En 2008, j'ai réussi à visiter une entreprise informatique. Une tension malsaine a été lue chez chaque employé. La raison était simple: des téléphones portables - dans une boîte à l'entrée du bureau, derrière - une caméra, 2 grandes caméras supplémentaires «à la recherche» au bureau et un logiciel de surveillance avec un enregistreur de frappe. Et oui, ce n'est pas l'entreprise qui a développé des SORM ou des systèmes de maintien en vie des avions, mais juste un développeur de logiciels métier, désormais absorbé, écrasé et qui n'existe plus (ce qui semble logique). Si vous venez de tendre la main et pensez que votre bureau avec des hamacs et du M&M dans des vases n'est certainement pas là, vous pouvez vous tromper - c'est juste qu'en 11 ans le contrôle a appris à être invisible et correct, sans démonter les sites visités et les films téléchargés.
Est-ce vraiment impossible sans tout cela, mais qu'en est-il de la confiance, de la loyauté, de la foi dans les gens? Ne le croyez pas, mais les entreprises sans sécurité ne le sont pas moins. Mais les employés réussissent à plisser les yeux là et là - simplement parce que le facteur humain est capable de détruire des mondes, pas comme votre entreprise. Alors, où vos employés peuvent-ils se réveiller?
Ce n'est pas un poste très sérieux, qui a exactement deux fonctions: égayer un peu les journées de travail et vous rappeler les choses de base en matière de sécurité, qui sont souvent oubliées. Et, eh bien, rappelez-vous encore une fois un
système CRM cool et sécurisé - un tel logiciel n'est-il pas un avantage de sécurité? :-)
Poursuivi en mode aléatoire!
Mots de passe, mots de passe, mots de passe ...
Vous en parlez et une vague d'indignation s'installe: comment, combien de fois ils se sont répétés au monde, et les choses sont toujours là! Dans les entreprises de tous niveaux, des entrepreneurs privés aux sociétés transnationales, c'est un endroit très sensible. Il me semble parfois que si demain ils construisent une véritable étoile de la mort, il y aura quelque chose comme admin / admin dans le panneau d'administration. Alors, à quoi s'attendre des utilisateurs ordinaires pour qui leur propre page VKontakte est beaucoup plus chère que la comptabilité d'entreprise? Voici les points à vérifier:
- Écrire des mots de passe sur des morceaux de papier, à l'arrière du clavier, sur le moniteur, sur la table sous le clavier, sur l'autocollant au bas de la souris (décalé!) - les employés ne devraient jamais faire cela. Et pas parce qu'un pirate informatique terrible arrive et télécharge tous les 1C sur une clé USB pendant le déjeuner, mais parce que Sasha peut être offensé au bureau, qui va quitter et donner une merde ou récupérer des informations pour la dernière fois. Pourquoi ne pas le faire au déjeuner régulier?
C'est quelque chose? Cette chose stocke tous mes mots de passe.- Définition de mots de passe simples pour entrer dans le PC et les programmes de travail. Les dates de naissance, qwerty123 et même asdf sont des combinaisons qui ont leur place dans les blagues et les bashorgh, et non dans le système de sécurité de l'entreprise. Définissez les exigences pour les mots de passe et leur longueur, définissez la fréquence de remplacement.
Le mot de passe est comme un sous-vêtement: changez-le plus souvent, ne le partagez pas avec vos amis, longtemps c'est mieux, soyez mystérieux, ne vous dispersez pas partout- Les mots de passe du fournisseur pour accéder au programme par défaut sont défectueux, ne serait-ce que parce que presque tous les employés du fournisseur les connaissent, et si vous avez affaire à un système Web dans le cloud, il ne sera pas difficile pour quiconque d'obtenir les données. Surtout si vous avez également une sécurité réseau au niveau "ne tirez pas sur le cordon".
- Expliquez aux employés que l'indice de mot de passe dans le système d'exploitation ne doit pas ressembler à «mon anniversaire», «nom de la fille», «Gvoz-dika-78545-up # 1! en anglais. " ou "quart et un avec zéro".
Mon chat me donne de bons mots de passe! Il marche sur mon clavierAccès physique aux affaires
Comment organisez-vous l'accès à la comptabilité et à la documentation du personnel (par exemple, aux dossiers personnels des employés) dans votre entreprise? Laissez-moi deviner: si c'est une petite entreprise, alors dans le département de comptabilité ou dans le bureau du patron dans des dossiers sur les étagères ou dans le placard, si grand, dans le département du personnel sur les étagères. Mais s'il est très grand, alors tout est probablement correct: un bureau séparé ou un bloc avec une clé magnétique, auquel seuls les employés ont accès et pour y arriver, vous devez appeler l'un d'eux et vous rendre à ce nœud en leur présence. Il n'y a rien de compliqué à faire une telle protection dans n'importe quelle entreprise, ou au moins à ne pas écrire le mot de passe du coffre-fort de bureau avec la craie sur la porte ou sur le mur (tout est basé sur des événements réels, ne riez pas).
Pourquoi est-ce important? Premièrement, les travailleurs ont une envie pathologique d'apprendre le plus secret les uns des autres: état civil, salaires, diagnostics médicaux, éducation, etc. C'est une telle preuve incriminante dans la concurrence des bureaux. Et vous n'êtes pas du tout satisfait des querelles qui surgiront lorsque le designer Petya découvrira qu'il obtient 20 000 de moins que le designer Alice. Deuxièmement, au même endroit, les employés peuvent avoir accès aux informations financières de l'entreprise (soldes, rapports annuels, contrats). Troisièmement, quelque chose d'élémentaire peut être perdu, endommagé ou volé afin de couvrir les traces de votre propre biographie de travail.
Entrepôt, où quelqu'un a une perte, quelqu'un - un trésor
Si vous avez un entrepôt, considérez que tôt ou tard vous êtes assuré de rencontrer des délinquants - la psychologie d'une personne qui voit un grand volume de produits et croit fermement qu'un peu de beaucoup n'est pas un vol, mais le partage, c'est juste comme ça. Une unité de marchandises de ce tas peut coûter 200 000, 300 000 et plusieurs millions. Malheureusement, le vol ne peut être arrêté par autre chose que le contrôle et la comptabilité pédants et totaux: caméras, réception et débit par codes à barres, automatisation de la comptabilité d'entrepôt (par exemple, dans notre
RegionSoft CRM, la comptabilité d'entrepôt est organisée de telle sorte que le gestionnaire et le superviseur puissent voir les mouvements marchandises en stock en temps réel).
Par conséquent, armez votre entrepôt jusqu'aux dents, assurez la sécurité physique de l'ennemi extérieur et une sécurité complète - de l'intérieur. Les employés du transport, de la logistique, de l'entrepôt doivent clairement comprendre qu'il y a du contrôle, cela fonctionne et juste qu'ils vont se punir.
* uki, ne mettez pas la main sur l'infrastructure
Si l'histoire de la salle des serveurs et de la femme de ménage s'est déjà survécue et a longtemps migré vers les vélos d'autres industries (par exemple, la même histoire a parlé de l'arrêt mystique de la ventilation mécanique dans la même pièce), alors le reste reste une réalité. Les sociétés de réseau et de sécurité informatique des petites et moyennes entreprises laissent beaucoup à désirer, et cela ne dépend souvent pas du fait que vous ayez un administrateur système ou un invité. Ce dernier fait souvent encore mieux.
De quoi sont donc capables les employés ici?
- Le plus doux et le plus inoffensif est d'aller dans la salle des serveurs, de tirer les fils, de voir, de renverser du thé, d'appliquer de la saleté ou d'essayer de configurer quelque chose vous-même. Cela est particulièrement vrai pour les «utilisateurs confiants et avancés» qui apprennent héroïquement à leurs collègues à désactiver l'antivirus et à contourner la protection sur un PC et sont sûrs qu'ils sont des dieux de serveur innés. En général, l'accès limité autorisé est votre tout.
- Vol d'équipement et substitution de composants. Aimez-vous votre entreprise et mettez-vous des cartes vidéo puissantes pour tout le monde pour que le système de facturation, le CRM et tout le reste fonctionnent parfaitement? Super! Seuls les gars rusés (et parfois les filles) peuvent facilement les remplacer par leur maison, et ils conduiront des jeux à la maison sur un nouveau modèle de bureau - ils ne reconnaîtront pas la moitié du monde. La même histoire avec les claviers, les souris, les refroidisseurs, les onduleurs et tout ce qui peut en quelque sorte être remplacé dans le cadre de la configuration du fer. En conséquence, vous supportez le risque de dommages matériels, de sa perte totale et en même temps vous n'obtenez pas la vitesse et la qualité de travail souhaitées avec les systèmes et applications d'information. Le système de surveillance (système ITSM) avec contrôle de configuration configuré) enregistre, qui doit être fourni avec un administrateur système incorruptible et fondé sur des principes.
- L'utilisation de vos modems, points d'accès ou d'une sorte de Wi-Fi partagé rend l'accès aux fichiers moins sûr et presque incontrôlable, dont les attaquants peuvent profiter (y compris en conspirant avec des employés). Eh bien, et d'ailleurs, la probabilité qu'un employé "avec son propre Internet" passe des heures de travail sur YouTube, les sites de bandes dessinées et les réseaux sociaux est beaucoup plus élevée.
- Les mots de passe et les connexions unifiés pour accéder au panneau d'administration du site, au CMS et aux logiciels d'application sont des choses terribles qui transforment un employé incompétent ou malveillant en un vengeur insaisissable. Si vous avez 5 personnes du même sous-réseau avec le même nom d'utilisateur / mot de passe, elles sont allées accrocher une bannière, vérifier les liens et les statistiques publicitaires, corriger la mise en page et remplir la mise à jour, vous ne devinerez jamais lequel d'entre eux a accidentellement transformé CSS en citrouille. Par conséquent: différentes connexions, différents mots de passe, journalisation des actions et différenciation des droits d'accès.
- Vaut-il la peine de parler de logiciels sans licence que les employés font glisser vers leur PC pour éditer quelques photos pendant les heures de travail ou pour y créer quelque chose de très hobby. N'a pas entendu parler de l'inspection du département "K" de la Direction centrale des affaires intérieures? Alors elle va vers toi!
- L'antivirus devrait fonctionner. Oui, certains d'entre eux peuvent ralentir le PC, ennuyer et ressembler généralement à un signe de lâcheté, mais il vaut mieux l'empêcher que de payer avec des temps d'arrêt ou, pire, des données volées.
- Les avertissements du système d'exploitation concernant les dangers de l'installation d'une application ne doivent pas être ignorés. Aujourd'hui, télécharger quelque chose pour le travail est une question de secondes et de minutes. Par exemple, Direct. Commander ou éditeur Adwords, un analyseur SEO, etc. Si tout est plus ou moins clair avec les produits Yandex et Google, voici un autre picresizer, un nettoyeur de virus gratuit, un éditeur vidéo avec trois effets, des captures d'écran, des enregistreurs skype et d'autres "petits programmes" qui peuvent nuire à la fois à un PC et à l'ensemble du réseau de l'entreprise. Encouragez les utilisateurs à lire ce que l'ordinateur attend d'eux, avant d'appeler l'administrateur système et de dire que "tout est mort". Dans certaines entreprises, le problème est résolu simplement: de nombreux utilitaires utiles téléchargés se trouvent sur un partage réseau et une liste de solutions en ligne appropriées y est également publiée.
- La politique BYOD ou, inversement, la politique d'autoriser l'utilisation d'équipements de travail en dehors du bureau est un aspect très mauvais de la sécurité. Dans ce cas, parents, amis, enfants, réseaux publics non protégés, etc. ont accès à la technologie. Il s'agit d'une roulette purement russe - vous pouvez marcher et gérer pendant 5 ans, ou vous pouvez perdre ou ruiner tous les documents et fichiers précieux. Eh bien, et en plus, si l'employé a une intention malveillante, il est réel de fusionner les données avec un équipement de «marche» car deux octets peuvent être envoyés. Vous devez également vous rappeler que les employés transfèrent souvent des fichiers entre leurs ordinateurs personnels, ce qui peut encore créer des failles de sécurité.
- Le blocage des appareils en déplacement est une bonne habitude tant dans la sphère professionnelle que personnelle. Encore une fois, il protège des collègues curieux, des connaissances et des intrus dans les lieux publics. Il est difficile de s’habituer à cela, mais sur un de mes lieux de travail, j’ai vécu une expérience merveilleuse: des collègues se sont approchés d’un PC non fermé, Paint avec l’inscription «Lost comp!» Se sont tournés vers toute la fenêtre. et quelque chose a changé dans le travail, par exemple, le dernier ensemble gonflé a été démoli ou le dernier bug de blessure a été supprimé (c'était un groupe de test). Cruel, mais 1-2 fois suffisant même pour les bois. Bien que, je suppose, les professionnels non informatiques ne comprennent pas un tel humour.
- Mais le pire péché, bien sûr, incombe à l'administrateur système et à la direction - dans le cas où ils n'utilisent pas catégoriquement des systèmes de contrôle du trafic, des équipements, des licences, etc.
Ceci, bien sûr, est la base, car l'infrastructure informatique est l'endroit même où le plus loin dans la forêt, le plus de bois de chauffage. Et tout le monde devrait avoir cette base, et ne pas être remplacé par les mots «nous nous faisons tous confiance», «nous sommes une famille», «mais qui en a besoin» - hélas, c'est pour le moment.
C'est Internet, bébé, ils peuvent en savoir beaucoup sur toi
Il est temps d’introduire un accès Internet sûr aux cours de sécurité des personnes à l’école - et il ne s’agit pas du tout des mesures dans lesquelles nous sommes plongés de l’extérieur. Il s'agit de la capacité de distinguer un lien d'un lien, de comprendre où l'hameçonnage et où se trouve un divorce, ne pas ouvrir les pièces jointes du sujet "Verification Act" d'une adresse inconnue, sans comprendre, etc. Bien que, semble-t-il, les écoliers aient déjà tout maîtrisé, mais les employés - non. Il y a des tonnes d'astuces et d'erreurs qui peuvent mettre en péril l'ensemble de l'entreprise à la fois.
- Réseaux sociaux - une section Internet qui n'a pas de lieu de travail, mais les bloquer au niveau de l'entreprise en 2019 est une mesure impopulaire et démotivante. Par conséquent, il vous suffit d'écrire à tous les employés sur la façon de vérifier l'illégalité des liens, de parler des types de fraude et de leur demander de travailler au travail.
- Le courrier est un point sensible et peut-être le moyen le plus populaire de voler des informations, de planter des logiciels malveillants, d'infecter votre PC et l'ensemble du réseau. Hélas, de nombreux employeurs considèrent le client de messagerie comme un élément d'épargne et utilisent des services gratuits qui envoient 200 spams par jour via des filtres, etc. Et certaines personnes irresponsables ouvrent de telles lettres et pièces jointes, liens, images - apparemment, ils espèrent que le prince nègre leur a laissé l'héritage. Après quoi l'administrateur a beaucoup de travail. Ou était-ce ce qui était prévu? Soit dit en passant, une autre histoire cruelle: dans une entreprise, pour chaque courrier indésirable, l'administrateur système a été réduit par KPI. En général, après un mois, il n'y avait plus de spam - la pratique a été adoptée par l'organisation mère et il n'y a toujours pas de spam. Nous avons résolu ce problème avec élégance - nous avons développé notre propre client de messagerie et l'avons intégré à notre CRM RegionSoft , afin que tous nos clients bénéficient également d'une fonctionnalité aussi pratique.
- Les messagers sont également la source de toutes sortes de liens non sécurisés, mais c'est un mal bien moindre que le courrier (sans compter le temps tué par la trépidation dans les salles de chat).
Cela semble être toutes les petites choses. Cependant, chacune de ces petites choses peut avoir des conséquences désastreuses, surtout si votre entreprise est la cible d'une attaque de concurrents. Et cela peut arriver à tout le monde.
Employés bavards
C'est le facteur très humain dont vous aurez du mal à vous débarrasser. Les employés peuvent discuter du travail dans le couloir, dans un café, dans la rue, chez le client parler fort d'un autre client, parler des réalisations et des projets de travail à la maison. Bien sûr, la probabilité qu'un concurrent soit derrière votre dos est négligeable (si vous n'étiez pas dans un centre d'affaires, cela s'est produit), mais le fait qu'un gars qui expose clairement les questions commerciales sera supprimé sur un smartphone et téléchargé sur YouTube, ce qui est curieusement étrange. Mais ce sont des ordures. Ce ne sont pas des conneries lorsque vos employés présentent volontiers des informations sur un produit ou une entreprise lors de formations, conférences, réunions, forums professionnels, mais au moins sur Habré. De plus, souvent, les gens convoquent délibérément un opposant à de telles conversations afin de mener une veille concurrentielle.
Histoire illustrative. Lors d'une conférence informatique à l'échelle galactique, le président de section a présenté sur une diapositive un schéma complet de l'organisation de l'infrastructure informatique d'une grande entreprise (top 20). Le schéma était méga impressionnant, juste de l'espace, il a été photographié par presque tout le monde et il a instantanément volé sur les réseaux sociaux avec des critiques élogieuses. Eh bien, le locuteur a attrapé des balises géographiques, des stands, des réseaux sociaux. les réseaux ont posté et supplié de les retirer, car il a rapidement appelé et dit a-ta-ta. Chatterbox - une aubaine pour l'espion.
L'ignorance ... libérée de la punition
Selon le rapport mondial de Kaspersky Lab pour 2017 parmi les entreprises confrontées à des incidents de cybersécurité en 12 mois, l'un des dix (11%) types d'incidents les plus graves concernait des employés négligents et non informés.
Ne présumez pas que les employés connaissent tout sur les mesures de sécurité de l'entreprise, assurez-vous de les avertir, organisez des formations, rédigez des bulletins périodiques intéressants sur les problèmes de sécurité, organisez des pizzas et clarifiez à nouveau les questions. Et oui, cool life hack - marquez toutes les informations imprimées et électroniques avec la couleur, les signes, les inscriptions: secret commercial, secret, pour usage officiel, accès général. Ça marche vraiment.
Le monde moderne a placé les entreprises dans une position très délicate: il est nécessaire de trouver un équilibre entre la volonté des employés de travailler non seulement pour labourer, mais aussi pour recevoir du contenu divertissant pendant les pauses / pauses et des règles strictes de sécurité d'entreprise. Si vous activez les programmes d'hypercontrôle et de suivi idiot (oui, pas une faute de frappe - ce n'est pas de la sécurité, c'est de la paranoïa) et des caméras derrière votre dos, alors la confiance des employés de l'entreprise chutera, et après tout, le maintien de la confiance est également un outil de sécurité d'entreprise.
Par conséquent, connaissez la mesure, respectez les employés, faites des sauvegardes. Et surtout - mettez la sécurité au premier plan, et non la paranoïa personnelle.
Si vous avez besoin d'un CRM ou d'un ERP, étudiez attentivement nos produits et comparez leurs capacités avec vos buts et objectifs. Il y aura des questions et des difficultés - écrivez, appelez, nous organiserons pour vous une présentation individuelle en ligne - sans notes et puzomerki.
Notre chaîne à Telegram , dans laquelle sans publicité, nous écrivons des choses pas tout à fait formelles sur le CRM et les affaires.