre sannolikheten för problem med data i ett molnsystem är relationen kopplad till flera länkar: du (CRM-hyresgäst) - leverantör - leverantör (det finns en längre version: du - leverantör - IT-outsourcing av leverantören - leverantör) . 3-4 länkar i en relation har fler risker än 1-2: ett problem kan uppstå på säljarens sida (byte av kontrakt, utebliven betalning av leverantörstjänster), på leverantörens sida (force majeure, hacking, tekniska problem), på uppdragsgivarens sida (chefs- eller ingenjörsbyte) m.m. Naturligtvis försöker stora leverantörer ha backup av datacenter, hantera risker och underhålla sin DevOps-avdelning, men det utesluter inte problem.
Desktop CRM hyrs i allmänhet inte, utan köps av företaget; följaktligen ser förhållandet enklare och mer transparent ut: under implementeringen av CRM konfigurerar leverantören de nödvändiga säkerhetsnivåerna (från differentiering av åtkomsträttigheter och en fysisk USB-nyckel till att bifoga server i en betongvägg etc.) och överför kontrollen till företaget som äger CRM, vilket kan öka skyddet, anlita en systemadministratör eller kontakta sin mjukvaruleverantör vid behov. Problemen handlar om att arbeta med anställda, skydda nätverket och fysiskt skydda information. Om du använder stationär CRM kommer inte ens en fullständig avstängning av Internet att sluta fungera, eftersom databasen finns på ditt "hemma" kontor.
En av våra anställda, som arbetade i ett företag som utvecklade molnbaserade integrerade kontorssystem, inklusive CRM, berättar om molnteknologier. "På ett av mina jobb skapade företaget något som liknade en grundläggande CRM, och allt var kopplat till onlinedokument och så vidare. En dag i GA såg vi onormal aktivitet från en av våra prenumerantkunder. Föreställ dig förvåningen hos oss, analytiker, när vi, som inte är utvecklare, utan med en hög åtkomstnivå, helt enkelt kunde öppna gränssnittet som klienten använde via en länk och se vilken typ av populär skylt han hade. Förresten verkar det som att kunden inte skulle vilja att någon ska se denna kommersiella data. Ja, det var en bugg, och det var inte åtgärdat på flera år - enligt min mening finns det fortfarande kvar. Sedan dess har jag varit en skrivbordsentusiast och litar inte riktigt på molnen, även om vi naturligtvis använder dem på jobbet och i våra privata liv, där vi också hade några roliga fakaps.”
Från vår undersökning om Habré, och dessa är anställda på avancerade företag
Förlust av data från ett moln CRM-system kan bero på dataförlust på grund av serverfel, otillgänglighet på servrar, force majeure, uppsägning av leverantörsaktiviteter, etc. Molnet innebär konstant, oavbruten åtkomst till Internet, och skyddet måste vara utan motstycke: på kodnivå, åtkomsträttigheter, ytterligare cybersäkerhetsåtgärder (till exempel tvåfaktorsautentisering).
Fara tecken #2
Vi talar inte ens om en egenskap, utan om en grupp egenskaper relaterade till leverantören och dess policyer. Låt oss lista några viktiga exempel som vi och våra anställda har stött på.
- Säljaren kan välja ett otillräckligt tillförlitligt datacenter där klienternas DBMS kommer att "rotera". Han kommer att spara pengar, kommer inte att kontrollera SLA, kommer inte att beräkna belastningen, och resultatet kommer att bli ödesdigert för dig.
- Säljaren kan neka rätten att överföra tjänsten till datacentret du väljer. Detta är en ganska vanlig begränsning för SaaS.
- Säljaren kan ha en juridisk eller ekonomisk konflikt med molnleverantören, och under "showdown" kan säkerhetskopieringsåtgärder eller till exempel hastigheten begränsas.
- Tjänsten att skapa säkerhetskopior kan tillhandahållas mot en extra kostnad. En vanlig praxis som en klient i ett CRM-system bara kan lära sig om i det ögonblick då en backup behövs, det vill säga i det mest kritiska och sårbara ögonblicket.
- Leverantörsanställda kan ha obehindrad tillgång till kunddata.
- Dataläckor av alla slag kan inträffa (mänskliga fel, bedrägerier, hackare, etc.).
Vanligtvis är dessa problem förknippade med små eller unga leverantörer, men stora har upprepade gånger fått problem (Google IT). Därför bör du alltid ha sätt att skydda information på din sida + diskutera säkerhetsfrågor med den valda CRM -systemleverantören i förväg. Till och med själva faktumet för ditt intresse för problemet kommer redan att tvinga leverantören att behandla implementeringen så ansvarsfullt som möjligt (det är särskilt viktigt att göra detta om du inte har att göra med leverantörens kontor, utan med sin partner, för vilken det är Viktigt att avsluta ett avtal och ta emot en provision, och inte dessa tvåfaktor ... ja förstod du).
Fara tecken #3
Organisering av säkerhetsarbetet i ditt företag. För ett år sedan skrev vi traditionellt om Security på Habré och genomförde en undersökning. Provet var inte särskilt stort, men svaren är indikativa:
I slutet av artikeln kommer vi att ge länkar till våra publikationer, där vi i detalj undersökte förhållandet i systemet "företag-anställd-säkerhet", och här kommer vi att ge en lista med frågor som svaren på bör finnas inom ditt företag (även om du inte behöver CRM).
- Var lagrar anställda lösenord?
- Hur organiseras tillgången till lagring på företagets servrar?
- Hur är programvara som innehåller kommersiell och operativ information skyddad?
- Har alla anställda antivirusprogram aktiva?
- Hur många anställda har tillgång till kunddata och vilken åtkomstnivå har denna?
- Hur många nyanställningar har du och hur många anställda är på väg att sluta?
- Hur länge har du kommunicerat med nyckelpersoner och lyssnat på deras förfrågningar och klagomål?
- Övervakas skrivare?
- Hur är policyn organiserad för att ansluta dina egna prylar till din PC, samt använda Wi-Fi på jobbet?
I själva verket är det grundläggande frågor - Hardcore kommer förmodligen att läggas till i kommentarerna, men detta är grunderna, vars grunder till och med en enskild entreprenör med två anställda bör veta.
Så hur skyddar man sig?
- Säkerhetskopiering är det viktigaste som ofta antingen glöms bort eller inte tas om hand. Om du har ett skrivbordssystem, ställ in ett säkerhetskopieringssystem med en given frekvens (till exempel för RegionSoft CRM kan detta göras med ) och organisera korrekt lagring av kopior. Om du har ett Cloud CRM, se till att ta reda på det innan du avslutar ett kontrakt hur arbetet med säkerhetskopior är organiserad: Du behöver information om djupet och frekvensen, lagringsplatsen, kostnaden för säkerhetskopiering (ofta bara säkerhetskopior av "senaste uppgifterna för perioden ” är gratis, och en fullfjädrad, säker säkerhetskopiering tillhandahålls som en betaltjänst). I allmänhet är detta definitivt inte platsen för besparingar eller slarv. Och ja, glöm inte att kontrollera vad som återställs från säkerhetskopior.
- Separation av åtkomsträttigheter på funktions- och datanivå.
- Säkerhet på nätverksnivå - du måste tillåta användning av CRM endast inom kontorsundernätet, begränsa åtkomst för mobila enheter, förbjuda arbete med CRM-systemet hemifrån eller, ännu värre, från offentliga nätverk (coworking-utrymmen, kaféer, klientkontor , etc.). Var särskilt försiktig med mobilversionen - låt den bara vara en kraftigt trunkerad version för jobbet.
- Ett antivirus med realtidsskanning behövs i alla fall, men speciellt när det gäller företagsdatasäkerhet. På policynivå, förbjud att inaktivera det själv.
- Att utbilda anställda i cyberhygien är inte slöseri med tid, utan ett akut behov. Det är nödvändigt att förmedla till alla kollegor att det är viktigt för dem att inte bara varna, utan också reagera korrekt på det mottagna hotet. Att förbjuda användningen av Internet eller din e-post på kontoret är ett minne blott och en orsak till akut negativitet, så du måste arbeta förebyggande.
Naturligtvis, med ett molnsystem, kan du uppnå en tillräcklig säkerhetsnivå: använd dedikerade servrar, konfigurera routrar och separat trafik på applikationsnivå och databasnivå, använda privata undernät, införa strikta säkerhetsregler för administratörer, säkerställa oavbruten drift genom säkerhetskopior Med den maximala erforderliga frekvensen och fullständigheten, för att övervaka nätverket dygnet runt ... om du tänker på det är det inte så svårt, utan ganska dyrt. Men, som praxis visar, bara vissa företag, mestadels stora, vidtar sådana åtgärder. Därför tvekar vi inte att säga igen: både molnet och skrivbordet ska inte leva på egen hand; skydda dina data.
Några små men viktiga tips för alla fall av implementering av ett CRM -system
- Kontrollera leverantören för sårbarheter - leta efter information med hjälp av kombinationer av ord "Vendor Name vulnerability", "Vendor Name hacked", "Vendor Name data leak". Detta bör inte vara den enda parametern i sökandet efter ett nytt CRM-system, utan det är helt enkelt nödvändigt att kryssa i subcortex, och det är särskilt viktigt att förstå orsakerna till de incidenter som inträffade.
- Fråga leverantören om datacentret: tillgänglighet, hur många det finns, hur failover är organiserad.
- Ställ in säkerhetstokens i din CRM, övervaka aktivitet i systemet och ovanliga spikar.
- Inaktivera export av rapporter och åtkomst via API för icke-kärnanställda – det vill säga de som inte behöver dessa funktioner för sin vanliga verksamhet.
- Se till att ditt CRM -system är konfigurerat för att logga processer och logga användaråtgärder.
Det här är små saker, men de kompletterar perfekt den övergripande bilden. Och faktiskt, inga småsaker är säkra.
Genom att implementera ett CRM-system säkerställer du säkerheten för din data – men bara om implementeringen utförs kompetent, och informationssäkerhetsfrågor inte förpassas till bakgrunden. Håller med, det är dumt att köpa en bil och inte kolla bromsar, ABS, krockkuddar, säkerhetsbälten, EDS. Huvudsaken är trots allt inte bara att åka, utan att gå säkert och komma dit i god behag. Det är samma sak med affärer.
Och kom ihåg: Om reglerna för arbetssäkerhet är skrivna i blod skrivs reglerna för företags cybersäkerhet i pengar.
När det gäller cybersäkerhet och platsen för CRM -systemet i det kan du läsa våra detaljerade artiklar:
- — En översikt över möjliga säkerhetshot inom företagssfären och ett ungefärligt upptäcktsschema.
- — en detaljerad analys av hur anställda kan skada din verksamhet och hur de gör detta i den kommersiella sfären.
Om du letar efter ett CRM-system, då . Om du behöver CRM eller ERP, studera våra produkter noggrant och jämför deras kapacitet med dina mål och mål. Om du har några frågor eller svårigheter, skriv eller ring, vi ordnar en individuell onlinepresentation åt dig – utan betyg eller ringsignaler.
, där vi utan reklam skriver inte helt formella saker om CRM och affärer.
Källa: will.com