 |
 |
 |
 |
|
 |
 |
простое правило – никому не открывайте дверь. Если нужно, то это может быть включено в
контракт с уборочной компанией.
Также уборщики должны знать о технике «piggyback»(посторонние люди следуют за
уполномоченным человеком через безопасный вход). Они должны быть обучены не
разрешать другим людям входить в здание только потому, что он выглядит как сотрудник.
Примерно три или четыре раза в год устраивайте тест на проникновение или оценку
уязвимости. Попросите кого-нибудь подойти к двери, когда работают уборщики, и
попробуйте проникнуть в здание. Но лучше не используйте для этого собственных
сотрудников, а наймите сотрудников фирмы, специализирующейся на этом виде тестов на
проникновение.
Передай другому: Защити свои пароли
Организации становятся все более и более бдительными, усиливая технику
безопасности техническими методами, например, конфигурируя операционную систему
усложнять технику безопасности паролей и ограничить число неверных вводов перед
блокированием аккаунта. На самом деле, такое свойство встроено в платформы Microsoft
Windows, которые предназначены для бизнеса. Но, зная как раздражают покупателей
свойства, которые требуют лишних усилий, продукты обычно поставляются с
отключенными функциями. Уже пора бы разработчикам прекратить поставлять продукты с
отключенными по умолчанию функциями безопасности, когда все должно быть наоборот( я
подозреваю, что в скором времени они догадаются).
Конечно, правила безопасности корпорации должны разрешать системным
администраторам дополнять эти правила техническими методами, когда возможно, с учетом
того, что людям свойственно ошибаться. Понятно, что если вы, к примеру, ограничите число
неверных попыток входа через конкретный аккаунт, то вы сможете сделать жизнь
атакующего более тяжелой.
Каждая организация сталкивается с нелегким выбором между мощной безопасностью и
продуктивностью сотрудников, что заставляет некоторых сотрудников пренебрегать
правилами безопасности, не понимая, насколько они необходимы для защиты целостности
секретной компьютерной информации.
Если правила безопасности не будут конкретно указывать возможные проблемы при
пренебрежении ими, сотрудники могут пойти по пути наименьшего сопротивления, и
сделать что-либо, что облегчит их работу. Некоторые сотрудники могут открыто
пренебрегать безопасными привычками. Вы могли встречать сотрудников, кто следует
правилам о длине и сложности пароля, но записывает пароль на листок бумаги и клеит его к
монитору.
Жизненно-важная часть защиты организации – использование сложно угадываемых
паролей в сочетании с мощными настройками безопасности в технике.
Подробное обсуждене рекомендованной техники безопасности паролей описано в главе
16.
Глава 13: Умные мошенники
(Chapter 13 Clever Cons)
//Глава еще будет редактироваться
Перевод: matt weird (mattweird@whoever.com)
Теперь вы выяснили, что когда незнакомец звонит с запросом на чувствительную
информацию или на что-то, что может представлять ценность для атакующего, человек,
принимающий звонок, должен быть обучен требовать телефонный номер вызывающего и
перезванивать чтобы проверить, что человек на самом деле есть тот, за кого себя выдает –
сотрудник компании, или сотрудник партнера по бизнесу, или представитель службы
технической поддержки от одного из ваших поставщиков, например.
