31 月 50 日是國際備份日,前一週總是充滿與安全相關的故事。 週一,我們已經了解了受感染的華碩和「三個未透露姓名的製造商」。 特別迷信的公司整週都如坐針氈地進行備份。 這一切都是因為我們在安全方面都有點粗心:有人忘記在後座繫安全帶,有人忽略產品的有效期,有人將他們的登錄名和密碼存儲在鍵盤下,甚至更好地寫下筆記本中的所有密碼。 有些人設法禁用防毒軟體,“以免降低電腦速度”,並且不在公司係統中使用訪問權限分離(這對於 XNUMX 人的公司來說是多麼秘密!)。 也許,人類根本還沒有發展出網路自我保護的本能,原則上,這可以成為一種新的基本本能。
商業界也沒有發展出這樣的本能。 一個簡單的問題:CRM系統是資訊安全威脅還是安全工具? 不太可能有人會立即給出準確的答案。 這裡我們需要開始,正如我們在英語課程中所學到的那樣:這取決於...這取決於設置、CRM 交付的形式、供應商的習慣和信仰、對員工的漠視程度、攻擊者的複雜程度。 畢竟,一切都可以被駭客入侵。 那麼如何生活呢?
這就是中小企業的資訊安全
CRM系統作為保障
保護商業和營運資料並安全地儲存您的客戶群是 CRM 系統的主要任務之一,在這方面它遙遙領先於公司中的所有其他應用程式軟體。
當然,當您開始閱讀這篇文章時,內心深處咧嘴一笑,說,誰需要您的資訊。 如果是這樣,那麼您可能沒有處理過銷售,也不知道「即時」和高品質客戶群的需求量以及有關與該客戶群合作的方法的資訊。 CRM 系統的內容不僅對公司管理層感興趣,而且對以下人員也感興趣:
- 攻擊者(較少)—他們的目標與您的公司具體相關,並將使用所有資源來獲取資料:賄賂員工、駭客攻擊、從經理那裡購買您的資料、訪談經理等。
- 可以充當競爭對手內部人員的員工(更常見)。 他們只是準備為了自己的利益而奪走或出售他們的客戶群。
- 對於業餘駭客(非常罕見) - 您可能會被駭客入侵您的資料所在的雲端或網路被駭客入侵,或者可能有人想「取出」您的資料以取樂(例如,有關藥品或酒精批發商的資料 -只是看起來很有趣)。
如果有人進入您的 CRM,他們將能夠存取您的營運活動,即您賺取大部分利潤的資料量。 從惡意存取 CRM 系統的那一刻起,利潤就開始向最終掌握在客戶群手中的人微笑。 好吧,或他的合作夥伴和客戶(閱讀 - 新雇主)。
不錯,可靠 能夠涵蓋這些風險並在安全領域提供大量令人愉快的好處。
那麼,CRM系統在安全方面能起到什麼作用呢?
(我們會用一個例子告訴你, 因為我們無法對他人負責)
- 使用 USB 金鑰和密碼進行雙重認證。 登入系統時支援雙因素使用者授權模式。 這種情況下,登入系統時,除了輸入密碼外,還必須將事先初始化好的USB連接埠插入電腦的USB連接埠。 雙重授權模式有助於防止密碼被盜或洩漏。
可點擊
- 從受信任的 IP 位址和 MAC 位址運作。 為了增強安全性,您可以限制使用者僅從註冊的 IP 位址和 MAC 位址登入。 如果使用者遠端連線(透過 Internet),則本地網路上的內部 IP 位址和外部位址都可以用作 IP 位址。
- 網域授權(Windows授權)。 可以設定係統啟動時登入時不需要使用者密碼。 在這種情況下,會發生 Windows 授權,這會使用 WinAPI 識別使用者。 系統將在系統啟動時電腦所執行的使用者設定檔下啟動。
- 另一種機制是 私人客戶。 私人客戶是只有主管才能看到的客戶。 即使其他使用者擁有完全權限(包括管理員權限),這些客戶端也不會出現在其他使用者的清單中。 透過這種方式,您可以保護一組特別重要的客戶或其他原因的一組,並將其委託給可靠的經理。
- 存取權限劃分機制 — CRM 中的標準和主要安全措施。 為了簡化管理使用者權限的過程, 權限不是分配給特定用戶,而是分配給模板。 使用者自己被指派了一個或另一個模板,該模板具有一組特定的權限。 這允許每個員工(從新員工到實習生再到董事)分配權限和存取權限,以允許/阻止他們存取敏感資料和敏感業務資訊。
- 自動資料備份系統(備份)透過腳本伺服器可配置 .
這是以單一系統為例的安全實現,每個供應商都有自己的策略。 然而,CRM 系統確實可以保護您的資訊:您可以看到誰在何時獲取了這份或那份報告、誰查看了哪些資料、誰下載了資料等等。 即使您事後發現漏洞,您也不會逃脫懲罰,並且可以輕鬆識別濫用公司信任和忠誠度的員工。
你放鬆了嗎? 早期的! 如果您粗心並忽視資料保護問題,這種保護措施可能會對您不利。
CRM 系統構成威脅
如果您的公司至少擁有一台 PC,那麼這已經是網路威脅的來源。 因此,威脅等級隨著工作站(和員工)數量以及安裝和使用的軟體種類的增加而增加。 CRM 系統的事情並不容易 - 畢竟,這是一個旨在存儲和處理最重要和最昂貴的資產的程序:客戶群和商業信息,而在這裡我們正在講述有關其安全性的恐怖故事。 事實上,並非所有事情都那麼令人沮喪,如果處理得當,您將從 CRM 系統中獲得的除了好處和安全之外什麼也沒有。
危險的 CRM 系統有哪些跡象?
讓我們先簡單介紹一下基礎知識。 CRM 有雲端版本和桌面版本。 雲端資料庫是指那些DBMS(資料庫)不是位於您公司中,而是位於某個資料中心的私有雲或公有雲中的資料庫(例如,您位於車里雅賓斯克,您的資料庫運行在莫斯科的一個超酷資料中心) ,因為 CRM 供應商決定這樣做,並且他與該特定供應商達成協議)。 桌面(又名本地部署、伺服器- 這不再是事實)將他們的DBMS 建立在您自己的伺服器上(不,不,不要想像一個帶有昂貴機架的巨大伺服器機房,最常見的是中小型企業)一台伺服器,甚至是一台現代配置的普通 PC),也就是說,在您的辦公室中。
兩種類型的 CRM 都有可能獲得未經授權的訪問,但訪問的速度和難易程度有所不同,特別是對於不太關心資訊安全的中小型企業。
危險信號#1
雲端系統中資料出現問題的可能性較高的原因是由幾個環節連接起來的關係:您(CRM租戶)-供應商-提供者(有一個更長的版本:您-供應商-供應商的IT外包商-提供者) 。 關係中的3-4 個連結比1-2 個連結有更多風險:供應商一方(合約變更、未支付提供者服務費用)、提供者一方(不可抗力、駭客攻擊、技術問題)可能會出現問題,外包商方面(更換經理或工程師)等。 當然,大型供應商嘗試擁有備份資料中心、管理風險並維護其 DevOps 部門,但這並不排除問題。
桌面CRM一般不是租用的,而是由公司購買的;因此,這種關係看起來更簡單、更透明:在CRM的實施過程中,供應商配置必要的安全級別(從區分訪問權限和物理USB密鑰到封裝伺服器在混凝土牆等)並將控制權轉移給擁有 CRM 的公司,該公司可以增強保護、僱用系統管理員或根據需要聯繫其軟體供應商。 問題歸根結底在於與員工合作、保護網路和實體保護資訊。 如果您使用桌上型 CRM,即使完全關閉網路也不會停止運作,因為資料庫位於您的「家庭」辦公室。
我們的一位員工曾在一家開發基於雲端的整合式辦公系統(包括 CRM)的公司工作,他談論了雲端技術。 「在我的一份工作中,公司正在創建與基本 CRM 非常相似的東西,並且它全部連接到線上文件等。 在 GA 的一天,我們看到我們的一位訂戶客戶端出現異常活動。 想像一下我們分析師的驚訝,當我們不是開發人員,但擁有高級別訪問權限時,只需打開客戶透過連結使用的介面,看看他有什麼樣的流行標誌。 順便說一句,客戶似乎不希望任何人看到這些商業數據。 是的,這是一個錯誤,並且已經好幾年沒有修復了 - 在我看來,事情仍然存在。 從那時起,我一直是一名桌面愛好者,並不真正信任雲,儘管我們在工作和個人生活中使用它們,我們也有一些有趣的假象。”
根據我們對哈布雷的調查,這些都是先進公司的員工
雲端CRM系統的資料遺失可能是由於伺服器故障、伺服器不可用、不可抗力、供應商活動終止等導致的資料遺失。 雲端意味著持續、不間斷地存取互聯網,並且保護必須是前所未有的:在程式碼、存取權限、額外的網路安全措施(例如,雙重認證)方面。
危險信號#2
我們甚至不是在談論一個特徵,而是在談論與供應商及其策略相關的一組特徵。 讓我們列出我們和我們的員工遇到的一些重要例子。
- 供應商可能會選擇一個不夠可靠的資料中心,客戶的 DBMS 將在其中「旋轉」。 他會省錢,不會控制SLA,不會計算負載,結果對你來說是致命的。
- 供應商可能會拒絕將服務轉移到您選擇的資料中心的權利。 這是 SaaS 的一個相當常見的限制。
- 供應商可能與雲端提供者發生法律或經濟衝突,然後在「攤牌」期間,備份作業或速度可能會受到限制。
- 創建備份的服務可能需要額外付費。 CRM系統的客戶只有在需要備份的時刻,也就是在最關鍵和最脆弱的時刻才能了解的常見做法。
- 供應商員工可以不受阻礙地存取客戶資料。
- 任何性質的資料外洩都可能發生(人為錯誤、詐欺、駭客等)。
通常這些問題與小型或年輕的供應商有關,但是,大型供應商卻一再陷入麻煩(Google搜尋)。 因此,您應該始終有辦法保護自己的資訊+提前與所選的CRM系統提供者討論安全問題。 即使您對問題感興趣這一事實也已經迫使供應商盡可能負責任地對待實施(如果您不是與供應商的辦公室打交道,而是與他的合作夥伴打交道,那麼這樣做尤其重要,因為對於他們來說,這是非常重要的)重要的是簽訂協議並獲得佣金,而不是這兩個因素……你明白嗎)。
危險信號#3
組織貴公司的安全工作。 一年前,我們傳統上在哈布雷上撰寫有關安全的文章並進行了一項調查。 樣本不是很大,但答案具有指示性:
在文章的最後,我們將提供我們出版物的鏈接,我們在其中詳細研究了“公司-員工-保障”系統中的關係,在這裡我們將提供一個問題列表,您可以在其中找到答案您的公司(即使您不需要CRM)。
- 員工在哪裡儲存密碼?
- 如何組織對公司伺服器上儲存的存取?
- 包含商業和營運資訊的軟體如何受到保護?
- 是否所有員工都啟用了防毒軟體?
- 有多少員工可以存取客戶資料?存取等級如何?
- 您有多少新員工,有多少員工正在離職?
- 您與關鍵員工溝通並聽取他們的要求和投訴多久了?
- 印表機是否受到監控?
- 將您自己的小工具連接到 PC 以及使用工作 Wi-Fi 的策略是如何組織的?
其實這些都是基礎問題,評論裡可能會加硬核,但這是基礎知識,即使是有兩個員工的個人創業家也應該知道的基礎知識。
那麼如何保護自己呢?
- 備份是最重要的事情,但常常被遺忘或沒有被照顧。 如果您有桌面系統,請設定具有給定頻率的資料備份系統(例如,對於 RegionSoft CRM,可以使用 )並組織適當的副本儲存。 如果您有雲端 CRM,請務必在簽訂合約之前了解如何組織備份工作:您需要有關備份深度和頻率、儲存位置、備份成本的資訊(通常僅備份「該期間的最新資料」) 」是免費的,並且提供成熟、安全的備份複製作為付費服務)。 總的來說,這裡絕對不是省錢或疏忽的地方。 是的,不要忘記檢查從備份中恢復的內容。
- 功能和資料層級的存取權限分離。
- 網路層級的安全性 - 您需要僅允許在辦公室子網內使用 CRM,限制行動裝置的訪問,禁止在家中或更糟糕的公共網路(共同工作空間、咖啡館、客戶辦公室)使用 CRM 系統, ETC。 )。 對行動版本要特別小心——讓它只是一個工作用的大幅刪減版本。
- 任何情況下都需要具有即時掃描功能的防毒軟體,尤其是在企業資料安全的情況下。 在政策層面,禁止自行停用。
- 對員工進行網路衛生培訓不是浪費時間,而是迫切需要。 有必要向所有同事傳達這樣的訊息:他們不僅要發出警告,而且要對收到的威脅做出正確反應。 禁止在辦公室使用網路或電子郵件已成為過去,並且會導致嚴重的消極情緒,因此您必須做好預防工作。
當然,使用雲端系統,您可以實現足夠的安全等級:使用專用伺服器,在應用程式層級和資料庫層級設定路由器和分離流量,使用私有子網,為管理員引入嚴格的安全規則,透過備份確保不間斷運行以所需的最大頻率和完整性,全天候監控網路......如果你想一想,這並不困難,但相當昂貴。 但實踐表明,只有一些公司(大多是大公司)採取此類措施。 因此,我們毫不猶豫地再次強調:雲端和桌面都不應該各自為政;保護您的資料。
針對所有實施 CRM 系統案例的一些小但重要的提示
- 檢查供應商是否有漏洞 - 使用「供應商名稱漏洞」、「供應商名稱被駭客攻擊」、「供應商名稱資料外洩」等字詞的組合來尋找資訊。 這不應該是尋找新CRM系統的唯一參數,但只需要在皮層下打勾,並且了解事件發生的原因尤其重要。
- 向供應商詢問資料中心的情況:可用性、有多少個、如何組織故障轉移。
- 在 CRM 中設定安全令牌,監控系統內的活動和異常峰值。
- 禁止非核心員工(即那些日常活動不需要這些功能的員工)匯出報告並透過 API 存取。
- 確保您的 CRM 系統配置為記錄流程和記錄使用者操作。
這些都是小事,但它們完美地補充了整體畫面。 事實上,沒有什麼小事是安全的。
透過實施 CRM 系統,您可以確保資料的安全 - 但前提是實施得當,且資訊安全問題不會退居幕後。 同意,買車而不檢查煞車、ABS、安全氣囊、安全帶、EDS 是愚蠢的。 畢竟,最重要的不僅僅是去,而是安全地去,安然無恙地到達那裡。 商業也是如此。
請記住:如果職業安全規則是用血寫成的,那麼商業網路安全規則就是用金錢寫成的。
關於網路安全主題以及 CRM 系統在其中的地位,您可以閱讀我們的詳細文章:
- — 公司領域可能存在的安全威脅的概述和近似的偵測方案。
- — 詳細分析員工如何損害您的企業以及他們如何在商業領域中這樣做。
如果您正在尋找 CRM 系統,那麼 。 如果您需要 CRM 或 ERP,請仔細研究我們的產品,並將其功能與您的目的和目標進行比較。 如果您有任何問題或困難,請寫信或致電,我們將為您組織單獨的線上演示 - 沒有評級或花里胡哨。
,其中,沒有廣告,我們寫了一些關於 CRM 和業務的不完全正式的東西。
來源: www.habr.com