En 2008, logré visitar una empresa de TI. Se leyó una tensión poco saludable en cada empleado. La razón era simple: teléfonos móviles, en una caja en la entrada de la oficina, detrás, una cámara, 2 cámaras adicionales grandes que "miran" en la oficina y un software de monitoreo con un keylogger. Y sí, esta no es la compañía que desarrolló SORM o sistemas de soporte de vida de la aeronave, sino solo un desarrollador de software de negocios de aplicaciones, ahora absorbido, aplastado y ya no existe (lo que parece lógico). Si acaba de comunicarse y cree que su oficina con hamacas y M&M en jarrones definitivamente no está allí, puede estar muy equivocado: es solo que en 11 años el control aprendió a ser invisible y correcto, sin desmontar los sitios visitados y las películas descargadas.
Entonces, ¿es realmente imposible sin todo esto, pero qué pasa con la confianza, la lealtad, la fe en las personas? No lo creas, pero las empresas sin seguridad no son menos. Pero los empleados logran entrecerrar los ojos allí y allá, simplemente porque el factor humano es capaz de destruir mundos, no como su empresa. Entonces, ¿dónde pueden despertar sus empleados?
Esta no es una publicación muy seria, que tiene exactamente dos funciones: alegrar un poco los días de trabajo y recordar las cosas básicas de seguridad, que a menudo se olvidan. Y, bueno, una vez más le recordamos un
sistema CRM fresco y seguro : ¿ese software no es una ventaja de seguridad? :-)
¡Perseguido en modo aleatorio!
Contraseñas, contraseñas, contraseñas ...
Hablas de ellos y surge una ola de indignación: ¡cómo es así, cuántas veces se repiten al mundo y las cosas siguen ahí! En empresas de todos los niveles, desde empresarios privados hasta corporaciones transnacionales, este es un lugar muy doloroso. A veces me parece que si mañana construyen una verdadera Estrella de la Muerte, habrá algo como admin / admin en el panel de administración. Entonces, ¿qué esperar de los usuarios comunes para quienes su propia página VKontakte es mucho más costosa que la contabilidad corporativa? Aquí están los puntos para verificar:
- Escribir contraseñas en trozos de papel, en la parte posterior del teclado, en el monitor, en la mesa debajo del teclado, en la pegatina en la parte inferior del mouse (¡basura!): Los empleados nunca deberían hacer esto. Y no porque un pirata informático terrible ingrese y descargue todo el 1C a una unidad flash USB durante el almuerzo, sino porque Sasha puede ofenderse en la oficina, quien va a renunciar y dar una mierda o recoger información por última vez. ¿Por qué no hacerlo en el almuerzo regular?
¿Eso es algo? Esta cosa almacena todas mis contraseñas.- Establecer contraseñas simples para ingresar a la PC y programas de trabajo. Las fechas de nacimiento, qwerty123 e incluso asdf son combinaciones que tienen lugar en los chistes y en bashorgh, y no en el sistema de seguridad corporativo. Establezca los requisitos para las contraseñas y su longitud, establezca la frecuencia de reemplazo.
La contraseña es como la ropa interior: cámbiela más a menudo, no la comparta con sus amigos, por mucho tiempo es mejor, sea misterioso, no se esparza por todas partes- Las contraseñas del proveedor para ingresar al programa por defecto son defectuosas, aunque solo sea porque casi todos los empleados del proveedor las conocen, y si se trata de un sistema basado en la web en la nube, no será difícil para nadie obtener los datos. Especialmente si también tiene seguridad de red al nivel de "no desconecte el cable".
- ¡Explique a los empleados que la sugerencia de contraseña en el sistema operativo no debe verse como "mi cumpleaños", "nombre de la hija", "Gvoz-dika-78545-up # 1! en inglés ". o "cuarto y uno con cero".
¡Mi gato me da grandes contraseñas! El camina en mi tecladoAcceso físico a los negocios.
¿Cómo organiza el acceso a la documentación contable y de personal (por ejemplo, a los archivos personales de los empleados) en su empresa? Déjame adivinar: si se trata de una pequeña empresa, entonces en el departamento de contabilidad o en la oficina del jefe en carpetas en los estantes o en el armario, si es grande, en el departamento de personal en los estantes. Pero si es muy grande, lo más probable es que todo sea correcto: una oficina separada o un bloque con una llave magnética, a la que solo los empleados individuales tienen acceso y para llegar allí, debe llamar a uno de ellos e ir a este nodo en su presencia. No hay nada complicado en hacer tal protección en cualquier negocio, o al menos aprender a no escribir la contraseña de la oficina con la tiza en la puerta o en la pared (todo se basa en hechos reales, no se ría).
¿Por qué es esto importante? En primer lugar, los trabajadores tienen un anhelo patológico de aprender el secreto entre ellos: estado civil, salarios, diagnósticos médicos, educación, etc. Esta es una evidencia incriminatoria en la competencia de oficina. Y no está nada contento con las disputas que surgirán cuando la diseñadora Petya descubra que obtiene 20 mil menos que la diseñadora Alice. En segundo lugar, en el mismo lugar, los empleados pueden acceder a la información financiera de la empresa (saldos, informes anuales, contratos). En tercer lugar, algo elemental puede perderse, dañarse o robarse para ocultar las huellas de su propia biografía laboral.
Almacén, donde alguien tiene una pérdida, alguien, un tesoro
Si tiene un almacén, considere que tarde o temprano se encontrará con delincuentes, así como la psicología de una persona que ve un gran volumen de productos y cree firmemente que un poco de un lote no es un robo, sino compartir. Una unidad de bienes de este montón puede costar 200 mil y 300 mil y varios millones. Desafortunadamente, el robo no se puede detener con nada más que el control y la contabilidad pedante y total: cámaras, recepción y débito por códigos de barras, automatización de la contabilidad del almacén (por ejemplo, en nuestro
RegionSoft CRM, la contabilidad del almacén está organizada de tal manera que el gerente y el supervisor puedan ver los movimientos bienes en stock en tiempo real).
Por lo tanto, arme su almacén hasta los dientes, garantice la seguridad física del enemigo externo y la seguridad completa, desde el interno. Los empleados en el transporte, en la logística, en el almacén deben darse cuenta claramente de que hay control, funciona y solo que se castigarán a sí mismos.
* uki, no pongas tus manos en la infraestructura
Si la historia sobre la sala de servidores y la señora de la limpieza ya ha sobrevivido y ha migrado durante mucho tiempo a las bicicletas de otras industrias (por ejemplo, la misma historia fue sobre el cierre místico de la ventilación mecánica en la misma habitación), entonces el resto sigue siendo una realidad. Las empresas de seguridad de redes y TI en pequeñas y medianas empresas dejan mucho que desear, y esto a menudo no depende de si tiene un administrador del sistema o un invitado. Este último a menudo lo hace aún mejor.
Entonces, ¿de qué son capaces los empleados aquí?
- Lo más dulce e inofensivo es ir a la sala de servidores, tirar de los cables, ver, derramar té, aplicar suciedad o tratar de configurar algo usted mismo. Esto es especialmente cierto para los "usuarios seguros y avanzados" que heroicamente enseñan a sus colegas a deshabilitar el antivirus y evitar la protección en una PC y están seguros de que son dioses innatos del servidor. En general, el acceso limitado autorizado es su todo.
- Robo de equipos y sustitución de componentes. ¿Amas a tu empresa y pones tarjetas de video potentes para que todos hagan que el sistema de facturación, CRM y todo lo demás funcione perfectamente? Genial Solo los hombres astutos (y a veces las niñas) pueden reemplazarlos fácilmente con su hogar, y conducirán juegos en casa en un nuevo modelo de oficina: no reconocerán la mitad del mundo. La misma historia con teclados, ratones, refrigeradores, UPS y todo lo que de alguna manera se puede reemplazar dentro del marco de la configuración de hierro. Como resultado, usted corre el riesgo de daños a la propiedad, su pérdida completa y, al mismo tiempo, no obtiene la velocidad y calidad de trabajo deseadas con los sistemas y aplicaciones de información. El sistema de monitoreo (sistema ITSM) con control de configuración configurado) se guarda, lo que debe incluirse con un administrador de sistema incorruptible y con principios.
- El uso de módems, puntos de acceso o algún tipo de Wi-Fi compartido hace que el acceso a los archivos sea menos seguro y casi incontrolable, lo que los atacantes pueden aprovechar (incluida la conspiración con los empleados). Bueno, y además, la probabilidad de que un empleado "con su propia Internet" se quede fuera de su horario laboral en YouTube, sitios de historietas y redes sociales es mucho mayor.
- Las contraseñas y los inicios de sesión unificados para acceder al panel de administración del sitio, CMS, software de aplicación son cosas terribles que convierten a un empleado inepto o malicioso en un vengador esquivo. Si tiene 5 personas de la misma subred con el mismo nombre de usuario / contraseña, fueron a colgar un banner, verificar enlaces y métricas publicitarias, corregir el diseño y completar la actualización, nunca adivinará cuál de ellos accidentalmente convirtió CSS en una calabaza. Por lo tanto: diferentes inicios de sesión, diferentes contraseñas, registro de acciones y diferenciación de derechos de acceso.
- ¿Vale la pena hablar sobre software sin licencia que los empleados arrastran a sus PC para editar un par de fotos durante las horas de trabajo o para hacer algo allí que sea muy hobby? ¿No escuchó sobre la inspección del departamento "K" de la Dirección Central de Asuntos Internos? Entonces ella va hacia ti!
- El antivirus debería funcionar. Sí, algunos de ellos pueden ralentizar la PC, molestar y, en general, parecen un signo de cobardía, pero es mejor prevenirlo que pagar con tiempo de inactividad o, peor aún, con datos robados.
- Las advertencias del sistema operativo sobre los peligros de instalar una aplicación no deben ignorarse. Hoy, descargar algo por trabajo es cuestión de segundos y minutos. Por ejemplo, Direct. Commander o editor Adwords, algún analizador de SEO, etc. Si todo está más o menos claro con los productos Yandex y Google, aquí hay otro picresizador, un limpiador de virus gratuito, un editor de video con tres efectos, capturas de pantalla, grabadoras de skype y otros "pequeños programas" que pueden dañar tanto una PC individual como toda la red de la compañía. Aliente a los usuarios a leer lo que la computadora quiere de ellos, antes de llamar al administrador del sistema y decir que "todo está muerto". En algunas compañías, el problema se resuelve de manera simple: muchas utilidades útiles descargadas se encuentran en un recurso compartido de red, y también se publica una lista de soluciones en línea adecuadas.
- La política BYOD o, por el contrario, la política de permitir el uso de equipos de trabajo fuera de la oficina es un lado muy malo de la seguridad. En este caso, los familiares, amigos, niños, redes públicas desprotegidas, etc. tienen acceso a la tecnología. Esta es una ruleta puramente rusa: puede caminar y administrar durante 5 años, o puede perder o arruinar todos los documentos y archivos valiosos. Bueno, y además, si el empleado tiene una intención maliciosa, es real fusionar los datos con el equipo "ambulante", ya que se pueden enviar dos bytes. También debe recordar que los empleados a menudo transfieren archivos entre sus computadoras personales, lo que nuevamente puede crear lagunas de seguridad.
- Bloquear dispositivos mientras está fuera es un buen hábito tanto en el ámbito corporativo como personal. Nuevamente, protege de colegas curiosos, conocidos e intrusos en lugares públicos. Es difícil acostumbrarme a esto, pero en uno de mis lugares de trabajo tuve una experiencia maravillosa: mis colegas se acercaron a una PC no cerrada, Paint con la inscripción "¡Comp perdido!" Se volvió hacia toda la ventana. y algo cambió en el trabajo, por ejemplo, se demolió el último conjunto bombeado o se eliminó el último error de la herida (era un grupo de prueba). Cruel, pero 1-2 veces suficiente incluso para los de madera. Aunque, sospecho, los profesionales no informáticos pueden no entender ese humor.
- Pero el peor pecado, por supuesto, recae en el administrador y la administración del sistema, en el caso de que categóricamente no utilicen sistemas de control de tráfico, equipos, licencias, etc.
Esto, por supuesto, es la base, porque la infraestructura de TI es el lugar donde más se adentra en el bosque, más leña. Y todos deberían tener esta base, y no ser reemplazados por las palabras "todos confiamos el uno en el otro", "somos una familia", "pero quién la necesita", por desgracia, esto es por el momento.
Esto es Internet, cariño, pueden saber mucho de ti
Es hora de introducir un acceso seguro a Internet a los cursos de seguridad de la vida en la escuela, y esto no se trata en absoluto de las medidas en las que estamos inmersos desde el exterior. Se trata de la capacidad de distinguir un enlace de un enlace, de comprender dónde está el phishing y dónde está el divorcio, no abra archivos adjuntos del tema "Ley de Verificación" de una dirección desconocida, sin entender, etc. Aunque, al parecer, los escolares ya lo han dominado todo, pero los empleados, no. Hay toneladas de trucos y errores que pueden poner en peligro a toda la empresa a la vez.
- Redes sociales: una sección de Internet que no tiene un lugar para trabajar, pero bloquearlas a nivel de empresa en 2019 es una medida impopular y desmotivadora. Por lo tanto, solo necesita escribir a todos los empleados cómo verificar la ilegalidad de los enlaces, hablar sobre los tipos de fraude y pedirles que trabajen en el trabajo.
- El correo es un punto doloroso y quizás la forma más popular de robar información, plantar malware, infectar su PC y toda la red. Por desgracia, muchos empleadores consideran que el cliente de correo es un artículo de ahorro y utilizan servicios gratuitos que envían 200 correos electrónicos no deseados por día que pasan por filtros, etc. Y algunas personas irresponsables abren tales cartas y archivos adjuntos, enlaces, imágenes; aparentemente, esperan que el príncipe negro les haya dejado la herencia. Después de lo cual el administrador tiene mucho trabajo. ¿O era eso lo que se pretendía? Por cierto, otra historia cruel: en una empresa, por cada correo no deseado, el administrador del sistema se vio reducido por KPI. En general, después de un mes no hubo correo no deseado: la práctica fue adoptada por la organización matriz y todavía no hay correo no deseado. Resolvimos este problema con gracia: desarrollamos nuestro propio cliente de correo electrónico y lo incorporamos a nuestro CRM de RegionSoft , por lo que todos nuestros clientes también obtienen una función tan conveniente.
- Los mensajeros también son la fuente de todo tipo de enlaces inseguros, pero este es un mal mucho menor que el correo (sin contar el tiempo muerto por la inquietud en las salas de chat).
Parece ser todas las pequeñas cosas. Sin embargo, cada una de estas pequeñas cosas puede tener consecuencias desastrosas, especialmente si su empresa es el blanco de un ataque de los competidores. Y esto puede sucederle literalmente a todos.
Empleados conversadores
Este es el factor muy humano del que le resultará difícil deshacerse. Los empleados pueden hablar sobre el trabajo en el corredor, en un café, en la calle, en el cliente, hablar en voz alta sobre otro cliente, hablar sobre logros laborales y proyectos en el hogar. Por supuesto, la probabilidad de que un competidor esté detrás de ti es insignificante (si no estuvieras en un centro de negocios, esto sucedió), pero el hecho de que un tipo que claramente establece asuntos comerciales será eliminado en un teléfono inteligente y subido a YouTube, por extraño que parezca. Pero esto es basura. No es mentira cuando sus empleados presentan voluntariamente información sobre un producto o empresa en capacitaciones, conferencias, reuniones, foros profesionales, pero al menos en Habré. Además, a menudo las personas convocan deliberadamente a un oponente a tales conversaciones para llevar a cabo inteligencia competitiva.
Historia ilustrativa En una conferencia de TI a escala galáctica, el orador de la sección presentó en una diapositiva un diagrama completo de la organización de la infraestructura de TI de una gran empresa (top 20). El esquema era mega impresionante, solo espacio, fue fotografiado por casi todos, e instantáneamente voló a través de las redes sociales con excelentes críticas. Bueno, entonces el orador atrapado en geoetiquetas, soportes, sociales. las redes publicaron y rogaron que las eliminaran, porque rápidamente llamó y dijo a-ta-ta. Chatterbox: un regalo del cielo para el espía.
La ignorancia ... libera del castigo
Según el informe global de Kaspersky Lab para 2017 entre las empresas que enfrentan incidentes de seguridad cibernética en 12 meses, uno de los diez (11%) tipos más graves de incidentes relacionados con empleados descuidados y desinformados.
No asuma que los empleados saben todo acerca de las medidas de seguridad corporativas, asegúrese de advertirles, realizar capacitaciones, hacer boletines periódicos interesantes sobre problemas de seguridad, celebrar reuniones de pizza y aclarar preguntas nuevamente. Y sí, genial truco de vida: marque toda la información impresa y electrónica con color, signos, inscripciones: secreto comercial, secreto, para uso oficial, acceso general. Realmente funciona
El mundo moderno ha puesto a las empresas en una posición muy delicada: es necesario lograr un equilibrio entre el deseo del empleado de trabajar no solo para arar, sino también para recibir contenido entretenido durante los descansos y las estrictas normas de seguridad corporativa. Si activa los programas de hipercontrol y seguimiento imbécil (sí, no es un error tipográfico, esto no es seguridad, es paranoia) y las cámaras a sus espaldas, la confianza de los empleados en la empresa disminuirá y, después de todo, mantener la confianza también es una herramienta de seguridad corporativa.
Por lo tanto, conozca la medida, respete a los empleados, haga copias de seguridad. Y lo más importante: poner la seguridad a la vanguardia, y no la paranoia personal.
Si necesita CRM o ERP, estudie cuidadosamente nuestros productos y compare sus capacidades con sus metas y objetivos. Habrá preguntas y dificultades: escriba, llame, organizaremos una presentación individual en línea, sin calificaciones ni puzomerki.
Nuestro canal en Telegram , en el que sin publicidad no escribimos cosas muy formales sobre CRM y negocios.