💸 👩🏻‍🎨 🕧 公司不安全 👨‍🏫 🏔️ 🕴🏾

2008年，我设法拜访了一家IT公司。在每位员工中读到一种不健康的紧张情绪。原因很简单：手机-位于办公室入口处的盒子里，后面-摄像机，办公室里还有2个额外的“看”摄像机，并带有键盘记录器监控软件。是的，这不是开发SORM或飞机生命支持系统的公司，而是一家应用业务软件开发人员，现在他们被吸收，被压垮了并且不再存在（这似乎合乎逻辑）。如果您只是伸出援手，以为您的办公室绝对没有花瓶和吊床，那您可能会误会-仅仅11年的时间，控制就变得不可见和正确，而无需拆卸所访问的站点和下载的电影。

因此，没有这一切真的是不可能的，但是对人的信任，忠诚和信仰呢？不相信，但是没有安全保障的公司也不少。但是员工设法斜视这个地方-仅仅是因为人为因素能够破坏世界，而不是像您的公司那样。那么，您的员工在哪里可以醒来？

这不是一个很严肃的帖子，它具有两个功能：稍微改善工作日并提醒您安全方面的基本知识，而这些基本知识通常被遗忘了。而且，再次提醒您一个凉爽安全的CRM系统 -这样的软件不是安全优势吗？ :-)

追逐随机模式！

密码，密码，密码...

您谈论它们，并激起了一阵愤慨：它们是如此，它们重复了多少次，世界仍然存在！在从私营企业家到跨国公司的各个级别的公司中，这都是一个非常痛苦的地方。在我看来，有时候如果他们明天建造一个真正的死亡之星，则管理面板中将出现类似admin / admin的内容。那么，对于普通用户而言，他们自己的VKontakte页面比公司会计要贵得多的期望是什么？这里是要检查的要点：

在纸上，键盘背面，显示器，键盘下方的桌子上，鼠标底部的标签上写密码（古怪！）-员工绝对不要这样做。并不是因为一个可怕的黑客进来，并在午餐期间将所有1C下载到USB闪存驱动器，而是因为Sasha可能在办公室得罪了，后者将辞职并最后一次拉屎或捡拾信息。为什么不定期吃午餐呢？

那是什么吗？ 这个东西存储了我所有的密码。

设置用于输入PC和工作程序的简单密码。出生日期，qwerty123甚至asdf都是组合，在笑话和bashorgh中占有一席之地，在公司安全系统中则没有。设置密码及其长度的要求，设置更换频率。

密码就像内衣：经常更改密码，不要与您的朋友分享，长久以来会更好，变得神秘，不要分散在任何地方

默认情况下，供应商用于进入程序的密码存在缺陷，这仅仅是因为几乎所有供应商的员工都知道它们，并且如果您正在使用云中基于Web的系统进行交易，那么任何人都无法获取数据。特别是如果您还具有“请勿拔出电线”级别的网络安全性。
向员工解释，操作系统中的密码提示不应类似于“我的生日”，“女儿的名字”，“ Gvoz-dika-78545-up＃1”！用英语。或“四分之一零零”。

猫给我很大的密码！ 他在我的键盘上行走

实际接触业务

您如何在公司中组织对会计和人事文档（例如，员工的个人文件）的访问？我猜：如果是小型企业，则在会计部门或老板办公室的货架上的文件夹中，或在壁橱中（如果较大的话）在货架上的人事部门中。但是，如果它很大，那么很可能一切都是正确的：一个单独的办公室或一个带有磁性钥匙的区块，只有个别员工才能访问并到达那里，您需要给其中一个打电话，并在他们在场的情况下前往该节点。在任何企业中进行这种保护，或者至少学会不用门或墙上的粉笔写办公室保险箱的密码都没有什么复杂的（一切都是基于真实的事件，不要笑）。

为什么这很重要？首先，工人渴望了解彼此的最秘密：婚姻状况，工资，医疗诊断，教育等。在办公室竞争中，这就是如此重要的证据。当设计师Petya发现自己的薪水比设计师Alice少2万时，您会完全不满意这些争吵。其次，在同一地点，员工可以访问公司的财务信息（余额，年度报告，合同）。第三，一些基本的东西可能会丢失，损坏或被盗，以掩盖您自己的劳工传记中的痕迹。

仓库，有人失落，有人-宝藏

如果您有仓库，请考虑早晚要保证您会遇到违法者-就像那样，一个看到大量产品并坚信从很多东西中抢劫的人的心态不是抢劫，而是分享。这个堆中的一个商品单位可能要花费20万，30万和几百万。不幸的是，盗窃只能通过专业的，全面的控制和记账来制止：摄像机，条形码的收支，借记，仓库记账的自动化（例如，在我们的RegionSoft CRM中，仓库记账的组织方式使得经理和主管可以看到动向实时库存）。

因此，将您的仓库武装起来，确保外部敌人的物理安全，并确保内部的全面安全。在运输，物流，仓库中的员工必须清楚地意识到控制是有效的，并且会惩罚自己。

* uki，不要把手放在基础架构上

如果有关服务器机房和清洁工的故事已经不存在，并且早已迁移到其他行业的自行车上（例如，同一故事也涉及到在同一房间中关闭机械通风的神秘故事），那么其余的故事仍然存在。中小型企业的网络和IT安全公司有很多不足之处，而这通常并不取决于您是系统管理员还是被邀请者。后者通常会做得更好。

那么这里的员工有什么能力呢？

最甜蜜，最无害的是去服务器机房，拉电线，看茶，洒茶，抹上灰尘或尝试自己配置一些东西。对于“自信而高级的用户”而言，尤其如此，他们英勇地教同事禁用PC上的防病毒和绕过保护功能，并确保他们是先天的服务器神。通常，授权的受限访问权就是您的一切。
设备盗窃和零件更换。您是否喜欢您的公司，并为所有人提供功能强大的视频卡，以使计费系统，CRM和其他所有功能都能正常运行？太好了！只有狡猾的人（有时是女孩）才能轻松地用家代替他们，他们将以新的办公室模式在家中玩游戏-他们不会认识世界的一半。键盘，鼠标，散热器，UPS以及所有这些都可以在熨斗配置框架内以相同方式替换的故事。结果，您将承担财产损失，财产完全损失的风险，同时又无法获得所需的信息系统和应用程序的工作速度和质量。具有配置的配置控制的监视系统（ITSM系统）保存，应与一个廉洁而有原则的系统管理员捆绑在一起。

也许您想寻找一个更好的安全系统？ 不确定此标志是否足够

使用调制解调器，访问点或某种共享的Wi-Fi，会使访问文件的安全性降低并且几乎不可控制，攻击者可以利用这些文件（包括与员工共谋）。不仅如此，“拥有自己的互联网”的员工在YouTube，漫画网站和社交网络上闲逛的可能性更高。
用于访问站点管理面板，CMS，应用程序软件的统一密码和登录名是可怕的事情，它们使无能或恶意的员工变成了难以捉摸的复仇者。如果您来自同一子网的5个人使用相同的用户名/密码，他们就挂了横幅，检查广告链接和指标，正确的布局并填写更新，您将永远不会猜到其中哪个人将CSS意外地变成了南瓜。因此：不同的登录名，不同的密码，操作记录和访问权限的区分。
谈论员工在工作时间内将其拖到PC上编辑两张照片或在其中做一些非常有兴趣的无牌软件值得一谈。是否没有听说过中央内政部“ K”部门的检查？然后她去找你！
防病毒软件应该可以工作。是的，其中一些会降低PC的速度，令人烦恼，并且通常看起来像是怯ward的迹象，但是最好还是要防止停机，而不是因为停机或数据被盗而付出代价。
有关安装应用程序的危险的操作系统警告不应忽略。今天，下载工作所需的时间仅需几秒钟和几分钟。例如，Direct。Commander或编辑器Adwords，一些SEO解析器等等。如果用Yandex和Google产品或多或少都清楚了，那么这里是另一个picresizer，一个免费的病毒清除程序，一个具有三种效果的视频编辑器，屏幕截图，skype记录器和其他可能损害单个PC和整个公司网络的“微型程序”。鼓励用户在致电系统管理员并说“一切都已消亡”之前，先阅读计算机对他们的要求。在某些公司中，此问题很容易得到解决：许多有用的实用程序都位于网络共享中，并且在那里列出了合适的在线解决方案列表。
BYOD政策，或者相反，允许在办公室外使用工作设备的政策是安全的非常邪恶的一面。在这种情况下，亲戚，朋友，孩子，不受保护的公共网络等都可以使用该技术。这是纯粹的俄罗斯轮盘赌-您可以步行和管理5年，或者丢失或破坏所有文档和有价值的文件。嗯，此外，如果员工有恶意，则可以将数据与“步行”设备合并，因为可以发送两个字节。您还需要记住，员工经常在其个人计算机之间传输文件，这又会造成安全漏洞。
无论是在公司范围内还是在个人领域，在离开时阻止设备都是一个好习惯。同样，它可以防止在公共场所出现好奇的同事，熟人和入侵者。很难习惯这一点，但是在我的工作场所中，我有一个很棒的经历：同事们接触了一台未封闭的PC，Paint上刻有“ Lost comp！”字样。转到了整个窗口。然后工作发生了变化，例如，最后一个抽气的组件被拆除或最后一个伤口的虫子被清除了（这是一个测试小组）。残忍的，但即使是木制的也足够1-2倍。我怀疑，尽管非IT专业人士可能不理解这种幽默。
但是，最严重的罪过当然在于系统管理员和管理人员-如果他们断然不使用流量控制系统，设备，许可证等。

当然，这是基础，因为IT基础架构是森林越远，柴越多的地方。每个人都应该有这个基础，而不是被“我们都互相信任”，“我们是一个家庭”，“但需要谁”这两个词代替-las，这是暂时的。

宝贝，这是互联网，他们可以对您了解很多

现在是时候在学校的人身安全课程中引入安全的互联网访问了-这完全不是我们从外界浸入的措施。这是关于区分链接和链接，了解网络钓鱼在哪里以及离婚的能力，不要在不了解的情况下从陌生的地址打开主题“验证法”的附件。虽然，看来，学童已经掌握了一切，但员工们-不。有很多招数和失误会立即危及整个公司。

社交网络-没有工作场所的互联网部分，但在2019年将其阻止在公司一级是一种不受欢迎且令人沮丧的措施。因此，您只需要写信给所有员工如何检查链接的非法性，谈论欺诈的类型并要求他们工作。

邮件是一个痛处，也许是窃取信息，植入恶意软件，感染您的PC和整个网络的最流行方式。 las，许多雇主认为邮件客户端是一种储蓄，并且使用免费的服务，每天通过过滤器等发送200封垃圾邮件。一些不负责任的人打开了这些信件和附件，链接，图片-显然，他们希望黑人王子将遗产留给他们。之后，管理员需要进行很多工作。还是那是打算的？顺便说一句，另一个残酷的故事：在一家公司中，对于每一封垃圾邮件，系统管理员都因KPI而减少。通常，一个月后就没有垃圾邮件-上级组织采用了这种做法，但仍然没有垃圾邮件。我们很好地解决了这个问题-我们开发了自己的电子邮件客户端并将其内置到RegionSoft CRM中，因此我们所有的客户也都获得了如此便捷的功能。

下次收到带有回形针的奇怪信件时，请不要单击它！

信使也是各种不安全链接的来源，但这比邮件要邪恶得多（不计算因聊天室的恐惧而浪费的时间）。

似乎所有的小事。但是，所有这些小事都会带来灾难性的后果，尤其是如果您的公司成为竞争对手攻击的目标时。这实际上可能发生在每个人身上。

健谈员工

这是人为因素，您将很难摆脱它。员工可以在走廊，咖啡馆，街道上，客户那里讨论工作，在客户面前大声谈论另一个客户，在家里谈论劳动成果和项目。当然，竞争对手落后于您的可能性微乎其微（如果您不在一个商务中心，那确实发生了），但是一个明确提出业务事项的人将在智能手机上被删除并上传到YouTube的事实确实很奇怪。但这是垃圾。当您的员工愿意在培训，会议，会议，专业论坛上，但至少在Habré上展示有关产品或公司的信息时，这不是胡说。此外，人们经常故意召唤对手参加此类对话，以进行竞争情报。

说明性的故事。在一个银河规模的IT会议上，该部分发言人在幻灯片上列出了一家大公司的IT基础结构的完整示意图（前20名）。这个计划给人留下了深刻的印象，只有空间，几乎每个人都在拍照，它立即在社交网络上获得了好评如潮。好了，演讲者开始关注地标，看台和社交。网络发布并请求删除，因为他很快打电话说a-ta-ta。 Chatterbox-间谍的天赐之物。

无知...免于处罚

根据卡巴斯基实验室（Kaspersky Lab）2017年全球报告，在12个月内面临网络安全事件的企业中，十大事件（11％）最严重的事件之一与粗心和不知情的员工有关。

不要以为员工知道有关公司安全措施的一切，一定要警告他们，进行培训，就安全问题定期发布有趣的时事通讯，举行披萨会议并再次澄清问题。是的，酷酷的生活-用颜色，标志，铭文标记所有印刷和电子信息：商业秘密，秘密，供官方使用，一般访问。确实有效。

现代世界使公司处于非常微妙的位置：必须在员工的工作愿望之间取得平衡，不仅要犁耕，而且还要在休息/休息和严格的公司安全规则期间接受娱乐性内容。如果您打开超级控制和moronic跟踪程序（是的，不是错别字-这不是安全性，这是妄想症）并且背后有摄像头，那么公司员工的信任度就会下降，毕竟保持信心也是一种公司安全工具。

因此，知道措施，尊重员工，做好备份。最重要的是-将安全放在首位，而不是个人的妄想症。

如果您需要CRM或ERP，请仔细研究我们的产品 ，并将其功能与您的目标进行比较。会有问题和困难-写，打电话，我们将为您安排在线个人演示-没有评分和puzomerki。

我们在Telegram中的频道，在其中没有广告，我们就CRM和业务问题写的不是很正式。

公司不安全