Битрикс24 на страже безопасности вашего бизнеса 24/7

Битрикс24 на страже безопасности вашего бизнеса 24/7

Ирина Хлевная
Автор статьи:

У наших клиентов периодически возникают опасения по информационной безопасности ведения их деятельности в облачном сервисе Битрикс24. Если недостаточно информации, то уверенности в защищенности своих активов у вас не появится. Давайте разберем подробно: в чем видятся риски и как они закрыты или защищены со стороны Битрикс24.

1. Сервера

Первое и самое очевидное для IT подразделений старой закалки — «это же не наш сервер, а какое-то облако..».

Во-первых, вовсе не какое-то. На сегодня сервера облачных Битрикс24 российского сегмента это, пожалуй, самая продвинутая инфраструктура в максимально защищенных и технически обеспеченных дата-центрах РФ. Где и какие можно подробно почитать тут: https://www.bitrix24.ru/security/ 

Во-вторых, про "наш" и "не наш". Каждый облачный портал со своим доменным именем — это не общая песочница разных компаний, а строго изолированная самостоятельная инсталляция продукта Битрикс24. Только за сервером и системным окружением следит не ваш системный администратор (в объеме его знаний и квалификации), а вендор. И обновления, как на собственном сервере, ставятся не с запозданием по отдельному расписанию или согласованию, а сразу по выходу стабильных патчей от разработчиков.

А вот если вы хотите всё это взять на себя, подняв собственную коробочную версию продукта, то посмотрите что вы должны знать, уметь и какими техническими ресурсами располагать: https://www.bitrix24.ru/features/box/requirements.php

2. А как же наши внутренние документы где-то в Интернете?

Разделите для себя понятия «где-то в Интернете» и «на моём собственном портале, куда я могу попасть через Интернет». И в этом отношении Битрикс24 на уровне собственной внутренней архитектуры — это продукт, надежно защищенный от взломов, подборов, инъекций, атак и прочих "прелестей" нынешней жизни в информационном пространстве. Причем, именно облачный сервис находится под постоянным контролем вендора и с очень оперативной реакцией на какие-то обнаруженные уязвимости.

3. А если утечка...

Кто связан сегодня с информационной безопасностью, тот уверенно знает, а остальные наверняка если не слышали, то догадываются: самая большая проблема это человеческий фактор. И не важно какую информационную систему вы внедряете — для вас обязательна внутренняя собственная Политика информационной безопасности внутри компании.

"Политика" — что это?

  • Правила ведения корпоративных учетных записей и паролей сотрудников. И к рабочим компьютерам, и к корпоративным ресурсам, и входа внутрь учетных или управленческих информационных систем. (Да-да, зачастую 1С очень слабо в этом отношении защищена, а уж там....)
  • Правила формирования, использования и хранения паролей.
  • Подконтрольные рабочие почтовые ящики (email), где администратор в компании или владелец всегда может заблокировать и зайти, сбросив пароль.
  • Закрепленная в договорных отношениях ответственность за передачу информации 3-м лицам.
  • Строгий учет и закрытие доступов вышедших из состава компании сотрудников.
  • Периодические проверки соблюдения внутренних регламентов Политики.

Усилить защиту доступа к корпоративной информации можно

Самое первое — это строго защищенный вход под своим логином и паролем. Сложно? Не думаю! Кто сегодня еще не победил свой вход в ЛК мобильного банка?
В Битрикс24 можно подключить и обязать сотрудников входить по 
двухэтапной схеме. Вот так: https://helpdesk.bitrix24.ru/open/19503644/ 
И тогда ищи на рабочих столах записочки с паролями возле мониторов, не ищи — не поможет.

Можно еще более строго — вы можете разрешить работать на портале сотрудникам только из офиса (с производственной площадки). Администратор портала Битрикс24 это может сделать вот так: https://helpdesk.bitrix24.ru/open/19154836/ 
Правда, тут теряется множество преимуществ для вашей команды всегда быть на связи из любой точки мира. Мы, кстати, активно этим пользуемся. 

4. Может всё-таки не всё там хранить?

И так тоже можно.
Оставлять документы в руках отдельных исполнителей без внутренней централизации хранилища и без доступа к ним причастных к исполнению задачи коллег сегодня очень недальновидно. И даже компания в таком режиме имеет даже существенно бОльшие риски в потере или утечке данных. Значит весь вопрос — где хранить и кого пускать. 

И тут снова разбираем задачу по трудоёмкости и деньгам:

Вариант 1. 
Документы на портал вы не складываете. Но к ним должны обращаться несколько человек, выполняющих одну важную задачу. Можно организовать внутреннее хранилище, обеспечить на нём собственные права доступа и защиты, и внутреннюю ссылку на документ указывать на портале в рабочей задаче или другой переписке средствами встроенной коммуникации Битрикс24.

Вариант 2. 
Храним в своём корпоративном портале. Там очень широко варьируется настройка  не только доступов, но уже и одновременной работы над документов. Причем вы исключаете потребность в лицензиях на офисный пакет MS Office.
Что? Ломаная, говорите... Нет?
А что, в Google docs редактируете?... Нет?
Сначала один, потом другой, потом три раза согласовать?...
И где тут самые большие риски?!

Вариант 3.
Лучший вариант, когда документы порождаются внутри системы. И данные берутся из первоисточника, и "отсебятины" в тексте меньше. И по готовой "рыбе" ответственный сотрудник всегда может доработать документ до целевого состояния.

Как-то так.
Спрашивайте :)


Задать вопросы по статье

308012, Россия, Белгородская область, Белгород, Академическая, 23А
Телефон: +7 (495) 108-65-48

Возврат к списку