blog iPresso Marketing Automation

Bezpieczeństwo systemu do automatyzacji marketingu cz. 1.

Cyberbezpieczeństwo aplikacji których używasz na co dzień to poważny temat i zasługuje na równie poważne potraktowanie. Stawką są nie tylko potencjalne kary od regulatorów rynku, ale także utrata zaufania klientów. Narzędzia do automatyzacji marketingu operują na danych klientów, ich bazy zawierają informacje wrażliwe. Jak sprawdzić czy Twoje oprogramowanie do automatyzacji marketingu jest bezpieczne?

Istnieją dwie główne kwestie – to, czy aplikacja spełnia proceduralne i techniczne wymagania dotyczące bezpieczeństwa. Takie rozróżnienie jest konieczne, bowiem najsłabszym ogniwem w łańcuchu zabezpieczeń zawsze jest człowiek. To nieistotne, że producent oprogramowania posiada znakomitych programistów, którzy implementują najlepsze zabezpieczenia. Najważniejszy jest taki development aplikacji, który pozwala na zachowanie praktyk bezpiecznego tworzenia kodu i nieustanny rozwój w kierunku zwiększania bezpieczeństwa.

W drugą stronę działa to tak samo – jeżeli dostawca oprogramowania spełnia wszystkie warunki, a pracownicy klienta nie są dostatecznie przeszkoleni, dane mogą zostać narażone na ujawnienie. Nawet nie tyle z samego oprogramowania, co z maila. Pracownicy mogą otworzyć podejrzanego maila i kliknąć w załącznik. Zainstalują na swoim komputerze program, który może spowodować wiele szkód. Właśnie dlatego dobrzy producenci oprogramowania dostarczają klientowi nie tylko sam software, ale także oferują produktowe szkolenia wdrażające. Producent powinien też oferować szkolenia zabezpieczające przed stosowanymi sztuczkami socjotechnicznymi, pomagającymi w wykradaniu informacji. Popularne są tutaj zwłaszcza ataki phishingowe, czyli te obliczone na naiwność i brak uwagi osoby po drugiej stronie monitora. Nieuważne przekazanie informacji w rozmowie telefonicznej bądź otworzenie podejrzanego załącznika, mogą dużo kosztować.

Ze swojej strony dostawcy powinni zrobić wszystko co możliwe, aby zabezpieczyć program i możliwości współpracy z nim aplikacji trzecich, ale odpowiedzialność wiążąca się ze świadomym i bezpiecznym podejściem do wykorzystania oferowanych przez aplikację funkcjonalności, leży po stronie klienta. To od ich współpracy, a wcześniej wiedzy i umiejętności technicznych producenta oprogramowania, leży bezpieczeństwo.

Odpowiedzialność producenta oprogramowania

I to od tego właśnie zacznijmy. Jak wygląda sprawdzanie wiarygodności bezpieczeństwa oprogramowania? Poproś swój dział security o to, aby „przemaglował” potencjalnego dostawcę. Z reguły odbywa się to tak, że dział bezpieczeństwa posiada długą listę wymagań, które software musi spełniać, aby zostać dopuszczony do użytku w danej firmie. Takie checklisty lub ankiety są zazwyczaj bardzo mocno szczegółowe i dotyczą zarówno ogólnych jak i bardzo drobiazgowych wymogów. Związanych także z przestrzeganiem reguł prawa na lokalnym rynku (tzw. compliance).

I tutaj ważna uwaga – firma tworząca oprogramowanie do automatyzacji marketingu powinna mieć na pokładzie developerów, którzy wiedzą, że aplikacja powinna być bezpieczna już na etapie pisania kodu. Programiści powinni być na bieżąco z potencjalnymi zagrożeniami, zabezpieczeniami i trendami.

Z drugiej strony producent oprogramowania powinien być dla klienta całkowicie transparentny. Zabezpieczyć wszystkie dane, ale też sprawić, żeby te zabezpieczenia nie przeszkadzały w codziennym korzystaniu z aplikacji. Zbalansowanie obu tych kwestii jest wyzwaniem, bo zwiększone bezpieczeństwo oznacza zwiększone restrykcje dla użytkownika, a to zazwyczaj przekłada się na wygodę użytkowania aplikacji. Nie można jednego poświęcić dla drugiego. Obie kwestie są ważne i obie powinny zostać odpowiednio przemyślane. Poziom bezpieczeństwa aplikacji zależy od dostawcy rozwiązania, ale to czy ten poziom odpowiada zamawiającemu, zależy tylko od niego. To on ma w swojej firmie osobę lub zespół odpowiedzialny za odbiór danego oprogramowania. To ta osoba ma wymagania odnośnie poziomu zabezpieczeń systemu i to ona wie, na jakim poziomie chce zachować balans między jednym a drugim.

Trzeba też pamiętać, że z powodu nadmiernych restrykcji niektórych funkcjonalności można do oprogramowania zwyczajnie nie wprowadzić. Wszystko tak naprawdę zależy od klienta i jego wymogów bezpieczeństwa – czego wymaga i jaki poziom ryzyka jest w stanie zaakceptować.Wążną kwestią jest też to, czy producent oprogramowania przeprowadza regularne audyty bezpieczeństwa. Istotne są tu tak zwane testy penetracyjne aplikacji. Firma zamawia wtedy niezależne badania zewnętrzne. Eksperci próbują włamać się do aplikacji, szukają jej słabych punktów i rekomendują rozwiązania. W grę wchodzą nie tylko popularne sposoby ataków, ale również te mniej oczywiste. Ważny jest także poziom zabezpieczeń infrastruktury serwerowej i poziom zabezpieczeń biura. Takie testy powinny odbywać się regularnie. Warto pamiętać o tym, że w przypadku korzystania z audytu zewnętrznego, dostawca powinien się móc pochwalić raportem z działań niezależnej firmy.

Jarosław Ściślak

Dodaj komentarz