Dostęp do firmowego środowiska Google, Facebook Bussiness Suite oraz innych miejsc gdzie zarządzamy zarówno kampaniami jak i dostępami do naszych kont reklamowych, fanpage’y, wydatków w ramach platform są niezwykle ważne dla firmy, ale również są bardzo łatwym kąskiem dla hackerów.
Bezpieczeństwo #
Nieautoryzowany dostęp może sprawić nam wiele problemów firmie takich jak:
Ryzyko nieautoryzowanego dostępu: #
- Koszty spowodowane ustawionymi przez hackera kampaniami z naszych kont firmowych.
- Spam, obniżenie ratingu i ujmę na wizerunku firmy w momencie gdy ktoś zacznie postować na naszym fanpage.
- Utratę naszego fanpage, konta reklamowego lub innego kluczowego assetu dla firmy
- Przestoje w obecnie prowadzonych kampaniach, co implikuje np niedostarczenie zakładanych celów, a czasem problemy z płynnością firmy – w momencie gdy utracimy reklamy na naszą stronę, a nie mieliśmy poduszki finansowej w firmie.
Ryzyko związane z danymi: #
- Możliwe jest również utracenie poufnych danych takich jak, budżety, targetowania, planowane akcje.
- Utrata danych klientów – w momencie gdy korzystamy z formularzy błyskawicznych na facebooku czy linkedin – hacker ma możliwość ściągnięcia naszych leadów (kontaktów do klientów) z naszego konta. Taki incydent trzeba zgłosić do IOD w ciągu 24h od zajścia.
Ryzyko personalne: #
- Pracownik ponosi również ryzyko zawiązane z dostępem do zasobów firmowych poza mailem służbowym, gdyż w przypadku nieautoryzowanego dostępu do konta osobistego jest również narażony na nieprzyjemności lub nawet kary finansowe w ramach problemów, które się pojawiły.
Zarządzanie zasobami: #
W ramach zarządzania zasobami firmowymi w przestrzeniach dzielonych takich jak GoogleAds, Facebook Business Suite, Linkedin Business. Bardzo ważne jest by wykluczyć dostęp na maile które są łatwe do stworzenia np w darmowych providerów poczty takie jak @gmail.com @wp.pl @yahoo.pl
Dlaczego nie korzystać z darmowych adresów w ramach dostępu do kont reklamowych? #
Przede wszystkim, te adresy nie zawsze odzwierciedlają kim jest właściciel, mail może być nickiem internetowym lub innym “ciągiem znaków”.
Takie nazewnictwo utrudnia identyfikacje czy nadany dostęp jest pracownika, czy konta, które nie powinno mieć dostępu.
Drugą kwestią jest to, że w momencie przejęcia konta administratora, hacker w prosty sposób może dodać dodatkowe adresy email i nadać im uprawnienia super admina, następnie odebrać je członkom zespołu. Co utrudni odzyskanie konta, uniemożliwi zatrzymanie kampanii, które ustawił intruz oraz nie będziemy mogli nawet odpiąć karty od kont reklamowych.
W przypadku gdy nie znamy numerów konta reklamowego i konta biznesowego identyfikacja jest też utrudniona, trwa dłużej, co sprawia, że dłużej nasze pieniądze są wydawane przez intruza.
Kontrola dostępu do zasobów #
Nadawanie dostępów do kont powinno odbywać się tylko na adresy w whitelisty – czyli, na adres firmowy @Twoja-domena.pl oraz na adresy agencji które obsługują Twoje konto np @WorkFlowMedia.pl.
W przypadku agencji warto jest nadać dostęp managerski, zamiast nadawać dostęp dla pojedynczych osób.
Jak połączyć mój adres służbowy z usługami Google? #
By połączyć adres firmowy, potrzebujemy stworzyć nowy profil w ramach infrastruktury google – jest to równie proste jak założenie maila na gmailu.
- Przejdź do tworzenia nowego konta, klikając tutaj. lub klikając w ramach naszego konta GoogleAds (nie przejdziemy z poziomu gmaila) w dodaj nowe konto > Utwórz nowe i wybieramy “Do zarządzania moją firmą”
- Po kliknięciu “Dalej” pojawia nam się drugi widok z wypełnieniem danych, przed rozpoczęciem wypełniania klikamy w podkreślony pod mailem tekst” “Zamiast tego użyj mojego obecnego adresu email” i wypełniamy resztę danych:
- Następnie po kliknięciu “Dalej” zostaniemy poproszeni o potwierdzenie, że mail należy do nas i mamy do niego dostęp. Na wskazany przez nas wcześniej email przyjdzie 6 cyfrowy kod, który trzeba przepisać.
- Następnym krokiem będzie podanie numeru telefonu, on również będzie potwierdzany, w tym przypadku SMS’em.
- Dane demograficzne, warto podać poprawny wiek, bo w przypadku odzyskiwania konta, jednym z pytań od supportu będzie właśnie data urodzenia. Płeć – możemy zaznaczyć “Nie chcę podawać”.
- Akceptacja warunków i mamy w pełni użyteczne konto Google połączone z naszym mailem firmowym.
Dodawanie emaila firmowego do konta Facebook #
Tutaj sprawa jest o wiele prostsza:
- Wchodzimy na nasze konto biznesowe https://business.facebook.com
- Następnie klikamy na trybik znajdujący się w lewym dolnym rogu strony.
- Facebook powinien poprosić nas o kod wysłany na telefon, jeżeli tego nie zrobił, sprawdź ustawienia bezpieczeństwa na koncie business managera facebooka.
- Przejdź do zakładki Użytkownicy > “Osoby” i kliknij “Dodaj”
- W momencie podawania email’a nie podawaj maila prywatnego użytkownika, tylko firmowy – tam otrzyma zaproszenie, które zostanie połączone z jego kontem facebook’a oraz mailem firmowym.
Minimalizowanie ryzyka nieuprawnionego dostępu #
Jeżeli już mamy dodane wszystkie konta pracowników do naszego systemu w ramach maili firmowych, powinniśmy ograniczyć nadawanie dostępów do kont:
GoogleAds: #
- Logujemy się na konto w GoogleAds
- Następnie klikając po prawej stronie na górnej belce “Narzędzia i ustawienia” i wybieramy “Dostęp i bezpieczeństwo”
- Następnie przechodzimy do zakładki ” Bezpieczeństwo:
- Zmieniamy metodę uwierzytelniania na “Dwuetapowy”
- W ramach domen dodajemy @twoja-domena.pl oraz agencji, która Cię obsługuje @WorkFlowMedia.pl. Jeżeli w ramach listy pojawiają się domeny darmowych providerów poczty, należy je usunąć.
- Obie zmiany zapisujemy.