Искусство обмана


           

в вопросах безопасности не может


Программа повышения компетентности в вопросах безопасности не может гарантировать абсолютную неуязвимость. Там где это возможно, используйте технологические средства «глубинной» защиты. Это означает, что некоторые инструменты безопасности должны находиться не в руках сотрудников, а обеспечиваться технологией. Например, средствами операционной системы можно запретить загрузку программ из интернета и установить обязательные правила использования стойких паролей.
Если тренинги безопасности смогли внушить сотруднику, что каждый запрос должен удовлетворять этим двум критериям, то можно считать, что риск социоинженерной атаки резко сократился.
На практике, программа повышения компетентности и тренинги, нацеленные на поведенческие факторы и социоинженерные аспекты, должны включать в себя следующее:
·         Описание того, как именно социальные инженеры используют свои навыки в обмане людей.
·         Методы социоинженерии.
·         Как распознать возможную атаку.
·         Процедура обработки подозрительной просьбы.
·         К кому обращаться в случае обнаружения социоинженерной атаки.
·         Важность получения любой дополнительной информации о подозрительном лице, невзирая на заявленную этим лицом должность или значимость иного рода.
·         Нельзя никому доверять в безусловном режиме без соответствующей проверки, даже если следуешь внутреннему позыву.
·         Важность процедуры проверки личности, соответствия и привилегий любого запрашивающего информацию или просящего об исполнении некоторого действия.
·         Процедуры, направленные на защиту ценной информации, включая принципы работы с существующей системой классификации данных.

Содержание  Назад  Вперед