31 月 50 日是国际备份日,前一周总是充满与安全相关的故事。 周一,我们已经了解了受感染的华硕和“三个未透露姓名的制造商”。 特别迷信的公司整周都如坐针毡地进行备份。 这一切都是因为我们在安全方面都有点粗心:有人忘记在后座系安全带,有人忽略产品的有效期,有人将他们的登录名和密码存储在键盘下,甚至更好地写下笔记本中的所有密码。 有些人设法禁用防病毒软件,“以免降低计算机速度”,并且不在公司系统中使用访问权限分离(这对于一个有 XNUMX 人的公司来说是多么秘密!)。 也许,人类根本还没有发展出网络自我保护的本能,原则上,这可以成为一种新的基本本能。
商业界也没有发展出这样的本能。 一个简单的问题:CRM系统是信息安全威胁还是安全工具? 不太可能有人会立即给出准确的答案。 这里我们需要开始,正如我们在英语课程中所学到的那样:这取决于...这取决于设置、CRM 交付的形式、供应商的习惯和信仰、对员工的漠视程度、攻击者的复杂程度。 毕竟,一切都可以被黑客入侵。 那么如何生活呢?
这就是中小企业的信息安全
CRM系统作为保障
保护商业和运营数据并安全地存储您的客户群是 CRM 系统的主要任务之一,在这方面它遥遥领先于公司中的所有其他应用程序软件。
当然,您开始阅读这篇文章时,内心深处咧嘴一笑,说,谁需要您的信息。 如果是这样,那么您可能没有处理过销售,也不知道“实时”和高质量客户群的需求量以及有关与该客户群合作的方法的信息。 CRM 系统的内容不仅对公司管理层感兴趣,而且对以下人员也感兴趣:
- 攻击者(较少)——他们的目标与您的公司具体相关,并将使用所有资源来获取数据:贿赂员工、黑客攻击、从经理那里购买您的数据、采访经理等。
- 可以充当竞争对手内部人员的员工(更常见)。 他们只是准备为了自己的利益而夺走或出售他们的客户群。
- 对于业余黑客(非常罕见) - 您可能会被黑客侵入您的数据所在的云或网络被黑客入侵,或者可能有人想“取出”您的数据以取乐(例如,有关药品或酒精批发商的数据 -只是看起来很有趣)。
如果有人进入您的 CRM,他们将能够访问您的运营活动,即您赚取大部分利润的数据量。 从恶意访问 CRM 系统的那一刻起,利润就开始向最终掌握在客户群手中的人微笑。 好吧,或者他的合作伙伴和客户(阅读 - 新雇主)。
不错,可靠 能够覆盖这些风险并在安全领域提供大量令人愉快的好处。
那么,CRM系统在安全方面能起到什么作用呢?
(我们会用一个例子告诉你, 因为我们无法对他人负责)
- 使用 USB 密钥和密码进行双因素身份验证。 登录系统时支持双因素用户授权模式。 这种情况下,登录系统时,除了输入密码外,还必须将事先初始化好的U盘插入计算机的USB端口。 双因素授权模式有助于防止密码被盗或泄露。
点击
- 从受信任的 IP 地址和 MAC 地址运行。 为了增强安全性,您可以限制用户仅从注册的 IP 地址和 MAC 地址登录。 如果用户远程连接(通过 Internet),本地网络上的内部 IP 地址和外部地址都可以用作 IP 地址。
- 域授权(Windows授权)。 可以配置系统启动时登录时不需要用户密码。 在这种情况下,会发生 Windows 授权,这会使用 WinAPI 识别用户。 系统将在系统启动时计算机所运行的用户配置文件下启动。
- 另一种机制是 私人客户。 私人客户是只有其主管才能看到的客户。 即使其他用户拥有完全权限(包括管理员权限),这些客户端也不会出现在其他用户的列表中。 通过这种方式,您可以保护一组特别重要的客户或出于其他原因的一组,并将其委托给可靠的经理。
- 访问权限划分机制 — CRM 中的标准和主要安全措施。 为了简化管理用户权限的过程, 权限不是分配给特定用户,而是分配给模板。 用户自己被分配了一个或另一个模板,该模板具有一组特定的权限。 这允许每个员工(从新员工到实习生再到董事)分配权限和访问权限,以允许/阻止他们访问敏感数据和敏感业务信息。
- 自动数据备份系统(备份)通过脚本服务器可配置 .
这是以单个系统为例的安全实现,每个供应商都有自己的策略。 然而,CRM 系统确实可以保护您的信息:您可以看到谁在何时获取了这份或那份报告、谁查看了哪些数据、谁下载了数据等等。 即使您事后发现该漏洞,您也不会逃脱惩罚,并且可以轻松识别滥用公司信任和忠诚度的员工。
你放松了吗? 早期的! 如果您粗心并忽视数据保护问题,这种保护措施可能会对您不利。
CRM 系统构成威胁
如果您的公司至少拥有一台 PC,那么这已经是网络威胁的来源。 因此,威胁级别随着工作站(和员工)数量以及安装和使用的软件种类的增加而增加。 CRM 系统的事情并不容易 - 毕竟,这是一个旨在存储和处理最重要和最昂贵的资产的程序:客户群和商业信息,而在这里我们正在讲述有关其安全性的恐怖故事。 事实上,并非所有事情都那么令人沮丧,如果处理得当,您将从 CRM 系统中获得的除了好处和安全之外什么也没有。
危险的 CRM 系统有哪些迹象?
让我们首先简单介绍一下基础知识。 CRM 有云版本和桌面版本。 云数据库是指那些 DBMS(数据库)不位于您公司中,而是位于某个数据中心的私有云或公共云中的数据库(例如,您位于车里雅宾斯克,您的数据库运行在莫斯科的一个超酷数据中心) ,因为 CRM 供应商决定这样做,并且他与该特定供应商达成协议)。 桌面(又名本地部署、服务器 - 这不再是事实)将他们的 DBMS 建立在您自己的服务器上(不,不,不要想象一个带有昂贵机架的巨大服务器机房,最常见的是中小型企业)一台服务器,甚至是一台现代配置的普通 PC),也就是说,在您的办公室中。
两种类型的 CRM 都有可能获得未经授权的访问,但访问的速度和难易程度有所不同,特别是对于不太关心信息安全的中小型企业。
危险信号#1
云系统中数据出现问题的可能性较高的原因是由几个环节连接起来的关系:您(CRM租户)-供应商-提供商(有一个更长的版本:您-供应商-供应商的IT外包商-提供商) 。 关系中的 3-4 个链接比 1-2 个链接具有更多风险:供应商一方(合同变更、未支付提供商服务费用)、提供商一方(不可抗力、黑客攻击、技术问题)可能会出现问题,外包商方面(更换经理或工程师)等。 当然,大型供应商尝试拥有备份数据中心、管理风险并维护其 DevOps 部门,但这并不排除问题。
桌面CRM一般不是租用的,而是由公司购买的;因此,这种关系看起来更简单、更透明:在CRM的实施过程中,供应商配置必要的安全级别(从区分访问权限和物理USB密钥到封装服务器在混凝土墙等)并将控制权转移给拥有 CRM 的公司,该公司可以增强保护、雇用系统管理员或根据需要联系其软件供应商。 问题归根结底在于与员工合作、保护网络和物理保护信息。 如果您使用桌面 CRM,即使完全关闭互联网也不会停止工作,因为数据库位于您的“家庭”办公室。
我们的一位员工曾在一家开发基于云的集成办公系统(包括 CRM)的公司工作,他谈论了云技术。 “在我的一份工作中,公司正在创建与基本 CRM 非常相似的东西,并且它全部连接到在线文档等。 在 GA 的一天,我们看到我们的一位订户客户端出现异常活动。 想象一下我们分析师的惊讶,当我们不是开发人员,但拥有高级别访问权限时,只需打开客户通过链接使用的界面,看看他有什么样的流行标志。 顺便说一句,客户似乎不希望任何人看到这些商业数据。 是的,这是一个错误,并且已经好几年没有修复了 - 在我看来,事情仍然存在。 从那时起,我一直是一名桌面爱好者,并不真正信任云,尽管我们在工作和个人生活中使用它们,我们也有一些有趣的假象。”
根据我们对哈布雷的调查,这些都是先进公司的员工
云CRM系统的数据丢失可能是由于服务器故障、服务器不可用、不可抗力、供应商活动终止等导致的数据丢失。 云意味着持续、不间断地访问互联网,并且保护必须是前所未有的:在代码、访问权限、额外的网络安全措施(例如,双因素身份验证)方面。
危险信号#2
我们甚至不是在谈论一个特征,而是在谈论与供应商及其策略相关的一组特征。 让我们列出我们和我们的员工遇到过的一些重要例子。
- 供应商可能会选择一个不够可靠的数据中心,客户的 DBMS 将在其中“旋转”。 他会省钱,不会控制SLA,不会计算负载,结果对你来说是致命的。
- 供应商可能会拒绝将服务转移到您选择的数据中心的权利。 这是 SaaS 的一个相当常见的限制。
- 供应商可能与云提供商发生法律或经济冲突,然后在“摊牌”期间,备份操作或速度可能会受到限制。
- 创建备份的服务可能需要额外付费。 CRM系统的客户只有在需要备份的时刻,即在最关键和最脆弱的时刻才能了解的常见做法。
- 供应商员工可以不受阻碍地访问客户数据。
- 任何性质的数据泄露都可能发生(人为错误、欺诈、黑客等)。
通常这些问题与小型或年轻供应商有关,然而,大型供应商却屡屡陷入麻烦(谷歌搜索)。 因此,您应该始终有办法保护自己的信息+提前与所选的CRM系统提供商讨论安全问题。 即使您对问题感兴趣这一事实也已经迫使供应商尽可能负责任地对待实施(如果您不是与供应商的办公室打交道,而是与他的合作伙伴打交道,那么这样做尤其重要,因为对于他们来说,这是非常重要的)重要的是签订协议并获得佣金,而不是这两个因素……你明白吗)。
危险信号#3
组织贵公司的安全工作。 一年前,我们传统上在哈布雷上撰写有关安全的文章并进行了一项调查。 样本不是很大,但答案具有指示性:
在文章的最后,我们将提供我们出版物的链接,我们在其中详细研究了“公司-员工-保障”系统中的关系,在这里我们将提供一系列问题,您可以在其中找到答案您的公司(即使您不需要 CRM)。
- 员工在哪里存储密码?
- 如何组织对公司服务器上存储的访问?
- 包含商业和运营信息的软件如何受到保护?
- 是否所有员工都启用了防病毒软件?
- 有多少员工可以访问客户数据?访问级别如何?
- 您有多少新员工,有多少员工正在离职?
- 您与关键员工沟通并听取他们的要求和投诉多久了?
- 打印机是否受到监控?
- 将您自己的小工具连接到 PC 以及使用工作 Wi-Fi 的策略是如何组织的?
其实这些都是基础问题,评论里可能会加硬核,但这是基础知识,即使是有两个员工的个人创业者也应该知道的基础知识。
那么如何保护自己呢?
- 备份是最重要的事情,但常常被遗忘或没有得到照顾。 如果您有桌面系统,请设置具有给定频率的数据备份系统(例如,对于 RegionSoft CRM,可以使用 )并组织适当的副本存储。 如果您有云 CRM,请务必在签订合同之前了解如何组织备份工作:您需要有关备份深度和频率、存储位置、备份成本的信息(通常仅备份“该期间的最新数据”) ”是免费的,并且提供成熟、安全的备份复制作为付费服务)。 总的来说,这里绝对不是省钱或者疏忽的地方。 是的,不要忘记检查从备份中恢复的内容。
- 功能和数据级别的访问权限分离。
- 网络级别的安全性 - 您需要仅允许在办公室子网内使用 CRM,限制移动设备的访问,禁止在家中或更糟糕的是从公共网络(联合办公空间、咖啡馆、客户办公室)使用 CRM 系统, ETC。)。 对移动版本要特别小心——让它只是一个工作用的大幅删减版本。
- 任何情况下都需要具有实时扫描功能的防病毒软件,尤其是在企业数据安全的情况下。 在政策层面,禁止自行禁用。
- 对员工进行网络卫生培训不是浪费时间,而是迫切需要。 有必要向所有同事传达这样的信息:他们不仅要发出警告,而且要对收到的威胁做出正确反应。 禁止在办公室使用互联网或电子邮件已成为过去,并且会导致严重的消极情绪,因此您必须做好预防工作。
当然,使用云系统,您可以实现足够的安全级别:使用专用服务器,在应用程序级别和数据库级别配置路由器和分离流量,使用私有子网,为管理员引入严格的安全规则,通过备份确保不间断运行以所需的最大频率和完整性,全天候监控网络......如果你想一想,这并不困难,但相当昂贵。 但实践表明,只有一些公司(大多是大公司)采取此类措施。 因此,我们毫不犹豫地再次强调:云和桌面都不应该各自为政;保护您的数据。
针对所有实施 CRM 系统案例的一些小但重要的提示
- 检查供应商是否存在漏洞 - 使用“供应商名称漏洞”、“供应商名称被黑客攻击”、“供应商名称数据泄漏”等词的组合查找信息。 这不应该是寻找新CRM系统的唯一参数,但只是需要在皮层下打勾,并且了解发生事件的原因尤为重要。
- 向供应商询问数据中心的情况:可用性、有多少个、如何组织故障转移。
- 在 CRM 中设置安全令牌,监控系统内的活动和异常峰值。
- 禁止非核心员工(即那些日常活动不需要这些功能的员工)导出报告并通过 API 进行访问。
- 确保您的 CRM 系统配置为记录流程和记录用户操作。
这些都是小事,但它们完美地补充了整体画面。 事实上,没有什么小事情是安全的。
通过实施 CRM 系统,您可以确保数据的安全 - 但前提是实施得当,并且信息安全问题不会退居幕后。 同意,买车而不检查刹车、ABS、安全气囊、安全带、EDS 是愚蠢的。 毕竟,最重要的不仅仅是去,而是安全地去,安然无恙地到达那里。 商业也是如此。
请记住:如果职业安全规则是用血写成的,那么商业网络安全规则则是用金钱写成的。
关于网络安全主题以及 CRM 系统在其中的地位,您可以阅读我们的详细文章:
- — 公司领域可能存在的安全威胁的概述和近似的检测方案。
- — 详细分析员工如何损害您的企业以及他们如何在商业领域这样做。
如果您正在寻找 CRM 系统,那么 。 如果您需要 CRM 或 ERP,请仔细研究我们的产品,并将其功能与您的目的和目标进行比较。 如果您有任何问题或困难,请写信或致电,我们将为您组织一次单独的在线演示 - 没有评级或花里胡哨。
,其中,没有广告,我们写了一些关于 CRM 和业务的不完全正式的东西。
来源: habr.com