Отдел безопасности и CRM: ширма вместо защиты, окно для слив
Реальный кейс производственной компании (работает и с физлицами, и с юрлицами). Клиент оставляет заявку — и сразу же начинаются звонки конкурентов, которые называют его точный адрес. Два обращения — два всплеска слива. Компания проводит «независимый аудит ИБ», ничего не находит и пишет отписку: «На рынке существуют технологические решения, позволяющие третьим лицам получать контактные данные… Ваш случай первый на практике», «Проведены аудиты, уязвимостей не обнаружено», «Пришлите нам записи разговоров». Никакой внешней технологии не нужно, чтобы узнать адрес из CRM. Нужен сотрудник с доступом и отсутствие контроля. Человек в два клика делает скриншот карточки, пересылает в Telegram «партнёру» и получает откат. CRM при этом не мешает — она помогает. А где же отдел безопасности? Он проверяет серверы, шифрование и межсетевые экраны, но не смотрит, кто и кому копирует адреса клиентов в личные мессенджеры. Отдел IT-безопасности докладывает: «взлома не было». Отдел экономической безопасности (если он вообще есть) разводит руками: «хищений в кассе нет». Только вот данные клиентов — такой же актив, как деньги. Их кража — это прямое экономическое преступление. Но пока IT-безопасники и экономисты живут в разных песочницах, между ними образуется мертвая зона, сквозь которую спокойно выводят конфиденциальную информацию. Нельзя охранять компьютеры отдельно, а деньги отдельно. Эта разорванность и есть главная системная ошибка. И обходится она слишком дорого: потеря клиентов, репутации, иски, штрафы Роскомнадзора до 15 млн рублей. Но компания предпочитает делать вид, что проблема — в «технологиях на уровне телекома». Как отличить реальную безопасность от ширмы? Реальная — там, где логи доступа смотрят ежедневно, личные мессенджеры на рабочих местах запрещены, а IT-безопасность работает в связке с экономической. Там, где при первых признаках слива увольняют, а не пишут отписки про сотрудничество с МВД. Ширма — это когда вам предлагают «прислать записи разговоров для проверки», ссылаются на аудиты, которые ничего не нашли, и разводят руками: «это человеческий фактор, мы не можем за каждым смотреть». CRM без контроля — это не защита, а окно для вывода данных. Отдел безопасности, который не стыкуется с экономическим блоком, — декорация. Вместе они создают идеальную среду, где сотрудники «в доле» спокойно продают клиентов конкурентам. И пока компании будут платить за «независимые аудиты» вместо реальной связки IT- и экономической безопасности, данные будут утекать. А отписки останутся отписками. P.S. Если узнали себя — возможно, пора спросить, почему скриншоты карточек клиентов до сих пор никто не контролирует. И сколько вы уже потеряли из-за этой «ширмы». #утечка_данных #CRM #ITбезопасность #экономбезопасность #коррупция #ширма #дорогостоящая_безопасность
· 24.04
Ознакомился с ситуацией и могу сказать, что первый раз слышу о разрозненности различных подразделений безопасности. Абсолютно согласен с мнением, что такая ситуация возможна в случаях когда или владелец слабо представляет структуру бизнес-процессов в компании, или же руководитель подразделения безопасности не начальник, а руками водитель. В описанной ситуации переваливания с больной головы на здоровую (когда разные контроли уклоняются от кросс-функционального взаимодействия) самый простой для генерального или собственника способ проверить кто не чист на руку - один раз отправить всех руководителей таких структурных подразделений на полиграф с тремя вопросами: воровал/не воровал; сливал/не сливал; скрывал/ не скрывал. Это точно добавит энтузиазма при достойной оплате проснуться и начать делом заниматься как следует.
ответить
коммент удалён
· 25.04
Александр, спасибо за комментарий. Идея с полиграфом кажется простой и быстрой, но на практике это, к сожалению, ловушка. Опытные нарушители с холодной головой спокойно «обманывают» детектор с помощью несложных физических приёмов, а честные тревожные руководители часто «заваливают» тест просто от страха или волнения. Исследования (в том числе обзоры Американской психологической ассоциации) показывают, что вероятность ложного обвинения невиновного может доходить до 43–50%, а подготовленный человек успешно обойдёт проверку примерно в половине случаев. В итоге мы рискуем отсеять порядочных сотрудников, а виноватый останется на месте. Именно поэтому полиграф и не считается объективным инструментом: на него нельзя опереться, когда нужна настоящая защита данных, а не видимость.
ответить
ответ удалён
· 22.05
Анна, здравствуйте. Насчёт работы с полиграфом не соглашусь. Тут очень важно какого уровня специалист - полиграфолог работает. Чтобы обойти полиграф нужно быть докой в теме и готовится не один месяц, а реально даже не полгода. Другой вопрос: афиллированность СБ и полиграфолога. Но это другое направление. Мы же с Вами понимаем, что если речь зашла о применении полиграфа, то это далеко не самостоятельное и единственное мероприятие, а один из инструментов в комплексе проверочных мероприятий. И Вы абсолютно правы, что безопасность - это в первую очередь тонкая оперативная работа и внутри компании, и во внешнем контуре. Это объемная тема. На сегодняшний день большая часть топменеджмента, да и собственников воспринимает эту функцию как бесполезную и третичную. Эта функция и на самом деле является по структуре бизнес-процессов вспомогательной.И по этой причине нет качественной оплаты за эту работу. Однако на самом деле настоящая работа безопасности бизнеса ведется негласно и на упреждение. Где-то достаточно простого риск-менеджмента. И это будет дешевле. Безопасность бывает с разным подходом. Везде люди. Вопрос отношений. Бывает и так. По чем свет стоит чернят безопасность за утечку фото с экрана. Начинаешь разбираться, выясняется: человек и не знал, что так запрещено (начальник не ознакомил с регламентом); тему раздули для отвлечения внимания от согласования кривого контракта. Или начальники экономической безопасности и коммерческий директор на уровне феромонов друг другу противны и, поскольку вдруг забывши что не в песочнице ведерки делят, пытаются вынести межличностный конфликт на масштаб угроз бизнесу. При этом страждущих поддержать каждую сторону находится много. И вот уже почти революция... Изложенных поведенческих причин масса. Вот только при адекватной мотивации такого не происходит. За 27 лет работы в сфере безопасности много ситуаций пришлось разрешать, как и Вам в своей плоскости. Можем дискутировать долго. Только незачем, т.к. мы обсуждаем частность.
ответить
ответ удалён