⏭️ 🆕 💪🏻 CRM系统：保护还是威胁？ 🤱🏼 ✋🏻 🖋️

3月31日是国际备份日，而前一周总是充满与安全相关的故事。周一，我们已经了解了遭到入侵的华硕和“三家未具名的制造商”。尤其是迷信的公司整周不动声色，进行备份。所有这一切都是因为我们在安全性方面有些疏忽：有人忘记将安全带系在后座上，有人忽略了产品的有效期，有人在键盘下存储了用户名和密码，甚至更好地将所有密码写在笔记本上。个人设法禁用防病毒软件，以“不降低计算机的速度”，并且不使用公司系统中访问权限的分离（这是拥有50个人的公司的秘密！）。可能，人类只是还没有发展出网络自我保护的本能，从原理上讲，它可以成为一种新的基本本能。

没有这种本能和生意。一个简单的问题：CRM系统是对信息安全或安全工具的威胁吗？不太可能有人立即肯定地回答。正如我们在英语课程中所教的那样，这里我们需要开始：它取决于...取决于设置，CRM交付形式，供应商的习惯和信念，对员工的无视程度以及攻击者的先进程度。最后，您可以破解所有内容。那你过得怎么样？

CRM系统作为保障

保护商业和运营活动中的数据并可靠地存储客户群是CRM系统的主要任务之一，在这方面，这是公司其余应用程序软件中最重要的事情。

当然，您开始阅读本文，他们说，内心很傻，谁在需要您的信息。如果是这样，那么您可能没有处理销售，也不知道对“实时”和高质量客户群有多少需求以及有关使用该数据库的方法的信息。 CRM系统的内容不仅对公司管理层很有趣，而且：

对于攻击者（较少见的攻击者）-他们的目标专门与您的公司有关，并且将使用所有资源来获取数据：贿赂员工，黑客入侵，从经理那里购买数据，采访经理等等。
可以充当竞争对手内部人员的员工（通常）。他们只是为了自己的利益而准备离开或出售他们的客户群。
业余黑客（很少）-您可以被黑客入侵到您的数据所在的云中或被黑客入侵到网络中，或者出于娱乐目的，有人想要“提取”您的数据（例如，药房或酒精批发商的数据-看到它很有趣）

这发生在中小企业的信息安全中。

如果有人进入您的CRM，他将可以访问您的运营活动，即可以从中获得最大收益的数据阵列。从获得对CRM系统的恶意访问的那一刻起，利润就开始对客户群产生影响。好吧，或者对它的合作伙伴和客户（读给新雇主）。

一个好的，可靠的CRM系统可以消除这些风险，并在安全领域带来很多令人愉悦的好处。

那么，CRM系统在安全性方面有什么作用？

（我们以RegionSoft CRM为例，因为我们不能对其他人负责）

使用USB密钥和密码进行两步授权。 RegionSoft CRM支持在系统入口处对用户进行两因素身份验证。在这种情况下，进入系统时，除了输入密码外，还必须将USB密钥插入预先初始化的计算机的USB端口中。两因素授权模式有助于防止密码被盗或泄露。

可点击

从受信任的IP和MAC地址开始。 为了增强安全性，可以限制用户仅从注册的IP地址和MAC地址登录。由于IP地址可用作本地网络上的内部IP地址，如果用户是远程连接（通过Internet），则可以用作外部地址。
域授权（Windows授权）。 可以配置系统启动，以便您不必在登录时输入用户密码。在这种情况下，将发生Windows授权，该授权使用WinAPI定义用户。系统将在系统启动时以计算机正在运行的用户身份启动。
另一个机制是私人客户 。私人客户是只有策展人才能看到的客户。即使其他用户具有一整套权限（包括管理员权限），这些客户端也不会显示在其他用户的列表中。因此，可以保护例如一批重要客户或另一组客户，这些客户将被委托给可靠的经理。
访问权分离的机制是CRM中保护的标准和主要措施。为了简化管理用户权限的过程， RegionSoft CRM不将权限分配给特定用户，而是分配给模板。并且已经为用户分配了一个或一组具有特定权限的模板。这样一来，从新手和受训者到董事，每个员工都可以分配权限/访问权限，这些权限和访问权限将允许/不允许他们访问机密数据和重要的业务信息。
使用RegionSoft Application Server脚本服务器配置的用于数据自动备份（备份）的 系统。

这是一个使用单个系统的安全实施示例，每个供应商都有自己的策略。但是，CRM系统确实可以保护您的信息：您可以查看谁以及多少人提交了特定报告，谁查看了哪些数据，谁进行了上载等等。即使您事后了解了该漏洞，您也不会无所作为，轻松找出滥用公司信任和忠诚度的员工。

放松吗很快！这种粗心大意而忽略数据保护问题的保护措施可能会对您不利。

CRM系统成为威胁

如果您的公司至少有一台PC，则这已经成为网络威胁的来源。因此，威胁程度随着工作站（和员工）数量的增加以及安装和使用的软件种类的增加而增加。对于CRM系统，情况并不容易-毕竟，这是一个旨在存储和处理最重要且最昂贵的资产（客户群和商业信息）的程序，在这里我们讲述有关其安全性的恐怖故事。实际上，并不是所有事情都那么令人沮丧，而且如果进行适当的处理，您将不会从CRM系统获得任何好处和安全性。

CRM系统危险的迹象是什么？

让我们从简短的基础知识开始。 CRM是云和桌面。云是指那些DBMS（数据库）不在您公司中，而是位于某些数据中心的私有云或公共云中的数据库（例如，您在车里雅宾斯克，而数据库正在莫斯科超酷的数据中心中旋转，因为CRM供应商如此决定，并且他已与该提供商达成协议）。台式机（它们是本地服务器，不是很正确）将DBMS放在自己的服务器上（不，不要在昂贵的机架上为自己画一个巨大的服务器室，通常在中小型企业中，它是一台孤独的服务器，甚至是一台普通的服务器）现代配置的PC），也就是您办公室中的物理设备。

您可以对两种类型的CRM进行未经授权的访问，但是访问的速度和便捷性是不同的，尤其是在我们谈论的SMB时，它并不真正在乎信息安全。

1号危险标志

云系统中此数据出现问题的可能性较高的原因是通过几个链接建立的关系：您（CRM租户）-供应商-提供者（版本更长：您-供应商-供应商IT外包商-提供者）。关系中的3-4个链接比1-2个链接具有更大的风险：问题可能发生在供应商方面（合同变更，未支付提供商的服务），提供商方面（不可抗力，黑客入侵，技术问题），外包商方面（经理或工程师）等当然，大型供应商会尝试建立备份数据中心，管理风险并保留其DevOps部门，但这并不排除问题。

桌面CRM通常不是租用的，而是由公司收购的，因此这种关系看起来更简单，更透明：在实施CRM期间，供应商设置必要的安全级别（从界定访问权限和物理USB密钥到将服务器放置在混凝土墙等）。并将控制权转移给CRM的公司所有者，这可以增强保护，雇用系统管理员或在必要时与您的软件提供商联系。问题归结为与员工合作，网络安全和物理信息安全。在使用桌面CRM的情况下，即使Internet完全断开也不会停止工作，因为该基地位于“本机”办公室。

关于云技术告诉我们在开发包括CRM在内的集成办公系统云的公司工作的一名员工。 “在我的工作场所之一，该公司创建了与基本CRM非常相似的东西，所有这些都与在线文档等相关。 进入GA后，我们看到一位订阅客户的异常活动。 想象一下，当我们不是开发人员，但具有较高的访问权限时，只需让我们打开客户端所使用的界面，然后查看其配备的平板电脑，分析师就会感到惊讶。 顺便说一句，客户似乎不希望任何人看到此商业数据。 是的，它是一个错误，并且已经几年没有修复-在我看来，事情仍然存在。 从那时起，我就是台式机的专家，我并不真正相信云，尽管我们当然会在工作和个人生活中使用它们，在这些场合中也会发生有趣的怪事。”

根据我们对哈布雷的调查，这些都是先进公司的员工

来自云CRM系统的数据丢失可能是由于服务器故障，服务器不可用，不可抗力，供应商终止等原因造成的数据丢失。云是对Internet的持续不断的访问，对保护的访问应该是空前的：在代码，访问权限，其他网络安全措施（例如，两因素授权）级别。

2号危险标志

我们甚至不是在谈论一个属性，而是在讨论与供应商及其政策相关的一组属性。我们列举了一些我们和我们的员工遇到的重要例子。

供应商可以选择一个可靠性不够的数据中心，DBMS客户端将在该数据中心“旋转”。它可以保存，不控制SLA，不计算负载，并且结果对您来说是致命的。
供应商可能拒绝将服务转移到您选择的数据中心。对于SaaS，这是相当普遍的限制。
卖方可能与云提供商发生法律或经济冲突，然后在“摊牌”后的备份操作或例如速度可能会受到限制。
备份服务可以单独提供。 CRM系统的客户只能在需要备份的那一刻（即在最关键和最脆弱的那一刻）才发现的一种惯例。
供应商员工可以不受阻碍地访问客户数据。
可能发生任何性质的数据泄露（人为因素，欺诈，黑客等）。

通常，这些问题与小型或年轻的供应商有关，但是，大型的供应商已经反复陷入不愉快的故事中（用谷歌搜索）。因此，您应该始终有办法保护自己的信息，并提前与所选的CRM系统提供商讨论安全问题。甚至您对问题感兴趣的事实也已经迫使供应商尽可能负责任地实施（特别重要的是，如果您不是与供应商办公室联系，而是与需要签订协议并获得佣金的合作伙伴，而不是这两个因素的合作伙伴……）您了解）。

3号危险信号

在公司中安全地组织工作。一年前，我们传统上在哈布雷（Habré）上写过关于安全性的文章，并进行了调查。样本不是很大，但是答案是指示性的：

在文章的最后，我们将提供出版物的链接，我们在其中详细检查了系统``公司-员工-安全性''中的关系，并在此处提供了一系列问题，这些问题的答案应在您公司内部找到（即使您不需要CRM）。

员工在哪里存储密码？
如何访问公司服务器上的存储设施？
包含商业和运营信息的软件的安全性如何？
所有员工都有有效的防病毒软件吗？
有多少员工可以访问客户数据，访问级别是多少？
您有多少新员工，有多少员工正被解雇？
您是否与主要员工保持了很长时间的联系，并听取了他们的要求和投诉？
打印机受控制吗？
将自己的小工具连接到PC以及使用正常工作的Wi-Fi的策略如何？

实际上，这些是基本问题-它们可能会在评论中添加“硬核”，但这是一个基础，即使是只有两名雇员的个体企业家也应该了解其基础知识。

那么如何保护自己呢？

备份是最重要的事情，通常会被遗忘或得不到照顾。如果您有台式机系统，则以给定的频率设置数据备份系统（例如，对于RegionSoft CRM，可以使用RegionSoft Application Server来实现）并组织有效的副本存储。如果您具有基于云的CRM，请在签订合同之前确保了解备份工作的组织方式：您需要有关深度和频率，存储位置，备份成本的信息（通常只有“一段时间内的最后数据”备份是免费的，而完整的秘密备份是免费的）复制作为付费服务进行）。通常，绝对没有地方可以保存或忽略。是的，不要忘记检查从备份还原的内容。
在功能和数据级别分离访问权限。
网络级别的安全性-您只需要允许在办公室子网内使用CRM，限制对移动设备的访问，禁止在家中使用CRM系统，甚至禁止在公共网络（同事，咖啡馆，客户办公室等）中使用CRM系统。尤其要注意移动版本-使其成为工作中被大大缩短的选择。
无论如何，都需要实时的防病毒扫描，尤其是在公司数据安全的情况下。在策略级别禁用以自己禁用它。
对员工进行网络空间卫生培训不是浪费时间，而是迫切需要。有必要向所有同事传达，这不仅对他们发出警告，而且对威胁做出正确响应也很重要。上个世纪是禁止在办公室使用Internet或邮件的原因，它是造成负面负面影响的原因，因此您必须进行预防。

当然，使用云系统可以达到足够的安全级别：使用专用服务器，配置路由器并在应用程序级别和数据库级别共享流量，使用专用子网，为管理员引入严格的安全规则，确保以最大必要的频率进行备份而不会中断操作和完整性，可以全天候监控网络...如果您考虑一下，这并不困难，而是相当昂贵。但是，正如实践所示，只有一些公司（主要是大型公司）采取此类措施。因此，不要害羞地再说一遍：云和桌面都不应独立存在，以保护您的数据。

所有CRM系统部署的一些小而重要的技巧

检查供应商是否存在漏洞-查找有关单词“供应商名称漏洞”，“被入侵的供应商名称”，“供应商名称数据泄漏”的组合信息。这不应该是新CRM系统的唯一搜索参数，而是仅需要在子皮层上打勾，并且了解事件原因尤其重要。
向供应商咨询有关数据中心的信息：可用性，数量，故障转移的组织方式。
在CRM中配置安全令牌，跟踪系统内的活动和异常爆发。
禁止导出报告，通过API向非核心员工（即那些不需要这些功能进行永久性活动的员工）进行访问。
确保在CRM系统上配置了流程日志记录和用户活动日志记录。

这些都是琐事，但它们完美地补充了大局。而且，实际上，在安全方面没有琐事。

通过实施CRM系统，您可以确保数据的安全性-但前提是正确执行了实施且信息安全性问题不属于后台。同意，买车而不检查刹车，ABS，安全气囊，安全带和EDS是愚蠢的。毕竟，最主要的不只是驾驶，而且还包括安全驾驶并获得安全和声音。商业也一样。

请记住：如果劳动安全规则是用鲜血书写的，那么企业网络安全规则是用金钱书写的。

关于网络安全以及CRM系统在其中的位置，您可以阅读我们的详细文章：

业务的主要本能：公司安全的各个方面 -公司范围内可能存在的安全威胁的概述和近似的检测方案。
是否有必要保护数据免受员工侵害 -详细分析员工如何损害您的业务以及他们在商业领域的行为。

如果您正在寻找CRM系统，那么3月31日之前 ， RegionSoft CRM的折扣为15％ 。如果您需要CRM或ERP，请仔细研究我们的产品，并将其功能与您的目标进行比较。会有问题和困难-写，打电话，我们将为您安排在线个人演示-没有评分和puzomerki。

我们在Telegram中的频道，在其中没有广告，我们就CRM和业务问题写的不是很正式。

CRM系统：保护还是威胁？