Предотвращая обман
Роясь в вашем мусоре или обманывая охранника или секретаря в приемной, социальный инженер может получить доступ к внутренним документам вашей компании. Надеюсь, что вам небезынтересно будет узнать о существовании целого ряда мер, направленных против этих действий.
Атаки социальных инженеров могут быть еще более разрушительными, если они используют технологические приспособления. Чтобы предотвратить этот тип атак, надо предпринимать шаги, как на уровне техники, так и на уровне персонала
Когда речь идет о ценной, важной или просто критичной для компании информации, которая, попав в чужие руки, может дать конкурентам или кому-то еще серьезное преимущество, сотрудники компании должны знать, что для ее выдачи недостаточно просто установить личность человека, делающего запрос. Должны бы дополнительные средства подтверждения запроса, такие как утверждение вышестоящим руководителем с авторизацией на получение требуемой информации.
Процедура верификации всех запросов - дело очень тонкое, каждая компания должна определять для себя индивидуально, достигая разумного баланса между производительностью и безопасностью. Насколько приоритетным должно быть усиление мер безопасности? Будут ли сотрудники противодействовать процедурам обеспечения безопасности или даже обходить их, чтобы вовремя выполнить свою работу? Осознают ли сотрудники, насколько важна безопасность для их компании и их самих? На все эти вопросы надо отвечать, разрабатывая политику безопасности на основе корпоративной культуры и бизнес-процессов.
Неизбежно, меры безопасности кое-кому мешают работать, и неосведомленные люди могут пытаться обходить их, считая бесполезной тратой времени. Необходимо мотивировать сотрудников при помощи специальных тренингов так, чтобы соблюдение мер безопасности стало неотъемлемой частью их ежедневной деятельности.
Надежным средством идентификации звонящего является платная услуга автоматического определения номера. В отличие от услуги определения имени звонящего, распространенной в корпоративных сетях, переключатель телефонной компании не использует никакой информации от пользователя, когда шлет ему номер звонящего. Номер, который передает АОН, это номер, на который выставляется счет звонящему.
Заметим, что некоторые производители модемов встраивают функцию определения имени звонящего в свои продукты, защищая корпоративную сеть таким образом от случайных звонков, допуская в нее только предварительно определенный список телефонных номеров. Эта техника вполне приемлема в компаниях с невысоким уровнем требований к безопасности, но, как мы уже выяснили, подменить в таком случае личность звонящего не составляет труда опытному хакеру, поэтому на нее полагаться нельзя.
