Information

Founded
Location
Россия
Website
regionsoft.ru
Employees
11–30 employees
Registered
Pull to refresh
Comments 67
тут нет универсального решения чисто на сколько доверяете сотруднику, чем меньше работник знает тем меньше от него полезных идей и решений проблем, чем больше знает тем больше он поможет, но и украсть больше сможет, так что мониторинг и статистика, ну а вообще ничего кроме как продуманная организация процессов не поможет, любые технические ограничения можно обойти

Действительно, любые технические ограничения можно обойти. Однако порой может оказаться, что стоимость взлома данных сопоставима со стоимостью самих данных. В таком случае взлом уже перестает быть актуальным. Примерно так же работает неотвратимость раскрытия и последующей расплаты.

Вы написали какой-то бред. Общие слова об общих вещах. «Всё можно обойти. Чтобы было лучше, нужно чтобы больше людей имели доступ. Ничего не вечно, ололо, конечно. Хорошо делай, хорошо будет.» Это как???
К данным нельзя подпускать людей ниже определенной квалификации и зоны ответственности. Если человеку нужно работать с данными, то он встает на особый учет. Этой проблеме 100 лет в обед. Вы реально как с деревни.
Вы реально как с деревни.


Так обычно говорят те, кто сам недавно ИЗ.
В списке «Признаки, которые должны вас насторожить» только первый говорит о возможных проблемах с безопасностью. Остальные больше похожи на простую подготовку к уходу (скорее всего, в уже найденное место).
Я уверен, что есть лучшие пути защитить важную информацию, но мы не располагаем большим бюджетом

Тут пропала шутка про маскировку данных (в оригинале именно про это, а не просто про защиту).
Если единственное преимущество компании в том, что конкурент не знает её клиентов, то защита клиентской базы не поможет.
Если единственное преимущество компании в том, что конкурент не знает её клиентов, то защита клиентской базы не поможет.


Я вам, как человек — торгаш, ответственно заявляю — база живых, адекватных, платежеспособных клиентов, это не единственное, но зачастую ОЧЕНЬ весомое конкурентное преимущество.
UFO landed and left these words here

Вы вырвали фразу из контекста. Оригинальный текст следующий:


Призовите работника сотрудничать в досудебном порядке, заключите с ним досудебное соглашение, в котором четко обговорите солидные штрафные санкции за возможную инсайдерскую активность уже после его увольнения из компании, заверьте это соглашение у нотариуса.

Соглашение заключается до его увольнения. В тексте соглашения оговариваются условия его поведения после увольнения.

Разработайте политику BYOD (Bring Your Own Device) — использования личных устройств и гаджетов в рабочих целях и на территории компании. Был случай, что одна очень большая пищевая компания заставляла сотрудников складывать мобильники в ящик


Всегда думал, что BYOD — это как раз про возможность использовать личные ноуты в рабочих целях. «Принесите свое устройство», а не Don't Bring Your Own Device.

Please correct me if I'm wrong.

Имеется ввиду политика, т.е. правила использования. Это не говорит о запрете использования личных устройств, а лишь регламентирует его порядок.

Я говорю о том, что BYOD — это использование личных устройств непосредственно для работы, а не порядок их приноса-использования таковых на рабочем месте.

Простите, вы читать умеете? BYOD — это использование личных устройств. А политика BYOD — это политика использования личных устройств. Что непонятно?

Читать — умею. А еще я прекрасно умею общаться, не переходя на личности. Политика BYOD — это правила, определяющие как личные устройства будут использоваться для работы, вот я о чем. То есть в рабочем процессе непосредственно.
Говоря проще — политика, в которой написано, что можно писать код с личного ноутбука — это BYOD-политика. Политика, в которой предписывается класть личный ноут и личный мобильник в ящик на входе в предприятие — это НЕ BYOD, ибо не выполняется первое из условий — «Bring».
А я вот тоже ваши претензии не понимаю. В статье очень чётко написано:
Разработайте политику BYOD (Bring Your Own Device) — использования личных устройств и гаджетов в рабочих целях и на территории компании.
Далее дан не пример конкретного BYOD, а пример перегиба с политиками. Ежу ясно же. И блондинке. Ну честно.

JC_IIB, приношу свои извинения, если мой комментарий обидел вас, не хотел этого! Однако не хотелось бы тратить время на развернутое обсуждение терминологии, никак не влияющей на основную суть вопроса.

JC_IIB, приношу свои извинения, если мой комментарий обидел вас, не хотел этого!


Взаимно.
У меня не было цели разжечь тут холивар, я просто уточнил. Так что да, со своей стороны я извиняюсь тоже :)
> and to use those devices to access privileged company information and applications

Для доступа к корпоративным данным, если телефон лежит рядом для связи «поел ли и сделал ли уроки ребёнок», то это не BYOD.
Коротко подведем итог — если обращаться с сотрудником, имеющим доступ к важной информацией, как со свиньей или рабом, рано или поздно информация окажется у конкурентов. И всеми NDA, и прочим бумажками можно просто будет печку топить, просто потому, что если инфа УЖЕ слита, а затасканный по судам бывший сотрудник ситуацию не исправит. Более того, в случае тех же клиентских баз и небольших предприятий, особо упорный сотрудник может унести инфу, тупо переписав ее с монитора на бумажку. И никакие ограничения на использование флешек и телефонов вас не спасут.
Так что, если уж у вас сотрудник имеет доступ к настолько важной информации, нередко лучше два раза подумать, прежде чем орать: — Да мне пофиг! Не нравиться — не держим! На твое место очередь в сто человек стоит!
Добавлю — ценность имеет не только клиентская база. Почему в во всяких средних/мелких бизнесах бывает иногда так, что тетя-главбух чувствует себя вторым, если не первым лицом? Потому, что ей, скажем так, ведомы схемы того, что называется оптимизацией налогов, а попросту — черной бухгалтерией компании. И директор оной компании понимает, что стоит главбуху слить эту инфу на сторону — тут можно и присесть.
Но бывает и так, что второе место оспаривается между главбухом и дядей, который именуется «руководителем службы безопасности».

Это если есть черная бухгалтерия. Веди бизнес честно — и не надо будет париться на этот счет.

стоит главбуху слить эту инфу на сторону — тут можно и присесть
Могу ошибаться, но в малых/средних бизнесах главбух, также как и директор, несет полную юридическую ответственность перед законом (тетя главбух тоже может присесть...)
«Тетя-главбух» несет полную материальную, административную и уголовную ответственность за ВСЕ свои действия. Поэтому и чувствует себя «первым/вторым» лицом, поскольку по факту, исходя из уровня ответственности, таковым и является. Я знаю, очень часто многим не нравятся требования бухгалтерии, предъявляемые к другим сотрудникам, но тут надо понимать, что, если бухгалтер требует правильно заполнить бумажку и принести ее с подписью, а не прислать коротенькое сообщение по электронной почте, то это не потому, что она — старая дура, перекладывающая бумажки, а потому, что в отличии от большинства остальных сотрудников она будет отвечать за нарушения законодательства своими деньгами и даже свободой.
Претензии к бухгалтерии у админов не в том, что им нужны бумажки, а в том, что бухгалтерия:

  • Требуют чек и лицензию на Линукс.
  • Либо требуют лицензию на Винду, хотя стоит линукс.
  • Расклеивают инвентарные бирки так, что вещи или перестают работать, или теряют презентабельный вид.
  • Не дают быстро закупить компоненты, из-за чего, сидя в 100 метрах от Савёловского рынка, приходится иметь свой запас всего, на случай поломки. 95% запаса никогда не используется.
  • Запрещают переставлять компоненты между компами, что в итоге, опять же, приводит к повышенным затратам админов
Просто инвентаризацию и учет надо с бухгалтерии снять (точнее — проведение инвентаризаций, постановку учета компонентов и поддержание всего этого в актуальном виде) и переложить на тех, кто может всё это сделать правильно. А в бухгалтерию отдавать уже готовые данные, какие им реально нужны. Вопрос запаса решается бюджетированием, обоснованием трат и т.д. Таким образом получается, что описанные вами претензии либо притензии к себе самому («не смог обосновать перед руководством»), либо к руководству фирмы (которое не умеет считать свои деньги, экономить и планировать). Коли первое — никогда не поздно научится, коли второе — уволится.
  • Ну так напишите ОФИЦИАЛЬНУЮ бумагу со своей подписью, что Линукс — бесплатен и приложите распечатанный текст лицензии. Т.е. возьмите часть ответственности на себя. Я еще раз повторюсь — это все — вопросы ответственности.
  • Если бухгалтерия будет знать, чем линукс отличается от винды, вы там зачем будете нужны?
  • Возьмите обязанности по расклеиванию инвентарных бирок на себя и клейте, как вам заблагорассудится.
  • А ответственность за ваши «быстрые закупки» перед учредителями и законом вы нести будете? Конечно же нет — опять главный бухгалтер.
  • Вы будете переставлять компоненты, а бухгалтерия потом — проводить инвентаризацию в три раза дольше, потому что вы откажетесь участвовать в инвентаризации...

ПыСы. Сам не бухгалтер, отношения никакого к бухгалтерии сейчас не имею, но сталкиваться приходилось.
UFO landed and left these words here
Это демагогия.
Представьте себе это так — вы доверили человеку нести очень ценную и очень хрупкую хрустальную вазу. А сами идете сбоку и орете на него, пинаете и оскорбляете. Рано или поздно человек либо отвлечется и споткнется, либо вообще намеренно разобьет вашу вазу. Так что, прежде чем доверять кому-либо хрустальную вазу, отбирайте кандидата тщательно. А если уж доверили ему вазу, то понимайте, что он теперь, по факту — ваш партнер.
И вообще — здесь речь идет не об отношениях. А о бизнесе. Поскольку работа на дядю — тоже, по факту, бизнес. А в бизнесе должно быть выгодно обеим сторонам.
UFO landed and left these words here
Путей решения, в реальности, нет. Захочет человек унести с собой клиентов — унесет. Можно только тешить себя сказками про то, что заблокированные USB — порты от этого защитят.
UFO landed and left these words here
2000 клиентов это 2000 строк. их можно легко переписать на бумагу.
Опять же «подозрительно большие объёмы» на которые рекомендуют смотреть к клиентской базе отношения не имеют. Экселька с названиями, телефонами и фамилиями контактов это довольно маленький объём.
Признаки, по которым призывают напрячься это признаки увольнения, а не кражи.
UFO landed and left these words here
UFO landed and left these words here
Я скажу вещь, за которую меня тряпками закидают, но манагер таки имеет моральное право забирать с собой свои наработки, если иное не было оговорено трудовым договором:
1. Менеджеру платят в первую очередь за продажи. И всевозможные KPI строятся как раз на эффективности продаж, а не на ведении БД. Вообще ни разу не видел, чтобы качественное наполнение БД поощрялось руководством — обычно просто штрафуют за незаполнение данных. Если новоявленный манагер принесет с собой базу из 5000 человек, которую купил только что возле метро, и тупо зальет ее в CRM, никто ему за это не заплатит — он должен эту базу прозвонить и выудить доход для компании, чтобы рассчитывать на бонус. Так что свою ЗП менеджер получает в первую очередь за доход, который он принес компании за время своей деятельности.
2. На собеседовании обычно договариваются о том, что манагер продает и выполняет план, и за это получает оговоренную плату. Но по факту, план регулярно повышается (чем крупнее компания, тем стремительнее), то есть, условия сотрудничества меняются в одностороннем порядке не в пользу менеджера. Если компания не выдерживает условия уговора, принятого на собеседовании, то и манагер имеет моральное право от уговора уклоняться в свою пользу.
3. Менеджер без базы — это просто оператор на телефоне, более низкоквалифицированный сотрудник с более низким окладом, которого в любой момент можно безболезненно заменить. Мы живем не при социализме, чтобы менеджер жертвовал всем во имя всеобщего блага, а единственный путь наверх для продажника — это ведение своей базы. Потому честный продажник на собеседовании сразу заявляет: «Я к вам пришел со своей базой и с ней уйду».
Лично я такому продажнику сразу укажу на дверь. Ценность любого сотрудника это его навыки, а не украденая собственность.
Если он так думает про базу клиентов, то он аналогично относиться и к остальному, будет тырить все, что плохо лежит.

Это примерно как админ, который, я же сервера настраивал, а без серверов я просто оператор у клавиатуры, значит при увольнении могу сервера забрать с собой, да и премию не всегда выплачивают, а значит моральное право у меня есть.

Вообще ценность клиентской базы очень сильно преувеличена, она реально помогает только против тем, для кого она единственная ценность.
Лично я такому продажнику сразу укажу на дверь. Ценность любого сотрудника это его навыки, а не украденая собственность.
Если он так думает про базу клиентов, то он аналогично относиться и к остальному, будет тырить все, что плохо лежит.


Свою базу он принес с собой, это его база, не ваша. Так что он имеет полное право с ней и уйти.
Во своей пожалуйста, но все наработки по ней у меня, это уже не его. А своя, которая у него была на момент трудоустройства, у него и так есть.

Но вопрос даже не в этом, я его просто не возьму. Вы же не станете брать человека которого уволили с предыдущего места работы за воровство.
О навыках речь может идти когда менеджеру есть на ком эти навыки применять. Если у Вас офис в проходном месте или Вы можете себе позволить рекламу, чтобы обеспечивать менеджера его прямой работой, тогда его база никакой ценности не имеет. В ином случае, Вам нужно хвататься за любую возможность недорого получить клиентов. К тому же, клиенты из базы менеджера все равно осядут в Вашей CRM пока он будет с ними работать.

Даже если менеджер унесет с собой Вашу базу, Вы на этом ничего особо не потеряете, потому что клиент привязывается не к менеджеру, а к поставщику услуги. Скажем, на информационную защиту Вы можете потратить больше средств, чем на последствия утечки базы клиентов.
В первом опросе не хватает варианта «паранойя ИБ-шников усложняет ежедневные рабочие процессы и снижает нашу производительность»

Вот точь в точь наша ситуация. Это ад разработчика, когда иб заворачивает гайки. Люди даже из-за этого увольняются.

Чтобы CRM-система не заметила чрезмерной активности — копировать базу данных надо заранее и небольшими кусками.

Чтобы не было заметно «наведение порядка в рабочем ПК и сетевых папках» — надо не удалять оттуда файлы, а заменять их пустышками того же размера.
Это рекомендация работнику, обиженному работодателем.
Авторы, на мой взгляд, зря напирают на небезопасность облачного хранения.
Мол это ужас-ужас и " пик безбашенности".
В облаках уже сидит SAP, не говоря о Salesforce, который в облаке изначально.

Ага. В марте 2017 из Salesforce утекло так, что все страны задело. SAP в большей части компаний до сих пор на внутренних серваках лежит, хоть САПеры и толкают облако. Ну а от эпичного падения облака всея Руси Б24 мы до сих пор не отдышались. Ведь падение сервиса тоже угроза не меньше утечки. Когда ты двое суток парализован в высокий зимний сезон, это знаете ли, не очень.

И тем не менее, в облаке защита данных обеспечивается лучшими профессионалами по принятым стандартам безопасности, а не каким нибудь юным гением-админом в фирме из 20 человек продающей канцелярские товары.

Или не обеспечивается, но узнаете вы об этом только после инцидента. Ибо сокращение издержек.


Снова всё упирается в доверие с одной стороны и порядочность с другой.


Ничего по теме не придумано лучше элементарной порядочности. Жаль, не всегда о ней можно судить по доступным и объективным показателям. Часто приходится доверять в кредит...

Как раз по теме придумано много чего, в том числе например стандарты безопасности датацентров.
Заставляйте сотрудников придумывать нормальные пароли, прописывайте маски для ввода сложных комбинаций, проверяйте, не висит ли пароль на мониторе и не лежит ли под клавиатурой. Это может показаться со стороны очень смешным, но является значительным шагом в безопасности.
))) улыбнуло, но проблема с паролями существует и это большая проблема.
Но ходить и проверять наличие стикеров с паролями под клавиатурами вообще не вариант.

Единственные внятные способы победить «стикеры» это токены(смарт карты) и 2х уровневая аутентификация(Многофакторная аутентификация)…
Есть люди склонные к воровству, безбилетному проезду и прочим нарушениям закона, а есть не склонные или менее склонные. Поэтому самым первым пунктом должно быть прописано типа: Выявление на собеседовании при приеме на работу кандидата его склонности к нарушению законов и к воровству. И таких склонных надо сразу вносить в черный список и никогда на работу не брать. И в этом направлении кадровики и безопасники должны очень хорошо поработать.
Потом уже все остальные мероприятия по работе с нормальными людьми внутри фирмы.
Потому что если вы наберете на работу воров и жуликов, то вам никакие способы и методы защиты не помогут.
Скажите, вы знаете, что такое «презумпция невиновности»? А «дискриминация»?
Конечно, но отбор кандидатов всегда был есть и будет, поэтому «дискриминацию» можно лепить по любому поводу, если на работу не приняли. Полиграф тоже применяют не обращая внимание на «презумпцию невиновности». Полиграф это перегиб, конечно, есть более надежные и простые методы понять, что за человек перед тобой.
Можете минусовать и дальше, но когда кто-то из вас станет владельцем бизнеса, то посмотрим каким он будет демократом при приеме на работу — греби всех подряд или тщательно разбирайся кто пришел. Минусуют скорее всего те, кто приходит наниматься, а не кто нанимает. Оно и понятно.
А почему вы думаете, что я не был владельцем бизнеса? «Быть демократом» — это не означает «грести всех подряд». Это означает понимать, что перед тобой на собеседовании точно такой же человек, как и ты. Со своими плюсами и минусами. И не подозревать по умолчанию в каждом вора и жулика только потому, что ты трясешься за свой «бизнес».
Где Вы увидели у меня «подозревать каждого»? Написано ясно, что кроме профессиональных качеств проверять еще морально-этическую сторону. Только и всего. Придумывать не надо ничего сверху, кроме того что написано. Если Вам не нужно знать про морально-этические настроения ваших сотрудников, то игнорируйте и набирайте кого хотите. Ваше право.
Где Вы увидели у меня «подозревать каждого»?


Вот где:

Выявление на собеседовании при приеме на работу кандидата его склонности к нарушению законов и к воровству


И не только подозревать, но и судить, занося их в черный список. Это вы сами себе такие права хотите назначить?

Вы склонны переиначивать слова и выдумывать то, чего в тексте нет. Поэтому дальнейшая дискуссия смысла не имеет. Всего Вам доброго.
Вы склонны переиначивать слова и выдумывать то, чего в тексте нет.


Отнюдь, я просто умею читать и делать выводы из прочитанного.
Поясните про облако, пожалуйста. Почему облачная CRM менее безопасна, чем standalone?
А я бы вот у вас поинтересовалась, поясните про облако — какие там гарантии безопасности а) от передачи пароля; б) от взлома; в) о отказа от сервиса и форс-мажоров (привет недавнему приключению Битрикс24); г) от изменения условий предоставления услуг. А заодно интересно услышать, почему вендор LiveTex на конференции одной известной прямо заявил, что «крупный бизнес в облако не идёт»? Вы везде летаете, много знаете, поделитесь ;-)
Совершенно непонятно, что обеспечит лучшую отказоустойчивость — облако или своё решение. Все описанные вами риски есть. Но, очевидно, в собственном серваке есть другие риски, про которые почему-то в этом треде все молчат.
Потому, что админят её не ваши люди и они же отвечают за бэкапы и развёртывание из бекапов.
Кстати, может я зря параною и все CRM в таблицах БД шифруют все данные (каким вот только ключём) и с админ доступом к таблицам БД нельзя вытащить клиентскую базу, так как она расшифровывается только в момент передачи на экран авторизовавшемуся пользователю?
UFO landed and left these words here
Only those users with full accounts are able to leave comments. Log in, please.