Безопасность цифровой информации при работе с диджитал агентством

Категории
Категории
Все публикации
Менеджер паролей
1
Новости
1
Гид
2
Чек-листы
2
Рекламные агентства
2
Определения
3
Инструкции
9
СМИ
11
Вячеслав Крампец
  • 1 мин
  • 136
СМИ Рекламные агентства

Наш основной вид деятельности до работы над платформой TeamDo — разработка сайтов, мобильных приложений, чат-ботов и других информационных систем, а также интернет-маркетинг.

В процессе выполнения контрактов мы всегда получаем от клиентов большой массив исходных данных в разном виде. Отдел разработки получает логины и пароли к доменным именам, базам, хостингу, доступы к внутренним системам. Отдел интернет-маркетинга — доступы к профилям к соцсетям, в административные панели сайтов, к маркетинговым материалам.

Все эти данные передаются к нам от разных специалистов клиента: программистов, сисадминов, маркетологов. При заключении договора мы указываем, что все полученные данные конфиденциальны, и храним их во внутренней системе по управлению проектами. Когда проект заканчивается, мы формируем документ и передаем собранные учетные записи и доступы клиенту с рекомендацией сменить все пароли.

Наша двадцатилетняя практика показала, что 90% клиентов в течение двух лет после завершения контракта обращаются к нам с просьбой найти доступы к их же данным. Около 99% не меняют пароли к своим веб-системам годами.

В чем причина?

Мы фиксируем несколько причин:

  • небрежное отношение к данным и непонимание рисков;
  • отсутствие внутренних процедур по управлению конфиденциальными данными: нет правил для сотрудников;
  • отсутствие инструментов для контроля учетных записей и доступов;
  • передача подрядчикам логинов и паролей хаотично, а не по процедуре.

В диджитал агентствах сотрудники часто работают удаленно, и у многих есть сотрудники вне штата. Но для выполнения работы им передаются логины/пароли и другие доступы. Есть масса историй о том, как компании лишаются доменов, аккаунтов в соцсетях и клиентских баз при работе с фрилансерами.

Чем учетная запись отличается от доступа?

Коллеги рассказывали про доступы в одной из статей. Между учетной записью и доступом есть отличия.

Мы так описываем «доступ»:

  • пара «логин и пароль» для доступа к облачному сервису;
  • набор данных для входа по протоколу ssh на удаленный сервер (логин, пароль или ключ);
  • API-ключи и «секреты» для интеграции с API внешних сервисов (1С, Яндекс, Google и т.д.).

Под учетную запись не подпадают ссылки на внешние документы, скриншоты, ключи шифрования, лицензии на цифровые продукты, брендбуки, фотобанки и видеобанки, электронные книги, инструкции, руководства.

Сколько паролей и доступов приходится на одну компанию?

Это зависит от типа проекта. Если у компании много информационных ресурсов, то нам могут выдать более 100 уникальных доступов. В среднем наши клиенты хранят 30-58 паролей и доступов. 

Где компании обычно хранят пароли и доступы?

Хранить даже 5 уникальных пар логин + пароль в памяти обычному человеку невозможно, поэтому сотрудники фиксируют данные на бумаге или в файлах. Обычная практика — свести все данные в таблицу Excel.

Хочу отметить, что все варианты рискованные, но самый большой риск — выложить в облако и расшарить файл. Тут мы рассказываем о том, как и какие данные теряет бизнес.

Как вы решаете проблему хранения паролей и доступов?

Раньше мы хранили все данные во внутренней системе. Она организована так, что сотрудники нашей компании имеют доступы только к тем данным, которые касаются проектов, над которыми они работают.

Сейчас мы используем менеджер паролей и доступов TeamDo. Это наша разработка, которую мы сделали, чтобы закрыть постоянно повторяющуюся утери доступов наших клиентов. 

Выигрывают обе стороны: нам не нужно беспокоиться о чужих данных, а компания клиента наводит порядок в ценных данных и уходит от небезопасного хранения.

Какой функционал есть в менеджере паролей?

Базовый функционал менеджера паролей и доступов одинаков и для облачной и для коробочной версии продукта:

  • Структурирование паролей и доступов по группам. Например, отдел маркетинга может внести доступы к сайту, соцсетям, внешним маркетинговым сервисам, а бухгалтерия — 1С, клиент-банку, эквайринговой системе и пр.
  • Система Ролей и Прав позволяет гибко настроить менеджер паролей под разные уровни. Например, маркетолог будет видеть данные, которые относятся только к его области работы, а бухгалтерия — только свои.
  • Безопасность обеспечивается шифрование всех данных по алгоритму RSA с 1024-битным ключом, привязкой устройств пользователей.
  • Временная выдача доступов для сотрудников вне команды.
  • Встроенный генератор паролей.
  • Удобный поиск.
  • Импорт паролей и доступов.
  • Браузерный плагин для Chrome.

Почему вы не используете уже готовые решения?

Мы сформулировали критерии: менеджер паролей и доступов должен быть понятен неспециалисту в ИТ, прост и удобен, быть российской разработкой. Еще одна причина — мы планируем расширить текущий функционал другими возможностями.

Как компании обезопасить себя при работе с диджитал агентством?

  1. Определите правила для своих сотрудников: какие данные можно передать подрядчику, кто передает данные и каким способом. Введите ограничения: например, нельзя передавать логины и пароли через мессенджеры, по whatsapp, на стикерах или по электронной почте. 
  2. У вас должна быть процедура и инструмент. Выберите подходящее решение и внедрите его.
  3. Определите сколько времени агентство будет хранить ваши данные. В договорах редко описываются ситуации, что будет делать диджитал агентство с конфиденциальными данными после завершения контракта. Если вы не хотите, чтобы данные хранились вечно, определите срок хранения сами.
  4. При завершении работ смените все пароли, закройте доступы ко всем документам.