Искусство обмана


Предотвращение атаки - часть 3


Компании необходимо иметь проводить политику (опубликованную и распространенную среди сотрудников), регламентирующую обращение с такого рода информацией. Правила этой политики должны предусматривать регистрацию всех случаев разглашения данных внешним по отношению к компании лицам.

n               Любые данные, аналогичные персональному номеру сотрудника, должны вообще исключаться из схем идентификации и аутентификации. Каждый сотрудник должен уметь не только идентифицировать запрашивающего информацию, но и определять его право на получение доступа к этой информации.

n               Во время тренинга по информационной безопасности служащие должны ознакомиться со следующей ситуацией. Если незнакомец задал вам вопрос или попросил об одолжении, то прежде, чем отвечать на просьбу, необходимо в ответ вежливо попросить подождать и начать идентификацию запрашивающего по установленным в инструкции правилам. После этого, сопротивляясь естественному желанию быть мисс или мистер Вежливость, вам нужно свериться с корпоративными правилами распространения непубличной информации. Такой стиль поведения может противоречить заложенной в человека тенденции помогать, но, в ответ, немного здоровой паранойи избавит вас от игры в роли очередной жертвы социоинженера.

Как показывают истории, изложенные в этой главе, кажущаяся безвредной и бесценной информация может послужить ключом к открытию самых важных секретов вашей фирмы.

Комментарий Митника

Старое изречение напоминает намгласит о том, что даже у натуральных истинных параноиков могут быть настоящие враги. Мы должны смириться с тем, что у любого бизнеса тоже есть враги – взломщики, проникающие в сетевую инфраструктуру и похищающиеготовые похитить фирменные коммерческие тайны. Не вливайтесь вспешите пополнить статистику жертв компьютерных преступлений – сегодня самое время возвести укрепления в виде хорошо продуманных правил и процедур информационной безопасности.

 




Начало  Назад  Вперед