Oi Habr! Sou uma pessoa que consome produtos de TI através da App Store, Sberbank Online, Delivery Club e está relacionada ao setor de TI na medida em que. Em resumo, as especificidades da minha atividade profissional são fornecer serviços de consultoria para empresas de catering na otimização e desenvolvimento de processos de negócios. Recentemente, começou a surgir um grande número de pedidos de proprietários de estabelecimentos, cujo objetivo é construir um sistema de segurança da informação nas empresas.
Vamos começar com algumas histórias divertidas. História número um. Em um café informal, os gerentes mudavam a cada três meses. Uma vez que o primeiro gerente, sendo um grande fã da história soviética, criou a senha "07111917" e a indicou em todos os recursos com os quais pelo menos de alguma forma entrou em contato: o programa de contabilidade automatizada IIKO, acesso ao programa de fidelidade Plazius, instalação de sistemas segurança e proteção contra incêndio. Uma vez que este gerente foi pego vendendo dados pessoais de convidados a concorrentes, e foi demitido com segurança. No entanto, a senha revolucionária "07111917" continuou ativa e foi transferida de um gerente para outro. Como resultado, todos os garçons do estabelecimento sabiam se conectar ao Wi-Fi do escritório. Além disso, os hóspedes também aprenderam essa senha, porque os garçons, por gentileza, recomendaram que se conectassem a uma Internet mais "de alta velocidade" com o nome "internet_office".
Na restauração, os funcionários costumam usar os pontos fracos da segurança da informação para seus próprios fins egoístas.História número dois. Um jovem bonito, de casaco azul centáurea, encontra-se com o diretor executivo de uma grande exploração de restaurante. O seguinte diálogo é conduzido entre eles:
- Nossa empresa é especializada em produtos de informação. Hoje, sugiro que você considere a possibilidade de adquirir um gerenciador de senhas de nova geração, o Hawkeye [1]. É único, pois possui um alto grau de confiabilidade, tanto para a versão em nuvem quanto para a versão em caixa. A criptografia é feita usando o algoritmo AES-256. Além das funções padrão de qualquer gerenciador de senhas, o Hawkeye possui backups avançados e auditorias de segurança. O que dizer
- Konstantin, obrigado pela informação, mas qual é a diferença entre as versões em caixa e em nuvem e por que preciso de tudo isso?
Duas dessas histórias estão relacionadas a um problema - a baixa conscientização dos gerentes sobre o papel e a importância da segurança da informação na vida das empresas. Mas há uma ressalva adicional. A maneira como os representantes das empresas de TI fazem suas propostas também contribui pouco para entender entre os gerentes por que eles precisam de produtos de TI. Ao longo dos anos de minha prática de consultoria, acreditei firmemente que o segmento HoReCa é um mercado pouco desenvolvido entre os fornecedores de ferramentas de TI para implementar e manter os princípios de segurança da informação. Neste texto, gostaria de compartilhar um fragmento de um pequeno estudo que realizamos entre os gerentes de empresas de catering público, a fim de determinar o grau de conhecimento deles sobre a implementação e aplicação de produtos de TI. Antes de tudo, quero focar no uso de gerenciadores de senhas. Acrescento que o estudo foi ditado pelo desejo de entender melhor o pensamento dos gerentes, a fim de promover de maneira mais eficaz seus serviços de consultoria.
Brevemente sobre a metodologia. Foi escolhida uma estratégia qualitativa de dados. Realizamos doze entrevistas informais com gerentes e seus representantes em seis estabelecimentos de restauração. O questionário da entrevista continha vinte perguntas relacionadas à filosofia geral de segurança da informação, conhecimento da estrutura regulatória, trabalho com dados pessoais, recursos técnicos do sistema de segurança em empresas individuais, produtos de TI usados, incluindo o trabalho com gerenciadores de senhas. Todas as entrevistas foram transcritas, os resultados foram compilados de forma generalizada.
Todo mundo estava em uma situação em que ele não conseguia se lembrar da senha da sua contaSe você começar com perguntas conceituais, a maioria dos entrevistados associa a segurança das informações das empresas exclusivamente ao armazenamento de dados pessoais de seus funcionários. Os gerentes não entram em detalhes do lado técnico da questão. Eles se preocupam com o quanto esse ou aquele software economizará efetivamente tempo, ajudará no armazenamento seguro de dados e quanto será conveniente usar. Além disso, as prioridades são colocadas nesta ordem: (1) - tempo - (2) - segurança - (3) - usabilidade.
“Escute, preciso elaborar folhas de ponto, horários, preparar relatórios para os proprietários. O restaurante está constantemente quebrando alguma coisa. Sinto falta de tempo para ajustar as configurações do programa, reinstala. Não somos especialistas em TI no estado. Se houver algo rápido e conveniente, você pode tentar. (homem, 41 anos)
“A segurança das informações aqui é limitada pelo fato de os livros de trabalho serem armazenados em um cofre e os dados do passaporte estarem na prateleira superior ao lado do contador. Tudo isso é ruim e eu entendo isso. Mas configurar a segurança com sabedoria leva tempo, mas agora não tenho. Tivemos experiência na instituição comprando um antivírus avançado e até compramos uma licença. Todas as notificações vinham constantemente, eram inconvenientes, distraíam o trabalho ”(homem, 35 anos)
“Cerca de seis meses atrás, um seminário sobre a Lei Federal 152 foi organizado para nós em uma incubadora de empresas. Então, e agora, tenho pouco que entendo em dados pessoais. A principal coisa, e eu disse ao proprietário sobre isso, é necessário restaurar a ordem em nossos registros pessoais. Eu, um contador, tenho acesso aos dados, conforme combinado comigo, e é tudo. Agora temos uma bagunça aqui, é claro ”(mulher, 34 anos).
Como os resultados da entrevista mostraram, em cinco das seis instituições não existem padrões e procedimentos para garantir a segurança da informação, nem pessoas responsáveis. Além disso, não há equipe de funcionários em tempo integral ou especialista em terceirização que esteja envolvido na configuração e no monitoramento do sistema de segurança. Como um dos entrevistados disse:
"Temos um garoto que adiciona informações ao site do restaurante. Em teoria, ele poderia fazer tudo isso aqui ”(mulher, 35 anos).
A preocupação dos gerentes sobre a segurança dos dados pessoais é compreensível. Há cada vez mais casos envolvendo
sanções administrativas e
criminais ; os requisitos para inspeções dos operadores de
dados pessoais estão mudando
. No setor de restaurantes, esse tópico está se tornando cada vez mais relevante, pois além do acesso interno às contas, a maioria das instituições possui programas de fidelidade, onde o número de moradores chega a milhares.
Na minha opinião, agora os representantes do setor de TI têm uma boa chance de obter acesso a um mercado em que há um problema claramente identificado e a necessidade de sua solução. Nos próximos três anos, a solicitação para construir um sistema de segurança da informação no setor de catering só aumentará. Especialmente nas regiões.
No entanto, com todo o entendimento superficial de como o sistema de segurança da informação deve ser organizado, todos os entrevistados usam gerenciadores de senhas. Além disso, alguns os obrigam a usar seus substitutos, chefs e administradores. A primeira coisa que pedimos aos entrevistados é que gerenciadores de senhas você usa em suas empresas:
"Não sei se vou dizer direito ou não, mas agora estou usando o Zoho [2]. Surpreendentemente, eu posso ver a senha mesmo no telefone e no computador do trabalho. A única coisa que preciso fazer é não esquecer a senha básica de acesso. Por isso, escrevi em um diário ”(mulher de 32 anos).
“Escute, comecei a usar o gerenciador de senhas por acidente. Um amigo da universidade trabalha em um banco e deu para usá-lo. Chama-se Pasvork [3], parece até agora conveniente, economiza tempo. Tivemos um problema quando o funcionário demitido se conectou ao sistema contábil e examinou nossa receita. Foi por acaso que eles descobriram que as senhas no restaurante foram criadas por ele. Urgentemente teve que refazer tudo. Então, havia a necessidade de um gerente ”(homem, 41 anos).
“Eu estudei um pouco de TI em nossa técnica. Quando pensei no gerenciador de senhas, decidi pelo CommonKey [4], pois ele lida bem com a função de administrar perfis pessoais de funcionários. É muito conveniente para a nossa cadeia de pizzarias ”(homem, 38 anos).
Observo que escolhi os comentários mais significativos dos entrevistados. A maioria dos entrevistados não conseguia se lembrar exatamente como seus gerentes são chamados. Para alguns, o gerenciador de senhas está associado exclusivamente ao armazenamento de dados no navegador. Em geral, os entrevistados, ao escolher um determinado produto, não se perguntam sobre o mecanismo de criptografia subjacente ao gerenciador de senhas. As prioridades para eles são velocidade e facilidade de uso.
Apesar do fato de que entre os entrevistados existe um entendimento comum sobre o motivo pelo qual eles precisam de um gerenciador de senhas, os entrevistados os usam caso a caso. Como a entrevistada disse:
“Quando, por um lado, você é atraído por um cliente de banquetes, por outro, por um fornecedor e, por outro, pela equipe que pergunta quando será o salário, e nesse momento você cria uma conta para um novo funcionário, a única coisa que resta é anotar o login e a senha em pedaço de papel ”(mulher, 41 anos).
No entanto, existem certas práticas. Há vários problemas que tornaram os gerenciadores de senhas usados no setor de catering. Quais são esses problemas?
Primeiro, acesso a programas de fidelidade. Não é um segredo para os insiders que a equipe “atrapalha” com descontos, reembolsos são creditados em cartões plásticos amarrados a parentes e amigos da equipe etc. A maneira mais eficaz de evitar fraudes é verificar regularmente a atividade das contas na parte de trás do programa de fidelidade. A situação é complicada pelo fato de que pelo menos três pessoas precisam de acesso ao programa: um gerente, um profissional de marketing (para SMS e push-messages) e um operador que mantém o programa de fidelidade (no caso de falhas técnicas ou opções adicionais).
“A única coisa que tento não esquecer do gerenciador de senhas é trabalhar com nossa base de clientes. Além do acesso aos dados pessoais dos convidados, o dinheiro virtual pode ser creditado ou debitado através desse banco de dados. Uma vez por mês, altero a senha e faço uma classificação dos acessos, dependendo do status do usuário. Portanto, as informações devem ser constantemente atualizadas. O Password Manager facilita o trabalho nesse sentido ”(homem, 48 anos).
Em segundo lugar, em cada empresa existem cartões magnéticos de pessoal para acesso a um sistema de contabilidade automatizado (por exemplo, IIKO ou R-Keeper). Existem casos divertidos. O garçom sai e sai com o cartão. De fato, o garçom que partiu sabe a senha para acessar o sistema, onde os indicadores financeiros da empresa são refletidos, os pratos são excluídos e baixados e as horas de trabalho da equipe são registradas.
“Havia uma história em que um funcionário demitido conspirava com um barman e bebia álcool por hospitalidade. De alguma maneira estranha, esse camarada tinha um cartão desbloqueado e ele o usou ”(homem, 38 anos)
Em terceiro lugar, os gerentes vão e vêm e as contas permanecem. A adaptação profissional do novo gerente fica mais lenta quando ele se senta na tela do monitor e tenta entrar em contato com o gerente anterior para descobrir o login e a senha dos sistemas de e-mail, Mercury e EGAIS, sua conta pessoal no portal da empresa METRO.
“Normalmente, não conseguia resolver problemas quando não havia um único acesso a contas existentes. O gerente anterior terminou mal com o proprietário e não me deu nada. Eu tive que restaurar tudo, examinar seus rascunhos, convencer uma pessoa a compartilhar informações. Depois disso, decidi firmemente que manterei todas as senhas em um programa especial ”(mulher, 29 anos).
Não repita o erro do Presidente do Kosovo , use o gerenciador de senhasTodas essas situações podem ser úteis para representantes de desenvolvedores de TI para formular ofertas comerciais competentes para representantes do setor de restaurantes. Enfatizo mais uma vez que o mercado HoReCa está pronto para o consumo de produtos de TI. Isso se aplica não apenas aos gerenciadores de senhas, mas também ao software antivírus, sistemas de vigilância por vídeo e otimização de processos de negócios.
Ao escrever o texto, percebi as sérias perspectivas comerciais da implementação de padrões de segurança da informação para restaurantes, cafés e bares. Portanto, peço a todos os interessados que escrevam nos comentários que tipo de software você recomendaria aos representantes do HoReCa para criar um sistema de segurança da informação confiável. No final do tópico sobre gerenciadores de senhas, participe da pesquisa abaixo. Ficaria muito grato pelos comentários detalhados sobre sua escolha.
[1] O nome é fictício. Quaisquer semelhanças com outros gerenciadores de senhas são apenas semelhanças e nada mais.
[2] O entrevistado
refere-se ao Zoho Vault Password Manager:
www.zoho.com/vault[3] O entrevistado refere-se ao gerenciador de senhas do
Passwork :
passwork.ru[4] O entrevistado refere-se ao gerenciador de senhas da CommonKey:
www.commonkey.com