2008 konnte ich ein IT-Unternehmen besuchen. In jedem Mitarbeiter wurde eine ungesunde Spannung abgelesen. Der Grund war einfach: Mobiltelefone - in einer Box am Eingang zum Büro, dahinter - eine Kamera, 2 große zusätzliche „schauende“ Kameras im Büro und Überwachungssoftware mit einem Keylogger. Und ja, dies ist nicht das Unternehmen, das SORM- oder Flugzeug-Lebenserhaltungssysteme entwickelt hat, sondern nur ein Entwickler von Anwendungsgeschäftssoftware, der jetzt absorbiert, zerkleinert und nicht mehr existiert (was logisch erscheint). Wenn Sie sich gerade gemeldet haben und der Meinung sind, dass Ihr Büro mit Hängematten und M & M in Vasen definitiv nicht vorhanden ist, können Sie sich sehr irren - es ist nur so, dass die Kontrolle in 11 Jahren gelernt hat, unsichtbar und korrekt zu sein, ohne die besuchten Websites und heruntergeladenen Filme zu zerlegen.
Ist es ohne all das wirklich unmöglich, aber was ist mit Vertrauen, Loyalität, Vertrauen in die Menschen? Glauben Sie es nicht, aber Unternehmen ohne Sicherheit sind nicht weniger. Aber die Mitarbeiter schaffen es, sowohl dort als auch dort zu blinzeln - einfach weil der menschliche Faktor Welten zerstören kann, nicht wie Ihr Unternehmen. Wo können Ihre Mitarbeiter aufwachen?
Dies ist kein sehr seriöser Beitrag, der genau zwei Funktionen hat: die Arbeitstage ein wenig aufhellen und Sie an die grundlegenden Dinge der Sicherheit erinnern, die oft vergessen werden. Und erinnern Sie sich noch einmal an ein
cooles und sicheres CRM-System - ist eine solche Software kein Sicherheitsvorteil? :-)
Im Zufallsmodus verfolgt!
Passwörter, Passwörter, Passwörter ...
Du sprichst über sie und eine Welle der Empörung setzt ein: wie so, wie oft sie sich der Welt wiederholt haben und die Dinge immer noch da sind! In Unternehmen aller Ebenen, von Privatunternehmern bis zu transnationalen Unternehmen, ist dies ein sehr wunder Punkt. Es scheint mir manchmal, dass wenn sie morgen einen echten Todesstern bauen, es so etwas wie admin / admin im Admin-Panel gibt. Was kann man also von normalen Benutzern erwarten, für die ihre eigene VKontakte-Seite viel teurer ist als die Unternehmensbuchhaltung? Hier sind die zu überprüfenden Punkte:
- Schreiben von Passwörtern auf Papier, auf die Rückseite der Tastatur, auf den Monitor, auf den Tisch unter der Tastatur, auf den Aufkleber auf der Unterseite der Maus (schrullig!) - Mitarbeiter sollten dies niemals tun. Und nicht, weil ein schrecklicher Hacker hereinkommt und während des Mittagessens alle 1C auf ein USB-Flash-Laufwerk herunterlädt, sondern weil Sasha im Büro möglicherweise beleidigt ist, der zum letzten Mal aufhören und Scheiße geben oder Informationen abholen wird. Warum nicht zum regulären Mittagessen?
Das ist es? Dieses Ding speichert alle meine Passwörter.- Festlegen einfacher Passwörter für die Eingabe des PCs und der Arbeitsprogramme. Geburtsdaten, qwerty123 und sogar asdf sind Kombinationen, die einen Platz in Witzen und auf Bashorgh haben und nicht im Unternehmenssicherheitssystem. Legen Sie die Anforderungen für Kennwörter und deren Länge fest und legen Sie die Häufigkeit des Austauschs fest.
Passwort ist wie Unterwäsche: Ändern Sie es häufiger, teilen Sie es nicht mit Ihren Freunden, lange ist besser, seien Sie mysteriös, verteilen Sie sich nicht überall- Die Kennwörter des Anbieters für die Eingabe des Programms sind standardmäßig fehlerhaft, schon allein deshalb, weil fast alle Mitarbeiter des Anbieters sie kennen. Wenn Sie mit einem webbasierten System in der Cloud arbeiten, ist es für niemanden schwierig, die Daten abzurufen. Vor allem, wenn Sie auch Netzwerksicherheit auf der Ebene "Ziehen Sie das Kabel nicht heraus" haben.
- Erklären Sie den Mitarbeitern, dass der Passworthinweis im Betriebssystem nicht wie "Mein Geburtstag", "Name der Tochter", "Gvoz-dika-78545-up # 1" aussehen sollte! auf Englisch. " oder "Viertel und Eins mit Null".
Meine Katze gibt mir tolle Passwörter! Er geht auf meiner TastaturPhysischer Zugang zum Geschäft
Wie organisieren Sie den Zugriff auf Buchhaltung und Personaldokumentation (z. B. auf die Personalakten von Mitarbeitern) in Ihrem Unternehmen? Lassen Sie mich raten: Wenn es sich um ein kleines Unternehmen handelt, dann in der Buchhaltung oder im Büro des Chefs in Ordnern in Regalen oder im Schrank, wenn groß, in der Personalabteilung in den Regalen. Wenn es jedoch sehr groß ist, stimmt höchstwahrscheinlich alles: ein separates Büro oder ein Block mit einem Magnetschlüssel, auf den nur einzelne Mitarbeiter Zugriff haben, und um dorthin zu gelangen, müssen Sie einen von ihnen anrufen und in ihrer Gegenwart zu diesem Knoten gehen. Es ist nicht kompliziert, einen solchen Schutz in einem Unternehmen zu schaffen oder zumindest zu lernen, das Passwort für den Bürosafe nicht mit der Kreide an der Tür oder an der Wand zu schreiben (alles basiert auf realen Ereignissen, lachen Sie nicht).
Warum ist das wichtig? Erstens haben Arbeiter ein pathologisches Verlangen danach, das Geheimnisvollste voneinander zu erfahren: Familienstand, Löhne, medizinische Diagnosen, Bildung usw. Dies ist ein derart belastender Beweis im Bürowettbewerb. Und Sie sind überhaupt nicht zufrieden mit den Streitereien, die entstehen werden, wenn Designer Petya herausfindet, dass er 20.000 weniger bekommt als Designer Alice. Zweitens können Mitarbeiter an derselben Stelle auf die Finanzinformationen des Unternehmens zugreifen (Salden, Jahresberichte, Verträge). Drittens kann etwas Elementares verloren gehen, beschädigt oder gestohlen werden, um die Spuren in Ihrer eigenen Arbeitsbiografie zu vertuschen.
Lagerhaus, in dem jemand einen Verlust hat, jemand - ein Schatz
Wenn Sie ein Lager haben, denken Sie daran, dass Sie früher oder später garantiert auf Straftäter stoßen - die Psychologie einer Person, die eine große Menge von Produkten sieht und fest davon überzeugt ist, dass ein wenig von vielem kein Raub ist, sondern das Teilen einfach so ist. Eine Wareneinheit aus diesem Haufen kann 200.000, 300.000 und mehrere Millionen kosten. Leider kann der Diebstahl nur durch pedantische und vollständige Kontrolle und Abrechnung gestoppt werden: Kameras, Empfang und Abbuchung per Barcode, Automatisierung der
Lagerabrechnung (in unserem
RegionSoft CRM ist die
Lagerabrechnung beispielsweise so organisiert, dass Manager und Vorgesetzte Bewegungen sehen können Waren auf Lager in Echtzeit).
Bewaffnen Sie daher Ihr Lager bis an die Zähne, sorgen Sie für physische Sicherheit vor dem externen Feind und vollständige Sicherheit - vor dem internen. Mitarbeiter im Transportwesen, in der Logistik, im Lager müssen klar erkennen, dass es Kontrolle gibt, dass es funktioniert und dass sie sich selbst bestrafen werden.
* uki, leg deine Hände nicht auf die Infrastruktur
Wenn sich die Geschichte über den Serverraum und die Putzfrau bereits selbst überlebt hat und lange Zeit zu den Fahrrädern anderer Branchen gewandert ist (zum Beispiel ging es in derselben Geschichte um das mystische Abschalten der mechanischen Lüftung im selben Raum), bleibt der Rest Realität. Netzwerk- und IT-Sicherheitsunternehmen in kleinen und mittleren Unternehmen lassen zu wünschen übrig, und dies hängt häufig nicht davon ab, ob Sie einen Systemadministrator oder einen eingeladenen Benutzer haben. Letzteres macht es oft noch besser.
Was können die Mitarbeiter hier?
- Am süßesten und harmlosesten ist es, in den Serverraum zu gehen, an den Kabeln zu ziehen, zu sehen, Tee zu verschütten, Schmutz aufzutragen oder selbst etwas zu konfigurieren. Dies gilt insbesondere für „selbstbewusste und fortgeschrittene Benutzer“, die ihren Kollegen heldenhaft beibringen, den Virenschutz und den Bypass-Schutz auf einem PC zu deaktivieren, und sicher sind, dass sie angeborene Servergötter sind. Im Allgemeinen ist autorisierter eingeschränkter Zugriff Ihr Alles.
- Gerätediebstahl und Austausch von Bauteilen. Lieben Sie Ihr Unternehmen und legen Sie leistungsstarke Grafikkarten für alle bereit, damit das Abrechnungssystem, CRM und alles andere perfekt funktionieren? Großartig! Nur listige Männer (und manchmal auch Mädchen) können sie leicht durch ihr Zuhause ersetzen, und sie werden zu Hause Spiele mit einem neuen Büromodell fahren - sie werden die halbe Welt nicht erkennen. Die gleiche Geschichte mit Tastaturen, Mäusen, Kühlern, USVs und allem, was im Rahmen der Eisenkonfiguration irgendwie ersetzt werden kann. Infolgedessen tragen Sie das Risiko von Sachschäden, deren vollständigen Verlust und gleichzeitig erhalten Sie nicht die gewünschte Geschwindigkeit und Qualität der Arbeit mit Informationssystemen und -anwendungen. Das Überwachungssystem (ITSM-System) mit konfigurierter Konfigurationssteuerung speichert, was mit einem unbestechlichen und prinzipiellen Systemadministrator gebündelt werden sollte.
- Durch die Verwendung Ihrer Modems, Zugriffspunkte oder eines gemeinsam genutzten WLANs wird der Zugriff auf Dateien weniger sicher und nahezu unkontrollierbar, was Angreifer nutzen können (einschließlich Verschwörung mit Mitarbeitern). Außerdem ist die Wahrscheinlichkeit, dass ein Mitarbeiter "mit seinem eigenen Internet" auf YouTube, Comic-Websites und in sozialen Netzwerken arbeitet, viel höher.
- Einheitliche Passwörter und Anmeldungen für den Zugriff auf das Site Admin Panel, CMS und die Anwendungssoftware sind schreckliche Dinge, die einen unfähigen oder böswilligen Mitarbeiter zu einem schwer fassbaren Rächer machen. Wenn Sie 5 Personen aus demselben Subnetz mit demselben Benutzernamen / Passwort haben, haben Sie ein Banner aufgehängt, Werbelinks und -metriken überprüft, das Layout korrigiert und das Update ausgefüllt. Sie werden nie erraten, welche von ihnen CSS versehentlich in einen Kürbis verwandelt haben. Deshalb: unterschiedliche Anmeldungen, unterschiedliche Passwörter, Protokollierung von Aktionen und Differenzierung von Zugriffsrechten.
- Lohnt es sich, über nicht lizenzierte Software zu sprechen, die Mitarbeiter auf ihren PC ziehen, um während der Arbeitszeit ein paar Fotos zu bearbeiten oder um dort etwas zu erfinden, das sehr hobbyisch ist? Haben Sie nichts von der Inspektion der Abteilung „K“ der Direktion für innere Angelegenheiten gehört? Dann geht sie zu dir!
- Antivirus sollte funktionieren. Ja, einige von ihnen können den PC verlangsamen, nerven und im Allgemeinen als Zeichen von Feigheit erscheinen, aber es ist besser, dies zu verhindern, als mit Ausfallzeiten oder, schlimmer noch, gestohlenen Daten zu bezahlen.
- Betriebssystemwarnungen über die Gefahren der Installation einer Anwendung sollten nicht ignoriert werden. Heute ist das Herunterladen von etwas für die Arbeit eine Frage von Sekunden und Minuten. Zum Beispiel Direct. Commander oder Editor AdWords, einige SEO-Parser und so weiter. Wenn bei Yandex- und Google-Produkten alles mehr oder weniger klar ist, finden Sie hier einen weiteren Picresizer, einen kostenlosen Virenreiniger, einen Videoeditor mit drei Effekten, Screenshots, Skype-Rekorder und andere „winzige Programme“, die sowohl einen einzelnen PC als auch das gesamte Unternehmensnetzwerk schädigen können. Ermutigen Sie die Benutzer, zu lesen, was der Computer von ihnen will, bevor sie den Systemadministrator anrufen und sagen, dass "alles tot ist". In einigen Unternehmen wird das Problem einfach gelöst: Viele nützliche heruntergeladene Dienstprogramme liegen auf einer Netzwerkfreigabe, und dort wird auch eine Liste geeigneter Online-Lösungen veröffentlicht.
- Die BYOD-Richtlinie oder umgekehrt die Richtlinie, die Verwendung von Arbeitsgeräten außerhalb des Büros zuzulassen, ist eine sehr böse Seite der Sicherheit. In diesem Fall haben Verwandte, Freunde, Kinder, öffentliche ungeschützte Netzwerke usw. Zugriff auf die Technologie. Dies ist ein rein russisches Roulette - Sie können 5 Jahre lang laufen und verwalten oder alle Dokumente und wertvollen Dateien verlieren oder ruinieren. Nun, und außerdem, wenn der Mitarbeiter eine böswillige Absicht hat, ist es real, die Daten mit "Walking" -Geräten zusammenzuführen, da zwei Bytes gesendet werden können. Sie müssen sich auch daran erinnern, dass Mitarbeiter häufig Dateien zwischen ihren PCs übertragen, wodurch wiederum Sicherheitslücken entstehen können.
- Das Blockieren von Geräten während der Abwesenheit ist sowohl im geschäftlichen als auch im privaten Bereich eine gute Angewohnheit. Auch hier schützt es vor neugierigen Kollegen, Bekannten und Eindringlingen an öffentlichen Orten. Es ist schwer, sich daran zu gewöhnen, aber an einem meiner Arbeitsplätze hatte ich eine wundervolle Erfahrung: Kollegen näherten sich einem nicht geschlossenen PC und malten mit der Aufschrift "Lost comp!" und etwas änderte sich in der Arbeit, zum Beispiel wurde die letzte aufgepumpte Baugruppe abgerissen oder der letzte Wundfehler wurde entfernt (es war eine Testgruppe). Grausam, aber 1-2 mal genug auch für die Holz. Obwohl ich vermute, dass Nicht-IT-Profis einen solchen Humor möglicherweise nicht verstehen.
- Aber die schlimmste Sünde liegt natürlich beim Systemadministrator und -management - für den Fall, dass sie kategorisch keine Verkehrskontrollsysteme, Geräte, Lizenzen usw. verwenden.
Dies ist natürlich die Basis, denn die IT-Infrastruktur ist genau dort, wo je weiter im Wald, desto mehr Brennholz vorhanden ist. Und jeder sollte diese Basis haben und nicht durch die Worte "wir alle vertrauen einander", "wir sind eine Familie", "aber wer braucht sie" ersetzt werden - leider ist dies vorerst so.
Das ist das Internet, Baby, sie können viel über dich wissen
Es ist an der Zeit, einen sicheren Internetzugang für Kurse zur Lebenssicherheit in der Schule einzuführen - und hier geht es überhaupt nicht um die Maßnahmen, in die wir von außen eintauchen. Hier geht es um die Fähigkeit, einen Link von einem Link zu unterscheiden, zu verstehen, wo Phishing und wo eine Scheidung stattfindet, Anhänge des Themas „Verifizierungsgesetz“ nicht von einer unbekannten Adresse zu öffnen, ohne zu verstehen usw. Obwohl es scheint, haben die Schulkinder bereits alles gemeistert, aber die Angestellten - nein. Es gibt Unmengen von Tricks und Fehlern, die das gesamte Unternehmen auf einmal gefährden können.
- Soziale Netzwerke - ein Internetbereich, in dem es keinen Arbeitsplatz gibt, der jedoch 2019 auf Unternehmensebene blockiert wird, ist eine unpopuläre und demotivierende Maßnahme. Daher müssen Sie allen Mitarbeitern nur schreiben, wie sie die Illegalität von Links überprüfen, über die Arten von Betrug sprechen und sie bitten, bei der Arbeit zu arbeiten.
- Mail ist ein wunder Punkt und vielleicht die beliebteste Methode, um Informationen zu stehlen, Malware zu pflanzen, Ihren PC und das gesamte Netzwerk zu infizieren. Leider betrachten viele Arbeitgeber den E-Mail-Client als Einsparungselement und nutzen kostenlose Dienste, die 200 Spam-E-Mails pro Tag senden, die Filter usw. durchlaufen. Und einige verantwortungslose Personen öffnen solche Briefe und Anhänge, Links, Bilder - anscheinend hoffen sie, dass der Negerprinz das Erbe für sie hinterlassen hat. Danach hat der Administrator viel Arbeit. Oder war das beabsichtigt? Übrigens eine weitere grausame Geschichte: In einem Unternehmen wurde der Systemadministrator für jede Spam-E-Mail um KPI reduziert. Im Allgemeinen gab es nach einem Monat keinen Spam mehr - die Praxis wurde von der übergeordneten Organisation übernommen, und es gibt immer noch keinen Spam. Wir haben dieses Problem problemlos gelöst - wir haben unseren eigenen E-Mail-Client entwickelt und in unser RegionSoft CRM integriert , sodass alle unsere Kunden auch eine so praktische Funktion erhalten.
- Boten sind auch die Quelle aller Arten von unsicheren Links, aber dies ist ein viel geringeres Übel als E-Mails (ohne die Zeit, die durch Angst in Chatrooms getötet wurde).
Es scheinen all die kleinen Dinge zu sein. Jedes dieser kleinen Dinge kann jedoch katastrophale Folgen haben, insbesondere wenn Ihr Unternehmen das Ziel eines Angriffs von Wettbewerbern ist. Und das kann buchstäblich jedem passieren.
Geschwätzige Mitarbeiter
Dies ist der sehr menschliche Faktor, den Sie nur schwer loswerden können. Die Mitarbeiter können die Arbeit im Korridor, in einem Café, auf der Straße besprechen, beim Kunden laut über einen anderen Kunden sprechen, über Arbeitsleistungen und Projekte zu Hause sprechen. Natürlich ist die Wahrscheinlichkeit, dass sich ein Konkurrent hinter Ihrem Rücken befindet, vernachlässigbar (wenn Sie nicht in einem Geschäftszentrum waren, ist dies passiert), aber die Tatsache, dass ein Mann, der geschäftliche Angelegenheiten klar darlegt, auf einem Smartphone entfernt und seltsamerweise auf YouTube hochgeladen wird. Aber das ist Müll. Es ist kein Blödsinn, wenn Ihre Mitarbeiter bereitwillig Informationen zu einem Produkt oder Unternehmen bei Schulungen, Konferenzen, Besprechungen, Fachforen präsentieren, aber zumindest bei Habré. Darüber hinaus rufen Menschen häufig absichtlich einen Gegner zu solchen Gesprächen auf, um Wettbewerbsinformationen zu erhalten.
Illustrative Geschichte. Auf einer IT-Konferenz im galaktischen Maßstab legte der Sektionssprecher auf einer Folie ein vollständiges Diagramm der Organisation der IT-Infrastruktur eines großen Unternehmens vor (Top 20). Das Schema war mega beeindruckend, nur Platz, es wurde von fast allen fotografiert und es flog sofort durch soziale Netzwerke mit begeisterten Kritiken. Nun, dann hat der Sprecher Geotags gefangen, steht, sozial. Netzwerke gepostet und gebeten zu entfernen, weil er schnell anrief und a-ta-ta sagte. Chatterbox - ein Glücksfall für den Spion.
Unwissenheit ... befreit von Bestrafung
Laut dem globalen Bericht von Kaspersky Lab für 2017 unter Unternehmen, die innerhalb von 12 Monaten mit Cybersicherheitsvorfällen konfrontiert waren, war dies einer der zehn (11%) schwerwiegendsten Arten von Vorfällen im Zusammenhang mit unachtsamen und nicht informierten Mitarbeitern.
Gehen Sie nicht davon aus, dass Mitarbeiter alles über Sicherheitsmaßnahmen im Unternehmen wissen, warnen Sie sie, führen Sie Schulungen durch, erstellen Sie regelmäßig interessante Newsletter zu Sicherheitsfragen, halten Sie Pizza-Meetings ab und klären Sie Fragen erneut. Und ja, Cool Life Hack - kennzeichnen Sie alle gedruckten und elektronischen Informationen mit Farbe, Zeichen, Inschriften: Geschäftsgeheimnis, Geheimnis, für den offiziellen Gebrauch, allgemeiner Zugang. Es funktioniert wirklich.
Die moderne Welt hat Unternehmen in eine sehr heikle Position gebracht: Es ist notwendig, ein Gleichgewicht zwischen dem Wunsch des Mitarbeiters zu finden, nicht nur zu pflügen, sondern auch unterhaltsame Inhalte in Pausen zu erhalten, und strengen Sicherheitsregeln für Unternehmen. Wenn Sie Hypercontrol- und Moronic-Tracking-Programme (ja, kein Tippfehler - das ist keine Sicherheit, das ist Paranoia) und Kameras hinter Ihrem Rücken aktivieren, sinkt das Vertrauen der Mitarbeiter in das Unternehmen, und schließlich ist die Aufrechterhaltung des Vertrauens auch ein Sicherheitsinstrument für Unternehmen.
Kennen Sie daher die Maßnahme, respektieren Sie die Mitarbeiter, machen Sie Backups. Und vor allem: Stellen Sie die Sicherheit in den Vordergrund und nicht die persönliche Paranoia.
Wenn Sie CRM oder ERP benötigen , studieren Sie unsere Produkte sorgfältig und vergleichen Sie ihre Funktionen mit Ihren Zielen. Es wird Fragen und Schwierigkeiten geben - schreiben, anrufen, wir arrangieren für Sie online eine individuelle Präsentation - ohne Bewertungen und Puzomerki.
Unser Kanal in Telegramm , in dem wir ohne Werbung nicht ganz formale Dinge über CRM und Business schreiben.