Предотвращение атаки
Компания в лице администрации несет ответственность за то, чтобы сотрудники понимали всю серьезность ошибок, связанных с неправильным обращением непубличной внутренней информации. Хорошо продуманная политика информационной безопасности предприятия, соединенная совместно с должным обучением и тренингом сотрудников, может значительно повысить общий фон компетентности в вопросах работы с деловой информацией. Политика классификации информации поможет вам внедрить подходящие механизмы контроля и с учетом специфики распространения данных. Без правил такой политики вся внутренняя информация должна восприниматься, как конфиденциальная, если отдельно не оговорено обратногообратное.
Информация, которая кажется Кажущаяся незначительной и не имеющей ценности информация может защищаться по следующей схеме:
n
Отдел информационной безопасности должен проводить тренинги для сотрудников. Тренинги должны затрагивать специфические методы, используемые социоинженерами. Один из описанных выше методов заключается в получении доступа к «безвредной» информации и последующем использовании данных в качестве джокера, которого можно обменять на моментальное доверие жертвы. Все служащие, без исключенийисключения, должны понимать, что если собеседник кажется сведущим в бизнес-процессах и сложившейся терминологии, знает внутренние номера и идентификаторы, то это вовсе и ни в коем случае не означает, что собеседник является тем, за кого он себя выдает или имеет право знать то, о чем спрашивает. Звонящий на самом деле может быть бывшим служащим или нанятым по контракту человеком, знакомым с внутренней классификацией и устоявшимися на фирме правилами. Итак, корпорация обязана определить подходящие методы аутентификации незнакомых лиц.
n Человек или группа, ответственная за составление политики классификации должны выяснить все возможные пути получения доступа к ценной информации посредством «выуживания» данных, кажущихся несущественными с точки зрения безопасности данных.
Что может предпринять организация для подавления атак на принципиальное присущее сотрудникам желание сотрудников доверять людям? Ниже можно прочитатьдано несколько предложений и советов.
Один из самых мощных приемов социального инженера – это поменяться со своей жертвой ролями. Глава, которую вы сейчас читаете, именно об этом приеме. Социоинженер создает проблему, а потом волшебным способом устраняет ее, заставляя свою жертву показать дорогу к самым ценным секретам фирмы. Попадутся ли на такую уловку служащие вашей компании? Позаботились ли вы о создании специальных правил безопасности, способных предотвратить угрозу? Знаком ли с этими правилами персонал?
