Press "Enter" to skip to content

CRM система и безопасность

В издании «Бизнес дневник» вышла статья про CRM, для которой наша редакция давала комментарии. Ниже оригинальный материал.

CRM система представляет интерес для злоумышленников только в том случае, если в ней содержатся ценные сведения. Конфиденциальная информация, которую можно продать или использовать. Или крупная база клиентов с телефонами лиц, принимающих решения. Для этих случаев существуют общие принципы защиты данных, которых стоит придерживаться независимо от нюансов конкретного бизнеса.

  1. Администратор

Если мы делаем акцент на безопасности при работе с CRM, то начинать нужно с выбора админа. Это человек, у которого есть полный доступ к базам и настройкам. И это самое слабое звено в системе безопасности. Как бы вы не усложняли техническую часть, админ всегда сможет оставить для себя «бэкдор». Поэтому обслуживание можно доверить только проверенному и надежному человеку, которого вы контролируете. Никакой дешевой рабочей силы на удаленке.

  1. Платформа

Сама система должна быть самописной. Невозможно предугадать, какие дыры могут появиться у коробочных платформ при очередном обновлении. Самостоятельные правки в код у них не внести, нужного функционала на лету не добавить. Кто какие доступы там по факту имеет тоже не понятно. Если нам нужна безопасность – только самописный вариант с контролем процесса разработки. Лучше, чтобы разработкой и обслуживанием занимался один человек (не компания, а конкретное лицо). А перед запуском третья сторона сделала аудит кода и указала на уязвимости. При грамотном подходе, это будет стоить не сильно дороже, а то и дешевле готовых решений.

  1. Сервер

Базы данных – на собственных серверах. Не обязательно физически, можно арендовать облако, но желательно в иностранной юрисдикции. В России вопрос доступа иногда решается через административный ресурс, поэтому выбор хоста имеет значение. Настройки приватности, шифрование трафика и прочие детали в каждом случае надо уточнять и разрабатывать индивидуально. Для понимания ваших потребностей и внедрения серверных решений как раз пригодится толковый админ из первого пункта.

  1. Доступы

Ограничивать доступ сотрудников можно не только с помощью учетных записей и прав внутри системы. Если работа не подразумевает разъездного характера, стоит ограничить вход разрешенными IP адресами. Офис, дом руководителя и т.д. Если нужна мобильность, то привязать учетки к конкретным устройствам, которые выдаются сотрудникам. Все действия внутри системы и попытки входа обязательно писать в лог, чтобы можно было отследить утечку постфактум.

  1. Контроль

Настоящая безопасность заключается не в технических решениях, а в системе контроля. CRM используют люди. Другие люди уводят данные. Иногда для этого достаточно социальной инженерии, в теории любая защита обходится через уязвимость, расположенную между стулом и монитором. Наша задача сделать так, чтобы этого не произошло на практике. То есть максимально исключить человеческий фактор.

Для этого нужна дисциплина ведения записей и внесения данных. Точный алгоритм, в котором невозможно запутаться. Кто, что и в каких случаях пишет, какими формулировками пользуется, какие кнопки для этого нажимает. Кто-то должен отслеживать изменения в течение дня и вовремя реагировать на подозрительную или лишнюю активность. Задавать уточняющие вопросы, исправлять ошибки.

У людей появляется меньше дурных мыслей, если они понимают, что их действия видны. Этот вариант подходит не всем и не всегда, но для максимального эффекта можно задействовать и его. Предупредить сотрудников, что весь трафик и действия на рабочих компьютерах фиксируются. Использовать удаленный рабочий стол для мониторинга активности. Это отрицательно сказывается на атмосфере внутри творческих и свободолюбивых коллективов, мало кому нравится постоянно находиться под колпаком. Но если безопасность на первом месте, присмотритесь к такому решению. Работники банков, которые сидят весь день под камерами и пристальным взглядом службы безопасности, воспринимают это как норму.

И помните, абсолютно безопасных систем не существует. Нельзя закрыться от всех угроз на свете. Но можно сделать так, чтобы предполагаемая выгода от взлома или злоупотребления не перекрывала трудозатрат. Что нужно для этого усилить и какие решения внедрить, зависит от ваших ресурсов и потребностей. Определитесь с целями и возможностями, тогда план станет понятен.

Редакция

Триумф инфо 2018