Sistem CRM: perlindungan atau ancaman?

31 Maret adalah hari cadangan internasional, dan minggu sebelumnya selalu penuh dengan cerita terkait keamanan. Pada hari Senin, kami sudah belajar tentang Asus yang dikompromikan dan "tiga produsen yang tidak disebutkan namanya." Terutama perusahaan-perusahaan takhayul yang duduk di atas jarum sepanjang minggu, membuat cadangan. Dan semua ini karena kita semua sedikit ceroboh dalam hal keamanan: seseorang lupa untuk mengikat sabuk pengaman di kursi belakang, seseorang mengabaikan tanggal kedaluwarsa produk, seseorang menyimpan nama pengguna dan kata sandi di bawah keyboard, dan bahkan lebih baik menulis semua kata sandi di notebook. Individu berhasil mematikan antivirus "agar tidak memperlambat komputer" dan tidak menggunakan pemisahan hak akses dalam sistem perusahaan (apa rahasia di perusahaan 50 orang!). Mungkin, umat manusia belum mengembangkan naluri pelestarian diri siber, yang, pada prinsipnya, bisa menjadi naluri dasar baru.

Tidak mengembangkan naluri dan bisnis seperti itu. Pertanyaan sederhana: apakah sistem CRM ancaman terhadap keamanan informasi atau alat keamanan? Tidak mungkin seseorang akan segera menjawab dengan pasti. Di sini kita perlu mulai, karena kita diajarkan dalam pelajaran bahasa Inggris: itu tergantung ... Itu tergantung pada pengaturan, bentuk pengiriman CRM, kebiasaan dan kepercayaan vendor, tingkat pengabaian terhadap karyawan, kecanggihan para penyerang. Pada akhirnya, Anda dapat meretas segalanya. Jadi, bagaimana Anda hidup?

Sistem CRM sebagai perlindungan

Melindungi data pada kegiatan komersial dan operasional dan menyimpan basis klien dengan andal adalah salah satu tugas utama sistem CRM, dan sejauh ini ini adalah hal yang paling penting tentang sisa perangkat lunak aplikasi di perusahaan.

Tentunya Anda mulai membaca artikel ini dan, pada intinya, menyeringai, mengatakan siapa yang butuh informasi Anda. Jika demikian, maka Anda mungkin tidak berurusan dengan penjualan dan tidak tahu berapa banyak permintaan untuk basis pelanggan "hidup" dan berkualitas tinggi dan informasi tentang metode bekerja dengan database ini. Konten sistem CRM menarik tidak hanya untuk manajemen perusahaan, tetapi juga:

• Untuk penyerang (lebih jarang) - mereka memiliki tujuan yang spesifik untuk perusahaan Anda dan akan menggunakan semua sumber daya untuk mendapatkan data: menyuap karyawan, meretas, membeli data Anda dari manajer, mewawancarai manajer, dan sebagainya.
  
• Karyawan (lebih sering) yang dapat bertindak sebagai orang dalam untuk pesaing Anda. Mereka hanya siap untuk mengambil atau menjual basis pelanggan mereka untuk tujuan keuntungan mereka sendiri.
  
• Peretas amatir (sangat jarang) - Anda bisa diretas ke dalam awan tempat data Anda berada atau diretas ke dalam jaringan, atau mungkin untuk bersenang-senang, seseorang ingin "menarik" data Anda (misalnya, data di apotek atau pedagang grosir alkohol - hanya menarik untuk melihat )
  

Ini terjadi keamanan informasi dalam bisnis kecil dan menengah.

Jika seseorang masuk ke CRM Anda, ia akan mendapatkan akses ke aktivitas operasional Anda, yaitu, ke array data yang dengannya Anda membuat sebagian besar keuntungan. Dan dari saat mendapatkan akses berbahaya ke sistem CRM, keuntungan mulai tersenyum pada orang yang di tangan basis klien. Baik, atau untuk para mitra dan pelanggannya (baca - untuk pengusaha baru).

Sistem CRM yang baik dan andal dapat menutup risiko ini dan memberikan banyak bonus yang menyenangkan di bidang keamanan.

Jadi apa yang dilakukan sistem CRM dalam hal keamanan?

(kami memberi tahu dengan contoh RegionSoft CRM , karena kami tidak dapat bertanggung jawab atas orang lain)

• Otorisasi dua faktor menggunakan kunci USB dan kata sandi. RegionSoft CRM mendukung otentikasi dua faktor pengguna di pintu masuk sistem. Dalam hal ini, ketika memasuki sistem, selain memasukkan kata sandi, perlu memasukkan kunci USB ke port USB komputer yang telah diinisialisasi sebelumnya. Mode otorisasi dua faktor membantu mengamankan terhadap pencurian atau pengungkapan kata sandi.
  

Diklik

• Mulai dari alamat IP dan MAC yang tepercaya. Untuk keamanan yang ditingkatkan, Anda dapat membatasi pengguna untuk masuk secara eksklusif dari alamat IP terdaftar dan alamat MAC. Karena alamat IP dapat digunakan sebagai alamat IP internal pada jaringan lokal, dan alamat eksternal jika pengguna terhubung dari jarak jauh (melalui Internet).
  
• Otorisasi domain (otorisasi Windows). Startup sistem dapat dikonfigurasi sehingga Anda tidak perlu memasukkan kata sandi pengguna saat login. Dalam hal ini, otorisasi Windows terjadi, yang mendefinisikan pengguna menggunakan WinAPI. Sistem akan diluncurkan di bawah pengguna di bawah profil siapa komputer bekerja pada saat sistem dimulai.
  
• Mekanisme lain adalah klien pribadi . Klien pribadi adalah klien yang hanya bisa dilihat oleh kurator mereka. Klien-klien ini tidak akan ditampilkan dalam daftar pengguna lain, bahkan jika pengguna lain memiliki set izin lengkap, termasuk hak administrator. Dengan demikian, dimungkinkan untuk melindungi, misalnya, kumpulan pelanggan atau kelompok yang sangat penting atas dasar lain, yang akan dipercayakan kepada manajer yang andal.
  
• Mekanisme pemisahan hak akses adalah standar dan ukuran utama perlindungan dalam CRM. Untuk menyederhanakan proses pengurusan hak-hak pengguna, RegionSoft CRM menetapkan hak untuk bukan pengguna tertentu, tetapi untuk templat. Dan sudah pengguna diberikan satu atau lain templat yang memiliki seperangkat hak tertentu. Ini memungkinkan setiap karyawan, dari pemula dan trainee hingga direktur, untuk memberikan wewenang dan hak akses yang akan / tidak akan memungkinkan mereka untuk mengakses data rahasia dan informasi bisnis penting.
  
• Sistem untuk backup data (backup) otomatis , yang dikonfigurasi menggunakan server skrip Server RegionSoft Application Server .
  

Ini adalah implementasi keamanan menggunakan contoh sistem tunggal, masing-masing vendor memiliki kebijakan sendiri. Namun, sistem CRM benar-benar melindungi informasi Anda: Anda dapat melihat siapa dan berapa banyak yang mengambil laporan tertentu, siapa yang melihat data apa, siapa yang mengunggah, dan banyak lagi. Bahkan jika Anda mengetahui tentang kerentanan setelah fakta, Anda tidak akan membiarkan tindakan itu tidak dihukum dan dengan mudah menemukan seorang karyawan yang telah menyalahgunakan kepercayaan dan loyalitas perusahaan.

Santai? Segera! Perlindungan yang sama dengan kecerobohan ini dan mengabaikan masalah perlindungan data bisa merugikan Anda.

Sistem CRM sebagai ancaman

Jika perusahaan Anda memiliki setidaknya satu PC, ini sudah menjadi sumber ancaman dunia maya. Dengan demikian, tingkat ancaman meningkat seiring dengan pertumbuhan jumlah workstation (dan karyawan) dan dengan beragam perangkat lunak yang diinstal dan digunakan. Dan dengan CRM-sistem, situasinya tidak mudah - setelah semua, ini adalah program yang dirancang untuk menyimpan dan memproses aset yang paling penting dan mahal: basis pelanggan dan informasi komersial, dan di sini kami menceritakan kisah-kisah horor tentang keamanannya. Bahkan, tidak semuanya begitu suram dekat, dan dengan penanganan yang tepat, Anda tidak akan mendapatkan apa pun dari sistem CRM selain manfaat dan keamanan.

Apa saja tanda-tanda sistem CRM yang berbahaya?

Mari kita mulai dengan tur singkat tentang dasar-dasarnya. CRM adalah cloud dan desktop. Cloud adalah mereka yang DBMS (databasenya) berada bukan di perusahaan Anda, tetapi di cloud pribadi atau publik di beberapa pusat data (misalnya, Anda duduk di Chelyabinsk, dan basis data Anda berputar di pusat data super keren di Moskow, karena vendor CRM memutuskan dan dia memiliki perjanjian dengan penyedia ini). Desktop (mereka juga on-premise, server - yang tidak begitu benar) mendasarkan DBMS mereka di server Anda sendiri (tidak, tidak, jangan menggambar sendiri ruang server besar dengan rak mahal, paling sering dalam bisnis kecil dan menengah itu adalah server kesepian atau bahkan server biasa PC konfigurasi modern), yaitu secara fisik di kantor Anda.

Anda bisa mendapatkan akses tidak sah ke kedua jenis CRM, tetapi kecepatan dan kemudahan akses berbeda, terutama jika kita berbicara tentang SMB, yang tidak terlalu peduli dengan keamanan informasi.

Tanda bahaya No. 1

Alasan untuk kemungkinan masalah data yang lebih tinggi dalam sistem cloud adalah hubungan yang dihubungkan oleh beberapa tautan: Anda (penyewa CRM) - penyedia vendor (ada versi yang lebih panjang: Anda - vendor - vendor IT agen outsourcing - penyedia). 3-4 tautan hubungan memiliki risiko lebih dari 1-2: masalah dapat terjadi pada sisi vendor (perubahan kontrak, non-pembayaran layanan penyedia), di sisi penyedia (force majeure, peretasan, masalah teknis), di sisi agen outsourcing (perubahan manajer atau insinyur) dll. Tentu saja, vendor besar mencoba memiliki pusat data cadangan, mengelola risiko, dan mempertahankan departemen DevOps mereka, tetapi ini tidak mengecualikan masalah.

Desktop CRM umumnya tidak disewa, tetapi diakuisisi oleh perusahaan, sehingga hubungannya terlihat lebih sederhana dan lebih transparan: selama penerapan CRM, vendor menetapkan tingkat keamanan yang diperlukan (dari membatasi hak akses dan kunci USB fisik hingga menempatkan server di dinding beton, dll.) dan mentransfer kontrol ke pemilik perusahaan CRM, yang dapat meningkatkan perlindungan, menyewa administrator sistem, atau menghubungi penyedia perangkat lunak Anda sebagaimana diperlukan. Masalah muncul saat bekerja dengan karyawan, keamanan jaringan, dan keamanan informasi fisik. Dalam hal menggunakan CRM desktop, bahkan pemutusan sambungan Internet sepenuhnya tidak akan berhenti berfungsi, karena basisnya terletak di kantor "asli".

Tentang teknologi cloud memberitahu salah satu karyawan kami yang bekerja di perusahaan yang mengembangkan cloud sistem kantor terintegrasi, termasuk CRM. “Di salah satu tempat kerja saya, perusahaan menciptakan sesuatu yang sangat mirip dengan CRM dasar, dan semua ini terhubung dengan dokumen online, dll. Setelah masuk GA, kami melihat aktivitas abnormal dari salah satu klien yang berlangganan. Bayangkan betapa terkejutnya kita, analis, ketika kita, bukan menjadi pengembang, tetapi memiliki tingkat akses yang tinggi, cukup mampu membuka antarmuka yang digunakan oleh tautan oleh klien dan melihat tanda seperti apa yang populer dengannya. Ngomong-ngomong, tampaknya klien tidak ingin ada orang yang melihat data komersial ini. Ya, itu adalah bug, dan belum diperbaiki selama beberapa tahun - menurut pendapat saya, semuanya masih ada. Sejak itu saya adalah seorang ahli desktop dan tidak benar-benar mempercayai awan, meskipun, tentu saja, kami menggunakannya dalam pekerjaan dan dalam kehidupan pribadi kami, di mana fakap lucu juga terjadi.


Dari survei kami tentang Habré, dan ini adalah karyawan perusahaan maju

Kehilangan data dari sistem cloud CRM mungkin disebabkan oleh hilangnya data karena kegagalan server, tidak tersedianya server, force majeure, penghentian vendor, dan sebagainya. Cloud adalah akses konstan dan berkesinambungan ke Internet, dan perlindungan harus belum pernah terjadi sebelumnya: pada tingkat kode, hak akses, tindakan keamanan cyber tambahan (misalnya, otorisasi dua faktor).

Tanda bahaya No. 2

Kami bahkan tidak berbicara tentang satu atribut, tetapi tentang sekelompok atribut yang terkait dengan vendor dan kebijakannya. Kami mencantumkan beberapa contoh penting yang kami dan karyawan kami temui.

• Vendor dapat memilih pusat data yang tidak cukup andal, di mana klien DBMS akan "berputar". Ini akan menghemat, tidak mengontrol SLA, tidak akan menghitung beban, dan hasilnya akan fatal bagi Anda.
  
• Vendor dapat menolak untuk mentransfer layanan ke pusat data pilihan Anda. Ini adalah batasan yang cukup umum untuk SaaS.
  
• Vendor mungkin memiliki konflik hukum atau ekonomi dengan penyedia cloud, dan kemudian selama tindakan cadangan "showdown" atau, misalnya, kecepatan, mungkin terbatas.
  
• Layanan cadangan dapat disediakan dengan harga terpisah. Praktik umum yang dapat ditemukan oleh klien sistem CRM hanya pada saat cadangan diperlukan, yaitu, pada saat yang paling kritis dan rentan.
  
• Karyawan vendor dapat memiliki akses tanpa hambatan ke data pelanggan.
  
• Pelanggaran data dalam bentuk apa pun dapat terjadi (faktor manusia, penipuan, peretas, dll.).
  

Biasanya, masalah ini dikaitkan dengan vendor kecil atau muda, namun, yang besar berulang kali masuk ke cerita yang tidak menyenangkan (google it). Karena itu, Anda harus selalu memiliki cara untuk melindungi informasi di pihak Anda + mendiskusikan masalah keamanan terlebih dahulu dengan penyedia sistem CRM yang Anda pilih. Bahkan fakta ketertarikan Anda pada masalah sudah akan memaksa pemasok untuk mengambil implementasi setanggung jawab mungkin (sangat penting untuk melakukannya jika Anda tidak berurusan dengan kantor vendor, tetapi dengan rekannya yang perlu menyimpulkan perjanjian dan mendapatkan komisi, dan bukan yang dua faktor ini ... well kamu mengerti).

Tanda bahaya No. 3

Organisasi kerja dengan keamanan di perusahaan Anda. Setahun yang lalu, kami secara tradisional menulis tentang keamanan di Habré dan melakukan survei. Sampel tidak terlalu besar, tetapi jawabannya indikatif:



Pada akhir artikel, kami akan memberikan tautan ke publikasi kami, tempat kami memeriksa secara rinci hubungan dalam sistem "perusahaan - karyawan - keamanan", dan di sini kami mencantumkan pertanyaan yang harus Anda temukan jawabannya (bahkan jika Anda tidak memerlukan CRM).

• Di mana karyawan menyimpan kata sandi?
  
• Bagaimana cara mengakses fasilitas penyimpanan di server perusahaan?
  
• Seberapa amankah perangkat lunak di mana terdapat informasi komersial dan operasional?
  
• Apakah semua karyawan memiliki antivirus aktif?
  
• Berapa banyak karyawan yang memiliki akses ke data pelanggan, tingkat akses apa?
  
• Berapa banyak karyawan baru yang Anda miliki dan berapa banyak karyawan yang sedang dalam proses PHK?
  
• Apakah Anda sudah lama berhubungan dengan karyawan kunci dan mendengarkan permintaan dan keluhan mereka?
  
• Apakah printer dikendalikan?
  
• Bagaimana kebijakan menghubungkan gadget Anda sendiri ke PC Anda, serta menggunakan Wi-Fi yang berfungsi?
  

Sebenarnya, ini adalah pertanyaan dasar - mereka mungkin akan menambahkan hardcore dalam komentar, tetapi ini adalah dasar yang bahkan seorang pengusaha individu dengan dua karyawan harus mengetahui dasar-dasarnya.

Lantas bagaimana cara melindungi diri?

• Cadangan adalah hal terpenting yang sering terlupakan atau tidak diurus. Jika Anda memiliki sistem desktop, atur sistem cadangan data dengan frekuensi yang diberikan (misalnya, untuk RegionSoft CRM ini dapat diimplementasikan menggunakan Server Aplikasi RegionSoft ) dan mengatur penyimpanan salinan yang kompeten. Jika Anda memiliki CRM berbasis cloud, pastikan untuk mengetahui bagaimana pekerjaan dengan cadangan diatur sebelum menandatangani kontrak: Anda memerlukan informasi tentang kedalaman dan frekuensi, tentang lokasi penyimpanan, tentang biaya cadangan (seringkali hanya cadangan "data terakhir untuk periode" yang gratis, dan cadangan lengkap, rahasia) penyalinan dilakukan sebagai layanan berbayar). Secara umum, pasti tidak ada tempat untuk menyimpan atau mengabaikan. Dan ya, jangan lupa untuk memeriksa apa yang dipulihkan dari cadangan.
  
• Pemisahan hak akses di tingkat fungsi dan data.
  
• Keamanan di tingkat jaringan - Anda harus mengizinkan penggunaan CRM hanya di dalam subnet kantor, membatasi akses ke perangkat seluler, melarang bekerja dengan sistem CRM dari rumah atau, lebih buruk lagi, dari jaringan publik (rekan kerja, kafe, kantor klien, dll.). Terutama berhati-hatilah dengan versi mobile - biarkan itu menjadi pilihan yang sangat terpotong untuk bekerja.
  
• Pemindaian anti-virus waktu nyata diperlukan, tetapi terutama dalam kasus keamanan data perusahaan. Nonaktifkan di tingkat kebijakan untuk menonaktifkannya sendiri.
  
• Melatih karyawan dalam kebersihan dunia maya bukan buang-buang waktu, tetapi kebutuhan mendesak. Penting untuk disampaikan kepada semua kolega bahwa penting bagi mereka tidak hanya untuk memperingatkan, tetapi juga untuk menanggapi ancaman dengan benar. Melarang penggunaan Internet atau surat Anda di kantor adalah abad terakhir dan alasan negatifnya akut, jadi Anda harus bekerja dengan pencegahan.
  

Tentu saja, dengan menggunakan sistem cloud, Anda dapat mencapai tingkat keamanan yang cukup: menggunakan server khusus, mengkonfigurasi router dan berbagi lalu lintas di tingkat aplikasi dan tingkat basis data, menggunakan subnet pribadi, memperkenalkan aturan keamanan yang ketat untuk administrator, memastikan operasi tanpa gangguan karena cadangan dengan frekuensi yang diperlukan maksimum dan secara penuh, untuk memonitor jaringan sepanjang waktu ... Jika Anda memikirkannya, itu tidak begitu sulit, itu agak mahal. Tetapi, seperti yang ditunjukkan oleh praktik, hanya beberapa perusahaan, terutama yang besar, yang mengambil tindakan seperti itu. Karena itu, jangan malu untuk mengatakan lagi: baik cloud dan desktop tidak boleh hidup sendiri, lindungi data Anda.

Beberapa tips kecil namun penting untuk semua penerapan sistem CRM

• Periksa kerentanan vendor - cari informasi tentang kombinasi kata "Kerentanan Nama Vendor", "Nama Vendor yang diretas", "Kebocoran data Nama Vendor". Ini seharusnya tidak menjadi satu-satunya parameter pencarian untuk sistem CRM baru, tetapi tanda centang pada subkorteks hanya diperlukan, dan sangat penting untuk memahami penyebab insiden.
  
• Tanyakan vendor tentang pusat data: ketersediaan, berapa banyak dari mereka, bagaimana failover diatur.
  
• Konfigurasikan token keamanan dalam CRM, lacak aktivitas dalam sistem dan wabah yang tidak biasa.
  
• Nonaktifkan ekspor laporan, akses melalui API untuk karyawan non-inti - yaitu mereka yang tidak memerlukan fungsi ini untuk kegiatan permanen.
  
• Pastikan bahwa pencatatan proses dan pencatatan aktivitas pengguna dikonfigurasikan pada sistem CRM Anda.
  

Ini adalah hal-hal sepele, tetapi mereka secara sempurna melengkapi gambaran besar. Dan, nyatanya, tidak ada hal sepele dalam hal keamanan.

Dengan menerapkan sistem CRM, Anda memastikan keamanan data Anda - tetapi hanya jika implementasi dilakukan dengan benar dan masalah keamanan informasi tidak diturunkan ke latar belakang. Setuju, bodoh untuk membeli mobil dan tidak memeriksa rem, ABS, kantung udara, sabuk pengaman, EDS. Lagi pula, hal utama bukan hanya mengemudi, tetapi mengemudi dengan aman dan mendapatkan keamanan dan suara. Sama halnya dengan bisnis.

Dan ingat: jika aturan keselamatan kerja ditulis dalam darah, aturan keamanan siber bisnis ditulis dalam uang.

Pada topik cybersecurity dan tempat sistem CRM di dalamnya, Anda dapat membaca artikel terperinci kami:

• Naluri utama bisnis: aspek keamanan perusahaan - gambaran umum kemungkinan ancaman keamanan di bidang korporat dan perkiraan skema deteksi.
  
• Apakah perlu untuk melindungi data dari karyawan - analisis terperinci tentang bagaimana karyawan dapat membahayakan bisnis Anda dan bagaimana mereka melakukannya di bidang komersial.
  

---

Jika Anda mencari sistem CRM, maka RegionSoft CRM memiliki diskon 15% hingga 31 Maret . Jika Anda membutuhkan CRM atau ERP, pelajarilah produk kami dengan cermat dan bandingkan kemampuan mereka dengan sasaran dan sasaran Anda. Akan ada pertanyaan dan kesulitan - menulis, menelepon, kami akan mengatur untuk Anda presentasi individu secara online - tanpa peringkat dan puzomerki.

Saluran kami di Telegram , di mana tanpa iklan kami menulis hal-hal yang tidak cukup formal tentang CRM dan bisnis.