Pada 2008, saya berhasil mengunjungi satu perusahaan IT. Ketegangan yang tidak sehat terbaca pada setiap karyawan. Alasannya sederhana: ponsel - dalam kotak di pintu masuk kantor, di belakang - kamera, 2 kamera "tampak" tambahan besar di kantor dan perangkat lunak pemantauan dengan keylogger. Dan ya, ini bukan perusahaan yang mengembangkan SORM atau sistem pendukung kehidupan pesawat, tetapi hanya pengembang perangkat lunak aplikasi bisnis, sekarang diserap, dihancurkan dan tidak ada lagi (yang tampaknya logis). Jika Anda baru saja menjangkau dan berpikir bahwa kantor Anda dengan tempat tidur gantung dan M&M dalam vas jelas tidak ada di sana, Anda bisa sangat keliru - hanya saja dalam 11 tahun kendali belajar menjadi tidak terlihat dan benar, tanpa membongkar situs yang dikunjungi dan mengunduh film.
Jadi, apakah benar-benar mustahil tanpa semua ini, tetapi bagaimana dengan kepercayaan, kesetiaan, kepercayaan pada orang? Jangan percaya, tetapi perusahaan tanpa keamanan juga tidak kalah. Tetapi karyawan berhasil menyipitkan mata di sana dan di sana - hanya karena faktor manusia mampu menghancurkan dunia, tidak seperti perusahaan Anda. Jadi, di mana karyawan Anda bisa bangun?
Ini bukan pos yang sangat serius, yang memiliki tepat dua fungsi: sedikit mencerahkan hari kerja dan mengingatkan Anda tentang hal-hal dasar dalam keamanan, yang sering dilupakan. Dan, yah, sekali lagi mengingatkan Anda tentang sistem
CRM yang keren dan aman - bukankah perangkat lunak seperti itu adalah ujung yang aman? :-)
Dikejar dalam mode acak!
Kata sandi, kata sandi, kata sandi ...
Anda berbicara tentang mereka dan gelombang kemarahan muncul: bagaimana bisa, berapa kali mereka mengulangi dunia, dan banyak hal masih ada di sana! Di perusahaan di semua tingkatan, dari pengusaha swasta hingga perusahaan transnasional, ini adalah titik yang sangat menyakitkan. Kadang-kadang menurut saya bahwa jika besok mereka membangun Death Star nyata, akan ada sesuatu seperti admin / admin di panel admin. Jadi apa yang diharapkan dari pengguna biasa yang halaman VKontakte mereka sendiri jauh lebih mahal daripada akuntansi perusahaan? Inilah poin yang perlu diperiksa:
- Menulis kata sandi pada selembar kertas, di bagian belakang keyboard, pada monitor, di atas meja di bawah keyboard, pada stiker di bagian bawah mouse (aneh!) - karyawan tidak boleh melakukan ini. Dan bukan karena peretas yang mengerikan masuk dan mengunduh semua 1C ke USB flash drive saat makan siang, tetapi karena Sasha mungkin tersinggung di kantor, yang akan berhenti dan memberikan omong kosong atau mengambil informasi untuk terakhir kalinya. Mengapa tidak melakukannya saat makan siang biasa?
Apakah itu sesuatu? Benda ini menyimpan semua kata sandi saya.- Mengatur kata sandi sederhana untuk memasuki PC dan program kerja. Tanggal lahir, qwerty123 dan bahkan asdf adalah kombinasi yang memiliki tempat dalam lelucon dan bashorgh, dan bukan dalam sistem keamanan perusahaan. Tetapkan persyaratan untuk kata sandi dan panjangnya, tetapkan frekuensi penggantian.
Kata sandi seperti pakaian dalam: ganti lebih sering, jangan bagikan dengan teman-teman Anda, lama lebih baik, misterius, jangan tersebar di mana-mana- Kata sandi vendor untuk memasuki program secara default salah, jika hanya karena hampir semua karyawan vendor mengetahuinya, dan jika Anda berurusan dengan sistem berbasis web di cloud, tidak ada yang bisa mendapatkan data. Apalagi jika Anda juga memiliki keamanan jaringan pada level "jangan cabut kabelnya."
- Jelaskan kepada karyawan bahwa petunjuk kata sandi dalam sistem operasi tidak akan terlihat seperti "ulang tahun saya", "nama anak perempuan", "Gvoz-dika-78545-up # 1! dalam bahasa Inggris. " atau "seperempat dan satu dengan nol."
Kucing saya memberi saya kata sandi yang bagus! Dia berjalan di atas keyboard sayaAkses fisik ke bisnis
Bagaimana Anda mengatur akses ke dokumentasi akuntansi dan personalia (misalnya, ke file pribadi karyawan) di perusahaan Anda? Biar saya tebak: jika ini adalah bisnis kecil, maka di departemen akuntansi atau di kantor bos di folder di rak atau di lemari, jika besar, di departemen personalia di rak. Tetapi jika itu sangat besar, maka kemungkinan besar semuanya benar: kantor terpisah atau blok dengan kunci magnet, yang hanya dapat diakses oleh masing-masing karyawan dan untuk sampai ke sana, Anda perlu memanggil salah satu dari mereka dan pergi ke simpul ini di hadapan mereka. Tidak ada yang rumit dalam membuat perlindungan seperti itu dalam bisnis apa pun, atau setidaknya belajar untuk tidak menulis kata sandi untuk brankas kantor dengan kapur di pintu atau di dinding (semuanya didasarkan pada kejadian nyata, jangan tertawa).
Mengapa ini penting? Pertama, pekerja memiliki keinginan patologis untuk mempelajari yang paling rahasia tentang satu sama lain: status perkawinan, upah, diagnosa medis, pendidikan, dll. Ini adalah bukti yang memberatkan dalam kompetisi kantor. Dan Anda sama sekali tidak senang dengan pertengkaran yang akan muncul ketika perancang Petya mengetahui bahwa ia mendapat 20 ribu lebih sedikit dari perancang Alice. Kedua, di tempat yang sama karyawan dapat memperoleh akses ke informasi keuangan perusahaan (saldo, laporan tahunan, kontrak). Ketiga, sesuatu yang elementer bisa hilang, rusak atau dicuri untuk menutupi jejak-jejak dalam biografi buruh Anda sendiri.
Gudang, tempat seseorang mengalami kerugian, seseorang - harta
Jika Anda memiliki gudang, pertimbangkan bahwa cepat atau lambat Anda dijamin akan mengalami kenakalan - psikologi seseorang yang melihat sejumlah besar produk dan dengan tegas percaya bahwa sedikit dari banyak tidak perampokan, tetapi berbagi, sama seperti itu. Satu unit barang dari tumpukan ini bisa berharga 200 ribu, dan 300 ribu, dan beberapa juta. Sayangnya, pencurian tidak dapat dihentikan dengan apa pun selain kontrol dan akuntansi yang bertele-tele dan total: kamera, penerimaan dan pendebetan dengan kode batang, otomatisasi akuntansi gudang (misalnya, di
CRM RegionSoft kami
, akuntansi gudang diatur sedemikian rupa sehingga manajer dan penyelia dapat melihat pergerakan barang dalam persediaan secara real time).
Karena itu, lengkapi gudang Anda dengan giginya, pastikan keamanan fisik dari musuh eksternal dan keamanan lengkap - dari internal. Karyawan dalam transportasi, logistik, di gudang harus dengan jelas menyadari bahwa ada kontrol, itu berfungsi dan mereka akan menghukum diri mereka sendiri.
* uki, jangan letakkan tanganmu di atas infrastruktur
Jika cerita tentang ruang server dan wanita pembersih telah hidup lebih lama dan telah lama bermigrasi ke sepeda industri lain (misalnya, cerita yang sama tentang penutupan mistik ventilasi mekanik di ruang yang sama), maka sisanya tetap menjadi kenyataan. Perusahaan keamanan jaringan dan TI dalam bisnis kecil dan menengah menyisakan banyak yang diinginkan, dan ini sering tidak bergantung pada apakah Anda memiliki administrator sistem atau undangan. Yang terakhir sering lebih baik.
Jadi, apa yang mampu dilakukan oleh karyawan di sini?
- Yang paling manis dan paling tidak berbahaya adalah pergi ke ruang server, menarik kabel, melihat, menumpahkan teh, mengoleskan kotoran atau mencoba mengkonfigurasi sesuatu sendiri. Ini terutama berlaku untuk "pengguna yang percaya diri dan mahir" yang dengan heroik mengajar rekan mereka untuk menonaktifkan antivirus dan memotong perlindungan pada PC dan yakin bahwa mereka adalah dewa server bawaan. Secara umum, akses terbatas resmi adalah segalanya bagi Anda.
- Pencurian peralatan dan penggantian komponen. Apakah Anda menyukai perusahaan Anda dan meletakkan kartu video yang kuat untuk semua orang agar sistem penagihan, CRM, dan lainnya berfungsi dengan baik? Hebat! Hanya cowok lihai (dan terkadang cewek) yang bisa dengan mudah menggantinya dengan rumah mereka, dan mereka akan menyetir game di rumah dengan model kantor baru - mereka tidak akan mengenali separuh dunia. Kisah yang sama dengan keyboard, mouse, pendingin, UPS dan semua yang entah bagaimana dapat diganti dalam kerangka konfigurasi besi. Akibatnya, Anda menanggung risiko kerusakan properti, kerugian totalnya, dan pada saat yang sama Anda tidak mendapatkan kecepatan dan kualitas kerja yang diinginkan dengan sistem dan aplikasi informasi. Sistem pemantauan (sistem ITSM) dengan kontrol konfigurasi yang dikonfigurasi) menyimpan, yang harus dibundel dengan administrator sistem yang tidak dapat rusak dan berprinsip.
- Menggunakan modem, titik akses, atau semacam Wi-Fi bersama membuat akses ke file menjadi kurang aman dan hampir tidak dapat dikendalikan, yang dapat dimanfaatkan oleh penyerang (termasuk berkonspirasi dengan karyawan). Yah, dan selain itu, kemungkinan bahwa seorang karyawan "dengan Internetnya sendiri" akan duduk berjam-jam di YouTube, situs komik dan jejaring sosial jauh lebih tinggi.
- Kata sandi dan login terpadu untuk akses ke panel admin situs, CMS, perangkat lunak aplikasi adalah hal-hal buruk yang mengubah karyawan yang tidak kompeten atau jahat menjadi penuntut yang sulit ditangkap. Jika Anda memiliki 5 orang dari subnet yang sama dengan nama pengguna / kata sandi yang sama, mereka pergi untuk menggantung spanduk, memeriksa tautan dan metrik iklan, memperbaiki tata letak dan mengisi pembaruan, Anda tidak akan pernah menebak siapa di antara mereka yang secara tidak sengaja mengubah CSS menjadi labu. Oleh karena itu: login yang berbeda, kata sandi yang berbeda, log tindakan dan diferensiasi hak akses.
- Apakah layak untuk berbicara tentang perangkat lunak tanpa izin yang diseret karyawan ke PC mereka untuk mengedit beberapa foto selama jam kerja atau untuk membuat sesuatu di sana yang sangat hobi. Tidak mendengar tentang pemeriksaan departemen "K" dari Direktorat Urusan Internal Pusat? Lalu dia pergi ke Anda!
- Antivirus seharusnya berfungsi. Ya, beberapa dari mereka dapat memperlambat PC, mengganggu dan umumnya tampak seperti tanda pengecut, tetapi lebih baik mencegahnya daripada membayar dengan downtime atau, lebih buruk, data yang dicuri.
- Peringatan sistem operasi tentang bahaya memasang aplikasi tidak boleh diabaikan. Saat ini, mengunduh sesuatu untuk bekerja adalah masalah detik dan menit. Misalnya, Direct. Commander atau editor Adwords, beberapa parser SEO, dan sebagainya. Jika semuanya kurang lebih jelas dengan produk Yandex dan Google, maka inilah pikresizer lain, pembersih virus gratis, editor video dengan tiga efek, tangkapan layar, perekam skype, dan "program kecil" lainnya yang dapat membahayakan PC individu dan seluruh jaringan perusahaan. Dorong pengguna untuk membaca apa yang diinginkan komputer dari mereka, sebelum mereka memanggil administrator sistem dan mengatakan bahwa "semuanya sudah mati." Di beberapa perusahaan, masalah ini diselesaikan dengan sederhana: banyak utilitas bermanfaat yang diunduh terletak pada jaringan berbagi, dan daftar solusi online yang sesuai juga diposting di sana.
- Kebijakan BYOD atau, sebaliknya, kebijakan untuk mengizinkan penggunaan peralatan kerja di luar kantor adalah sisi keamanan yang sangat jahat. Dalam hal ini, kerabat, teman, anak-anak, jaringan publik yang tidak dilindungi dan sebagainya memiliki akses ke teknologi. Ini murni roulette Rusia - Anda dapat berjalan dan mengelola selama 5 tahun, atau Anda dapat kehilangan atau merusak semua dokumen dan file berharga. Nah, dan selain itu, jika karyawan memiliki niat jahat, itu nyata untuk menggabungkan data dengan peralatan "berjalan" karena dua byte dapat dikirim. Anda juga harus ingat bahwa karyawan sering kali mentransfer file antara komputer pribadi mereka, yang lagi-lagi dapat membuat celah keamanan.
- Memblokir perangkat saat jauh adalah kebiasaan baik di lingkungan perusahaan maupun pribadi. Sekali lagi, ini melindungi dari kolega, kenalan, dan pengganggu yang ingin tahu di tempat-tempat umum. Sulit untuk membiasakan ini, tetapi di salah satu tempat kerja saya, saya memiliki pengalaman yang luar biasa: rekan kerja mendekati PC yang tidak tertutup, Melukis dengan tulisan "Lost comp!" Beralih ke seluruh jendela. dan sesuatu berubah dalam pekerjaan, misalnya, rakitan yang dipompa terakhir dihancurkan atau bug luka terakhir dihilangkan (itu adalah kelompok pengujian). Kejam, tetapi cukup 1-2 kali bahkan untuk yang kayu. Meskipun, saya curiga, profesional non-TI mungkin tidak mengerti humor seperti itu.
- Tetapi dosa terburuk, tentu saja, terletak pada administrator dan manajemen sistem - jika mereka tidak menggunakan sistem kontrol lalu lintas, peralatan, lisensi, dll.
Ini, tentu saja, adalah pangkalan, karena infrastruktur TI adalah tempat di mana semakin jauh ke dalam hutan, semakin banyak kayu bakar. Dan setiap orang harus memiliki pangkalan ini, dan tidak digantikan oleh kata-kata "kita semua saling percaya", "kita adalah keluarga", "tetapi siapa yang membutuhkannya" - sayangnya, ini untuk saat ini.
Ini internet, sayang, mereka bisa tahu banyak tentangmu
Saatnya untuk memperkenalkan akses Internet yang aman ke kursus keselamatan jiwa di sekolah - dan ini sama sekali bukan tentang langkah-langkah di mana kita dibenamkan dari luar. Ini adalah tentang kemampuan untuk membedakan tautan dari tautan, untuk memahami di mana phishing, dan di mana perceraian, jangan membuka lampiran subjek "Undang-Undang Verifikasi" dari alamat yang tidak dikenal, tanpa pemahaman, dll. Meskipun, tampaknya, anak-anak sekolah sudah menguasai semuanya, tetapi karyawan - tidak. Ada banyak trik dan kesalahan yang dapat membahayakan seluruh perusahaan sekaligus.
- Jaringan sosial - bagian Internet yang tidak memiliki tempat untuk bekerja, tetapi memblokirnya di tingkat perusahaan pada tahun 2019 adalah tindakan yang tidak populer dan menurunkan motivasi. Karena itu, Anda hanya perlu menulis kepada semua karyawan cara memeriksa ilegalitas tautan, berbicara tentang jenis penipuan dan meminta mereka bekerja di tempat kerja.
- Mail adalah tempat yang sakit dan mungkin cara paling populer untuk mencuri informasi, menanam malware, menginfeksi PC Anda dan seluruh jaringan. Sayangnya, banyak pengusaha menganggap klien email sebagai barang simpanan dan menggunakan layanan gratis yang mengirim 200 email spam per hari melalui filter, dll. Dan beberapa orang yang tidak bertanggung jawab membuka surat dan lampiran seperti itu, tautan, gambar - rupanya, mereka berharap bahwa pangeran Negro meninggalkan warisan bagi mereka. Setelah itu administrator memiliki banyak pekerjaan. Atau apakah itu yang dimaksudkan? Omong-omong, kisah kejam lainnya: di satu perusahaan, untuk setiap email spam, administrator sistem dikurangi oleh KPI. Secara umum, setelah sebulan tidak ada spam - praktiknya diadopsi oleh organisasi induk, dan masih belum ada spam. Kami memecahkan masalah ini dengan anggun - kami mengembangkan klien email kami sendiri dan memasukkannya ke dalam RegionSoft CRM kami , sehingga semua pelanggan kami juga mendapatkan fitur yang nyaman.
- Utusan juga merupakan sumber dari semua jenis tautan tidak aman, tetapi ini adalah kejahatan yang jauh lebih kecil daripada surat (tidak termasuk waktu yang terbunuh oleh keraguan di ruang obrolan).
Sepertinya itu semua hal-hal kecil. Namun, masing-masing dari hal-hal kecil ini dapat memiliki konsekuensi bencana, terutama jika perusahaan Anda menjadi sasaran serangan oleh pesaing. Dan ini dapat terjadi pada semua orang.
Karyawan yang cerewet
Ini adalah faktor yang sangat manusiawi yang sulit Anda singkirkan. Karyawan dapat mendiskusikan pekerjaan di koridor, di kafe, di jalan, di klien berbicara dengan keras tentang klien lain, berbicara tentang pencapaian tenaga kerja dan proyek di rumah. Tentu saja, kemungkinan pesaing berada di belakang Anda dapat diabaikan (jika Anda tidak berada di satu pusat bisnis, ini terjadi), tetapi kenyataan bahwa seorang pria yang dengan jelas menjabarkan masalah bisnis akan dihapus pada smartphone dan diunggah ke YouTube, anehnya. Tapi ini sampah. Ini bukan omong kosong ketika karyawan Anda dengan sukarela menyajikan informasi tentang produk atau perusahaan di pelatihan, konferensi, pertemuan, forum profesional, tetapi setidaknya di Habré. Selain itu, sering kali orang dengan sengaja memanggil lawan ke percakapan seperti itu untuk melakukan intelijen kompetitif.
Kisah ilustratif. Pada satu konferensi IT skala galaksi, pembicara bagian meletakkan pada slide diagram lengkap organisasi infrastruktur TI perusahaan besar (20 besar). Skema itu sangat mengesankan, hanya ruang, difoto oleh hampir semua orang, dan langsung terbang melalui jejaring sosial dengan sambutan hangat. Nah, kemudian pembicara menangkap geotag, tribun, sosial. jaringan diposting dan memohon untuk menghapus, karena dia cepat memanggil dan berkata a-ta-ta. Kotak Pesan - anugerah untuk mata-mata.
Ketidaktahuan ... bebas dari hukuman
Menurut laporan global Kaspersky Lab untuk 2017 di antara perusahaan yang menghadapi insiden keamanan cyber dalam 12 bulan, satu dari sepuluh (11%) jenis insiden paling serius terkait dengan karyawan yang ceroboh dan tidak mendapat informasi.
Jangan berasumsi bahwa karyawan tahu segalanya tentang langkah-langkah keamanan perusahaan, pastikan untuk memperingatkan mereka, melakukan pelatihan, membuat buletin berkala yang menarik tentang masalah keamanan, mengadakan pertemuan pizza dan mengklarifikasi pertanyaan lagi. Dan ya, hack kehidupan keren - tandai semua informasi cetak dan elektronik dengan warna, tanda, prasasti: rahasia dagang, rahasia, untuk penggunaan resmi, akses umum. Ini benar-benar berfungsi.
Dunia modern telah menempatkan perusahaan dalam posisi yang sangat rumit: perlu untuk menyeimbangkan antara keinginan karyawan untuk bekerja tidak hanya untuk membajak, tetapi juga untuk menerima konten yang menghibur di latar belakang / selama istirahat dan aturan keamanan perusahaan yang ketat. Jika Anda mengaktifkan program hypercontrol dan moronic tracking (ya, bukan salah ketik - ini bukan keamanan, ini paranoia) dan kamera di belakang Anda, maka kepercayaan karyawan di perusahaan akan turun, dan setelah itu, mempertahankan kepercayaan diri juga merupakan alat keamanan perusahaan.
Karena itu, ketahui ukurannya, hormati karyawannya, buat cadangan. Dan yang paling penting - menempatkan keamanan di garis depan, dan bukan paranoia pribadi.
Jika Anda membutuhkan CRM atau ERP, pelajarilah produk kami dengan cermat dan bandingkan kemampuan mereka dengan sasaran dan sasaran Anda. Akan ada pertanyaan dan kesulitan - menulis, menelepon, kami akan mengatur untuk Anda presentasi individu secara online - tanpa peringkat dan puzomerki.
Saluran kami di Telegram , di mana tanpa iklan kami menulis hal-hal yang tidak cukup formal tentang CRM dan bisnis.