Сверяться с источником...
Во многих организациях должно приниматься Многим организациям необходимо принять за правило: "если информация потенциально может причинить вред компании или вашим коллегам, то такую информацию можно давать в руки только лицам, с которыми вы лично знакомы, или чей голос вы ни с чем каким другим не перепутаете".
В случае особо строгой защиты, должны восприниматься только запросы при личной встрече или посредством строгой аутентификациистрогого контроля, например, с при двухфакторной аутентификациииспользованием ключа, одной частью которого является совместный, разделяемый секрет, а другой – токен, личный секрет, изменяющийся во времени.
Классификация ценной информации должна подразумевать, что никакая
информация не должна предоставляться лицу, не знакомому вам лично или лицу, за которое не поручился ответственный начальник.
Так как же в этом случае обращаться с кажущимися приемлемыми запросами от служащих других компаний? Например, если вас просят список сотрудников группы, которая работает с внешним партнером? Как сделать так, чтобы подобные данные, которые по своей природе менее ценны, чем спецификации или планы стратегического развития, все же не оказались в руках злоумышленника? Большая Значительная часть решения заключается в организационной структуре. В каждой рабочей группе или отделе необходимо назначить ответственного за внешние контакты и снабдить это ответственное лицо необходимыми инструкциями и методами проверки достоверности поступающих извне запросов.
Примечание
Страшно сказать, но найдя имя в телефонном справочнике компании и перезванивая по этому номеру, вы не гарантируете проверку! Социоинженеры знают способы достаточные для того, чтобы как прописать свое подставное имя в справочнике и перенаправить вызов.
