基本的なビジネスの本能：企業のセキュリティの瀬戸際

会社に新しい規制や指示を導入しようとしたことはありますか？ もしそうなら、あなたはおそらくcollectiveりの嵐が集団に降りかかることを知っています。 少なくとも、彼らは静かに、最大であなたを嫌い始めます-ゴシップが現れ、去ることについてのやる気のない声明、そして一般的なパニック。 プロセスをロールバックする必要がありますか？ いや そのような「自由の制限」に対して怒りと抵抗がある場合、おそらくあなたは誰かの利益を傷つけます。 そして、あなたは屈んでいないが、最小限の保護手段を導入しているようですが、一部の従業員によれば、ネジを締め、体制を整え、権限を押しつぶし、自由の空気を遮断します 落ち着いて-あなたは正しい軌道に乗っています。 そして、まさにその「自由の空気」をブロックして、あなたはあなたの会社に*****についてではなく、「ポリマー」を保存することを許可します。 過去数年で顔が変わった企業のセキュリティで作業しているからです。 もう一度彼女と知りましょう。







ソビエトのポスターのジャンルが大好きです。 安全対策についてはたくさんありました。 企業は業界のヒントを再考するかもしれません。 すくいを踏んだり、爪を曲げたりしないでください-要するに、カーブの前で作業してください。

誰かが私たちまたは何かを脅かしていますか？

この記事はそうではありませんでした-計画は完全に異なる、平和的なトピックを持っていました。 しかし、コメントの前の投稿の議論は、ロシアのビジネスにおけるセキュリティの状況はCRMシステムとほぼ同じであるという考えを私たちに促しただけでなく、大規模で経験豊富な人はすでにすべてを知っていますが、残りはする必要はありません-優れています（ MS Excel）で十分です。 Habréに関する声明を見るのはさらに驚くべきことでした。 みんな。 セキュリティの問題は、規模、業界への所属、売上高に関係なく、どの企業でも絶対に直面します。 会社が外部環境で運営されているからといって、従業員、コンピューター、ネットワーク、ソフトウェア、顧客、製品またはサービス自体があります。 そして、誰もあなたやDDoSをハッキングしようとしていない場合、これは会社が完全に安全であることを意味しません。 考慮すべき側面が多すぎます。



会社の企業セキュリティの概要から始めましょう。







ご覧のように、ビジネスエンティティに対する脅威のリストには特別なものはありません。すべてのビジネスは仕事の同様の側面に直面しており、すべてが脅威に満ちています。 あなたが待たない場所で爆発する可能性があります。



現在、企業セキュリティのコンポーネントが登場しており、その半分は企業が覚えていないか、まったく知らないことさえあります。



情報セキュリティ -今日では、誰もが行う必要があるセキュリティのタイプです。 メールメッセージからのマルウェアの不注意な起動から、クラウドテクノロジー、サードパーティサービス、従業員の悪意のある行為に関連するリスクまで、すべてのレベルにリスクがあります。



経済（金融）セキュリティは、「引き出し」またはお金の未受領のすべてのソースに抵抗する必要があります。 また、どの企業にも関連し、ドキュメントの操作、税金の支払い、会計、広告およびマーケティングへの投資などに直接関連しています。 ところで、この種のセキュリティは人的要因に対して最も脆弱です。



法的セキュリティ - 法律の規範に反する違法行為や犯罪からの保護：文書の偽造、職場での不正なスキームの使用、キックバックなど このタイプのセキュリティ違反は、ほとんどの場合、誰かの経済的利益ではなく、すでに達成された事実から利益を保護することを目的としているという点で経済的なものとは異なります（余分な負荷をかけます-ルートシートを購入し、お金を使い果たしました-行為を偽造し、サーバーを失いました-行為を作りました償却など）。



従業員の身体的および個人的な安全 -悪意のある人が会社の領土に侵入することや、従業員の生活と健康に対する試みから従業員を保護します。 言葉遣いは誇張されており、知覚の完全性は会社のステータスに依存します。 ただし、通常、物理的なセキュリティの最小要件は満たされます（セキュリティ、アクセスシステム、カメラ、その他の種類の認証）。



インフラストラクチャの物理的セキュリティ -権限のない人や公式活動にこれらのインフラストラクチャ要素との接触が含まれていない人によるアクセスからの機器、ネットワーク、およびプログラムの保護。 外部および内部の安全回路が必要です。 この領域の従業員側のセキュリティ侵害は必ずしも悪意があるわけではありません。高価な機器にお茶がこぼれたり、敏感なデバイスの近くにトナーが散らばったりすることがあります。



リスク管理セキュリティは、それを無視する人と冗談を言うのが好きな最も明白なタイプの1つです。 このタイプのセキュリティ違反のリスクは、トップマネジメントがプロジェクト、投資、およびリソースを投資する他の見通しを評価しないという事実に関連しています。 これらには、リスクのあるベンチャーキャピタル投資、中古機器の購入、信頼性の低いサプライヤーとの割引などが含まれます。



人事（HR）セキュリティ -企業を頭脳流出から保護します。 誰もが優れたスペシャリストを必要とするため、あなたの会社が少なくとも少しでも市場で注目を集めているなら、あなたの従業員はすでに競合他社からの望ましい候補者になっています（理想的には、ベストプラクティスやクライアントベースの場合、 これについて書いています ）。 また、インタビュー、会議、会議、セミナーなど、競合他社や他の外部エージェントとの安全な対話における従業員のトレーニングに関連する対策のシステムを担当しています。



評判の安全性 -市場におけるビジネスの評判と企業イメージの保護。 情報の高速配布の現代の状況では、あなたの評判のいくつかのレベルを失うことは、1つのツイート/記事/スピーチ/苦情の問題です...広告の失敗、非識字コンテンツポリシー、ハッキングとデータ漏洩、あなたの聴衆以外の利益への参加の試み-これらはすべて会社に打撃を与え、必然的に経済的損失につながる。

責任の新しいパラダイムと車輪に固執する

セキュリティサービスが対処できない

それでは、主な変換が何で起こったのか見てみましょう。 セキュリティリスク管理の責任者は誰ですか？ トップマネジメント。 スタッフの責任者は誰ですか？ HRサービス、社内PRマネージャー、開発者の場合はDevRelも。 評判の責任者は誰ですか？ PRスペシャリスト、マーケティング担当者、広告マネージャー。 セキュリティサービスはすべてを追跡することができなくなりました（特に社内にない場合）。 彼の行動のそれぞれは、彼の代わりにセキュリティについて責任があり、しばしばそれについて知らない。 そして、これは間違っています。 したがって、最小限の問題が発生します。

• 検出を教える -従業員は自分の責任範囲の脅威マーカーのセットを開発し、検出ツール（たとえば、管理者の監視システム、ウェブマスターのアラート、PRのアラートなど）を選択でき、最も重要なこと-脅威を他の逸脱形態と区別することを学ぶ標準システムの動作;
  
  
• 脅威の分析を教える - 脅威のソースをすばやく見つけるか仮説的に推測し、可能な規模を評価し、潜在的なセキュリティホールの場所を理解できるようにする。
  
  
• 野党を訓練すること -起こりうる問題を予防、対応、予防するための適切で運用上の対策を開発すること
  
  
• 特定の規制と指示を導入します -従業員がどれほど否定的に反応したとしても、これは必要かつ重要なセキュリティ要素です。というのは、危機的な状況では、集まって応答する方法を考え出すよりも早く文書に目を向けるからです。
  
  
• 行き過ぎず、会社を特別なサービスに変えないでください 。 従業員は、自分の行動と怠慢に対する責任の尺度を認識し、職場の安全を確保するためにあらゆることを行う必要があります。 しかし同時に、同僚やクライアントとコミュニケーションを取り、経営者に相談し、解決策を話し合い、提案することが不可能になるほど、作業を形式化するべきではありません。 事件以外の内部の雰囲気は、可能な限り快適で信頼できるものでなければなりません。
  
  

一般的な、一般的なアドバイス。 しかし、難しい

セキュリティシステムを構築するための最大の障害は何ですか？

セキュリティビジネスはしばしばチャンスに依存しています。 以前の投稿で 、調査を実施して次の結果を得ました：回答者の64％がセキュリティ上の問題を抱えていますが、情報セキュリティを確保する最も一般的な方法は、複雑なパスワードポリシー、クラウドシステムの拒否、パブリックディスクとストレージの禁止、およびIPアドレスプールの割り当てです。 3分の1以上は何もしません。 もちろん、サンプリングはそれほど熱くはありませんが、特定の信号を捕捉できます。 各企業には、セキュリティに注意を払わない独自の理由がありますが、あらゆる規模と業界の企業に見られる5つの基本的な要因があります。

• ビジネスにおける自己保存の本能の欠如。 企業は常に、Google、Salesforce、誰でもトラブルが起こることを望んでいます。 実際、遅かれ早かれ、セキュリティの脅威が確実に発生します。競合他社があなたに侵入しなくても、セキュリティ違反を利用する不正な従業員またはその他の請負業者が存在します。
  
  
• セキュリティの分野における低レベルの能力 。 企業には、セキュリティシステムがどうあるべきか、そのコンポーネントをどのように管理し、インシデントを防ぐために取り組むかというビジョンがありません。 残念ながら、教科書やいわゆるベストプラクティスと同様に、トレーニングプログラムにも多くの課題が残されています。 したがって、誰もが自分の過ちから学ぶことを余儀なくされています。
  
  
• 専門人材の不足 。 高いレベルの能力を持つ一般的な警備員を見つけることは非常に困難で費用がかかります。 このような人々は通常、非常に重要な分野ですでに雇用されており、中小企業が専門家を引き付けることができるとは考えにくい。 市場のほとんどの警備員の能力は、業界の経験（電話、銀行）が狭いか、内部業務での経験があるために低下します。
  
  
• コスト削減 。 セキュリティを節約することは、「破壊者の欲望が破壊された」という状況への大きな一歩だからです。
  
  
• 従業員を失うことへの恐怖 。 非常に興味深い多面的な理由。 多くの場合、従業員は制限を目的とした革新に抵抗します。 これは主に通常の心理的抵抗によるものですが、それは起こります。これは、追加のセキュリティが従業員に干渉する可能性があることを示しています。 雇用主は、スタッフを失うことを恐れて、後戻りし、セキュリティ対策を導入しませんが、交渉と説得を試みます。 その結果、このようなスラックは状況を悪化させ、解雇や延滞につながる可能性があります。
  
  

セキュリティを重視するビジネスは、利益だけでなく従業員自身も気にかけます。 したがって、妥協を模索し、必要な措置をしっかりと実施することは価値があります。 私たちは従業員の勤務日の合計記録を確信していますが、すべての人の背中の後ろにあるカメラと時間と動きの厳密な制御は、企業単位で正当に正当化される絶対的な過剰です。 自信はまだ価格にあります。 警戒心:-)

企業のセキュリティシステムが直面する課題は何ですか？

セキュリティは完全な制御と厳密な報告に過ぎないと考えるためには、対象外の人物にしかなれません。 企業のセキュリティ複合体は、企業の成功に直接関係する深刻な課題に直面しています。

• 会社の情報セキュリティ。 原則として、情報はあらゆる事業体の活動の大部分を占めています。製品、顧客、サプライヤー、パートナー、広告、戦略、マーケティングなどに関するデータです。 そして、それは最も切望されている情報であり、残念ながら今でも会社の最も簡単にアクセスできる資産です。 Wi-Fi保護の隙間からトラフィックを削除したり、マルウェアを送信したり、パスワードを取得したり、必要なものすべてを統合する従業員を購入したりできます。 そして、これらすべての行動から必然的にビジネスに害が生じる。 したがって、情報保護は、人的要因に対する資金調達、自動化、および保証に値する最もホットな企業セキュリティの最前線です。 この状況でのツールのセットはすべての企業で異なりますが、最大数のツールを使用することをお勧めします。
  
  
• 競合他社からの脅威の防止。 競合他社が少なくとも1社いない会社を見つけることは非常に困難です。 そのため、ある時点で、市場でのライバルは、テクノロジー、情報、人員、コードなどを取得したいと思うでしょう。 なぜなら、あなたのビジネスがまだトレンドにあるなら、それは何らかの形であなたがより良くなり、どういうわけかあなたの消費者のセグメントを引き付けることを意味するからです。 企業セキュリティのタスクは、外部環境に対する強力な保護回路を構築し、実装のすべての試行を注意深く監視することです。 これはほとんどスパイ戦争であり、時には実際の産業および商業スパイでもあります。
  
  

一般的に、協力と競争力のあるインテリジェンスとは何かを理解することは非常に困難です。 さらに、そのようなアクションが競合他社にぶつかることもあります。 2010年代からの歴史。 2つの通信事業者、それらは同じディーラーによって地域で販売されています。 新しい関税の締結前に、独占ディーラーは従業員を訓練し、CRMと価格表にデータを入力し、レイアウトを準備するための週の情報を受け取ります。 そして今、ディーラーは特別なボーナス（もちろん、正式に登録された）のために情報を2番目のオペレーターに渡します。 2番目のオペレーターは3晩寝ずに、自分のWebサイトでまったく同じ条件で関税を適用し、SMSメーリングを行ってから、プロモーションを準備します。 それは残念です。 ただし、関税の説明の重要な部分は、アスタリスクと小さな活字の付いたリーフレットを出荷する販売開始日にのみディーラーに届きます。 そして、実際には、2番目のオペレーターは、それ自体に対して、思いもよらない不利益な関税を強打しました。 したがって、競合他社に寄り添う前に、情報を管理することを学ぶ必要があります。

• 会社の持続可能な運営活動とビジネスプロセスの安定性を確保する 。 非常に重要な機能。 企業のセキュリティは、インシデントが従業員の仕事のスピードや職務の遂行に影響を与えないようにすることを目的とすべきです。 ビジネスプロセスの各段階には脆弱性とリスクが伴うため、プロセスを「ボトルネック」として構築する段階で既にそれらを考慮に入れる価値があります。 その後、この段階またはその段階を担当する各従業員は、何に特別な注意を払うべきかを知っています。
  
  
• 人員の保護と開発。 人事サービス（HR）は、1回限りの措置を講じるだけでなく、従業員のライフサイクル全体で人員の安全システムを開発する必要があります。検索-選択-採用-適応-トレーニング-仕事-解雇（および一部の企業では「元従業員」サイクルの一部があり、これは単なる忠誠心のツールではなく、セキュリティ対策です）。 最初は、スタッフの信頼性と労働活動の履歴を確認し、社内のメンターの助けを借りてスタッフを適応および訓練し、忠誠心を高め、維持する必要があります。 解雇は、すべての規則と規制を遵守して、ロシア連邦労働法の要件の枠組み内でのみ行われるべきです。
  
  
• 顧客およびパートナーの違法行為に対する保護。 ビジネスは真空状態では存在できないため、外部環境で徹底的な作業を行うことが重要です。すべての重要な関係を文書化し、企業システムへの外部アクセス（たとえば、CRMの個人アカウントへのアクセス）を制御し、取引相手がアクセスする範囲を監視します情報。 ビジネストレーナーとコンサルタントには特に注意を払う必要があります。販売、トレーニング、クライアントベースシステムに簡単にアクセスできます。つまり、競合他社と情報を共有したり、商業目的でクライアントベースを使用したりできる可能性があります。 一部のコーチとコーチは、ソーシャルネットワーク上の企業から写真をアップロードし、協力しているビジネスの特徴を説明するという悪い習慣を持っています。 必要ですか？
  
  
• 会社の財務を節約します。 通常、セキュリティシステムには投資が必要であり、明らかな利益はありません。 彼女の主な仕事は、会社のお金を節約し、すべての条件を作成して、ビジネスが収益を継続できるようにすることです。
  
  

会社のセキュリティ原則

データの説明責任。 会社のすべての情報は、従業員が自分の持つアクセス権とその能力を超えて放送できる情報量を明確に理解できるように、分類およびランク付けする必要があります。 たとえば、会社に関する情報は完全に機密情報であり、会社内で流通し、すべての支店とパートナーで共有され、自由に配布できます。



確立されたポリシー。 セキュリティポリシーは、侵入や情報漏えいを防ぐために、主にネットワークインフラストラクチャと従業員のワークステーションに対処する必要があります。 さらに、商業情報やその他の関連情報の配信に関する規制ポリシーがある必要があります（たとえば、プレスリリースのPRスペシャリストは、2年間の会社の売上高が27％増加したと報告する場合がありますが、金銭面では、会社がそうでなければ財務指標に関する情報は公開されています）。



インシデントへの事後対応、状況からの結論。 セキュリティ違反の各ケースを分析および処理する必要があります。結果に基づいて、一連の事前対策を策定し、セキュリティ管理に関する知識ベースを修正することは価値があります。 事件から教訓が得られなかった場合、おそらくあなたに戻ってくるでしょう。



セキュリティ管理はパッチワークにすべきではありません。優れたセキュリティ戦略は、現在の状況の全体像を示し、複雑なセキュリティを管理できるようにします。 全体的なアプローチは、ビジネスプロセス間の関係を追跡し、会社のあらゆる側面をカバーするのに役立ちます。一見重要ではない要因を破棄することはできません。 ちなみに、現代のCRMシステムは、長い間販売だけに注力していないが、企業活動（特にRegionSoft CRMなどの普遍的なもの）の最大限の側面を自動化するため、ビジネスプロセスのレビューを最大化するのに役立ちます。



セキュリティの複雑さについての本当の物語が必要ですか？ ある人は、かなり必要なB2Bサービスに関連するビジネスを作成しました。 雇われた従業員、警備員でさえゆっくりと動いた。 彼にはマーケティング担当者がいませんでした。 彼はマーケティング担当者を雇いましたが、彼らは何かに同意しませんでした-新しい従業員は、山、好ましくは金を天国に望んでいました。 マーケティング担当者はドアをバタンと閉めることを決め、会計士は失敗し、時間通りに計算をリストしませんでした。 怒った元従業員は、世界は不公平であると判断し、消防署に、消防士はいなかった、労働事務所に、彼らは彼がどのように虐待された（嘘をついた）かについてのソーシャルネットワーク上で、税務台帳に「違反の可能性について」というメッセージをすぐに記入していないと書いた。 貧しい青年実業家で崩壊した可能性のあるすべての臓器。 会社は閉鎖しました。 そしてこれすべて：人事担当者と会計士に仕事をする時間に、警備員に消火器を購入し、管理者にネットワークを制御します。 このマーケティング担当者は職場で何もせず、これは少なくともソーシャルサービスの投稿で「注ぐ」ことができました。 ネットワーク、より深刻な対策は言うまでもありません。 ここには、中小企業向けの複雑さがあります。



セキュリティの継続性。 会社のリスクを低減するための作業は、ケースごとにではなく、特にインシデントごとにではなく、常に必要です。 各従業員は、職務を遂行しながら、ビジネスプロセス、安全な機能、および会社全体のすべての利益の安全に責任があることを覚えておく必要があります。









安全性は経済的でなければなりません。 アウトソーシング会社を雇い、セキュリティサービスを作成し、高価な監視システムに投資し、カメラを設置することができますが、クライアントベースを含む会社の資産の3倍の費用がかかります。 セキュリティシステムを構築するときは、便宜を考慮してください。つまり、経済的な対策の感覚を失わないようにしてください。 また、タイムリーな予防と予防は最も安価であり、最も重要なことはインシデントの結果の対応と清算であることを覚えておく価値があります。



セキュリティを調整する必要があります。 予測、検出、対応、分析の段階で、すべてのユニットは調和して、迅速かつ専門的に作業する必要があります。 検出と対応の段階では、「誰が責任を負うべきか？」というトピックについて対決を行うべきではありません。セキュリティアクションの終了後、すぐにこの時間を取ることができます。 調整を最適化するには、危機的な状況での行動に関する職務記述書と規制を慎重に規定する必要があります。



セキュリティは明確で透明である必要がありますが、限られた人々の輪に開かれている必要があります。 すべての従業員は、セキュリティ侵害につながる可能性のあるアクション、問題の場合に実行する必要があるアクション、およびこのイベントまたはそのイベントがもたらす結果を理解する必要があります。 指示書に記載され、従業員に伝えられるすべての仮定は、明確に解釈されるべきです。 しかし、状況の完全なビジョン、および損傷を保護し最小限に抑えるための手段の備蓄は、複数の責任者の手に委ねるべきです。 さまざまな違反に対処するためのシステムに関する情報を持っている従業員が多いほど、インシデントの可能性が高くなります。



セキュリティは専門家が管理する必要があります。 もちろん、ほとんどの中小企業はセキュリティサービスのメンテナンスを行う余裕がありません。 最初の明白な選択肢は、セキュリティを外部委託することです。ここでも、Habréには、ITだけでなく、さまざまな分野の多くの企業が存在します。 2番目のオプションは、セキュリティの脅威に優先順位を付け、最も重要なポイントの従業員に基づいて「応答グループ」を形成することです。 ビジネスプロセスの知識と理解は、事前対策のプロセスで選択して学習するツールの宝庫と同じくらい重要なので、これはかなり効果的な手段です。 さらに、会社の目標と脅威の可能性の相関、つまりセキュリティの優先順位の形成により、保護対策のコストを大幅に節約できます。 主なことは、企業のセキュリティを無人で責任あるものにしないことです。



そして、覚えておいてください-ビジネスの安全性は、まずその所有者と従業員によって取られるべきです。 物理的なセキュリティから情報に至るまで、明らかな問題がある場合は、ホスティング事業者、プロバイダー、ベンダー、サービスプロバイダーに腹を立てないでください。 誰かが間違いなく開いたドアに入るでしょう。







私たちが記事を書き、セキュリティ管理の実践を通して見逃さないようにしている間、私たちはダッシュの90年代の初めにサイトに連れて行かれました。そこでは会社のセキュリティに関する詳細な記事に注意についてのパラグラフがあります。 -「非政府組織」。 また、一種の経験。 IT分野ではないことを願っています:-)

脅威認識のチートシート

セキュリティ問題との戦いにおける主な成功要因の1つは、どこかで問題が発生したことを示すマーカーを時間内に確認することです。 企業セキュリティを管理するための基本的な概要は次のとおりです。





写真はクリック可能です



したがって、企業のセキュリティの脅威に対処するための一般的な推奨事項。

• あらゆる側面から脅威にアプローチ-影響を受けるビジネスプロセス、起こりうる損害、再現性、危険レベル、清算方法を評価します。
  
  
• 最小限のドキュメントを作成します。 職務内容と一般的な安全規制に加えて、企業の営業秘密に関する規制、NDA協定、企業の体制に関する規制（合格、アクセス、労働時間、例外）、内部調査を実施するための規制および規則を含める必要があります。 各従業員が署名した文書の存在は、内部の脅威の一部を遮断します。
  
  
• 企業のセキュリティの脅威を検出、排除、および防止するための一連のツールを用意します。
  
  
• 人材の選択、トレーニングの段階、初心者の適応に慎重に関連します。
  
  
• 従業員との会話（ポータル、ナレッジベースなど）で、公共の場、親relative、友人などの情報開示のトピックについて話し合います。
  
  
• インシデントを排除する経験を蓄積し、それを公式に使用するための情報として保存します。
  
  
• 特殊なソフトウェア（クライアントベースのCRMシステム、ITインフラストラクチャを管理するための監視システム、ウイルス対策ソフトウェア、テレフォニーおよびメールクライアントを含む安全なサービス）を使用します。
  
  
• 内部情報を外部にブロードキャストできるソースを注意深く監視します。
  
  
• 従業員の忠誠心を高め、人事リソースを管理します。
  
  
• セキュリティに関する理解を、請負業者、パートナー、リモートアフィリエイト、従業員に伝えます。
  
  
• バックアップを作成します（私のお気に入りです！）。
  
  
• 窒息しないでください:-)
  
  

私たちが与えたスキームと方法は、ほぼすべての企業が実装できる基盤です。 私たちは長年（多く、何年も） CRMシステムの開発と実装を行ってきました。企業で働いています。セキュリティの脅威がビジネスを弱体化させ、価値のある情報を奪い、顧客を怖がらせ、奪う方法を直接知っています。 結果は常に同じです-損失、従業員の問題、莫大な復旧費用。 最小の安全基準を遵守することで、リスクを大幅に削減できます。 最後に、あなたは車のメンテナンスを行い、スマートフォンにパスワードを入力し、アパートを閉じ、可動式および不動産用の警報システムを購入します。 なぜ会社が悪いのですか？

---

絶対にデスクトップのビジネスソフトウェアとフラッグシップのRegionSoft CRMを備えた当社のサイト。



当社の電報チャネルBizBreeze 。 コピーアンドペーストなしで90％、広告なしで賢明なCRMとビジネスに関するすべて。 乱れたランクに参加します。