Никого не забывайте
Политики безопасности часто упускают из виду сотрудников, работающих на незначительных должностях, таких как сотрудники приемной, поскольку они не имеют доступа к важной информации. Тем не менее, мы много раз видели, что именно такие сотрудники становятся мишенью атакующих. Проникновение в компанию автозапчастей - прекрасный тому пример: дружелюбный человек в спец. одежде утверждает, что он сотрудник вашей компании из другого здания, но на самом деле может оказаться вовсе не тем, за кого себя выдает. Сотрудник компании, работающий в приемной, должен быть тщательно обучен вежливому ведению диалога с пришедшим и четкому запросу его документов. При этом обучены должны быть не только те, кто сидит в приемной постоянно, но и те, кто заменяет их на время обеденного перерыва и других краткосрочных отлучек.
У визитеров, не являющихся сотрудниками компании, надо требовать удостоверение личности и записывать все сведения в журнале. Сделать фальшивое удостоверение личности не так сложно, но требование документа усложняет передвижение атакующего.
В некоторых компаниях имеет смысл следовать политике, требующей, чтобы все визитеры передвигались по территории только в сопровождении сотрудников компании. Причем сопровождающий должен точно знать – является сопровождаемый им человек сотрудником компании или нет. Почему это важно? Потому что, как мы уже видели в предыдущих историях, атакующий часто представляется сначала одним человеком, а потом - другим. Для него ничего не стоит убедить дежурного в приемной, что у него назначена встреча с одним из инженеров. А когда он попадет в помещение, где работают инженеры, там он может представиться продавцом каких либо устройств, и после недолгой беседы получает возможность свободного передвижения по всему здания.
Поэтому, принимая человека на работу в качестве сотрудника приемной, надо убедиться, что он осведомлен обо всех основных методах, которые используют атакующие для проникновения в здания.
А как защититься от атакующего, которому удалось проникнуть в здание компании и подключить свой ноутбук к сети за корпоративным сетевым экраном? Это не так-то просто сделать: во всех комнатах для встреч и конференций, классах для обучения и других аналогичных помещениях компании все порты подключения должны быть защищены при помощи сетевых экранов или маршрутизаторов. Но самая эффективная защита - это идентифицировать всех пользователей, которые соединяются с сетью.
