首页 > 新闻动态 > 综合新闻

综合新闻  | 2018/12/10

不管是在那个企业管理软件中系统管理权限是个很重要的事情,里面存储的资料将会影响到企业的动态。

它的权限设置要很明确。就拿CRM系统来说吧。CRM系统有着不同程度的安全和权限管理级别,但所有重要的CRM方案(无论是部署在客户内部,还是部署在提供商的云环境)都有细粒度的安全级别,因为数据很重要,必须认真加以控制。CRM用户、尤其是销售部门的用户很快会发现,如果使用平常的用户级别来访问数据,自己无法进行一些改动,以便达到自己的要求。所以,他们会给出一个貌似充足的理由,解释为什么需要系统管理员权限;而且他们往往会如愿以偿,被授予CRM系统的超级用户权限。

为什么这不是好想法?

这样一来,会有什么隐患呢?咱们不妨先说说这个事实:用户没有经过相应的培训,所以并不了解CRM系统

错综复杂的细节。他们不知道自己看似无关紧要的改动会带来什么样的危害。他们也不知道安全模型、对象模型、外部集成或工作流程。即便他们只是想在屏幕上移动某个文件,操作不当也会给他们根本不知道存在的用户和业务流程造成严重破坏。

幸运的是,没有受过培训的管理员不可能真正破坏许多现有数据。当然,他们偶尔会破坏,但他们在试图更改数据时,这些数据通常只是他们自己的记录而已。

比数据破坏更值得关注的是这种风险:超级用户查看本该在其权限范围之外的数据。CRM系统与IT基础架构之间的集成度越高,管理员能够看到的敏感信息就越多,他们无意中违反的流程控制也就越多。这可能包括公司总体订购预测、库存、合同、委托任务,甚至还有员工的家庭电话号码。就算你不是律师,一想到这方面潜在的监管和法律问题,也会不寒而栗。

正确的办法

幸好,这方面有一些清晰的最佳实践。首先就是“敢于说不”。即便某个经理或用户有充足理由需要一些特殊的权限,负责CRM系统的管理员数量也应当严格加以控制。我还没有找到哪个充足的理由说一家企业的CRM管理员应当超过六人――假设这家企业在全球全天候不间断开展经营。作为贵公司的《萨班斯-奥克斯利法案》第409条款流程文档的一部分,要具体明确管理员的角色和权限。成为管理员就意味着需要接受大量的脱产培训和在岗培训,而且不能由临时工和兼职工来担任管理员这个岗位(而用户数量不到100人的企业除外)。系统管理员的角色需要包括至少一个人充当数据管理员(datasteward),其职责是通过控制设计和外部数据输入,密切关注数据的健康状况和干净程度。如果你的CRM系统与其余IT系统高度集成,CRM数据管理员就应当是负责管理完善政策、流程控制和系统变更的配置控制委员会的一员。考虑到干净数据对CRM成功的重要性,我经常惊讶地发现很少有客户认识到需要设立数据管理员。

应利用你CRM系统的安全功能为管理任务和访问设立授权机制。比方说,许多营销用户可能需要读取一系列广泛的数据;几个用户需要能够使用批量导入工具。而这并不意味着他们就应该是超级用户。可以为这些用户创建特定的配置文件,并授予管理权限,然后限制他们的登录时间/位置,以便控制滥用风险。