Seguridad de la informaci贸n y restauraci贸n: c贸mo piensan los gerentes acerca de los productos de TI



Hola habr Soy una persona que consume productos de TI a trav茅s de App Store, Sberbank Online, Delivery Club y estoy relacionado con la industria de TI en la medida de lo posible. En resumen, lo espec铆fico de mi actividad profesional es proporcionar servicios de consultor铆a a empresas de catering en la optimizaci贸n y desarrollo de procesos de negocios. Recientemente, una gran cantidad de pedidos comenzaron a provenir de propietarios de establecimientos, cuyo objetivo es construir un sistema de seguridad de la informaci贸n en las empresas.

Comencemos con un par de historias divertidas. Historia n煤mero uno. En una cafeter铆a informal, los gerentes cambiaban cada tres meses. Una vez que el primer gerente, siendo un gran admirador de la historia sovi茅tica, cre贸 la contrase帽a "07111917" y la indic贸 en todos los recursos con los que al menos se contact贸 de alguna manera: el programa de contabilidad automatizada IIKO, el acceso al programa de fidelizaci贸n Plazius, la instalaci贸n de sistemas seguridad y seguridad contra incendios. Una vez que este gerente fue sorprendido vendiendo datos personales de invitados a competidores, y fue despedido de manera segura. Sin embargo, la contrase帽a revolucionaria "07111917" continu贸 vigente y fue transferida de un gerente a otro. Como resultado, todos los camareros del establecimiento sab铆an c贸mo conectarse al wifi de la oficina. Adem谩s, los invitados tambi茅n aprendieron esta contrase帽a, porque los camareros, por bondad de coraz贸n, recomendaron que se conectaran a una Internet m谩s "de alta velocidad" con el nombre "oficina_de_intelital".


En la restauraci贸n, el personal a menudo utiliza las debilidades de seguridad de la informaci贸n para sus propios fines ego铆stas.

Historia n煤mero dos. Un apuesto joven con una chaqueta azul aciano se re煤ne con el director ejecutivo de un gran restaurante. El siguiente di谩logo se lleva a cabo entre ellos:
- Nuestra empresa se especializa en productos de informaci贸n. Hoy le sugiero que considere la posibilidad de adquirir un administrador de contrase帽as de nueva generaci贸n, Hawkeye [1]. Es 煤nico porque tiene un alto grado de confiabilidad, tanto para la versi贸n en la nube como para la versi贸n en caja. El cifrado se realiza utilizando el algoritmo AES-256. Adem谩s de las funciones est谩ndar de cualquier administrador de contrase帽as, Hawkeye cuenta con copias de seguridad avanzadas y auditor铆as de seguridad. Que decir
- Konstantin, gracias por la informaci贸n, pero 驴cu谩l es la diferencia entre las versiones en caja y en la nube y por qu茅 necesito todo esto?
Dos de estas historias se relacionan con un problema: la baja conciencia de los gerentes sobre el papel y la importancia de la seguridad de la informaci贸n en la vida de las empresas. Pero hay una advertencia adicional. La forma en que los representantes de las compa帽铆as de TI hacen sus propuestas tambi茅n contribuye poco a comprender entre los gerentes por qu茅 necesitan productos de TI. A lo largo de los a帽os de mi pr谩ctica de consultor铆a, he llegado a la firme creencia de que el segmento HoReCa es un mercado poco desarrollado entre los proveedores de herramientas de TI para implementar y mantener los principios de seguridad de la informaci贸n. En este texto, me gustar铆a compartir un fragmento de un peque帽o estudio que llevamos a cabo entre los gerentes de las empresas de restauraci贸n p煤blica para determinar el grado de su conocimiento sobre la implementaci贸n y aplicaci贸n de productos de TI. En primer lugar, quiero centrarme en el uso de administradores de contrase帽as. Agrego que el estudio fue dictado por el deseo de comprender mejor el pensamiento de los gerentes para promover m谩s eficazmente sus servicios de consultor铆a.

Brevemente sobre la metodolog铆a. Se eligi贸 una estrategia de datos cualitativos. Realizamos doce entrevistas informales con gerentes y sus ayudantes en seis establecimientos de restauraci贸n. El cuestionario de la entrevista ten铆a veinte preguntas relacionadas con la filosof铆a general de seguridad de la informaci贸n, el conocimiento del marco regulatorio, el trabajo con datos personales, las capacidades t茅cnicas del sistema de seguridad en empresas individuales, los productos de TI usados, incluido el trabajo con administradores de contrase帽as. Todas las entrevistas fueron transcritas, los resultados fueron compilados de forma generalizada.


Todos estaban en una situaci贸n en la que no pod铆a recordar la contrase帽a de su cuenta

Si comienza con preguntas conceptuales, la mayor铆a de los encuestados asocian la seguridad de la informaci贸n de las empresas exclusivamente con el almacenamiento de datos personales de sus empleados. Los gerentes no entran en los detalles del aspecto t茅cnico del problema. Les importa cu谩nto ahorrar谩 tiempo este o aquel software, ayudar谩 en el almacenamiento seguro de datos y cu谩nto ser谩 conveniente usar. Adem谩s, las prioridades se colocan en este orden: (1) - tiempo - (2) - seguridad - (3) - usabilidad.
鈥淓scucha, necesito elaborar hojas de tiempo, horarios, preparar informes para los propietarios. El restaurante constantemente rompe algo. Me falta mucho tiempo para ajustar la configuraci贸n del programa, reinstalar. No somos especialistas en TI en el estado. Si hay algo r谩pido y conveniente, entonces puedes intentarlo 鈥. (hombre, 41 a帽os)
鈥淟a seguridad de la informaci贸n aqu铆 est谩 limitada por el hecho de que los libros de trabajo se almacenan en una caja fuerte, y los datos del pasaporte se encuentran en el estante superior al lado del contador. Todo esto es malo y lo entiendo. Pero configurar la seguridad sabiamente lleva tiempo, pero ahora no lo tengo. Ten铆amos experiencia en la instituci贸n comprando un antivirus avanzado, incluso compramos una licencia. Cualquier notificaci贸n llegaba constantemente, era inconveniente, distra铆a del trabajo 鈥(hombre, 35 a帽os)
鈥淗ace unos seis meses, se organiz贸 un seminario sobre la Ley Federal 152 para nosotros en una incubadora de empresas. Entonces, y ahora, tengo poco que entiendo en datos personales. Lo principal, y le dije al propietario sobre esto, es necesario restablecer el orden en nuestros registros de personal. Yo, un contador, tengo acceso a los datos, seg煤n lo acordado conmigo, y eso es todo. Ahora tenemos un desastre aqu铆, por supuesto 鈥(mujer, 34 a帽os).
Como mostraron los resultados de la entrevista, en cinco de las seis instituciones no existen normas y procedimientos para garantizar la seguridad de la informaci贸n, ni personas responsables. Adem谩s, no hay personal a tiempo completo o especialista en outsourcing que participe en la configuraci贸n y supervisi贸n del sistema de seguridad. Como dijo uno de los encuestados:
鈥淭enemos un ni帽o que agrega informaci贸n al sitio web del restaurante. En teor铆a, 茅l podr铆a hacer todo esto aqu铆 鈥(mujer, 35 a帽os).
La preocupaci贸n de los gerentes sobre la seguridad de los datos personales es comprensible. Cada vez hay m谩s casos que involucran sanciones administrativas y penales ; los requisitos para las inspecciones de los operadores de datos personales est谩n cambiando . En el sector de restaurantes, este tema se est谩 volviendo cada vez m谩s relevante, ya que adem谩s del acceso interno a las cuentas, la mayor铆a de las instituciones tienen programas de lealtad, donde el n煤mero de residentes llega a miles.

En mi opini贸n, ahora los representantes de la industria de TI tienen una buena oportunidad de obtener acceso a un mercado donde hay un problema claramente identificado y la necesidad de su soluci贸n. En los pr贸ximos tres a帽os, la solicitud de construir un sistema de seguridad de la informaci贸n en la restauraci贸n solo aumentar谩. Especialmente en las regiones.

Sin embargo, con toda la comprensi贸n superficial de c贸mo debe organizarse el sistema de seguridad de la informaci贸n, todos los encuestados usan administradores de contrase帽as. Adem谩s, algunos los obligan a usar sus diputados, chefs y administradores. Lo primero que les preguntamos a los encuestados es qu茅 administradores de contrase帽as utiliza en sus empresas:
"No s茅 si lo dir茅 bien o no, pero ahora estoy usando Zoho [2]. Sorprendentemente, puedo ver la contrase帽a incluso desde el tel茅fono y desde la computadora del trabajo. Lo 煤nico que debo hacer es no olvidar la contrase帽a b谩sica para acceder. Por lo tanto, lo escrib铆 en un diario 鈥(una mujer de 32 a帽os).

鈥淓scucha, empec茅 a usar el administrador de contrase帽as por accidente. Un amigo de la universidad trabaja en un banco y dio para usarlo. Se llama Pasvork [3], hasta ahora parece conveniente, ahorra tiempo. Tuvimos un problema cuando el empleado despedido se conect贸 al sistema de contabilidad y examin贸 nuestros ingresos. Fue por casualidad que supieron que las contrase帽as en el restaurante fueron creadas por 茅l. Urgentemente tuve que rehacer todo. As铆 que era necesario un gerente 鈥(hombre, 41 a帽os).

鈥淓studi茅 un poco sobre TI en nuestra t茅cnica. Cuando pens茅 en el administrador de contrase帽as, me decid铆 por CommonKey [4], ya que se adapta bien a la funci贸n de administrar los perfiles personales de los empleados. Es muy conveniente para nuestra cadena de pizzer铆as "(hombre, 38 a帽os).


Observo que eleg铆 los comentarios m谩s significativos de los encuestados. La mayor铆a de los encuestados no pod铆an recordar exactamente c贸mo se llaman sus gerentes. Para algunos, el administrador de contrase帽as se asocia exclusivamente con el almacenamiento de datos en el navegador. En general, los encuestados, al elegir un producto en particular, no se preguntan sobre el mecanismo de criptograf铆a que subyace al administrador de contrase帽as. Las prioridades para ellos son la velocidad y la facilidad de uso.

A pesar del hecho de que entre los encuestados hay una comprensi贸n com煤n de por qu茅 necesitan un administrador de contrase帽as, los encuestados los usan de un caso a otro. Como dijo la encuestada:
鈥淐uando, por un lado, un cliente de banquetes lo atrae, por otro, un proveedor y, en el tercero, el personal que pregunta cu谩ndo ser谩 el salario, y en este momento crea una cuenta para un nuevo empleado, lo 煤nico que queda es escribir el nombre de usuario y la contrase帽a en pedazo de papel 鈥(mujer, 41 a帽os).
Sin embargo, hay ciertas pr谩cticas. Hay una serie de problemas que han hecho que los administradores de contrase帽as se utilicen en la industria de la restauraci贸n. 驴Cu谩les son estos problemas?

En primer lugar, acceso a programas de fidelizaci贸n. No es un secreto para los conocedores que el personal "enloda" con los descuentos, los reembolsos en efectivo se acreditan a tarjetas de pl谩stico atadas a familiares y amigos del personal, etc. La forma m谩s efectiva de prevenir el fraude es verificar regularmente la actividad de las cuentas en la parte posterior del programa de lealtad. La situaci贸n se complica por el hecho de que al menos tres personas necesitan acceso al programa: un gerente, un vendedor (para SMS y mensajes push) y un operador que mantiene el programa de lealtad (en caso de fallas t茅cnicas u opciones adicionales).
鈥淟o 煤nico cuando trato de no olvidarme del administrador de contrase帽as es cuando trabajo con nuestra base de invitados. Adem谩s del acceso a los datos personales de los hu茅spedes, el dinero virtual se puede acreditar o debitar a trav茅s de esta base de datos. Una vez al mes, cambio la contrase帽a y hago una clasificaci贸n de los accesos seg煤n el estado del usuario. Por lo tanto, la informaci贸n debe actualizarse constantemente. Password Manager facilita el trabajo a este respecto 鈥(hombre, 48 a帽os).
En segundo lugar, en cada empresa hay tarjetas magn茅ticas de personal para acceder a un sistema de contabilidad automatizado (por ejemplo, IIKO o R-Keeper). Hay casos entretenidos. El camarero se va y se va con la tarjeta. De hecho, el camarero fallecido conoce la contrase帽a para acceder al sistema, donde se reflejan los indicadores financieros de la empresa, se eliminan y cancelan los platos, se registran las horas de trabajo del personal.
鈥淗ubo una historia cuando un empleado despedido conspir贸 con un cantinero y bebi贸 alcohol por hospitalidad. De alguna manera extra帽a, este compa帽ero ten铆a una tarjeta desbloqueada y la us贸 鈥(hombre, 38 a帽os)
En tercer lugar, los gerentes van y vienen, y las cuentas permanecen. La adaptaci贸n profesional del nuevo administrador se ralentiza cuando se sienta en la pantalla del monitor e intenta comunicarse con el administrador anterior para averiguar el nombre de usuario y la contrase帽a de los sistemas de correo electr贸nico, Mercury y EGAIS, su cuenta personal en el portal de la empresa METRO.
"Normalmente no pod铆a resolver los problemas cuando no hab铆a un acceso 煤nico a las cuentas existentes. El gerente anterior rompi贸 mal con el due帽o y no me dio nada. Tuve que restaurar todo, ordenar sus borradores, persuadir a una persona para que compartiera informaci贸n. Despu茅s de eso, decid铆 firmemente que mantendr铆a todas las contrase帽as en un programa especial 鈥(mujer, 29 a帽os).

No repita el error del presidente de Kosovo , use el administrador de contrase帽as

Todas estas situaciones pueden ser 煤tiles para los representantes de los desarrolladores de TI para formular ofertas comerciales competentes para los representantes del sector de restaurantes. Destaco una vez m谩s que el mercado HoReCa est谩 listo para el consumo de productos de TI. Esto se aplica no solo a los administradores de contrase帽as, sino tambi茅n al software antivirus, los sistemas de videovigilancia y la optimizaci贸n de procesos comerciales.

Mientras escrib铆a el texto, me di cuenta de las serias perspectivas comerciales de implementar est谩ndares de seguridad de la informaci贸n para restaurantes, cafeter铆as y bares. Por lo tanto, les pido a todos los interesados 鈥嬧媞ue escriban en los comentarios qu茅 tipo de software recomendar铆an a los representantes de HoReCa para construir un sistema confiable de seguridad de la informaci贸n. Al final del tema de los administradores de contrase帽as, participe en la encuesta a continuaci贸n. Estar铆a muy agradecido por los comentarios detallados sobre su elecci贸n.

[1] El nombre es ficticio. Cualquier similitud con otros administradores de contrase帽as son solo similitudes y nada m谩s.
[2] El encuestado se refiere al Administrador de contrase帽as de Zoho Vault: www.zoho.com/vault
[3] El encuestado se refiere al administrador de contrase帽as de Passwork : passwork.ru
[4] El encuestado se refiere al administrador de contrase帽as de CommonKey: www.commonkey.com

Source: https://habr.com/ru/post/444332/


All Articles