2008年,我有幸参观了一家IT公司。 每个员工都存在某种不健康的紧张情绪。 原因很简单:手机放在办公室入口处的一个盒子里,后面有一个摄像头,办公室里有两个额外的大型“观察”摄像头,以及带有键盘记录器的监控软件。 是的,这不是开发 SORM 或飞机生命支持系统的公司,而只是一家商业应用软件的开发商,现在被吸收、压垮并且不再存在(这似乎是合乎逻辑的)。 如果你现在伸懒腰并认为在你的办公室里有吊床和花瓶里的 M&M 巧克力豆,情况绝对不是这样,你可能就大错特错了 - 只是在 2 年多的时间里,控制已经学会了隐形和正确,无需摊牌访问网站并下载电影。
那么,如果没有这一切,真的不可能吗?但是对人的信任、忠诚和信心又如何呢? 不管你相信与否,有同样多的公司没有安全措施。 但员工却到处搞砸——仅仅因为人为因素可以摧毁世界,而不仅仅是你的公司。 那么,您的员工可以在哪里恶作剧呢?
这不是一篇很严肃的帖子,它有两个作用:让日常生活变得明亮一点,提醒你经常被遗忘的基本安全事项。 哦,再一次提醒你 ——这样的软件难道不是安全的边缘吗? 🙂
让我们进入随机模式吧!
密码、密码、密码……
你一说起他们,一股愤慨就会滚滚而来:怎么可能,他们告诉世人很多次了,但事情仍然存在! 对于各个级别的公司,从个体企业家到跨国公司,这都是一个非常痛处。 有时在我看来,如果明天他们建造了一个真正的死星,管理面板中就会有类似 admin/admin 的东西。 那么,对于普通用户来说,他们自己的 VKontakte 页面比公司帐户贵得多,我们能期待什么呢? 以下是需要检查的要点:
- 将密码写在纸上、键盘背面、显示器上、键盘下的桌子上、鼠标底部的贴纸上(狡猾!)——员工绝对不应该这样做。 并不是因为一个可怕的黑客会在午餐时进来并将所有 1C 下载到闪存驱动器上,而是因为办公室里可能有一个被冒犯的 Sasha,她打算辞职并做一些肮脏的事情或最后一次拿走信息。 为什么不在下次午餐时这样做呢?
这是什么? 这个东西存储了我所有的密码
- 设置简单的密码即可进入电脑和工作程序。 出生日期、qwerty123 甚至 asdf 都是属于笑话和 bashorg 的组合,而不属于公司安全系统。 设置密码及其长度要求,并设置更换频率。
密码就像内衣:经常更改,不要与朋友分享,长的更好,保持神秘,不要散得到处都是
- 供应商的默认程序登录密码存在缺陷,因为几乎所有供应商的员工都知道它们,并且如果您正在处理云中基于Web的系统,那么任何人获取数据都不困难。 特别是如果您的网络安全也处于“请勿拉线”级别。
- 向员工解释操作系统中的密码提示不应类似于“我的生日”、“女儿的名字”、“Gvoz-dika-78545-ap#1!” 用英语。” 或“夸脱、一个一和一个零”。
我的猫给了我很棒的密码! 他走过我的键盘
物理接触案件
贵公司如何组织对会计和人事文件(例如员工的个人档案)的访问? 让我猜一下:如果是小型企业,那么在会计部门或老板办公室的架子上或壁橱里的文件夹中;如果是大型企业,则在人力资源部门的架子上。 但如果它非常大,那么很可能一切都是正确的:一个带有磁性钥匙的单独办公室或区块,只有某些员工可以访问,并且要到达那里,您需要呼叫其中一个并在他们在场的情况下进入该节点。 在任何企业中进行这样的保护都没有什么困难,或者至少学会不要用粉笔将办公室保险箱的密码写在门上或墙上(一切都基于真实事件,不要笑)。
它为什么如此重要? 首先,工人们有一种病态的欲望,想了解彼此最隐秘的事情:婚姻状况、工资、医疗诊断、教育程度等。 这就是办公室竞争中的一种妥协。 当设计师 Petya 发现他的收入比设计师 Alice 少 20 万时,你绝对不会从争吵中受益。 其次,员工可以访问公司的财务信息(资产负债表、年度报告、合同)。 第三,为了掩盖自己工作历史中的痕迹,某些东西可能会丢失、损坏或被盗。
一个仓库,有人是损失,有人是宝藏
如果你有仓库,考虑一下你迟早会遇到犯罪分子——这就是一个人的心理运作方式,他看到大量的产品,并坚信少量不是抢劫,而是分享。 而这堆货物一单位的价格可能是二十万,或者三十万,或者几百万。 不幸的是,除了迂腐和全面的控制和会计之外,没有什么可以阻止盗窃:摄像头、使用条形码的验收和核销、仓库会计的自动化(例如,在我们的仓库中) 仓库会计的组织方式使经理和主管可以实时看到货物在仓库中的移动情况)。
因此,要把你的仓库武装到牙齿,确保来自外部敌人的物理安全和来自内部敌人的完全安全。 运输、物流、仓库的员工必须清楚地认识到,有控制,管用,他们几乎会惩罚自己。
*嘿,不要把手伸进基础设施
如果有关服务器机房和清洁女工的故事已经过时了,并且早已转移到其他行业的故事中(例如,同一个病房的通风机神秘关闭),那么其余的仍然是现实。 中小型企业的网络和 IT 安全还有很多不足之处,这通常并不取决于您是否拥有自己的系统管理员或受邀的系统管理员。 后者往往处理得更好。
那么这里的员工有什么能力呢?
- 最好、最无害的事情就是去服务器机房,拉扯电线,看看,洒茶,涂灰尘,或者尝试自己配置一些东西。 这尤其影响到“自信且高级的用户”,他们英勇地教导同事禁用防病毒软件并绕过 PC 上的保护,并确信自己是服务器机房的天生之神。 一般来说,授权的有限访问就是您的一切。
- 设备失窃和部件更换。 您是否热爱您的公司,并为每个人安装了功能强大的视频卡,以便计费系统、CRM 和其他一切都能完美运行? 伟大的! 只有狡猾的家伙(有时是女孩)才会轻松地将它们替换为家用模型,并且在家里他们将在新的办公室模型上运行游戏 - 但世界上一半的人不会知道。 键盘、鼠标、冷却器、UPS 以及所有可以在硬件配置中以某种方式替换的东西也是如此。 因此,您将承担财产损坏、完全损失的风险,同时您无法获得信息系统和应用程序所需的工作速度和质量。 节省的是一个具有已配置配置控制的监控系统(ITSM 系统),该系统必须配备一个廉洁、有原则的系统管理员。
也许您想寻找更好的安全系统? 我不确定这个标志是否足够
- 使用您自己的调制解调器、接入点或某种共享 Wi-Fi 会降低文件访问的安全性并且几乎无法控制,这可能会被攻击者(包括与员工勾结)利用。 除此之外,“拥有自己的互联网”的员工将工作时间花在 YouTube、幽默网站和社交网络上的可能性要高得多。
- 用于访问站点管理区域、CMS、应用程序软件的统一密码和登录名是可怕的事情,它会将无能或恶意的员工变成难以捉摸的复仇者。 如果您有来自同一子网、具有相同登录名/密码的 5 个人进来张贴横幅、检查广告链接和指标、更正布局并上传更新,您永远猜不到他们中的哪一个不小心将 CSS 变成了南瓜。 因此:不同的登录、不同的密码、操作记录和访问权限的区分。
- 不用说,员工将未经许可的软件拖到他们的电脑上,以便在工作时间编辑几张照片或创建一些与爱好非常相关的东西。 你没听说过中央内政总局“K”部门的检查吗? 然后她就来找你了!
- 防病毒软件应该可以工作。 是的,其中一些可能会减慢您的电脑速度、激怒您,并且通常看起来像是一种怯懦的表现,但最好是预防它们,而不是以后因停机或更糟糕的是数据被盗而付出代价。
- 操作系统关于安装应用程序的危险的警告不应被忽视。 如今,下载工作所需的内容只需几秒钟和几分钟。 例如,Direct.Commander 或 AdWords 编辑器、一些 SEO 解析器等。 如果 Yandex 和 Google 产品的一切都或多或少是清楚的,那么另一个 picreizer、免费的病毒清理程序、具有三种效果的视频编辑器、屏幕截图、Skype 录音机和其他“小程序”可能会损害个人 PC 和整个公司网络。 训练用户在打电话给系统管理员并说“一切都死了”之前先了解计算机想要从他们那里得到什么。 在一些公司中,问题的解决很简单:许多下载的有用实用程序存储在网络共享上,并且还发布了合适的在线解决方案列表。
- BYOD 政策,或者相反,允许在办公室外使用工作设备的政策是安全方面非常邪恶的一面。 在这种情况下,亲戚、朋友、儿童、公共不受保护的网络等都可以访问该技术。 这纯粹是俄罗斯轮盘赌 - 您可以度过 5 年,但您可能会丢失或损坏所有文档和有价值的文件。 好吧,此外,如果员工有恶意,只需发送两个字节即可用“行走”设备泄露数据。 您还需要记住,员工经常在个人计算机之间传输文件,这又可能会造成安全漏洞。
- 对于公司和个人使用而言,在离开时锁定设备都是一个好习惯。 同样,它可以保护您免受公共场所好奇的同事、熟人和入侵者的侵害。 很难适应这一点,但在我的一个工作场所,我有一次美妙的经历:同事走近一台未锁定的电脑,画图程序在整个窗口中打开,上面写着“锁定计算机!” 工作中发生了一些变化,例如,最后一个抽气组件被拆除或最后引入的错误被删除(这是一个测试组)。 这很残酷,但即使对于大多数木制的来说,1-2次也足够了。 不过,我怀疑非IT人士可能无法理解这样的幽默。
- 但当然,最严重的罪过在于系统管理员和管理层——如果他们断然不使用交通控制系统、设备、许可证等。
这当然是一个基地,因为IT基础设施就是越深入森林越有柴火的地方。 而每个人都应该有这个基础,而不是被“我们都互相信任”、“我们是一家人”、“谁需要它”这些话所取代——唉,暂时是这样。
这就是互联网,宝贝,他们可以了解很多关于你的信息。
是时候将互联网的安全处理引入学校的生命安全课程了——这根本不是我们从外部沉浸其中的措施。 这具体是关于区分链接和链接的能力,了解哪里是网络钓鱼,哪里是诈骗,在不了解不熟悉的地址的情况下不打开主题为“对帐报告”的电子邮件附件等。 虽然看起来小学生已经掌握了这一切,但员工却还没有。 有很多技巧和错误可能会立即危及整个公司。
- 社交网络是互联网的一部分,在工作中没有一席之地,但 2019 年在公司层面屏蔽社交网络是一项不受欢迎且令人沮丧的措施。 因此,你只需写信给所有员工如何检查链接的非法性,告诉他们欺诈的类型并要求他们在工作中工作。
- 邮件是一个痛点,而且可能是窃取信息、植入恶意软件以及感染 PC 和整个网络的最流行的方式。 唉,许多雇主认为电子邮件客户端是一种节省成本的工具,并使用免费服务,每天会收到 200 封通过过滤器的垃圾邮件等。 而一些不负责任的人打开这样的信件和附件、链接、图片——显然,他们希望黑王子给他们留下遗产。 之后管理员就有很多很多的工作要做。 还是本来就是这样的? 顺便说一句,另一个残酷的故事:在一家公司,每发送一封给系统管理员的垃圾邮件,KPI 就会降低。 一般来说,一个月后没有垃圾邮件 - 该做法被上级组织采用,并且仍然没有垃圾邮件。 我们优雅地解决了这个问题 - 我们开发了自己的电子邮件客户端并将其内置到我们自己的中 ,所以我们所有的客户也可以获得这样一个方便的功能。
下次当您收到带有回形针符号的奇怪电子邮件时,请不要点击它!
- 信使也是各种不安全链接的来源,但这比邮件的危害要小得多(不包括在聊天中浪费的时间)。
看来这些都是小事。 然而,这些小事情中的每一个都可能带来灾难性的后果,特别是当您的公司成为竞争对手的攻击目标时。 这几乎可能发生在任何人身上。
健谈的员工
这是你很难摆脱的人为因素。 员工可以在走廊、咖啡馆、街上、客户家里讨论工作,大声谈论另一个客户,在家谈论工作成就和项目。 当然,竞争对手站在您身后的可能性可以忽略不计(如果您不在同一个商务中心 - 这种情况已经发生),但是一个明确说明其业务事务的人将被用智能手机拍摄并发布在奇怪的是,YouTube 的排名更高。 但这也是废话。 当您的员工愿意在培训、会议、聚会、专业论坛甚至 Habré 上展示有关产品或公司的信息时,这并不是废话。 此外,人们常常故意邀请对手进行此类对话,以进行竞争情报。
一个发人深省的故事。 在一次银河规模的 IT 会议上,该部分的发言人在幻灯片上展示了一家大公司(前 20 名)IT 基础设施组织的完整图表。 这个方案令人印象深刻,简直是宇宙级的,几乎每个人都拍下了它,它立即在社交网络上传播并好评如潮。 好吧,然后演讲者使用地理标签、看台和社交媒体抓住了他们。 那些发布该内容并请求删除的人的网络,因为他们很快就打电话给他并说“啊-塔-塔”。 话匣子对于间谍来说是天赐之物。
无知……使你免受惩罚
根据卡巴斯基实验室 2017 年全球企业在 12 个月内经历网络安全事件的报告,十分之一 (11%) 的最严重事件类型涉及粗心和不知情的员工。
不要假设员工了解有关公司安全措施的一切,一定要警告他们,提供培训,定期制作有关安全问题的有趣时事通讯,一边吃披萨一边召开会议并再次澄清问题。 是的,一个很酷的生活窍门 - 用颜色、标志、铭文标记所有印刷和电子信息:商业秘密、秘密、官方使用、一般访问。 这确实有效。
现代世界使公司处于一个非常微妙的境地:必须在员工不仅要努力工作、还要在后台/休息期间接收娱乐内容的愿望与严格的公司安全规则之间保持平衡。 如果你打开超级控制和白痴跟踪程序(是的,不是打字错误 - 这不是安全,这是偏执)和背后的摄像头,那么员工对公司的信任就会下降,但保持信任也是公司安全的一个工具。
因此,知道何时停止、尊重员工并做好备份。 最重要的是,优先考虑安全,而不是个人偏执。
如果你需要 并将他们的能力与您的目标进行比较。 如果您有任何问题或困难,请写信或致电,我们将为您组织一次单独的在线演示 - 没有评级或花里胡哨。
,其中,没有广告,我们写了一些关于 CRM 和业务的不完全正式的东西。
来源: habr.com