4 совета как сделать CRM-систему безопасной

4 совета как сделать CRM-систему безопасной

В этой статье

От наших пользователей мы часто слышим вопросы про безопасность системы, вроде: «А ваша CRM точно безопасна? Я переживаю за сохранность клиентской базы, вы можете обеспечить безопасность данных?» или «Хотелось бы быть уверенным в безопасности конфиденциальных данных. Чем защищена ваша система?». Вопросы и беспокойство за безопасность вполне обоснованы. Поэтому в этой статье мы постараемся раскрыть основные моменты, которые помогут вам понять, насколько выбранная вами CRM действительно отвечает требованиям безопасности данных.

Для начала нужно понять, что существуют облачные CRM-системы, где данные хранятся в облаке (если быть предельно точными, то на серверах компании-разработчика CRM). Эти сервера, в свою очередь, также имеют определенную степень безопасности. Бывают и коробочные CRM — это системы, которые написаны конкретно под ваш бизнес. Как правило, все данные хранятся на вашем компьютере без загрузки в сеть.

Если вы используете облачную систему, то сокращаете риски доступа посторонних к платформе, но есть риск взлома облака злоумышленниками. При использовании коробочных CRM этот риск минимальный, но есть опасность взлома системы внутренними пользователями. То есть риски есть везде, но они разные.

Совет № 1: Запросите документы по безопасности у разработчика CRM-системы

Совет 1

В законе о персональных данных каждый пользователь CRM-системы определяется как «оператор персональных данных», так как именно он обрабатывает персональные данные своих клиентов и сотрудников в CRM-системе. Поэтому он обязан соблюдать требования федерального закона № 152-ФЗ «О персональных данных» и нести основную ответственность за защиту этих данных, которые он обрабатывает в CRM.

Чтобы иметь возможность легально публиковать в CRM-систему персональные данные, которые вы получили от клиентов или сотрудников, вам, как оператору персональных данных, необходимо оформить специальный документ, который называется «Поручение на обработку персональных данных». Для справки: такой документ желательно заключать со всеми партнёрами (поставщиками систем), где планируется публикация персональных данных.

Этот документ можно оформить, связавшись со службой технической поддержки системы. В некоторых случаях документ оформлять необязательно. Например, в оферте компании-разработчика CRM может быть прописано, что, публикуя персональные данные в CRM-системе, вы поручаете обработку персональных данных компании-разработчику CRM. Конкретная формулировка может звучать так:

Обработка персональных данных

При этом оформлять поручение необходимо только при работе в облачной CRM. Для коробочных решений этого делать не нужно.

Дополнительно вы можете обратиться в службу поддержки CRM-системы и уточнить:

  • какой у CRM уровень защищенности в соответствии с требованиями законодательства;
  • политику в отношении обработки персональных данных;
  • как компания подтверждает соответствие системы требованиям защиты персональных данных.

Если компания соблюдает требования закона, то вам предоставят документ, который называется «Политика конфиденциальности», или просто могут сослаться на пункт в этом документе. С ним стоит ознакомиться, чтобы убедиться, что компания заботится о безопасности программы и своих клиентах.

Это неисчерпывающий материал относительно документов. Работа с персональными данными требует отдельной статьи, но того, о чём упоминается в этом пункте, достаточно, чтобы понять, насколько безопасно хранить данные в этой системе.

Совет № 2. Старайтесь сделать так, чтобы логин и пароль от CRM были недоступны другим людям

Совет 2

Этот пункт не только про то, что хранить свой пароль на стикере, который приклеен к компьютеру, небезопасно. Хотя это тоже важный момент 😉

В первую очередь, говоря про недоступность, я имею в виду сложность самого пароля.

Регистрируя свой аккаунт в CRM-системе, старайтесь использовать сложный пароль. Сложным чаще всего считается тот, который содержит в себе цифры, заглавные и строчные буквы. Кстати, в сети очень много статей с лайфхаками создания сложного пароля. Там же можно найти советы о том, как его запомнить.

Ещё стоит напомнить, что использовать один и тот же пароль для всех своих аккаунтов небезопасно. Старайтесь использовать отдельный пароль для рабочего аккаунта.

В большинстве CRM-систем нужно доплачивать за каждого сотрудника. Это может привести к тому, что вся компания работает в одном или нескольких аккаунтах. Но давать свой логин и пароль от системы другим сотрудникам небезопасно. В конце концов, при таком раскладе именно на вас будет лежать ответственность в случае утечки информации. Если вы не готовы платить за каждого сотрудника, то старайтесь выбирать ту систему, где нет ограничения по количеству пользователей, например, Пачку 😉

Совет № 3. Будьте осторожны с фишинговыми атаками

Совет 3

При входе в систему убедитесь, что вы входите именно в неё, а не на сайт мошенников. В адресной строке браузера должен быть введён правильный адрес системы. Вам могут прислать письмо, в котором будет написано «Срочно зайдите в CRM. Свежая новость» и дадут ссылку на другой сайт, в имени которого может отличаться только одна буква, например, не «pachсa», а «pachKa». Можно не заметить, что это другой домен, потому что он выглядит очень похоже, и ввести туда логин и пароль от вашей реальной CRM. Так ваша учётная запись попадёт в руки злоумышленников.

Хочу поделиться кейсом нашей компании. Как уже упоминалось выше, у облачных систем есть специалисты по безопасности, и мы не исключение. В рамках проводимого тестирования безопасности системы, наш сотрудник решил провести для команды фишинговую атаку, с целью тренировки бдительности команды.

Специалист по безопасности решил, что его безопасность должна быть подкреплена анонимностью. Поэтому в статье не будут присутствовать его персональные данные 🕵️

Аватар автора цитаты
Специалист по безопасности:
Идея была в том, чтобы погрузить команду в ситуацию, когда кто-то сторонний пытается получить доступ к личным данным пользователей CRM-системы. Естественно, никто из команды не должен был знать о запланированном эксперименте. Не будем углубляться в подробности того, как проводилась подготовка к рассылке, предлагаю перейти сразу к делу.

Что задумывалось

Для формирования фишингового письма в качестве шаблона использовалось одно из писем, что приходит всем пользователям после регистрации нового аккаунта в CRM Пачка. Я изменил текст, добавил ссылку на поддельный ресурс и представился Гришей из Пачки — ведь именно от его имени чаще всего приходят письма пользователям.

Письмо

Я решил отправить письмо утром 9 мая. Расчет был на то, что в майские праздники команда не сможет быстро среагировать. Как минимум, большая её часть может быть просто не доступна для связи. Итак, в 10:30 утра 9 мая была отправлена рассылка.

Прежде, чем читать дальше, посмотрите внимательно на скриншот и попробуйте самостоятельно найти признаки того, что это фишинговое письмо.

Как среагировала команда

Самыми первыми отреагировали на письмо сооснователь, дизайнер и руководитель отдела внедрения:

Реакция команды

Стоит заметить, что ребята сразу распознали фишинговое письмо. После чего в чате компании началось бурное обсуждение того, какие шаги важно предпринять в первую очередь. Маркетолог почти побежал писать письмо всем пользователям Пачки, чтобы предупредить их о возможной угрозе и попросить не переходить по подозрительным ссылкам. Я дал возможность команде проиграть сценарий до конца, а после рассказал о том, что это ложная тревога.

Финал истории

Команда отреагировала достаточно быстро из-за того, что пришло пуш-уведомление о новом письме. Гриша зашёл проверить почту и обнаружил подозрительное письмо, о чем сразу же написал в общем чате команды. Это позволило всем быстро приступить к поиску решения.

Финал

Итоги рассылки:

Всего было отправлено 17 писем, из них 8 не были доставлены до адресатов в связи с реакцией спам-фильтров почтовых сервисов.

Из 9 отправленных писем 7 были открыты сотрудниками. При этом, четверо из них перешли по ссылке в письме.

Как пользователям быть внимательнее:

Хочется отметить, что нет какой-то универсальной палочки-выручалочки от фишинговых атак. Вам нужно помнить, что осторожность в данном вопросе является ключевым фактором.

Инструкция
Аватар автора цитаты
Специалист по безопасности:
Друзья, будьте бдительны! Защищенность ваших данных в первую очередь зависит только от вас!

Совет № 4. Разделите права доступа для руководителя и сотрудников на уровне функций и данных

Перед тем, как подключить CRM, стоит выяснить, есть ли разделение прав доступа к системе. Чем лучше и подробнее это разделение сделано, тем более гибкой будет система. Не давайте максимум прав новым сотрудникам. На самом деле, шпионаж ещё никто не отменял.

При увольнении работника нужно вовремя блокировать доступ к системе и не передавать логин или пароль уволенного сотрудника другим. Если этого не сделать, то уволенный сотрудник сможет зайти в систему.

Это же касается и передачи электронной почты от одного работника к другому: ни в коем случае этого делать не стоит. По этой же причине всех сотрудников нужно в обязательном порядке регистрировать через корпоративную почту, а не их личные почтовые ящики. Необходимо стимулировать использование в работе именно корпоративных почтовых ящиков, ведь в случае увольнения клиенты продолжат писать важную информацию уволенному сотруднику!

Подведём итоги

Безопасность CRM — не роскошь, а осознанная необходимость. Важно позаботиться о вопросах безопасности заранее, а не тогда, когда произошли сбои или произошла утеря данных. Повторим основные меры, которые необходимо предпринять перед использованием любой системы:

  • запросить документы по безопасности у разработчика CRM;
  • хранить логин и пароль от CRM в надежном месте;
  • остерегаться фишинговых атак;
  • разделить права доступа в CRM для руководителя и сотрудников.

Важно помнить, что в вопросах безопасности мелочей нет. Повышайте не только свою грамотность по информационной безопасности, но и обучайте своих сотрудников. Удачи в бизнесе вместе с Пачкой!

Попробуйте Пачку сегодня

Первые 7 дней – бесплатно.
Перестаньте уточнять, вспоминать и искать. Просто работайте в удовольствие.
Попробовать 7 дней бесплатно Записаться на Демо