Внедрение информационных технологий в бизнесе создает не только преимущества, но и угрозы безопасности. Чем больше бизнес зависит от информационных систем, тем большие риски появляются для его функционирования и даже существования.
Чтобы снизить эти риски, не потеряв преимуществ, нужно поддерживать информационную безопасность.
Всем известны общие меры информационной безопасности:
использовать антивирусы
не открывать подозрительные файлы
иметь сложные пароли
делать резервные копии
ограничивать права доступа сотрудникам
и другие общие правила безопасности
Вместе с тем использование облачного ПО создает дополнительные риски, которые надо учитывать для его безопасного использования.
Ниже рассмотрю ряд аспектов безопасности, на которые стоит обратить внимание при внедрении облачного ПО в бизнесе.
Часто автоматизация бизнеса начинается с продаж, то есть внедрения CRM.
В ряде случаев базовых функций CRM недостаточно. И, чтобы частично закрыть эту проблему, в облачных CRM есть маркетплейсы, в которых можно купить и установить приложения сторонних разработчиков.
Такие приложения могут добавить много полезных функций: подключение платежных сервисов, телефонии, мессенджеров, автоматизацию задач.
Однако, устанавливая приложение, вы даете доступ к своим данным сторонней системе. Таким образом, безопасность ваших данных теперь зависит от безопасности этой внешней системы. Поэтому в какой-то момент может оказаться так, что сторонняя система станет небезопасной и, например, ваша клиентская база будет уничтожена и/или украдена. Кто за это понесет ответственность? Скорее всего, никто.
Чтобы снизить риски для ваших данных, нужно обратить внимание на ряд моментов:
Что за организация предоставляет приложение? Можно ли ей доверить безопасность своих данных?
Какой уровень доступа к вашим данным предоставляется приложению? Дайте приложению ограниченный доступ, необходимый и достаточный для его работы.
Если приложению нужны широкие права, а разработчик приложения - малоизвестная компания, функции приложения не критичны для бизнеса, то стоит задуматься, а нужно ли его устанавливать и брать на себя риски.
Резервное копирование данных из облака
Есть ряд компаний, которые предлагают заманчивые варианты для интеграции разных систем, "без дорогих услуг программистов". Например, отправлять заявки с сайта в CRM или наоборот из CRM отправить данные о сделке в другую систему.
С точки зрения безопасности таких решений я вижу следующие риски:
отправка данных в такие сервисы делается без использования протокола OAuth, поэтому есть риск подмены или отправки ложных данных в вашу систему
дополнительная точка отказа: сервис может просто перестать работать
безопасность самого сервиса может ухудшиться и ваши данные могут быть утеряны или изменены
Если вы решили использовать такой сервис, то дайте этому приложению минимально необходимый доступ в вашу систему и не относитесь к полученной от него информации как 100% достоверной.
Хранение данных в облаке имеет ряд преимуществ, но недостатаком является то, что это хранилище не под вашим контролем.
Что может пойти не так:
может произойти сбой работы облачного сервиса, из-за которого ваши данные могут быть утеряны или повреждены
злоумышленник может получить доступ к аккаунту и испортить данные
встроенное в CRM приложение может оказаться небезопасным и удалить всю информацию
Чтобы быть уверенным, что ваши данные не потеряются из-за проблем в облачном сервисе, нужно делать резервные копии.
Обязанность облачного сервиса - обеспечить вам эту возможность.
Не используйте no-code системы для интеграции между приложениями
Настройте в нем регулярное резервное копирование и периодически проверяйте возможность восстановления данных из копии.
Поддержание информационной безопасности - это важный процесс, от которого зависит благополучие вашего бизнеса. Чтобы этот процесс проходил без сбоев, увеличивайте свои знания в этой области или обращайтесь к квалифицированным специалистам.
Вывод
О себе
Архитектор ИТ-систем, Java-программист
Алексей Отрубенников
Разрабатываю программное обеспечение для малого и среднего бизнеса на заказ. Консультирую по вопросам внедрения информационных технологий.