Noong 2008, nakabisita ako sa isang IT company. Nagkaroon ng ilang uri ng hindi malusog na tensyon sa bawat empleyado. Ang dahilan ay naging simple: ang mga mobile phone ay nasa isang kahon sa pasukan sa opisina, mayroong isang camera sa likod, 2 malalaking karagdagang "looking" na mga camera sa opisina at monitoring software na may isang keylogger. At oo, hindi ito ang kumpanya na bumuo ng SORM o mga sistema ng suporta sa buhay ng sasakyang panghimpapawid, ngunit isang developer lamang ng software ng application ng negosyo, na ngayon ay hinihigop, durog at hindi na umiiral (na tila lohikal). Kung ikaw ngayon ay nag-uunat at iniisip na sa iyong opisina na may mga duyan at M&M sa mga plorera ay tiyak na hindi ito ang kaso, maaari kang magkamali nang husto - ito ay higit sa 11 taon natutunan ng kontrol na maging invisible at tama, nang walang mga showdown binisita ang mga site at na-download na mga pelikula.
Kaya imposible ba talaga kung wala ang lahat ng ito, ngunit paano ang pagtitiwala, katapatan, pananampalataya sa mga tao? Maniwala ka man o hindi, marami kasing mga kumpanyang walang mga hakbang sa seguridad. Ngunit ang mga empleyado ay namamahala sa gulo dito at doon - dahil lamang sa kadahilanan ng tao ay maaaring sirain ang mga mundo, hindi lamang ang iyong kumpanya. Kaya, saan makakaahon ang iyong mga empleyado sa kalokohan?
Ito ay hindi isang napakaseryosong post, na may eksaktong dalawang function: upang lumiwanag nang kaunti ang pang-araw-araw na buhay at upang ipaalala sa iyo ang mga pangunahing bagay sa kaligtasan na kadalasang nakakalimutan. Oh, at muli mong ipaalala sa iyo β Hindi ba ang ganitong software ang gilid ng seguridad? π
Pumunta tayo sa random mode!
Mga password, password, password...
Pinag-uusapan mo sila at dumaloy ang galit: paano ito, ilang beses nilang sinabi sa mundo, ngunit nariyan pa rin ang mga bagay! Sa mga kumpanya sa lahat ng antas, mula sa mga indibidwal na negosyante hanggang sa mga multinasyunal na korporasyon, ito ay isang napakasakit na lugar. Minsan sa tingin ko, kung bukas ay bumuo sila ng isang tunay na Death Star, mayroong isang bagay tulad ng admin/admin sa admin panel. Kaya ano ang maaari nating asahan mula sa mga ordinaryong gumagamit, kung kanino ang kanilang sariling pahina ng VKontakte ay mas mahal kaysa sa isang corporate account? Narito ang mga punto upang suriin:
- Pagsusulat ng mga password sa mga piraso ng papel, sa likod ng keyboard, sa monitor, sa mesa sa ilalim ng keyboard, sa isang sticker sa ilalim ng mouse (tuso!) - hindi dapat gawin ito ng mga empleyado. At hindi dahil papasok ang isang kakila-kilabot na hacker at ida-download ang lahat ng 1C sa isang flash drive sa tanghalian, ngunit dahil maaaring may nasaktan na Sasha sa opisina na aalis at gagawa ng isang bagay na marumi o aalisin ang impormasyon sa huling pagkakataon. . Bakit hindi gawin ito sa iyong susunod na tanghalian?
Ito ay ano? Iniimbak ng bagay na ito ang lahat ng aking mga password
- Pagtatakda ng mga simpleng password para makapasok sa PC at mga work program. Ang mga petsa ng kapanganakan, qwerty123 at kahit asdf ay mga kumbinasyon na nabibilang sa mga biro at sa bashorg, at hindi sa corporate security system. Itakda ang mga kinakailangan para sa mga password at ang haba ng mga ito, at itakda ang dalas ng pagpapalit.
Ang password ay parang damit na panloob: palitan ito ng madalas, huwag ibahagi ito sa iyong mga kaibigan, mas mabuti ang mahaba, maging misteryoso, huwag ikalat ito kung saan-saan
- Ang mga password sa pag-login ng default na programa ng vendor ay may depekto, kung dahil lang sa halos lahat ng empleyado ng vendor ay kilala ang mga ito, at kung nakikipag-ugnayan ka sa isang web-based na system sa cloud, hindi magiging mahirap para sa sinuman na makuha ang data. Lalo na kung mayroon ka ring seguridad sa network sa antas na "huwag hilahin ang kurdon".
- Ipaliwanag sa mga empleyado na ang pahiwatig ng password sa operating system ay hindi dapat magmukhang "aking kaarawan", "pangalan ng anak", "Gvoz-dika-78545-ap#1! sa Ingles." o βquarts and a one and a zero.β
Binibigyan ako ng pusa ko ng magagandang password! Naglalakad siya sa keyboard ko
Pisikal na pag-access sa mga kaso
Paano inaayos ng iyong kumpanya ang pag-access sa accounting at dokumentasyon ng tauhan (halimbawa, sa mga personal na file ng mga empleyado)? Hayaan akong hulaan: kung ito ay isang maliit na negosyo, pagkatapos ay sa departamento ng accounting o sa opisina ng boss sa mga folder sa mga istante o sa isang aparador; kung ito ay isang malaking negosyo, pagkatapos ay sa departamento ng HR sa mga istante. Ngunit kung ito ay napakalaki, kung gayon malamang na tama ang lahat: isang hiwalay na opisina o bloke na may magnetic key, kung saan ang ilang mga empleyado lamang ang may access at upang makarating doon, kailangan mong tawagan ang isa sa kanila at pumunta sa node na ito sa kanilang presensya. Walang mahirap sa paggawa ng gayong proteksyon sa anumang negosyo, o hindi bababa sa pag-aaral na huwag isulat ang password para sa opisina na ligtas sa tisa sa pinto o sa dingding (lahat ay batay sa mga totoong kaganapan, huwag tumawa).
Bakit ito mahalaga? Una, ang mga manggagawa ay may pathological na pagnanais na malaman ang pinaka-lihim na mga bagay tungkol sa isa't isa: katayuan sa pag-aasawa, suweldo, mga medikal na diagnosis, edukasyon, atbp. Ito ay isang kompromiso sa kompetisyon sa opisina. At talagang hindi ka makikinabang sa mga squabbles na lalabas kapag nalaman ng designer na si Petya na kumikita siya ng 20 thousand na mas mababa kaysa sa designer na si Alice. Pangalawa, doon maa-access ng mga empleyado ang impormasyon sa pananalapi ng kumpanya (balance sheet, taunang ulat, kontrata). Pangatlo, ang isang bagay ay maaaring mawala, masira o manakaw upang pagtakpan ang mga bakas sa sariling kasaysayan ng trabaho.
Isang bodega kung saan ang isang tao ay isang pagkawala, ang isang tao ay isang kayamanan
Kung mayroon kang isang bodega, isaalang-alang na maaga o huli ay garantisadong makakatagpo ka ng mga kriminal - ito ay kung paano gumagana ang sikolohiya ng isang tao, na nakakakita ng isang malaking dami ng mga produkto at matatag na naniniwala na ang kaunti sa marami ay hindi pagnanakaw, ngunit pagbabahagi. At ang isang yunit ng mga kalakal mula sa tambak na ito ay maaaring nagkakahalaga ng 200 libo, o 300 libo, o ilang milyon. Sa kasamaang palad, walang makakapigil sa pagnanakaw maliban sa pedantic at kabuuang kontrol at accounting: mga camera, pagtanggap at pagpapawalang bisa gamit ang mga barcode, automation ng warehouse accounting (halimbawa, sa aming warehouse accounting ay nakaayos sa paraang makikita ng manager at superbisor ang paggalaw ng mga kalakal sa pamamagitan ng warehouse sa real time).
Samakatuwid, braso ang iyong bodega sa mga ngipin, tiyakin ang pisikal na seguridad mula sa panlabas na kaaway at kumpletong seguridad mula sa panloob. Ang mga empleyado sa transportasyon, logistik, at mga bodega ay dapat na malinaw na maunawaan na mayroong kontrol, gumagana ito, at halos parusahan nila ang kanilang sarili.
*hey, huwag ipasok ang iyong mga kamay sa imprastraktura
Kung ang kuwento tungkol sa server room at ang naglilinis na babae ay nabuhay na sa sarili at matagal nang lumipat sa mga kuwento ng iba pang mga industriya (halimbawa, ang parehong nangyari ay tungkol sa mystical shutdown ng ventilator sa parehong ward), kung gayon ang iba ay nananatiling katotohanan. . Ang seguridad ng network at IT ng mga maliliit at katamtamang laki ng mga negosyo ay nag-iiwan ng maraming nais, at ito ay madalas na hindi nakadepende sa kung mayroon kang sariling system administrator o isang iniimbitahan. Ang huli ay madalas na nakakaya nang mas mahusay.
Kaya ano ang kaya ng mga empleyado dito?
- Ang pinakamaganda at pinaka-hindi nakakapinsalang bagay ay ang pumunta sa silid ng server, humila sa mga wire, tumingin, mag-spill ng tsaa, maglagay ng dumi, o subukang mag-configure ng isang bagay sa iyong sarili. Ito ay partikular na nakakaapekto sa "tiwala at advanced na mga gumagamit" na magiting na nagtuturo sa kanilang mga kasamahan na huwag paganahin ang antivirus at bypass ang proteksyon sa isang PC at sigurado na sila ay mga likas na diyos ng silid ng server. Sa pangkalahatan, ang awtorisadong limitadong pag-access ay ang iyong lahat.
- Pagnanakaw ng kagamitan at pagpapalit ng mga bahagi. Mahal mo ba ang iyong kumpanya at nag-install ng makapangyarihang mga video card para sa lahat upang ang sistema ng pagsingil, CRM at lahat ng iba pa ay gumana nang perpekto? Malaki! Ang mga tusong lalaki lamang (at kung minsan ay mga batang babae) ang madaling palitan sila ng isang modelo ng bahay, at sa bahay ay magpapatakbo sila ng mga laro sa isang bagong modelo ng opisina - ngunit hindi malalaman ng kalahati ng mundo. Pareho itong kuwento sa mga keyboard, mice, cooler, UPS at lahat ng bagay na maaaring palitan sa loob ng configuration ng hardware. Bilang resulta, dadalhin mo ang panganib ng pinsala sa ari-arian, ang kumpletong pagkawala nito, at sa parehong oras ay hindi mo makuha ang nais na bilis at kalidad ng trabaho sa mga sistema ng impormasyon at mga aplikasyon. Ang nakakatipid ay isang monitoring system (ITSM system) na may naka-configure na kontrol sa pagsasaayos), na dapat ibigay na kumpleto sa isang hindi nasisira at may prinsipyong administrator ng system.
Baka gusto mong maghanap ng mas magandang sistema ng seguridad? Hindi ako sigurado kung sapat na ang sign na ito
- Ang paggamit ng sarili mong mga modem, access point, o ilang uri ng nakabahaging Wi-Fi ay ginagawang hindi gaanong secure at halos hindi makontrol ang pag-access sa mga file, na maaaring samantalahin ng mga umaatake (kabilang ang pakikipagsabwatan sa mga empleyado). Buweno, bukod sa, ang posibilidad na ang isang empleyado "na may sariling Internet" ay gumugol ng mga oras ng pagtatrabaho sa YouTube, mga nakakatawang site at mga social network ay mas mataas.
- Ang mga pinag-isang password at pag-login para sa pag-access sa lugar ng admin ng site, CMS, software ng application ay mga kahila-hilakbot na bagay na ginagawang mailap na tagapaghiganti ang isang walang kakayahan o malisyosong empleyado. Kung mayroon kang 5 tao mula sa parehong subnet na may parehong login/password ang pumasok upang maglagay ng banner, tingnan ang mga link at sukatan sa advertising, itama ang layout at mag-upload ng update, hindi mo mahulaan kung alin sa kanila ang hindi sinasadyang naging isang CSS. kalabasa. Samakatuwid: iba't ibang mga pag-login, iba't ibang mga password, pag-log ng mga aksyon at pagkita ng kaibahan ng mga karapatan sa pag-access.
- Hindi na kailangang sabihin ang tungkol sa hindi lisensyadong software na dina-drag ng mga empleyado sa kanilang mga PC upang mag-edit ng ilang larawan sa mga oras ng trabaho o lumikha ng isang bagay na nauugnay sa libangan. Hindi mo ba narinig ang tungkol sa inspeksyon ng departamento "K" ng Central Internal Affairs Directorate? Tapos lalapit siya sayo!
- Dapat gumana ang antivirus. Oo, ang ilan sa mga ito ay maaaring makapagpabagal sa iyong PC, makakairita sa iyo at sa pangkalahatan ay tila isang tanda ng kaduwagan, ngunit mas mahusay na pigilan ito kaysa magbayad sa ibang pagkakataon nang may downtime o, mas masahol pa, ninakaw na data.
- Ang mga babala ng operating system tungkol sa mga panganib ng pag-install ng isang application ay hindi dapat balewalain. Ngayon, ang pag-download ng isang bagay para sa trabaho ay ilang segundo at minuto lang. Halimbawa, Direct.Commander o AdWords editor, ilang SEO parser, atbp. Kung ang lahat ay higit pa o hindi gaanong malinaw sa mga produkto ng Yandex at Google, kung gayon ang isa pang picreizer, isang libreng panlinis ng virus, isang editor ng video na may tatlong epekto, mga screenshot, mga recorder ng Skype at iba pang "maliit na programa" ay maaaring makapinsala sa parehong indibidwal na PC at sa buong network ng kumpanya . Sanayin ang mga user na basahin kung ano ang gusto ng computer mula sa kanila bago nila tawagan ang system administrator at sabihin na "patay na ang lahat." Sa ilang mga kumpanya, ang isyu ay nalutas nang simple: maraming na-download na kapaki-pakinabang na mga utility ang naka-imbak sa bahagi ng network, at isang listahan ng mga angkop na solusyon sa online ay nai-post din doon.
- Ang patakaran ng BYOD o, sa kabaligtaran, ang patakaran ng pagpapahintulot sa paggamit ng mga kagamitan sa trabaho sa labas ng opisina ay isang napakasamang panig ng seguridad. Sa kasong ito, ang mga kamag-anak, kaibigan, bata, pampublikong hindi protektadong network, atbp. ay may access sa teknolohiya. Ito ay purong Russian roulette - maaari kang pumunta sa loob ng 5 taon at makayanan, ngunit maaari mong mawala o masira ang lahat ng iyong mga dokumento at mahahalagang file. Buweno, bukod pa, kung ang isang empleyado ay may malisyosong layunin, ito ay kasing-dali ng pagpapadala ng dalawang byte upang mag-leak ng data gamit ang "paglalakad" na kagamitan. Kailangan mo ring tandaan na ang mga empleyado ay madalas na naglilipat ng mga file sa pagitan ng kanilang mga personal na computer, na muli ay maaaring lumikha ng mga butas sa seguridad.
- Ang pag-lock ng iyong mga device habang wala ka ay isang magandang ugali para sa parehong corporate at personal na paggamit. Muli, pinoprotektahan ka nito mula sa mga mausisa na kasamahan, kakilala at nanghihimasok sa mga pampublikong lugar. Mahirap masanay dito, ngunit sa isa sa aking mga lugar ng trabaho nagkaroon ako ng magandang karanasan: nilapitan ng mga kasamahan ang isang naka-unlock na PC, at binuksan ang Paint sa buong window na may nakasulat na "I-lock ang computer!" at may nagbago sa trabaho, halimbawa, ang huling pumped up na assembly ay na-demolish o ang huling ipinakilalang bug ay inalis (ito ay isang testing group). Ito ay malupit, ngunit 1-2 beses ay sapat na kahit na para sa karamihan sa mga kahoy. Bagaman, pinaghihinalaan ko, maaaring hindi maintindihan ng mga taong hindi IT ang gayong katatawanan.
- Ngunit ang pinakamasamang kasalanan, siyempre, ay nakasalalay sa tagapangasiwa at pamamahala ng system - kung hindi sila gumagamit ng mga sistema ng kontrol sa trapiko, kagamitan, lisensya, atbp.
Ito ay, siyempre, isang base, dahil ang imprastraktura ng IT ay ang mismong lugar kung saan mas malayo ang kagubatan, mas maraming kahoy na panggatong doon. At lahat ay dapat magkaroon ng batayan na ito, at hindi mapalitan ng mga salitang "lahat tayo ay nagtitiwala sa isa't isa", "kami ay isang pamilya", "na nangangailangan nito" - sayang, ito ay pansamantala.
Ito ang Internet, baby, marami silang malalaman tungkol sa iyo.
Oras na para ipakilala ang ligtas na pangangasiwa ng Internet sa kursong pangkaligtasan sa buhay sa paaralan - at hindi ito tungkol sa mga hakbang kung saan tayo nalulubog mula sa labas. Ito ay partikular na tungkol sa kakayahang makilala ang isang link mula sa isang link, maunawaan kung saan ang phishing at kung saan ang isang scam, hindi magbukas ng mga attachment sa email na may paksang "Ulat sa Pagkakasundo" mula sa isang hindi pamilyar na address nang hindi ito naiintindihan, atbp. Bagaman, tila, ang mga mag-aaral ay nakabisado na ang lahat ng ito, ngunit ang mga empleyado ay hindi pa. Mayroong maraming mga trick at pagkakamali na maaaring malagay sa panganib ang buong kumpanya nang sabay-sabay.
- Ang mga social network ay isang seksyon ng Internet na walang lugar sa trabaho, ngunit ang pagharang sa kanila sa antas ng kumpanya sa 2019 ay isang hindi sikat at nakakapagpapahina ng loob na panukala. Samakatuwid, kailangan mo lamang na sumulat sa lahat ng empleyado kung paano suriin ang pagiging ilegal ng mga link, sabihin sa kanila ang tungkol sa mga uri ng pandaraya at hilingin sa kanila na magtrabaho sa trabaho.
- Ang mail ay isang masakit na lugar at marahil ang pinakasikat na paraan upang magnakaw ng impormasyon, magtanim ng malware, at makahawa sa isang PC at sa buong network. Sa kasamaang palad, itinuturing ng maraming tagapag-empleyo ang email client bilang isang tool sa pagtitipid at gumagamit ng mga libreng serbisyo na tumatanggap ng 200 spam na email bawat araw na dumaan sa mga filter, atbp. At ang ilang mga iresponsableng tao ay nagbubukas ng gayong mga liham at mga kalakip, mga link, mga larawan - tila, umaasa sila na ang itim na prinsipe ay nag-iwan ng isang mana para sa kanila. Pagkatapos kung saan ang administrator ay may maraming, maraming trabaho. O sinadya ba iyon? Sa pamamagitan ng paraan, isa pang malupit na kuwento: sa isang kumpanya, para sa bawat spam na sulat sa administrator ng system, nabawasan ang KPI. Sa pangkalahatan, pagkatapos ng isang buwan ay walang spam - ang kasanayan ay pinagtibay ng pangunahing organisasyon, at wala pa ring spam. Nalutas namin ang isyung ito nang elegante - bumuo kami ng sarili naming email client at binuo ito sa sarili namin , kaya lahat ng aming mga kliyente ay nakakatanggap din ng ganoong maginhawang feature.
Sa susunod na makatanggap ka ng kakaibang email na may simbolo ng paper clip, huwag i-click ito!
- Ang mga mensahero ay pinagmumulan din ng lahat ng uri ng hindi ligtas na mga link, ngunit ito ay hindi gaanong masama kaysa sa mail (hindi binibilang ang oras na nasayang sa pakikipag-chat sa mga chat).
Tila ang lahat ng ito ay maliliit na bagay. Gayunpaman, ang bawat isa sa maliliit na bagay na ito ay maaaring magkaroon ng mapaminsalang kahihinatnan, lalo na kung ang iyong kumpanya ay ang target ng pag-atake ng isang kakumpitensya. At ito ay maaaring mangyari sa literal na sinuman.
Mga madaldal na empleyado
Ito ang mismong kadahilanan ng tao na magiging mahirap para sa iyo na alisin. Maaaring talakayin ng mga empleyado ang trabaho sa koridor, sa isang cafe, sa kalye, sa bahay ng isang kliyente, makipag-usap nang malakas tungkol sa isa pang kliyente, makipag-usap tungkol sa mga tagumpay sa trabaho at mga proyekto sa bahay. Siyempre, ang posibilidad na ang isang kakumpitensya ay nakatayo sa likod mo ay bale-wala (kung wala ka sa parehong sentro ng negosyo - nangyari ito), ngunit ang posibilidad na ang isang lalaki na malinaw na nagsasabi ng kanyang mga gawain sa negosyo ay kukunan sa isang smartphone at mai-post sa Ang YouTube ay, kakaiba, mas mataas. Ngunit ito ay kalokohan din. Hindi kalokohan kapag ang iyong mga empleyado ay kusang-loob na magpakita ng impormasyon tungkol sa isang produkto o kumpanya sa mga pagsasanay, kumperensya, pagkikita-kita, propesyonal na mga forum, o kahit sa HabrΓ©. Bukod dito, madalas na sinasadya ng mga tao na tawagan ang kanilang mga kalaban sa gayong mga pag-uusap upang magsagawa ng mapagkumpitensyang katalinuhan.
Isang nagsisiwalat na kwento. Sa isang galactic-scale IT conference, inilatag ng section speaker sa isang slide ang kumpletong diagram ng organisasyon ng IT infrastructure ng isang malaking kumpanya (top 20). Ang scheme ay napaka-kahanga-hanga, simpleng kosmiko, halos lahat ay nakuhanan ito ng larawan, at agad itong lumipad sa mga social network na may mga review. Ayun, nahuli sila ng speaker gamit ang mga geotag, stand, social media. network ng mga nag-post nito at nakiusap na tanggalin, dahil medyo mabilis silang tumawag sa kanya at sinabing ah-ta-ta. Ang chatterbox ay isang kaloob ng diyos para sa isang espiya.
Ang kamangmangan... nagpapalaya sa iyo sa kaparusahan
Ayon sa pandaigdigang ulat ng Kaspersky Lab noong 2017 tungkol sa mga negosyong nakakaranas ng mga insidente sa cybersecurity sa loob ng 12 buwan, isa sa sampu (11%) sa mga pinakaseryosong uri ng insidente ang nagsasangkot ng mga pabaya at walang kaalamang empleyado.
Huwag ipagpalagay na alam ng mga empleyado ang lahat tungkol sa mga hakbang sa seguridad ng kumpanya, siguraduhing bigyan sila ng babala, magbigay ng pagsasanay, gumawa ng mga kawili-wiling pana-panahong newsletter tungkol sa mga isyu sa seguridad, magdaos ng mga pagpupulong tungkol sa pizza at muling linawin ang mga isyu. At oo, isang cool na hack sa buhay - markahan ang lahat ng naka-print at elektronikong impormasyon na may mga kulay, palatandaan, inskripsiyon: lihim ng kalakalan, lihim, para sa opisyal na paggamit, pangkalahatang pag-access. Gumagana talaga ito.
Ang modernong mundo ay naglagay ng mga kumpanya sa isang napaka-pinong posisyon: kinakailangan upang mapanatili ang balanse sa pagitan ng pagnanais ng empleyado na hindi lamang magtrabaho nang husto sa trabaho, ngunit tumanggap din ng nilalaman ng entertainment sa background/sa panahon ng mga pahinga, at mahigpit na mga patakaran sa seguridad ng korporasyon. Kung i-on mo ang hypercontrol at moronic na mga programa sa pagsubaybay (oo, hindi isang typo - hindi ito seguridad, ito ay paranoia) at mga camera sa likod mo, mawawala ang tiwala ng empleyado sa kumpanya, ngunit ang pagpapanatili ng tiwala ay isa ring tool sa seguridad ng korporasyon.
Samakatuwid, alamin kung kailan titigil, igalang ang iyong mga empleyado, at gumawa ng mga backup. At higit sa lahat, unahin ang kaligtasan, hindi ang personal na paranoya.
Kung kailangan mo at ihambing ang kanilang mga kakayahan sa iyong mga layunin at layunin. Kung mayroon kang anumang mga katanungan o kahirapan, sumulat o tumawag, mag-oorganisa kami ng isang indibidwal na online na pagtatanghal para sa iyo - nang walang mga rating o mga kampana at sipol.
, kung saan, nang walang advertising, nagsusulat kami ng hindi ganap na pormal na mga bagay tungkol sa CRM at negosyo.
Pinagmulan: www.habr.com