2008 kunde jag besöka ett IT-företag. Det fanns någon form av ohälsosam spänning hos varje anställd. Anledningen visade sig vara enkel: mobiltelefoner ligger i en låda vid ingången till kontoret, det finns en kamera bakom ryggen, 2 stora extra "seende" kameror på kontoret och övervakningsprogram med en keylogger. Och ja, det här är inte företaget som utvecklat SORM eller livsuppehållande system för flygplan, utan helt enkelt en utvecklare av affärsapplikationsprogramvara, nu absorberad, krossad och inte längre existerande (vilket verkar logiskt). Om du nu sträcker ut dig och tror att på ditt kontor med hängmattor och M&M i vaser så är det definitivt inte fallet, du kan ha mycket fel – det är bara det att kontrollen över 11 år har lärt sig att vara osynlig och korrekt, utan uppgörelser över besökta sajter och laddade ner filmer.
Så är det verkligen omöjligt utan allt detta, men hur är det med tillit, lojalitet, tro på människor? Tro det eller ej, det finns lika många företag utan säkerhetsåtgärder. Men anställda lyckas strula både här och där – helt enkelt för att den mänskliga faktorn kan förstöra världar, inte bara ditt företag. Så, var kan dina anställda få till bus?
Det här är inget särskilt seriöst inlägg, som har exakt två funktioner: att lysa upp vardagen lite och att påminna om grundläggande säkerhetssaker som ofta glöms bort. Åh, och återigen påminna dig om — Är inte sådan mjukvara kanten av säkerhet? 🙂
Låt oss gå i slumpmässigt läge!
Lösenord, lösenord, lösenord...
Man pratar om dem och en våg av indignation rullar in: hur kan det vara, sa de till världen så många gånger, men saker finns kvar! I företag på alla nivåer, från enskilda entreprenörer till multinationella företag, är detta en väldigt öm punkt. Ibland verkar det för mig att om de imorgon bygger en riktig Death Star, kommer det att finnas något som admin/admin i adminpanelen. Så vad kan vi förvänta oss av vanliga användare, för vilka deras egen VKontakte-sida är mycket dyrare än ett företagskonto? Här är punkterna att kontrollera:
- Att skriva lösenord på papperslappar, på baksidan av tangentbordet, på bildskärmen, på bordet under tangentbordet, på ett klistermärke på undersidan av musen (lurigt!) – anställda ska aldrig göra detta. Och inte för att en hemsk hackare kommer in och laddar ner hela 1C till en flash-enhet över lunch, utan för att det kan finnas en kränkt Sasha på kontoret som ska sluta och göra något smutsigt eller ta bort informationen för sista gången . Varför inte göra detta vid din nästa lunch?
Det här är vad? Den här saken lagrar alla mina lösenord
- Ställa in enkla lösenord för att komma in i PC och arbetsprogram. Födelsedatum, qwerty123 och även asdf är kombinationer som hör hemma i skämt och på bashorg, och inte i företagets säkerhetssystem. Ställ in krav på lösenord och deras längd och ställ in utbytesfrekvensen.
Ett lösenord är som underkläder: byt det ofta, dela det inte med dina vänner, ett långt är bättre, var mystiskt, sprid det inte överallt
- Leverantörens standardprogram för inloggningslösenord är felaktiga, om så bara för att nästan alla säljarens anställda känner till dem, och om du har att göra med ett webbaserat system i molnet, kommer det inte att vara svårt för någon att få tag i data. Speciellt om du också har nätverkssäkerhet på nivån "dra inte i sladden".
- Förklara för anställda att lösenordstipset i operativsystemet inte ska se ut som "min födelsedag", "dotterns namn", "Gvoz-dika-78545-ap#1! på engelska." eller "kvarts och en etta och en nolla."
Min katt ger mig fantastiska lösenord! Han går över mitt tangentbord
Fysisk tillgång till ärenden
Hur organiserar ditt företag tillgången till bokföring och personaldokumentation (till exempel till personliga akter för anställda)? Låt mig gissa: om det är ett litet företag, då på redovisningsavdelningen eller på chefens kontor i mappar på hyllor eller i en garderob; om det är ett stort företag, då på HR-avdelningen på hyllorna. Men om det är väldigt stort, är allt troligtvis korrekt: ett separat kontor eller block med en magnetisk nyckel, där bara vissa anställda har tillgång och för att komma dit måste du ringa en av dem och gå in i den här noden i deras närvaro. Det är inget svårt att göra ett sådant skydd i alla företag, eller åtminstone lära sig att inte skriva lösenordet till kontorsskåpet med krita på dörren eller på väggen (allt är baserat på verkliga händelser, skratta inte).
Varför är det viktigt? För det första har arbetare en patologisk önskan att ta reda på de mest hemliga sakerna om varandra: civilstånd, lön, medicinska diagnoser, utbildning etc. Detta är en sådan kompromiss i kontorskonkurrens. Och du har absolut inte nytta av bråken som kommer att uppstå när designern Petya får reda på att han tjänar 20 tusen mindre än designern Alice. För det andra kan anställda där få tillgång till företagets finansiella information (balansräkningar, årsredovisningar, kontrakt). För det tredje kan något helt enkelt gå förlorat, skadas eller stjälas för att dölja spår i ens egen arbetshistoria.
Ett lager där någon är en förlust, någon är en skatt
Om du har ett lager, tänk på att förr eller senare kommer du garanterat att stöta på brottslingar - det är helt enkelt så psykologin hos en person fungerar, som ser en stor volym av produkter och är övertygad om att lite av mycket inte är rån, men delning. Och en enhet av varor från denna hög kan kosta 200 tusen, eller 300 tusen, eller flera miljoner. Tyvärr kan ingenting stoppa stöld förutom pedantisk och total kontroll och redovisning: kameror, acceptans och avskrivning med streckkoder, automatisering av lagerbokföring (till exempel i vår lagerbokföring är organiserad på ett sådant sätt att chefen och arbetsledaren kan se varurörelsen genom lagret i realtid).
Beväpna därför ditt lager till tänderna, säkerställ fysisk säkerhet från den yttre fienden och fullständig säkerhet från den inre. Anställda inom transport, logistik och lager måste tydligt förstå att det finns kontroll, det fungerar och de kommer nästan att straffa sig själva.
*hej, stick inte in händerna i infrastrukturen
Om berättelsen om serverrummet och städerskan redan har överlevt sig själv och länge har migrerat till berättelser om andra industrier (till exempel samma sak gick om den mystiska avstängningen av ventilatorn på samma avdelning), så förblir resten verklighet . Nätverks- och IT-säkerhet hos små och medelstora företag lämnar mycket övrigt att önska, och det beror ofta inte på om du har en egen systemadministratör eller en inbjuden. Det senare klarar sig ofta ännu bättre.
Så vad är de anställda här kapabla till?
- Det trevligaste och mest ofarliga är att gå till serverrummet, dra i sladdarna, titta, spilla te, applicera smuts eller försöka konfigurera något själv. Detta drabbar särskilt "självsäkra och avancerade användare" som heroiskt lär sina kollegor att inaktivera antivirus och kringgå skydd på en PC och är säkra på att de är medfödda gudar i serverrummet. I allmänhet är behörig begränsad åtkomst ditt allt.
- Stöld av utrustning och utbyte av komponenter. Älskar du ditt företag och har installerat kraftfulla grafikkort för alla så att faktureringssystemet, CRM och allt annat kan fungera perfekt? Bra! Endast listiga killar (och ibland tjejer) kommer lätt att ersätta dem med en hemmamodell, och hemma kommer de att köra spel på en ny kontorsmodell - men halva världen kommer inte att veta. Det är samma historia med tangentbord, möss, kylare, UPS och allt som på något sätt kan ersättas inom hårdvarukonfigurationen. Som ett resultat bär du risken för skada på egendom, dess fullständiga förlust, samtidigt som du inte får önskad hastighet och kvalitet på arbetet med informationssystem och applikationer. Det som sparar är ett övervakningssystem (ITSM-system) med konfigurerad konfigurationskontroll), som måste levereras komplett med en oförstörbar och principfast systemadministratör.
Kanske vill du leta efter ett bättre säkerhetssystem? Jag är inte säker på om detta tecken räcker
- Att använda dina egna modem, åtkomstpunkter eller någon form av delad Wi-Fi gör åtkomst till filer mindre säker och praktiskt taget okontrollerbar, vilket kan utnyttjas av angripare (inklusive i maskopi med anställda). Tja, dessutom är sannolikheten att en anställd "med sitt eget internet" kommer att tillbringa arbetstimmar på YouTube, humoristiska webbplatser och sociala nätverk mycket högre.
- Enade lösenord och inloggningar för att komma åt webbplatsens administratörsområde, CMS, applikationsprogram är fruktansvärda saker som gör en oduglig eller illvillig anställd till en svårfångad hämnare. Om du har 5 personer från samma undernät med samma inloggning/lösenord som kommer in för att sätta upp en banner, kontrollera reklamlänkar och mätvärden, korrigera layouten och ladda upp en uppdatering, kommer du aldrig gissa vem av dem som av misstag förvandlade CSS till en pumpa. Därför: olika inloggningar, olika lösenord, loggning av åtgärder och differentiering av åtkomsträttigheter.
- Onödigt att säga om den olicensierade programvaran som anställda drar in på sina datorer för att redigera ett par bilder under arbetstid eller skapa något väldigt hobbyrelaterat. Har du inte hört talas om inspektionen av avdelning "K" i Centrala inrikesdirektoratet? Då kommer hon till dig!
- Antiviruset borde fungera. Ja, vissa av dem kan sakta ner din dator, irritera dig och i allmänhet verka som ett tecken på feghet, men det är bättre att förhindra det än att senare betala med driftstopp eller, värre, stulen data.
- Operativsystemvarningar om farorna med att installera en applikation bör inte ignoreras. Idag är det bara några sekunder och minuter att ladda ner något för jobbet. Till exempel Direct.Commander eller AdWords editor, någon SEO-parser, etc. Om allt är mer eller mindre tydligt med Yandex och Googles produkter kan en annan picreizer, en gratis virusrenare, en videoredigerare med tre effekter, skärmdumpar, Skype-inspelare och andra "små program" skada både en enskild dator och hela företagets nätverk . Träna användare att läsa vad datorn vill ha av dem innan de ringer systemadministratören och säger att "allt är dött." I vissa företag löses problemet enkelt: många nedladdade användbara verktyg lagras på nätverksresursen, och en lista över lämpliga onlinelösningar publiceras också där.
- BYOD-policyn eller, omvänt, policyn att tillåta användning av arbetsutrustning utanför kontoret är en mycket ond sida av säkerheten. I det här fallet har släktingar, vänner, barn, offentliga oskyddade nätverk etc. tillgång till tekniken. Detta är rent rysk roulette - du kan gå i 5 år och klara dig, men du kan förlora eller skada alla dina dokument och värdefulla filer. Tja, dessutom, om en anställd har skadliga avsikter är det lika enkelt som att skicka två byte för att läcka data med "gående" utrustning. Du måste också komma ihåg att anställda ofta överför filer mellan sina persondatorer, vilket återigen kan skapa kryphål i säkerheten.
- Att låsa dina enheter när du är borta är en god vana för både företags- och personligt bruk. Återigen, det skyddar dig från nyfikna kollegor, bekanta och inkräktare på offentliga platser. Det är svårt att vänja sig vid det här, men på en av mina arbetsplatser hade jag en underbar upplevelse: kollegor närmade sig en olåst dator och Paint öppnades över hela fönstret med inskriptionen "Lås datorn!" och något förändrades i arbetet, till exempel, den senast pumpade enheten demolerades eller den senast introducerade buggen togs bort (detta var en testgrupp). Det är grymt, men 1-2 gånger räckte även för de mest trä. Även om jag misstänker att icke-IT-folk kanske inte förstår sådan humor.
- Men den värsta synden ligger förstås hos systemadministratören och ledningen – om de kategoriskt inte använder trafikledningssystem, utrustning, licenser osv.
Detta är förstås en bas, eftersom IT-infrastrukturen är själva platsen där ju längre in i skogen, desto mer ved finns det. Och alla borde ha den här basen och inte ersättas med orden "vi litar alla på varandra", "vi är en familj", "vem behöver det" - tyvärr, det här är för tillfället.
Det här är internet, baby, de kan veta mycket om dig.
Det är dags att införa säker hantering av internet i livssäkerhetskursen i skolan – och det handlar inte alls om de åtgärder som vi är fördjupade i utifrån. Det här handlar specifikt om möjligheten att särskilja en länk från en länk, förstå var är nätfiske och var är en bluff, inte öppna e-postbilagor med ämnet "Avstämningsrapport" från en okänd adress utan att förstå det, etc. Även om det verkar som att skolbarnen redan har bemästrat allt detta, men de anställda har inte. Det finns många knep och misstag som kan äventyra hela företaget på en gång.
- Sociala nätverk är en del av internet som inte har någon plats på jobbet, men att blockera dem på företagsnivå 2019 är en impopulär och demotiverande åtgärd. Därför behöver du bara skriva till alla anställda hur man kontrollerar olagligheten av länkar, berätta för dem om typerna av bedrägerier och be dem att arbeta på jobbet.
- Mail är en öm punkt och kanske det mest populära sättet att stjäla information, plantera skadlig programvara och infektera en dator och hela nätverket. Tyvärr, många arbetsgivare anser att e-postklienten är ett kostnadsbesparande verktyg och använder gratistjänster som tar emot 200 spam-e-postmeddelanden per dag som går igenom filter, etc. Och några oansvariga människor öppnar sådana brev och bilagor, länkar, bilder - tydligen hoppas de att den svarte prinsen lämnade ett arv åt dem. Därefter har administratören mycket, mycket arbete. Eller var det tänkt så? Förresten, en annan grym historia: i ett företag, för varje skräppostbrev till systemadministratören, reducerades KPI. I allmänhet, efter en månad fanns det ingen spam - praxis antogs av moderorganisationen, och det finns fortfarande ingen spam. Vi löste det här problemet elegant – vi utvecklade vår egen e-postklient och byggde in den i vår egen , så alla våra kunder får också en sådan bekväm funktion.
Nästa gång du får ett konstigt mejl med en gem-symbol, klicka inte på den!
- Messengers är också en källa till alla möjliga osäkra länkar, men detta är mycket mindre ont än e-post (inte räknar bort den tid som slösas bort med chattandet i chattar).
Det verkar som att allt detta är småsaker. Men var och en av dessa små saker kan få katastrofala konsekvenser, särskilt om ditt företag är målet för en konkurrents attack. Och detta kan hända bokstavligen vem som helst.
Chattiga medarbetare
Detta är den mycket mänskliga faktorn som kommer att vara svår för dig att bli av med. Anställda kan diskutera arbete i korridoren, på ett kafé, på gatan, hemma hos en kund, prata högt om en annan kund, prata om arbetsprestationer och projekt hemma. Naturligtvis är sannolikheten att en konkurrent står bakom dig försumbar (om du inte är i samma affärscenter - detta har hänt), men möjligheten att en kille som tydligt anger sina affärsaffärer kommer att filmas på en smartphone och publiceras på YouTube är konstigt nog högre. Men det här är bullshit också. Det är inte skitsnack när dina anställda gärna presenterar information om en produkt eller ett företag på utbildningar, konferenser, möten, professionella forum eller till och med på Habré. Dessutom kallar människor ofta medvetet sina motståndare till sådana samtal för att bedriva konkurrensunderrättelseverksamhet.
En avslöjande historia. Vid en IT-konferens i galaktisk skala lade sektionsföreläsaren ut på en bild ett komplett diagram över organisationen av IT-infrastrukturen hos ett stort företag (topp 20). Schemat var megaimponerande, helt enkelt kosmiskt, nästan alla fotograferade det, och det flög direkt över sociala nätverk med strålande recensioner. Jo, då fångade talaren dem med hjälp av geotaggar, stativ, sociala medier. nätverk av de som postade det och bad om att bli raderat, eftersom de ringde honom ganska snabbt och sa ah-ta-ta. En chatterbox är en gudagåva för en spion.
Okunskap... befriar dig från straff
Enligt Kaspersky Labs globala rapport för 2017 om företag som upplever cybersäkerhetsincidenter under en 12-månadersperiod, involverade en av tio (11 %) av de allvarligaste incidenttyperna slarviga och oinformerade anställda.
Utgå inte från att anställda vet allt om företagens säkerhetsåtgärder, se till att varna dem, ge utbildning, göra intressanta periodiska nyhetsbrev om säkerhetsfrågor, hålla möten över pizza och klargöra frågor igen. Och ja, ett coolt life hack - märk all tryckt och elektronisk information med färger, tecken, inskriptioner: affärshemlighet, hemlighet, för officiellt bruk, allmän tillgång. Det här fungerar verkligen.
Den moderna världen har försatt företag i en mycket känslig position: det är nödvändigt att upprätthålla en balans mellan medarbetarens önskan att inte bara arbeta hårt på jobbet, utan också få underhållningsinnehåll i bakgrunden/under raster, och strikta företagssäkerhetsregler. Om du sätter på hyperkontroll och idiotiska spårningsprogram (ja, inte ett stavfel – det här är inte säkerhet, det här är paranoia) och kameror bakom ryggen, då kommer de anställdas förtroende för företaget att sjunka, men att upprätthålla förtroendet är också ett företags säkerhetsverktyg.
Vet därför när du ska sluta, respektera dina anställda och gör säkerhetskopior. Och viktigast av allt, prioritera säkerhet, inte personlig paranoia.
Om du behöver och jämför deras kapacitet med dina mål och mål. Om du har några frågor eller svårigheter, skriv eller ring, vi ordnar en individuell onlinepresentation åt dig – utan betyg eller ringsignaler.
, där vi utan reklam skriver inte helt formella saker om CRM och affärer.
Källa: will.com