Hola habr Soy una persona que consume productos de TI a través de App Store, Sberbank Online, Delivery Club y estoy relacionado con la industria de TI en la medida de lo posible. En resumen, lo específico de mi actividad profesional es proporcionar servicios de consultoría a empresas de catering en la optimización y desarrollo de procesos de negocios. Recientemente, una gran cantidad de pedidos comenzaron a provenir de propietarios de establecimientos, cuyo objetivo es construir un sistema de seguridad de la información en las empresas.
Comencemos con un par de historias divertidas. Historia número uno. En una cafetería informal, los gerentes cambiaban cada tres meses. Una vez que el primer gerente, siendo un gran admirador de la historia soviética, creó la contraseña "07111917" y la indicó en todos los recursos con los que al menos se contactó de alguna manera: el programa de contabilidad automatizada IIKO, el acceso al programa de fidelización Plazius, la instalación de sistemas seguridad y seguridad contra incendios. Una vez que este gerente fue sorprendido vendiendo datos personales de invitados a competidores, y fue despedido de manera segura. Sin embargo, la contraseña revolucionaria "07111917" continuó vigente y fue transferida de un gerente a otro. Como resultado, todos los camareros del establecimiento sabían cómo conectarse al wifi de la oficina. Además, los invitados también aprendieron esta contraseña, porque los camareros, por bondad de corazón, recomendaron que se conectaran a una Internet más "de alta velocidad" con el nombre "oficina_de_intelital".
En la restauración, el personal a menudo utiliza las debilidades de seguridad de la información para sus propios fines egoístas.Historia número dos. Un apuesto joven con una chaqueta azul aciano se reúne con el director ejecutivo de un gran restaurante. El siguiente diálogo se lleva a cabo entre ellos:
- Nuestra empresa se especializa en productos de información. Hoy le sugiero que considere la posibilidad de adquirir un administrador de contraseñas de nueva generación, Hawkeye [1]. Es único porque tiene un alto grado de confiabilidad, tanto para la versión en la nube como para la versión en caja. El cifrado se realiza utilizando el algoritmo AES-256. Además de las funciones estándar de cualquier administrador de contraseñas, Hawkeye cuenta con copias de seguridad avanzadas y auditorías de seguridad. Que decir
- Konstantin, gracias por la información, pero ¿cuál es la diferencia entre las versiones en caja y en la nube y por qué necesito todo esto?
Dos de estas historias se relacionan con un problema: la baja conciencia de los gerentes sobre el papel y la importancia de la seguridad de la información en la vida de las empresas. Pero hay una advertencia adicional. La forma en que los representantes de las compañías de TI hacen sus propuestas también contribuye poco a comprender entre los gerentes por qué necesitan productos de TI. A lo largo de los años de mi práctica de consultoría, he llegado a la firme creencia de que el segmento HoReCa es un mercado poco desarrollado entre los proveedores de herramientas de TI para implementar y mantener los principios de seguridad de la información. En este texto, me gustaría compartir un fragmento de un pequeño estudio que llevamos a cabo entre los gerentes de las empresas de restauración pública para determinar el grado de su conocimiento sobre la implementación y aplicación de productos de TI. En primer lugar, quiero centrarme en el uso de administradores de contraseñas. Agrego que el estudio fue dictado por el deseo de comprender mejor el pensamiento de los gerentes para promover más eficazmente sus servicios de consultoría.
Brevemente sobre la metodología. Se eligió una estrategia de datos cualitativos. Realizamos doce entrevistas informales con gerentes y sus ayudantes en seis establecimientos de restauración. El cuestionario de la entrevista tenía veinte preguntas relacionadas con la filosofía general de seguridad de la información, el conocimiento del marco regulatorio, el trabajo con datos personales, las capacidades técnicas del sistema de seguridad en empresas individuales, los productos de TI usados, incluido el trabajo con administradores de contraseñas. Todas las entrevistas fueron transcritas, los resultados fueron compilados de forma generalizada.
Todos estaban en una situación en la que no podía recordar la contraseña de su cuentaSi comienza con preguntas conceptuales, la mayoría de los encuestados asocian la seguridad de la información de las empresas exclusivamente con el almacenamiento de datos personales de sus empleados. Los gerentes no entran en los detalles del aspecto técnico del problema. Les importa cuánto ahorrará tiempo este o aquel software, ayudará en el almacenamiento seguro de datos y cuánto será conveniente usar. Además, las prioridades se colocan en este orden: (1) - tiempo - (2) - seguridad - (3) - usabilidad.
“Escucha, necesito elaborar hojas de tiempo, horarios, preparar informes para los propietarios. El restaurante constantemente rompe algo. Me falta mucho tiempo para ajustar la configuración del programa, reinstalar. No somos especialistas en TI en el estado. Si hay algo rápido y conveniente, entonces puedes intentarlo ”. (hombre, 41 años)
“La seguridad de la información aquí está limitada por el hecho de que los libros de trabajo se almacenan en una caja fuerte, y los datos del pasaporte se encuentran en el estante superior al lado del contador. Todo esto es malo y lo entiendo. Pero configurar la seguridad sabiamente lleva tiempo, pero ahora no lo tengo. Teníamos experiencia en la institución comprando un antivirus avanzado, incluso compramos una licencia. Cualquier notificación llegaba constantemente, era inconveniente, distraía del trabajo ”(hombre, 35 años)
“Hace unos seis meses, se organizó un seminario sobre la Ley Federal 152 para nosotros en una incubadora de empresas. Entonces, y ahora, tengo poco que entiendo en datos personales. Lo principal, y le dije al propietario sobre esto, es necesario restablecer el orden en nuestros registros de personal. Yo, un contador, tengo acceso a los datos, según lo acordado conmigo, y eso es todo. Ahora tenemos un desastre aquí, por supuesto ”(mujer, 34 años).
Como mostraron los resultados de la entrevista, en cinco de las seis instituciones no existen normas y procedimientos para garantizar la seguridad de la información, ni personas responsables. Además, no hay personal a tiempo completo o especialista en outsourcing que participe en la configuración y supervisión del sistema de seguridad. Como dijo uno de los encuestados:
“Tenemos un niño que agrega información al sitio web del restaurante. En teoría, él podría hacer todo esto aquí ”(mujer, 35 años).
La preocupación de los gerentes sobre la seguridad de los datos personales es comprensible. Cada vez hay más casos que involucran
sanciones administrativas y
penales ; los requisitos para las inspecciones de
los operadores de
datos personales están cambiando
. En el sector de restaurantes, este tema se está volviendo cada vez más relevante, ya que además del acceso interno a las cuentas, la mayoría de las instituciones tienen programas de lealtad, donde el número de residentes llega a miles.
En mi opinión, ahora los representantes de la industria de TI tienen una buena oportunidad de obtener acceso a un mercado donde hay un problema claramente identificado y la necesidad de su solución. En los próximos tres años, la solicitud de construir un sistema de seguridad de la información en la restauración solo aumentará. Especialmente en las regiones.
Sin embargo, con toda la comprensión superficial de cómo debe organizarse el sistema de seguridad de la información, todos los encuestados usan administradores de contraseñas. Además, algunos los obligan a usar sus diputados, chefs y administradores. Lo primero que les preguntamos a los encuestados es qué administradores de contraseñas utiliza en sus empresas:
"No sé si lo diré bien o no, pero ahora estoy usando Zoho [2]. Sorprendentemente, puedo ver la contraseña incluso desde el teléfono y desde la computadora del trabajo. Lo único que debo hacer es no olvidar la contraseña básica para acceder. Por lo tanto, lo escribí en un diario ”(una mujer de 32 años).
“Escucha, empecé a usar el administrador de contraseñas por accidente. Un amigo de la universidad trabaja en un banco y dio para usarlo. Se llama Pasvork [3], hasta ahora parece conveniente, ahorra tiempo. Tuvimos un problema cuando el empleado despedido se conectó al sistema de contabilidad y examinó nuestros ingresos. Fue por casualidad que supieron que las contraseñas en el restaurante fueron creadas por él. Urgentemente tuve que rehacer todo. Así que era necesario un gerente ”(hombre, 41 años).
“Estudié un poco sobre TI en nuestra técnica. Cuando pensé en el administrador de contraseñas, me decidí por CommonKey [4], ya que se adapta bien a la función de administrar los perfiles personales de los empleados. Es muy conveniente para nuestra cadena de pizzerías "(hombre, 38 años).
Observo que elegí los comentarios más significativos de los encuestados. La mayoría de los encuestados no podían recordar exactamente cómo se llaman sus gerentes. Para algunos, el administrador de contraseñas se asocia exclusivamente con el almacenamiento de datos en el navegador. En general, los encuestados, al elegir un producto en particular, no se preguntan sobre el mecanismo de criptografía que subyace al administrador de contraseñas. Las prioridades para ellos son la velocidad y la facilidad de uso.
A pesar del hecho de que entre los encuestados hay una comprensión común de por qué necesitan un administrador de contraseñas, los encuestados los usan de un caso a otro. Como dijo la encuestada:
“Cuando, por un lado, un cliente de banquetes lo atrae, por otro, un proveedor y, en el tercero, el personal que pregunta cuándo será el salario, y en este momento crea una cuenta para un nuevo empleado, lo único que queda es escribir el nombre de usuario y la contraseña en pedazo de papel ”(mujer, 41 años).
Sin embargo, hay ciertas prácticas. Hay una serie de problemas que han hecho que los administradores de contraseñas se utilicen en la industria de la restauración. ¿Cuáles son estos problemas?
En primer lugar, acceso a programas de fidelización. No es un secreto para los conocedores que el personal "enloda" con los descuentos, los reembolsos en efectivo se acreditan a tarjetas de plástico atadas a familiares y amigos del personal, etc. La forma más efectiva de prevenir el fraude es verificar regularmente la actividad de las cuentas en la parte posterior del programa de lealtad. La situación se complica por el hecho de que al menos tres personas necesitan acceso al programa: un gerente, un vendedor (para SMS y mensajes push) y un operador que mantiene el programa de lealtad (en caso de fallas técnicas u opciones adicionales).
“Lo único cuando trato de no olvidarme del administrador de contraseñas es cuando trabajo con nuestra base de invitados. Además del acceso a los datos personales de los huéspedes, el dinero virtual se puede acreditar o debitar a través de esta base de datos. Una vez al mes, cambio la contraseña y hago una clasificación de los accesos según el estado del usuario. Por lo tanto, la información debe actualizarse constantemente. Password Manager facilita el trabajo a este respecto ”(hombre, 48 años).
En segundo lugar, en cada empresa hay tarjetas magnéticas de personal para acceder a un sistema de contabilidad automatizado (por ejemplo, IIKO o R-Keeper). Hay casos entretenidos. El camarero se va y se va con la tarjeta. De hecho, el camarero fallecido conoce la contraseña para acceder al sistema, donde se reflejan los indicadores financieros de la empresa, se eliminan y cancelan los platos, se registran las horas de trabajo del personal.
“Hubo una historia cuando un empleado despedido conspiró con un cantinero y bebió alcohol por hospitalidad. De alguna manera extraña, este compañero tenía una tarjeta desbloqueada y la usó ”(hombre, 38 años)
En tercer lugar, los gerentes van y vienen, y las cuentas permanecen. La adaptación profesional del nuevo administrador se ralentiza cuando se sienta en la pantalla del monitor e intenta comunicarse con el administrador anterior para averiguar el nombre de usuario y la contraseña de los sistemas de correo electrónico, Mercury y EGAIS, su cuenta personal en el portal de la empresa METRO.
"Normalmente no podía resolver los problemas cuando no había un acceso único a las cuentas existentes. El gerente anterior rompió mal con el dueño y no me dio nada. Tuve que restaurar todo, ordenar sus borradores, persuadir a una persona para que compartiera información. Después de eso, decidí firmemente que mantendría todas las contraseñas en un programa especial ”(mujer, 29 años).
No repita el error del presidente de Kosovo , use el administrador de contraseñasTodas estas situaciones pueden ser útiles para los representantes de los desarrolladores de TI para formular ofertas comerciales competentes para los representantes del sector de restaurantes. Destaco una vez más que el mercado HoReCa está listo para el consumo de productos de TI. Esto se aplica no solo a los administradores de contraseñas, sino también al software antivirus, los sistemas de videovigilancia y la optimización de procesos comerciales.
Mientras escribía el texto, me di cuenta de las serias perspectivas comerciales de implementar estándares de seguridad de la información para restaurantes, cafeterías y bares. Por lo tanto, les pido a todos los interesados que escriban en los comentarios qué tipo de software recomendarían a los representantes de HoReCa para construir un sistema confiable de seguridad de la información. Al final del tema de los administradores de contraseñas, participe en la encuesta a continuación. Estaría muy agradecido por los comentarios detallados sobre su elección.
[1] El nombre es ficticio. Cualquier similitud con otros administradores de contraseñas son solo similitudes y nada más.
[2] El encuestado se
refiere al Administrador de contraseñas de Zoho Vault:
www.zoho.com/vault[3] El encuestado se refiere al administrador de contraseñas de
Passwork :
passwork.ru[4] El encuestado se refiere al administrador de contraseñas de CommonKey:
www.commonkey.com