Помимо угрозы внешнего воздействия на имеющуюся в CRM информацию есть еще целый ряд угроз, порожденных существующими методиками разработки бизнес-приложений. Речь идет об уязвимостях корпоративных систем. Они появились не только в силу случайных или намеренных ошибок, внесенных разработчиками в код, но и вследствие того, что при создании подобных приложений вопросы их безопасности, разделения прав доступа пользователей, отчетности о производимых действиях, безопасного взаимодействия с другими информационными системами и базами данных часто не рассматривались, поскольку не были заказаны и оплачены первыми клиентами данного решения.
Для обеспечения безопасности современных бизнес-приложений, в том числе CRM-систем, используются несколько подходов. Их выбор осуществляется заказчиком, исходя из соотношения цена/остаточный риск, которое точно определить "на глаз" совсем не просто.
Один из самых простых вариантов защиты информации в CRM - применение внешних ИБ-средств. Такой подход очень удобен, так как позволяет максимально абстрагироваться от структуры процессов обмена информации внутри CRM-системы. В этом случае система безопасности защищает CRM-систему целиком, погружая ее в своеобразный "кокон безопасности". Это серьезно расширяет возможности при создании ИБ-системы – проектировщик может выбирать любые технические решения, не ограничивая себя интеграцией с CRM-решением и взаимодействием с другими корпоративными информационными системами.
Такой подход вполне надежен для защиты от угроз, которые порождают внешние нарушители, но чаще всего является не совсем достаточным для защиты от внутренних угроз, порождаемых действиями недобросовестных сотрудников. Для отслеживания и проверки правомочности действий сотрудников любая корпоративная система должна включать в себя систему мониторинга и записи событий (логгирования). Кроме того, должны быть заданы правила обращения отдельных сотрудников и групп с определенными категориями информации. Далеко не все CRM-решения имеют развитую систему настройки прав доступа и интеграцию с AD/LDAP.
Следующий подход характерен для крупных и многофункциональных CRM-систем уровня Oracle Siebel. Он заключается во включении в систему всех процедур информационной безопасности, которые можно реализовать. Такой путь позволяет обеспечить максимальную безопасность данных в системе, особенно при реализации многопользовательской работы в приложении. Можно скрывать данные одного пользователя от других, гибко разделять права на чтение, запись, изменение информации, собирать статистику работы каждого пользователя, строить динамические профили поведения, что позволяет обнаружить подозрительную активность пользователей. Например, можно своевременно выявить попытку скачать базу данных клиентов или ознакомиться с контактами большого количества записей из БД, то есть - выявить случай, когда сотрудник обращается за рабочий день к сотне записей, хотя всегда работал только с десятью.
Но далеко не все необходимые процедуры защиты информации можно реализовать внутри CRM-системы. Например, реализация в приложении антивируса или межсетевого экрана смысла не имеет. Тем не менее, эти средства защиты необходимо использовать для того, чтобы защитить приложение от атак извне и заражений внутри сети. Конкретный набор дополнительных средств защиты необходимо определять в каждом конкретном случае, он будет зависеть от общей архитектуры сети, от архитектуры CRM-системы, от разделения прав пользователей и типов обрабатываемой в ней информации.
Сочетая вышеперечисленные методы, мы получим третий подход к защите информации в CRM - комбинированный. Он предусматривает компиляцию внешних средств защиты информации и процедур, встроенных в приложение и базы данных CRM. Этот подход в наибольшей степени распространен, поскольку является универсальным.
Помимо технических требований, к системе информационной безопасности предъявляются и требования законодательные. Поскольку в CRM-системе основной субъект обработки – контактная информация клиентов, эти системы попадают по действие Федерального закона № 152 "О персональных данных". И его требования в обязательном порядке следует учитывать при проектировании системы защиты информации.
Из всего вышеизложенного можно сделать несколько выводов. Современные системы CRM подвергаются атакам достаточно часто. Если атака будет успешной - убытки компании могут оказаться весьма критичными и даже привести к прекращению бизнеса. Встроенных функций и процедур защиты информации в самих CRM-системах недостаточно для обеспечения полноценной защиты. Обязательно необходимо применять внешние средства защиты. Кроме того, следует принять во внимание обязательные требования законодательства по защите той информации, которой оперирует CRM-система.