Comments 67
Действительно, любые технические ограничения можно обойти. Однако порой может оказаться, что стоимость взлома данных сопоставима со стоимостью самих данных. В таком случае взлом уже перестает быть актуальным. Примерно так же работает неотвратимость раскрытия и последующей расплаты.
К данным нельзя подпускать людей ниже определенной квалификации и зоны ответственности. Если человеку нужно работать с данными, то он встает на особый учет. Этой проблеме 100 лет в обед. Вы реально как с деревни.
Я уверен, что есть лучшие пути защитить важную информацию, но мы не располагаем большим бюджетом
Тут пропала шутка про маскировку данных (в оригинале именно про это, а не просто про защиту).
Вы вырвали фразу из контекста. Оригинальный текст следующий:
Призовите работника сотрудничать в досудебном порядке, заключите с ним досудебное соглашение, в котором четко обговорите солидные штрафные санкции за возможную инсайдерскую активность уже после его увольнения из компании, заверьте это соглашение у нотариуса.
Соглашение заключается до его увольнения. В тексте соглашения оговариваются условия его поведения после увольнения.
Разработайте политику BYOD (Bring Your Own Device) — использования личных устройств и гаджетов в рабочих целях и на территории компании. Был случай, что одна очень большая пищевая компания заставляла сотрудников складывать мобильники в ящик
Всегда думал, что BYOD — это как раз про возможность использовать личные ноуты в рабочих целях. «Принесите свое устройство», а не Don't Bring Your Own Device.
Please correct me if I'm wrong.
Имеется ввиду политика, т.е. правила использования. Это не говорит о запрете использования личных устройств, а лишь регламентирует его порядок.
Простите, вы читать умеете? BYOD — это использование личных устройств. А политика BYOD — это политика использования личных устройств. Что непонятно?
Говоря проще — политика, в которой написано, что можно писать код с личного ноутбука — это BYOD-политика. Политика, в которой предписывается класть личный ноут и личный мобильник в ящик на входе в предприятие — это НЕ BYOD, ибо не выполняется первое из условий — «Bring».
Разработайте политику BYOD (Bring Your Own Device) — использования личных устройств и гаджетов в рабочих целях и на территории компании.Далее дан не пример конкретного BYOD, а пример перегиба с политиками. Ежу ясно же. И блондинке. Ну честно.
JC_IIB, приношу свои извинения, если мой комментарий обидел вас, не хотел этого! Однако не хотелось бы тратить время на развернутое обсуждение терминологии, никак не влияющей на основную суть вопроса.
Для доступа к корпоративным данным, если телефон лежит рядом для связи «поел ли и сделал ли уроки ребёнок», то это не BYOD.
Так что, если уж у вас сотрудник имеет доступ к настолько важной информации, нередко лучше два раза подумать, прежде чем орать: — Да мне пофиг! Не нравиться — не держим! На твое место очередь в сто человек стоит!
Но бывает и так, что второе место оспаривается между главбухом и дядей, который именуется «руководителем службы безопасности».
Это если есть черная бухгалтерия. Веди бизнес честно — и не надо будет париться на этот счет.
стоит главбуху слить эту инфу на сторону — тут можно и присестьМогу ошибаться, но в малых/средних бизнесах главбух, также как и директор, несет полную юридическую ответственность перед законом (тетя главбух тоже может присесть...)
- Требуют чек и лицензию на Линукс.
- Либо требуют лицензию на Винду, хотя стоит линукс.
- Расклеивают инвентарные бирки так, что вещи или перестают работать, или теряют презентабельный вид.
- Не дают быстро закупить компоненты, из-за чего, сидя в 100 метрах от Савёловского рынка, приходится иметь свой запас всего, на случай поломки. 95% запаса никогда не используется.
- Запрещают переставлять компоненты между компами, что в итоге, опять же, приводит к повышенным затратам админов
- Ну так напишите ОФИЦИАЛЬНУЮ бумагу со своей подписью, что Линукс — бесплатен и приложите распечатанный текст лицензии. Т.е. возьмите часть ответственности на себя. Я еще раз повторюсь — это все — вопросы ответственности.
- Если бухгалтерия будет знать, чем линукс отличается от винды, вы там зачем будете нужны?
- Возьмите обязанности по расклеиванию инвентарных бирок на себя и клейте, как вам заблагорассудится.
- А ответственность за ваши «быстрые закупки» перед учредителями и законом вы нести будете? Конечно же нет — опять главный бухгалтер.
- Вы будете переставлять компоненты, а бухгалтерия потом — проводить инвентаризацию в три раза дольше, потому что вы откажетесь участвовать в инвентаризации...
ПыСы. Сам не бухгалтер, отношения никакого к бухгалтерии сейчас не имею, но сталкиваться приходилось.
Представьте себе это так — вы доверили человеку нести очень ценную и очень хрупкую хрустальную вазу. А сами идете сбоку и орете на него, пинаете и оскорбляете. Рано или поздно человек либо отвлечется и споткнется, либо вообще намеренно разобьет вашу вазу. Так что, прежде чем доверять кому-либо хрустальную вазу, отбирайте кандидата тщательно. А если уж доверили ему вазу, то понимайте, что он теперь, по факту — ваш партнер.
И вообще — здесь речь идет не об отношениях. А о бизнесе. Поскольку работа на дядю — тоже, по факту, бизнес. А в бизнесе должно быть выгодно обеим сторонам.
Опять же «подозрительно большие объёмы» на которые рекомендуют смотреть к клиентской базе отношения не имеют. Экселька с названиями, телефонами и фамилиями контактов это довольно маленький объём.
Признаки, по которым призывают напрячься это признаки увольнения, а не кражи.
1. Менеджеру платят в первую очередь за продажи. И всевозможные KPI строятся как раз на эффективности продаж, а не на ведении БД. Вообще ни разу не видел, чтобы качественное наполнение БД поощрялось руководством — обычно просто штрафуют за незаполнение данных. Если новоявленный манагер принесет с собой базу из 5000 человек, которую купил только что возле метро, и тупо зальет ее в CRM, никто ему за это не заплатит — он должен эту базу прозвонить и выудить доход для компании, чтобы рассчитывать на бонус. Так что свою ЗП менеджер получает в первую очередь за доход, который он принес компании за время своей деятельности.
2. На собеседовании обычно договариваются о том, что манагер продает и выполняет план, и за это получает оговоренную плату. Но по факту, план регулярно повышается (чем крупнее компания, тем стремительнее), то есть, условия сотрудничества меняются в одностороннем порядке не в пользу менеджера. Если компания не выдерживает условия уговора, принятого на собеседовании, то и манагер имеет моральное право от уговора уклоняться в свою пользу.
3. Менеджер без базы — это просто оператор на телефоне, более низкоквалифицированный сотрудник с более низким окладом, которого в любой момент можно безболезненно заменить. Мы живем не при социализме, чтобы менеджер жертвовал всем во имя всеобщего блага, а единственный путь наверх для продажника — это ведение своей базы. Потому честный продажник на собеседовании сразу заявляет: «Я к вам пришел со своей базой и с ней уйду».
Если он так думает про базу клиентов, то он аналогично относиться и к остальному, будет тырить все, что плохо лежит.
Это примерно как админ, который, я же сервера настраивал, а без серверов я просто оператор у клавиатуры, значит при увольнении могу сервера забрать с собой, да и премию не всегда выплачивают, а значит моральное право у меня есть.
Вообще ценность клиентской базы очень сильно преувеличена, она реально помогает только против тем, для кого она единственная ценность.
Лично я такому продажнику сразу укажу на дверь. Ценность любого сотрудника это его навыки, а не украденая собственность.
Если он так думает про базу клиентов, то он аналогично относиться и к остальному, будет тырить все, что плохо лежит.
Свою базу он принес с собой, это его база, не ваша. Так что он имеет полное право с ней и уйти.
Даже если менеджер унесет с собой Вашу базу, Вы на этом ничего особо не потеряете, потому что клиент привязывается не к менеджеру, а к поставщику услуги. Скажем, на информационную защиту Вы можете потратить больше средств, чем на последствия утечки базы клиентов.
Чтобы не было заметно «наведение порядка в рабочем ПК и сетевых папках» — надо не удалять оттуда файлы, а заменять их пустышками того же размера.
Мол это ужас-ужас и " пик безбашенности".
В облаках уже сидит SAP, не говоря о Salesforce, который в облаке изначально.
Ага. В марте 2017 из Salesforce утекло так, что все страны задело. SAP в большей части компаний до сих пор на внутренних серваках лежит, хоть САПеры и толкают облако. Ну а от эпичного падения облака всея Руси Б24 мы до сих пор не отдышались. Ведь падение сервиса тоже угроза не меньше утечки. Когда ты двое суток парализован в высокий зимний сезон, это знаете ли, не очень.
Или не обеспечивается, но узнаете вы об этом только после инцидента. Ибо сокращение издержек.
Снова всё упирается в доверие с одной стороны и порядочность с другой.
Ничего по теме не придумано лучше элементарной порядочности. Жаль, не всегда о ней можно судить по доступным и объективным показателям. Часто приходится доверять в кредит...
Заставляйте сотрудников придумывать нормальные пароли, прописывайте маски для ввода сложных комбинаций, проверяйте, не висит ли пароль на мониторе и не лежит ли под клавиатурой. Это может показаться со стороны очень смешным, но является значительным шагом в безопасности.))) улыбнуло, но проблема с паролями существует и это большая проблема.
Но ходить и проверять наличие стикеров с паролями под клавиатурами вообще не вариант.
Единственные внятные способы победить «стикеры» это токены(смарт карты) и 2х уровневая аутентификация(Многофакторная аутентификация)…
Потом уже все остальные мероприятия по работе с нормальными людьми внутри фирмы.
Потому что если вы наберете на работу воров и жуликов, то вам никакие способы и методы защиты не помогут.
Можете минусовать и дальше, но когда кто-то из вас станет владельцем бизнеса, то посмотрим каким он будет демократом при приеме на работу — греби всех подряд или тщательно разбирайся кто пришел. Минусуют скорее всего те, кто приходит наниматься, а не кто нанимает. Оно и понятно.
Кстати, может я зря параною и все CRM в таблицах БД шифруют все данные (каким вот только ключём) и с админ доступом к таблицам БД нельзя вытащить клиентскую базу, так как она расшифровывается только в момент передачи на экран авторизовавшемуся пользователю?
Нужно ли беречь данные от сотрудников