Hallo Habr! Ich bin eine Person, die IT-Produkte über den App Store, Sberbank Online, Delivery Club konsumiert und mit der IT-Branche verwandt ist, sofern. Kurz gesagt, die Besonderheit meiner beruflichen Tätigkeit besteht darin, Catering-Unternehmen bei der Optimierung und Entwicklung von Geschäftsprozessen zu beraten. Vor kurzem kam eine große Anzahl von Aufträgen von Eigentümern von Betrieben, deren Ziel es ist, ein Informationssicherheitssystem in Unternehmen aufzubauen.
Beginnen wir mit ein paar lustigen Geschichten. Geschichte Nummer eins. In einem ungezwungenen Café wechselten die Manager alle drei Monate. Einmal erstellte der allererste Manager, der ein großer Fan der sowjetischen Geschichte war, das Passwort „07111917“ und gab es auf allen Ressourcen an, mit denen er sich zumindest irgendwie im Dienst in Verbindung setzte: dem automatisierten Buchhaltungsprogramm IIKO, dem Zugang zum Treueprogramm Trezius, der Installation von Systemen Sicherheit und Brandschutz. Einmal wurde dieser Manager beim Verkauf persönlicher Daten von Gästen an Konkurrenten erwischt und sicher entlassen. Das revolutionäre Passwort "07111917" blieb jedoch bestehen und wurde von einem Manager auf einen anderen übertragen. Infolgedessen wusste jeder Kellner in der Einrichtung, wie man eine Verbindung zum Büro-WLAN herstellt. Darüber hinaus lernten die Gäste dieses Passwort auch, weil die Kellner aus Freundlichkeit empfahlen, sich mit dem Namen „internet_office“ mit einem schnelleren Internet zu verbinden.
In der Gastronomie nutzen Mitarbeiter häufig Schwachstellen in der Informationssicherheit für ihre eigenen egoistischen Zwecke.Geschichte Nummer zwei. Ein hübscher junger Mann in einer kornblumenblauen Jacke trifft sich mit dem Geschäftsführer eines großen Restaurantbetriebs. Der folgende Dialog wird zwischen ihnen geführt:
- Unser Unternehmen ist auf Informationsprodukte spezialisiert. Heute schlage ich vor, dass Sie die Möglichkeit in Betracht ziehen, einen Passwort-Manager der neuen Generation, Hawkeye [1], zu erwerben. Es ist insofern einzigartig, als es sowohl für die Cloud-Version als auch für die Box-Version ein hohes Maß an Zuverlässigkeit aufweist. Die Verschlüsselung erfolgt mit dem AES-256-Algorithmus. Zusätzlich zu den Standardfunktionen eines Kennwortmanagers verfügt Hawkeye über erweiterte Sicherungen und Sicherheitsüberprüfungen. Was sagst du?
- Konstantin, danke für die Informationen, aber was ist der Unterschied zwischen der Box- und der Cloud-Version und warum brauche ich das alles?
Zwei dieser Geschichten beziehen sich auf ein Problem - das geringe Bewusstsein der Manager für die Rolle und Bedeutung der Informationssicherheit im Leben von Unternehmen. Es gibt jedoch eine zusätzliche Einschränkung. Die Art und Weise, wie Vertreter von IT-Unternehmen ihre Vorschläge machen, trägt auch wenig zum Verständnis der Manager bei, warum sie IT-Produkte benötigen. Im Laufe der Jahre meiner Beratungspraxis bin ich zu der festen Überzeugung gelangt, dass das HoReCa-Segment ein schlecht entwickelter Markt unter den Anbietern von IT-Tools zur Implementierung und Aufrechterhaltung von Grundsätzen der Informationssicherheit ist. In diesem Text möchte ich ein Fragment einer kleinen Studie teilen, die wir unter den Managern von öffentlichen Catering-Unternehmen durchgeführt haben, um den Grad ihres Bewusstseins für die Implementierung und Anwendung von IT-Produkten zu bestimmen. Zunächst möchte ich mich auf die Verwendung von Passwort-Managern konzentrieren. Ich füge hinzu, dass die Studie von dem Wunsch diktiert wurde, das Denken von Managern besser zu verstehen, um ihre Beratungsleistungen effektiver zu fördern.
Kurz über die Methodik. Eine qualitative Datenstrategie wurde gewählt. Wir haben zwölf informelle Interviews mit Managern und ihren Stellvertretern in sechs Catering-Betrieben durchgeführt. Der Interview-Fragebogen enthielt zwanzig Fragen, die sich auf die allgemeine Philosophie der Informationssicherheit, die Kenntnis der rechtlichen Rahmenbedingungen, die Arbeit mit personenbezogenen Daten, die technischen Fähigkeiten des Sicherheitssystems in einzelnen Unternehmen sowie die Verwendung von IT-Produkten einschließlich der Arbeit mit Passwort-Managern bezogen. Alle Interviews wurden transkribiert, die Ergebnisse in verallgemeinerter Form zusammengestellt.
Jeder befand sich in einer Situation, in der er sich nicht an das Passwort für sein Konto erinnern konnteWenn Sie mit konzeptionellen Fragen beginnen, verbinden die meisten Befragten die Informationssicherheit von Unternehmen ausschließlich mit der Speicherung personenbezogener Daten ihrer Mitarbeiter. Manager gehen nicht auf die Details der technischen Seite des Problems ein. Sie kümmern sich darum, wie viel diese oder jene Software effektiv Zeit spart, bei der sicheren Speicherung von Daten hilft und wie viel es bequem zu verwenden ist. Darüber hinaus werden Prioritäten in dieser Reihenfolge gesetzt: (1) - Zeit - (2) - Sicherheit - (3) - Benutzerfreundlichkeit.
„Hören Sie, ich muss Arbeitszeitnachweise und Zeitpläne erstellen und Berichte an die Eigentümer erstellen. Das Restaurant bricht ständig etwas. Mir fehlt die Zeit, um die Programmeinstellungen zu optimieren und neu zu installieren. Wir sind kein staatlicher IT-Spezialist. Wenn es etwas schnelles und bequemes gibt, können Sie es versuchen. “ (Mann, 41 Jahre alt)
„Die Informationssicherheit wird hier durch die Tatsache eingeschränkt, dass Arbeitsbücher in einem Safe aufbewahrt werden und sich die Passdaten in diesem obersten Regal neben dem Buchhalter befinden. Das ist alles schlecht und ich verstehe das. Die kluge Konfiguration der Sicherheit braucht Zeit, aber jetzt habe ich sie nicht mehr. Wir hatten Erfahrung in der Einrichtung eines fortschrittlichen Antivirenprogramms und kauften sogar eine Lizenz. Jegliche Benachrichtigungen kamen ständig, es war unpraktisch und lenkte von der Arbeit ab “(Mann, 35 Jahre alt)
„Vor ungefähr einem halben Jahr wurde für uns in einem Gründerzentrum ein Seminar zum Bundesgesetz 152 organisiert. Damals und heute habe ich wenig, was ich in persönlichen Daten verstehe. Die Hauptsache, und ich habe dem Eigentümer davon erzählt, ist es notwendig, die Ordnung in unseren Personalakten wiederherzustellen. Ich, ein Buchhalter, habe wie mit mir vereinbart Zugriff auf die Daten, und das ist alles. Jetzt haben wir hier natürlich ein Durcheinander “(Frau, 34 Jahre alt).
Wie die Ergebnisse des Interviews zeigten, gibt es in fünf von sechs Institutionen keine Standards und Verfahren zur Gewährleistung der Informationssicherheit, keine verantwortlichen Personen. Darüber hinaus gibt es kein Vollzeitpersonal oder keinen Outsourcing-Spezialisten, der an der Einrichtung und Überwachung des Sicherheitssystems beteiligt ist. Wie einer der Befragten sagte:
"Wir haben einen Jungen, der der Website des Restaurants Informationen hinzufügt. Theoretisch könnte er das alles hier machen “(Frau, 35 Jahre alt).
Die Sorge der Manager um die Sicherheit personenbezogener Daten ist verständlich. Es gibt immer mehr Fälle mit verwaltungs- und
strafrechtlichen Sanktionen , und die Anforderungen für die Inspektion von Betreibern
personenbezogener Daten ändern sich
. Im Restaurantbereich gewinnt dieses Thema zunehmend an Bedeutung, da die meisten Institutionen neben dem internen Zugang zu Konten Treueprogramme anbieten, bei denen die Zahl der Einwohner auf Tausende steigt.
Meiner Meinung nach haben jetzt Vertreter der IT-Branche gute Chancen, Zugang zu einem Markt zu erhalten, in dem es ein klar identifiziertes Problem gibt und dessen Lösung erforderlich ist. In den nächsten drei Jahren wird die Forderung nach einem Informationssicherheitssystem im Catering nur noch zunehmen. Besonders in den Regionen.
Bei all dem oberflächlichen Verständnis, wie das Informationssicherheitssystem eingerichtet werden sollte, verwenden alle Befragten Passwortmanager. Darüber hinaus verpflichten einige sie, ihre Stellvertreter, Köche und Administratoren einzusetzen. Als erstes haben wir die Befragten gefragt, welche Passwortmanager Sie in Ihrem Unternehmen verwenden:
"Ich weiß nicht, ob ich es richtig sagen werde oder nicht, aber jetzt benutze ich Zoho [2]. Überraschenderweise kann ich das Passwort sogar vom Telefon und vom Arbeitscomputer aus sehen. Das einzige, was ich tun muss, ist das grundlegende Passwort für den Zugriff nicht zu vergessen. Deshalb habe ich es in ein Tagebuch geschrieben “(eine 32-jährige Frau).
„Hören Sie, ich habe versehentlich angefangen, den Passwort-Manager zu verwenden. Ein Freund an der Universität arbeitet bei einer Bank und gab zu, sie zu benutzen. Es heißt Pasvork [3], es scheint bisher praktisch, es spart Zeit. Wir hatten ein Problem, als der entlassene Mitarbeiter eine Verbindung zum Buchhaltungssystem herstellte und unsere Einnahmen betrachtete. Es war ein Zufall, dass sie erfuhren, dass die Passwörter im Restaurant von ihm erstellt wurden. Musste dringend alles wiederholen. Es bestand also Bedarf an einem Manager “(Mann, 41 Jahre alt).
„Ich habe ein wenig IT in unserer Technik studiert. Als ich über den Passwort-Manager nachdachte, entschied ich mich für CommonKey [4], da er die Funktion der Verwaltung persönlicher Profile von Mitarbeitern gut bewältigt. Es ist sehr praktisch für unsere Pizzeria-Kette “(Mann, 38 Jahre alt).
Ich stelle fest, dass ich die aussagekräftigsten Kommentare der Befragten ausgewählt habe. Die meisten Befragten konnten sich nicht genau erinnern, wie ihre Manager genannt wurden. Bei einigen ist der Passwort-Manager ausschließlich mit dem Speichern von Daten im Browser verbunden. Im Allgemeinen wundern sich die Befragten bei der Auswahl eines bestimmten Produkts nicht über den Kryptografiemechanismus, der dem Kennwortmanager zugrunde liegt. Die Prioritäten für sie sind Geschwindigkeit und Benutzerfreundlichkeit.
Trotz der Tatsache, dass die Befragten ein allgemeines Verständnis dafür haben, warum sie einen Passwort-Manager benötigen, verwenden die Befragten diese von Fall zu Fall. Wie die Befragte sagte:
„Wenn Sie einerseits von einem Bankettkunden, andererseits von einem Lieferanten und andererseits von den Mitarbeitern, die nach Löhnen fragen, gezogen werden und zu diesem Zeitpunkt ein Konto für einen neuen Mitarbeiter erstellen, müssen Sie nur noch den Login und das Passwort aufschreiben Stück Papier “(Frau, 41 Jahre alt).
Es gibt jedoch bestimmte Praktiken. Es gibt eine Reihe von Problemen, die dazu geführt haben, dass Passwortmanager in der Gastronomie eingesetzt werden. Was sind diese Probleme?
Erstens Zugang zu Treueprogrammen. Für Insider ist es kein Geheimnis, dass die Mitarbeiter mit Rabatten, Cashbacks auf Plastikkarten, die an Verwandte und Freunde von Mitarbeitern gebunden sind, „durcheinander“ sind. Der effektivste Weg, um Betrug zu verhindern, besteht darin, die Aktivität der Konten auf der Rückseite des Treueprogramms regelmäßig zu überprüfen. Die Situation wird durch die Tatsache kompliziert, dass mindestens drei Personen Zugriff auf das Programm benötigen: ein Manager, ein Vermarkter (für SMS und Push-Nachrichten) und ein Betreiber, der das Treueprogramm verwaltet (bei technischen Fehlern oder zusätzlichen Optionen).
„Das einzige, was ich versuche, den Passwort-Manager nicht zu vergessen, ist die Arbeit mit unserer Gästebasis. Zusätzlich zum Zugriff auf personenbezogene Daten von Gästen kann virtuelles Geld über diese Datenbank gutgeschrieben oder belastet werden. Einmal im Monat ändere ich das Passwort und führe je nach Status des Benutzers eine Rangfolge der Zugriffe durch. Daher müssen die Informationen ständig aktualisiert werden. Der Passwort-Manager erleichtert die Arbeit in dieser Hinsicht “(Mann, 48 Jahre alt).
Zweitens gibt es in jedem Unternehmen Magnetkarten für den Zugang zu einem automatisierten Buchhaltungssystem (z. B. IIKO oder R-Keeper). Es gibt unterhaltsame Fälle. Der Kellner geht und geht mit der Karte. Tatsächlich kennt der verstorbene Kellner das Passwort für den Zugriff auf das System, in dem die Finanzindikatoren des Unternehmens angezeigt, das Geschirr gelöscht und abgeschrieben und die Arbeitszeiten des Personals aufgezeichnet werden.
„Es gab eine Geschichte, in der sich ein entlassener Angestellter mit einem Barkeeper verschworen und Alkohol für die Gastfreundschaft getrunken hat. Auf seltsame Weise hatte dieser Kamerad eine nicht gesperrte Karte und er benutzte sie “(Mann, 38 Jahre alt)
Drittens kommen und gehen Manager und Konten bleiben. Die professionelle Anpassung des neuen Managers verlangsamt sich, wenn er auf dem Monitorbildschirm sitzt und versucht, den vorherigen Manager zu erreichen, um das Login und Passwort von E-Mail-, Mercury- und EGAIS-Systemen, Ihrem persönlichen Konto im METRO-Unternehmensportal, herauszufinden.
„Normalerweise konnte ich Probleme nicht lösen, wenn kein einziger Zugriff auf vorhandene Konten vorhanden war. Der vorherige Manager hat sich schlecht vom Eigentümer getrennt und mir nichts gegeben. Ich musste alles wiederherstellen, ihre Entwürfe sortieren und eine Person zum Informationsaustausch überreden. Danach habe ich mich fest entschlossen, alle Passwörter in einem speziellen Programm zu speichern “(Frau, 29 Jahre alt).
Wiederholen Sie nicht den Fehler des Präsidenten des Kosovo , sondern verwenden Sie den Passwort-ManagerAll diese Situationen können für Vertreter von IT-Entwicklern nützlich sein, um kompetente kommerzielle Angebote für Vertreter des Restaurantsektors zu formulieren. Ich betone noch einmal, dass der HoReCa-Markt für den Konsum von IT-Produkten bereit ist. Dies gilt nicht nur für Passwortmanager, sondern auch für Antivirensoftware, Videoüberwachungssysteme und die Optimierung von Geschäftsprozessen.
Während ich den Text schrieb, erkannte ich die ernsthaften kommerziellen Aussichten, Informationssicherheitsstandards für Restaurants, Cafés und Bars umzusetzen. Daher bitte ich alle Interessierten, in den Kommentaren zu schreiben, welche Art von Software Sie HoReCa-Vertretern empfehlen würden, um ein zuverlässiges Informationssicherheitssystem aufzubauen. Nehmen Sie am Ende des Themas Passwort-Manager an der folgenden Umfrage teil. Ich wäre sehr dankbar für die ausführlichen Kommentare zu Ihrer Wahl.
[1] Der Name ist fiktiv. Alle Ähnlichkeiten mit anderen Passwort-Managern sind nur Ähnlichkeiten und nichts weiter.
[2] Der Befragte
bezieht sich auf den Zoho Vault Password Manager:
www.zoho.com/vault[3] Der Befragte bezieht sich auf den Passwork-Passwort-Manager:
passwork.ru[4] Der Befragte bezieht sich auf den CommonKey-Passwort-Manager:
www.commonkey.com