Чеклист для защиты CRM — Личный опыт на vc.ru

CRM, в которой хранятся ценные данные компании - это "золото" для конкурентов и хакеров!

Обеспечение защиты CRM-системы критически важно для сохранения клиентской базы и предотвращения утечки данных о клиентах. Утечка данных может привести не только к прямым финансовым потерям из-за потери клиентской базы, но также к штрафам за нарушение закона о защите персональных данных, равно как и к репутационному ущербу от разглашения самого факта утечки. Кроме того, защита CRM необходима для предотвращения кражи конфиденциальной информации компании, такой как данные о бизнес-процессах, уникальных технологиях производства, сведения о поставщиках и др. В качестве злоумышленника могут выступать: хакер, сотрудник, конкурент, подрядчик.

Каждый случай использования CRM системы в компании хоть немного, но уникален, поэтому лучше всего разрабатывать отдельное техническое решение для своего бизнеса. Если же говорить в общем, то для защиты CRM системы чаще всего подходит следующий набор средств защиты информации.

На уровне сотрудника:

DLP система для отслеживания действий и подозрительной активности
обязательное использование антивируса для предотвращения заражений (компрометации рабочего места конкурентом/хакером)
обучение - чтобы избежать атак через социальную инженерию и снижение риска атак хакеров (и конкурентов, обманом вытягивающих информацию)

На уровне периметра (доступа) CRM системы:

двухфакторная аутентификация для надежной аутентификации сотрудников и снижения зависимости от регламентов смены паролей или их стойкости
антивирус на сервере - для защиты его от компрометации
PAM (Privileged Access Management) решения - для контроля работы подрядчиков или даже организации безопасной контролируемой работы сотрудников

В самой CRM системе:

права доступа к CRM системе (грамотное составление и отслеживание матрицы доступа)
регулярное создание и контроль доступности резервных копий (+ проверка возможности восстановления)
аудит изменений в CRM системе для проверки аномальной активности

Также важно (и иногда удается обойтись) физической безопасностью и средствами контроля работы сотрудников на уровне регламентов и средств видеонаблюдения/контроля организации работы. Например:

система видеонаблюдения позволяет внушить сотрудникам уверенность, что их контролируют и собственник (руководитель) держит руку на пульсе, контролирует их работу, и саботаж не пройдет;

регламенты работы в системе - распределение заявок, их обработка, качество сопровождения клиентов с помощью отдела контроля позволит не внедрять технические меры контроля;
периодическое присутствие в офисе и совещания с собственником (руководителем) штатного сотрудника службы безопасности (или приглашенного по договору оказания услуг) также придает мотивирующий эффект для сотрудников не ввязываться в сомнительные истории.

Обращайтесь к нам за консультацией для проработки именно вашего запроса. Мы расскажем о мерах более подробно в рамках получасовой бесплатной консультации!