Bezpieczeństwo systemów CRM - czyli co w trawie piszczy

Kwestia bezpieczeństwa rozwiązań informatycznych i przechowywanych danych jest ważnym aspektem przy wyborze konkretnego oprogramowania dla firmy. Każda organizacja, czy to instytucja finansowa, placówka edukacyjna, przedsiębiorstwo produkcyjne, czy biuro nieruchomości, gromadzi dużą liczbę danych, również tych poufnych, które chce zabezpieczyć przed wglądem przez nieuprawnione osoby, kradzieżą czy skasowaniem. Zatem, jak najlepiej chronić firmowe dane, aby nie trafiły w niepowołane ręce?

Dostawcy rozwiązań i usług informatycznych koncentrują się na zwiększaniu świadomości przedsiębiorstw w zakresie bezpieczeństwa oferowanych technologii. Nadal bowiem wiele firm funkcjonuje w przeświadczeniu, że kradzież danych na pewno im się nie przytrafi, nie zdając sobie sprawy z ewentualnych konsekwencji.

– Podczas rozmów z potencjalnymi i obecnymi klientami za każdym razem poruszamy temat bezpieczeństwa rozwiązań informatycznych. Niestety pracownicy, a nawet zarząd firmy, bardzo często nie znają chociażby podstaw bezpiecznego korzystania z systemów informatycznych i internetu. Ponadto kierownictwo często uważa, że kradzież danych na pewno nie dotknie ich firm. Naszym zadaniem, jako dostawców systemów IT, jest zmiana tego podejścia

– mówi Paweł Czernek, ekspert w zakresie rozwiązań CRM w dziale aplikacji biznesowych Microsoft Dynamics w polskim oddziale firmy Microsoft.

Do wyboru, do koloru

Na przestrzeni kilku ostatnich lat przedsiębiorstwa zaczęły zdawać sobie sprawę, że efektywny rozwój prowadzonego biznesu wiąże się z koniecznością zainwestowania w odpowiednie technologie informatyczne. Stąd od kliku lat obserwujemy dynamiczny rozwój specjalnych usług i produktów IT przeznaczonych dla przedsiębiorstw, bez względu na ich wielkość i branżę, w której działają. Jednym z systemów IT, który cieszy się popularnością wśród firm, jest rozwiązanie klasy CRM do zarządzania relacjami z klientami (ang. Customer Relationship Management). Jego głównym zadaniem jest wsparcie zarządzania w obszarze sprzedaży, marketingu i obsługi klienta, co przekłada się na uzyskanie znacznej poprawy wydajności, efektywności i jakości kontaktów z klientami.

Systemy CRM mają służyć budowie trwałych relacji z klientami, dostawcami i podwykonawcami firmy. Aby to osiągnąć, muszą być wyposażone w odpowiednie funkcjonalności do efektywnego zarządzania działaniami w obszarze sprzedaży, marketingu i call center. Powinny być przy tym łatwe w obsłudze, elastyczne i skalowalne, aby można było dopasowywać je do zmiennych potrzeb przedsiębiorstwa, a przede wszystkim – oczekiwań pracowników związanych z rodzajem wykonywanych przez nich zadań

– komentuje Paweł Czernek.

Gdy firma podejmie już decyzję, że chciałaby wykorzystywać system CRM w codziennej działalności, następnym krokiem jest wybór modelu użytkowania rozwiązania – w wersji stacjonarnej (tzw. on-premise) lub online, czyli w chmurze. Jako pierwszy na rynku pojawił się model on-premise, przeznaczony dla przedsiębiorstw, które mogą pozwolić sobie na budowę i utrzymywanie własnej infrastruktury informatycznej. Rozwiązaniem dla firm, które nie chcą lub nie mogą ponieść dużych inwestycji finansowych w krótkim okresie czasowym, okazała się technologia cloud computing, która nie wymusza posiadania własnej infrastruktury IT oraz nie wymaga posiadania budżetu na zakup dożywotnich licencji i pokrycia kosztów wdrożenia. Co więcej, po pojawieniu się na rynku systemu CRM w wersji online, w której całą infrastrukturę IT zapewnia dostawca, a opłata za wybrane usługi dokonywana jest na zasadzie miesięcznego abonamentu, również i małe firmy zyskały dostęp do innowacyjnej aplikacji, która otworzyła przed nimi nowe możliwości – wprowadzenia do oferty nowych produktów i usług, zwiększenia konkurencyjności czy też pojawienia się na nowych rynkach, co dotychczas było nieosiągalne.

Bezpieczeństwo systemów CRM w modelu online i on-premise

Wdrożony system CRM, czy to w wersji chmurowej, czy użytkowany na serwerach firmowych, musi być odpowiednio chroniony. Za bezpieczeństwo aplikacji w chmurze odpowiada dostawca tego typu usług, zaś rozwiązaniem wdrożonym w obrębie przedsiębiorstwa zajmuje się wewnętrzny dział IT bądź wynajęty specjalista.

– Wdrażając system w modelu stacjonarnym, firmy powinny zadbać o to, aby opiekę nad nim sprawował ekspert, który posiada odpowiednią wiedzę w zakresie bezpieczeństwa rozwiązań informatycznych. Z kolei przy wyborze technologii chmury dobrze jest uzyskać od dostawcy informacje dotyczące rodzaju stosowanych zabezpieczeń do ochrony naszych danych, a także dowiedzieć się, kto będzie ich administratorem, na ile będzie on upoważniony do ich przetwarzania oraz gdzie konkretnie będą przechowywane zasoby. Należy również zadbać o wprowadzenie i egzekwowanie polityki bezpieczeństwa w firmie, aby również pracownicy – którzy są głównymi użytkownikami rozwiązań – byli świadomi zagrożeń, jakie niesie ze sobą korzystanie z systemu

– mówi Paweł Czernek.

Do najpopularniejszych metod zabezpieczeń usług w technologii chmury należą antywirusy, firewall, mechanizmy uwierzytelniania użytkowników i wielopoziomowe systemy uprawnień (hasła, identyfikatory) oraz szyfrowanie połączeń. Ponadto administratorzy serwerów regularnie tworzą kopie zapasowe przechowywanych informacji. Pozwala to na zachowanie nienaruszonych danych w przypadku wystąpienia awarii sprzętu. Kolejną popularną formą zabezpieczenia jest szyfrowanie i przechowywanie informacji na różnych serwerach. Gdyby doszło do kradzieży danych z jednego miejsca, haker nie może ich wykorzystać, ponieważ stanowią one tylko fragment zakodowanej całości i są bezużyteczne.

– Dostępne obecnie programy antywirusowe oparte wyłącznie na metodzie przetwarzania w chmurze zapewniają skuteczną ochronę przed wirusami, aplikacjami szpiegowskimi i innym złośliwym oprogramowaniem, a w przypadku pojawienia się jakiegokolwiek zagrożenia – reagują na nie w ciągu zaledwie kilku sekund. Antywirusy świetnie sprawdzają się też w przypadku poczty elektronicznej, np. blokując w ponad 99 proc. przychodzący spam czy wykrywając i eliminując robaki w mailingu masowym. Inną metodą śledzenia zagrożeń są tzw. konta pułapki (tzw. honeypot), które pozwalają na wykrycie prób nieautoryzowanego użycia systemu czy pozyskania danych

– mówi Paweł Czernek.

Co więcej, firma powierzająca swoje dane dostawcy powinna mieć kontrolę nad kluczami pozwalającymi kodować i odszyfrowywać informacje umieszczane w chmurze. Gdy przedsiębiorstwo zrezygnuje z usług dostawcy, zaszyfrowane dane firmowe będą wyłącznie do jego dyspozycji bez obawy, że dostawca mógł je przejąć. Należy również pamiętać o fizycznym aspekcie bezpieczeństwa danych i dostępu do nich. Firmy świadczące usługi chmurowe są w stanie zaplanować i wdrożyć procedury na odpowiednio wysokim poziomie, np.:

  • zasilanie serwerowni z dwóch niezależnych elektrowni, wspomagane odpowiednią liczbą generatorów prądu i akumulatorów na wypadek, gdyby jednak zasilanie podstawowe zawiodło,

  • dostęp do internetu od dwóch niezależnych dostawców na wypadek problemów jednego z nich,

  • zabezpieczenia przeciwpożarowe.

Z kolei w celu zabezpieczenia systemów CRM w modelu on-premise i przechowywanych w nich informacji przede wszystkim stosuje się różnego rodzaju antywirusy, firewalle, oprogramowanie antyspamowe oraz hasła i identyfikatory, które uprawniają konkretne osoby do wglądu w przeznaczone dla nich informacje, a także monitoring ruchu sieciowego czy blokadę możliwości instalacji oprogramowania przez pracownika.

– Niestety bardzo często pracownicy umyślnie wykradają lub kasują cenne dla firmy informacje, dlatego dobrą ochroną przed takimi działaniami jest wprowadzenie kontroli uprawnień, systemów monitorowania zachowań pracowników czy śledzenie niedozwolonego oprogramowania uruchomianego na komputerze przez pracownika. W celu kontroli użytkowników kierownictwo może wprowadzić również monitoring poczty e-mail czy blokadę uniemożliwiającą podłączanie zewnętrznych nośników

– wylicza Paweł Czernek.

Bardzo często podczas zatrudniania nowego pracownika zarząd firmy wymaga podpisania przez niego umowy, która zawiera klauzule prawne gwarantujące bezpieczeństwo danych, w tym m.in. klauzule antykonkurencyjne czy obowiązek zachowania poufności. Tak sformułowana umowa ma działać na pracownika „prewencyjnie”.

Przepisy prawne, certyfikaty i stowarzyszenia

Bezpieczeństwo systemów CRM - czyli co w trawie piszczy
Bezpieczeństwo systemów CRM - czyli co w trawie piszczy

Do szerzenia świadomości w zakresie bezpieczeństwa systemów zarówno w modelu stacjonarnym, jak i online zaangażowane są również organizacje, jak np. ISSA (ang. International Security Systems Association) – Międzynarodowe Stowarzyszenie Systemów Zabezpieczeń, które szerzy wiedzę na temat bezpieczeństwa na licznych konferencjach, seminariach i warsztatach IT. W Polsce działa „ISSA Polska – Stowarzyszenie do spraw Bezpieczeństwa Systemów Informacyjnych”, którego głównym celem jest promowanie zasad i praktyk, które zapewnią poufność, integralność i dostępność zasobów informacyjnych.

Bezpieczeństwo rozwiązań potwierdzane jest również różnymi certyfikatami. Przykładowo, rozwiązanie Microsoft Dynamics CRM Online posiada standard SSAE 16 (Statement on Standards for Attestation Engagements No. 16) wydawany przez instytut AICPA (American Institute of Certified Public Accountants), który umożliwia niezależną weryfikację zgodności z wymaganiami dotyczącymi stosowania i efektywności mechanizmów kontroli zabezpieczeń. Kolejną regulacją prawną jest ISO 27001 – jeden z najpowszechniej uznawanych certyfikatów dla usług w chmurze, obejmujący systemy zarządzania zabezpieczeniami informacji (ISMS, Information Security Management System). Standard stanowi zbiór wymagań umożliwiający ustanawianie, wdrożenie, monitorowanie, przegląd, utrzymanie i doskonalenie polityki bezpieczeństwa firmy.

Warto również wspomnieć o programie Safe Harbor, dotyczącym wymiany danych osobowych między krajami Unii Europejskiej a Stanami Zjednoczonymi. Zasady obowiązujące w UE są określone przez dyrektywę dotyczącą ochrony danych i są bardziej restrykcyjne niż np. w Stanach Zjednoczonych. Aby wyegzekwować te zasady, UE generalnie zabrania przekazywania danych osobowych do innych krajów, z wyjątkiem okoliczności, w których jest to dopuszczone w ramach uznanego mechanizmu, takiego jak certyfikacja „Safe Harbor”. Aby umożliwić ciągły przepływ informacji wymaganych przez firmy międzynarodowe, Komisja Europejska zawarła porozumienie z Departamentem Handlu Stanów Zjednoczonych, zgodnie z którym organizacje w Stanach Zjednoczonych mogą samodzielnie uzyskiwać certyfikaty zgodności z zasadami Safe Harbor, które są swobodnie powiązane z wymaganiami określonymi w dyrektywie. Aby legalnie przesyłać dane z Unii Europejskiej do Stanów Zjednoczonych, firma lub inna organizacja musi publicznie zagwarantować, że będzie stosować się do zasad Safe Harbor zgodnych z regułami zachowania poufności informacji obowiązującymi w UE.

Usługi Microsoft Dynamics CRM Online mogą przesyłać dane z UE do USA w celu przetwarzania, ponieważ firma Microsoft posiada certyfikat Safe Harbor. Firma Microsoft uzyskała pierwszy certyfikat w programie Safe Harbor w 2001 roku i odnawia certyfikat zgodności z jego zasadami co dwanaście miesięcy. Oprócz krajów członkowskich UE, kraje należące do Europejskiego Obszaru Gospodarczego (Islandia, Liechtenstein i Norwegia) również uznają, że organizacje certyfikowane zgodnie z programem Safe Harbor zapewniają adekwatną ochronę poufności informacji uzasadniającą przesyłanie danych przez granice z ich krajów do Stanów Zjednoczonych. Szwajcaria zawarła prawie identyczną umowę („U.S.-Switzerland Safe Harbor”) z Departamentem Handlu Stanów Zjednoczonych w celu zalegalizowania transferów ze Szwajcarii do USA, do których firma Microsoft jest również uprawniona zgodnie z uzyskanymi certyfikatami. Niektóre inne kraje, takie jak Kanada i Argentyna, wprowadziły kompleksowe przepisy dotyczące poufności informacji, a Unia Europejska zezwoliła na przesyłanie danych z UE do tych krajów.

Niestety w dalszym ciągu firmy mało inwestują w zabezpieczenia swoich rozwiązań i gromadzonych danych, nie zdając sobie do końca sprawy z konsekwencji wycieku poufnych informacji czy awarii systemu. Ponadto przedsiębiorstwa rzadko organizują szkolenia dla pracowników z zakresu bezpieczeństwa, sadząc, że wprowadzenie antywirusa pomoże ochronić dane firmowe i realizację działań z wykorzystaniem internetu. Co więcej, wiele przedsiębiorstw nie posiada sprecyzowanego planu działania w przypadku wystąpienia jakiegokolwiek zagrożenia. Jak widać, przed dostawcami usług i rozwiązań informatycznych rysuje się jeszcze długa droga w uświadamianiu przedsiębiorstw zarówno w zakresie cyberprzestępczości, jak i standardów dotyczących zachowań pracowników wewnątrz firmy.

Autorem jest Paweł Czernek,- ekspert w zakresie rozwiązań CRM w dziale aplikacji biznesowych Microsoft Dynamics, Microsoft

DLP expert magazyn
DLP expert 4/2013

Tekst pochodzi z magazynu DLP expert 4/2013 (7)- który bezpłatnie można pobrać tutaj: https://www.dlp-expert.pl/magazine

Źródło: Redakcja