БЕЗОПАСНОСТЬ CRM: СЛОМАТЬ НЕЛЬЗЯ РАБОТАТЬ
«СТОИТ УСТАНОВИТЬ CRM, И МЕНЕДЖЕРЫ ПО ПРОДАЖАМ СТАНУТ ВЫДАВАТЬ ФАНТАСТИЧЕСКИЕ РЕЗУЛЬТАТЫ, А ПРИБЫЛЬ КОМПАНИИ РЕЗКО ПОЙДЕТ В ГОРУ», – ПОДОБНЫЕ УТВЕРЖДЕНИЯ ВСЕ ЧАЩЕ ЗВУЧАТ НА СЕМИНАРАХ И КОНФЕРЕНЦИЯХ ПО РАЗВИТИЮ БИЗНЕСА. НАСКОЛЬКО СУЩЕСТВЕННО ЭТИ СИСТЕМЫ ОБЛЕГЧАЮТ РАБОТУ СОТРУДНИКОВ И ПОВЫШАЮТ РЕЗУЛЬТАТИВНОСТЬ? ЧТО ОНИ ИЗ СЕБЯ ПРЕДСТАВЛЯЮТ И КАКИЕ УГРОЗЫ НЕСУТ? КОРРЕСПОНДЕНТ «БИЗНЕС ДНЕВНИКА» ОБРАТИЛСЯ С ЭТИМИ ВОПРОСАМИ К СПЕЦИАЛИСТАМ.
Все «досье» в одной корзине
CRM-системы (Customer Relationship Management) – это инструмент, автоматизирующий взаимодействие компании с покупателями ее товаров и услуг.
Системы одинаково востребованы в B2B и B2C-сегментах, при этом сами решения для разных отраслей и компаний могут существенно различаться. Система взаимодействия с клиентами сочетает в себе черты картотеки, в которой имеется «досье» на каждого клиента, и планировщика задач с аналитической платформой. Она хранит все данные о взаимодействиях с клиентом с момента первого обращения, а также позволяет контролировать эффективность работы персонала. Каждый звонок, электронное письмо и обращение через мессенджер фиксируются и позволяют судить о действиях сотрудника: выполняет ли он шаги, предусмотренные воронкой продаж (алгоритмом взаимодействия).
Еще один плюс использования CRM в том, что при увольнении, например, менеджера по продажам наработанные им контакты и информация не пропадают, а передаются преемнику. А отсутствие путаницы при приеме и выполнении заказа повышает лояльность клиентов.
«Сегодня CRM – это хранилище огромного количества разной информации, в том числе данных (и конфиденциальных тоже) клиентов компании, документов по сделкам, отчетной и финансовой документации», – поясняет Олеся Генне, специалист ЧОУ ДПО «Центр предпринимательских рисков».
Основные функции распространенных CRM-систем включают управление процессом продаж, ведение клиентской базы, учет сделок, планирование действий, автоматизация документооборота, составление статистики продаж и аудитории, а также анализ этих данных.
Кому это надо
Прежде всего, CRM-системы нужны владельцу бизнеса: с их помощью можно удерживать клиентов, имея под рукой доступную информацию о них. Можно экономить время на постановку целей, контроль за персоналом и формирование отчетности. А с полученной аналитикой гораздо легче планировать бюджет. Есть и польза для сотрудников: у них появляется помощник, напоминающий об исходящих и входящих звонках, текущих задачах, что в конечном счете повышает результативность.
После внедрения CRM наблюдается рост следующих показателей:
- улучшение отношений с клиентом – на 74%;
- рост продаж – на 65%;
- экономия времени – на 47%;
- удержание клиентов – на 47%;
- рост выручки – на 41%.
(по исследованиям Ecommerce CRM Software)
Малый бизнес использует CRM для e-mail маркетинга в 60% случаев.
Угрозы внутри и извне
«Согласно данным исследований, объем рынка CRM уже составляет свыше 36 млрд долларов и, более того, продолжит расти: в 2018 году реализация таких решений превысит отметку в 45 млрд долларов. Однако данные системы часто подвергаются атакам, что влечет за собой как репутационные, так и финансовые потери», – говорит Максим Михайлов, директор по обслуживанию ИТ-компании NEIRIKA.
Злоумышленников интересуют содержащиеся в системе конфиденциальные данные, которые можно продать или использовать. Например, телефонная база лиц, принимающих решения в компаниях. Существует множество способов защиты данных, которыми стоит пользоваться вне зависимости от нюансов бизнеса.
«Информация стоит дорого, поэтому картотека CRM нередко оказывается заманчивой целью для злоумышленников, старающихся атаковать ее как снаружи, так и изнутри», – уверен руководитель блока специальных сервисов группы компаний Softline Сергей Трухачев.
Чисто механически
«Конечно, для малого бизнеса потянуть крутые системы безопасности достаточно тяжело, однако даже простые решетки на окнах могут снизить риск потери базы клиентов и, собственно, самого компьютера, – рекомендует Олеся Генне. –
Стоит позаботиться и о другой механической защите: роллеты, надежные двери с прочными замками или чиповым входным механизмом, рабочая противопожарная система, жесткий контроль допуска. Усилят бдительность системы видеонаблюдения и сигнализации, ИБП для надлежащего окончания работы техники при аварии в электросетях. Не стоит забывать и административные средства: организацию регламентированных правил работы и инструкций для персонала, обучение сотрудников защите информации согласно законодательным актам и прочие способы повышения ответственности за передачу в систему сомнительной информации, потерю или утечку конфиденциальных данных. Стоит подписывать договор о неразглашении конфиденциальной информации с каждым штатным и даже внештатным сотрудником, который имеет любой доступ к засекреченным сведениям компании. В случае нарушения договора виновник соразмерно причиненному вреду привлекается к той или иной ответственности».
Главные угрозы информационной безопасности бизнеса:
- недопустимые действия сотрудников;
- потеря данных клиентов;
- атаки на работу системы;
- низкое качество ПО;
- мошенничество с электронными документами;
- кража конфиденциальной информации.
(по исследованиям Ecommerce CRM Software)
Шифровки и донесения
Безопасность работы CRM начинается с выбора администратора: поскольку именно у него есть полный доступ к базам и настройкам, это самое важное звено. Доверяйте доступ только проверенному сотруднику, которого вы надежно контролируете, и, конечно, опасайтесь дешевой рабочей силы «на удаленке».
Платформа системы должна быть самописной, поскольку невозможно предугадать, какие дыры появятся у «коробочных» продуктов при очередном обновлении (самостоятельные правки в их код не внести, нужного функционала на лету не добавить, какие там открыты доступы, неизвестно). Самописный вариант тоже должен контролироваться в процессе подготовки. Лучше, чтобы разрабатывало и обслуживало систему конкретное лицо (не компания), а перед запуском независимая сторона провела аудит кода, указав на уязвимости. При грамотном подходе это окажется не дороже готовых решений.
Эксперты советуют хранить базы данных на обособленных серверах – не обязательно физически (можно арендовать облако), но желательно в иностранной юрисдикции, поскольку в России, уверяют специалисты, есть риски доступа через административный ресурс. Настройки приватности, шифрование трафика и прочие детали требуют индивидуального подхода (для понимания потребностей и внедрения серверных решений как раз пригодится уже найденный толковый админ).
«Нельзя не учитывать требования законодательства, в частности, 242-ФЗ в части хранения баз персональных данных в Российской Федерации. При использовании облачных CRM имеет смысл внимательно изучать, где хранятся базы данных – если окажется, что хостинг не российский, необходимо будет получать согласия субъектов на обработку персональных данных», – объясняет Яков Гродзенский, руководитель отдела информационной безопасности компании «Системный софт».
Подавитель сети – еще одно помощник, который обеспечит эффективную защиту информации: при выявлении попытки несанкционированного доступа (взлома) сеть компании выключается для предупреждения повреждения/копирования данных. Применяются программы, отслеживающие и фиксирующие подключение к сторонним сетям, осуществляющие контроль вывода данных на внешние устройства памяти или в интернет. При обнаружении выгрузки конфиденциальной информации система сигнализирует об этом администратору и собственнику.
«В дополнение к ограничению прав доступа, как правило, применяются DLP-решения, позволяющие не просто фиксировать факт утечки информации или попытки кражи данных, но и предотвращать такие попытки на ранних стадиях, анализируя действия и выявляя подозрительную активность пользователей», – говорит Сергей Трухачев.
Главная уязвимость
Настоящая безопасность заключается не столько в технических решениях, сколько в контроле за персоналом, ведь любую защиту можно обойти через «прокладку» между стулом и монитором. Чтобы избежать этого, необходимо максимально исключить человеческий фактор.
Стоит разграничить в системе права сотрудников согласно их ролям в организации. Рекомендуется защищать доступ через индивидуальные логин и пароль не только к CRM-системе, но и к компьютерам пользователей, и не стоит забывать периодически менять их. Учетные данные должны быть сложными, составляться без привязки к чему-либо/кому-либо (рандомно), содержать буквенные и цифровые значения, а также специальные символы.
Пароли административному персоналу лучше изменять еженедельно, а также производить обновление всех паролей после увольнения имевших доступ к системе сотрудников. Если работа не подразумевает разъездного характера, стоит ограничить вход разрешенными IP адресами, например, из офиса или дома руководителя. Для обеспечения мобильности можно привязывать «учетки» к конкретным устройствам. Все действия внутри и попытки входа нужно обязательно записывать в лог.
Также разумно применять способ двухфакторной аутентификации абонента при входе в сеть (при введении учетных данных сотрудник получает на мобильное устройство код доступа).
«Дисциплина внесения записей и ведения данных – это точный алгоритм, в котором невозможно запутаться. Кто, что и в каких случаях пишет, какими формулировками пользуется, какие кнопки нажимает. Необходимо отслеживать изменения в течение дня и вовремя реагировать на подозрительную активность, а при выявлении задавать уточняющие вопросы. У сотрудника будет меньше дурных мыслей, если он знает, что его действия видны. И помните, нельзя закрыться от всех угроз на свете, но можно сделать так, что предполагаемая выгода от взлома будет ниже трудозатрат на него», – уверен предприниматель Андрей Зимин.