Глава 15: Знание об информационной безопасности и тренировки
(Chapter 15 Information Security Awareness and Training)
//Глава еще будет редактироваться
Перевод: sly (http://slyworks.net.ru ) ICQ:239940067
Cоциальный инженер задумал заполучить проект (исходники) Вашего нового продукта
за 2 месяца до релиза.
Что остановит его?
Ваш файервол? Нет.
Мощная система идентификации? Нет.
Система обнаружения вторжений? Нет.
Шифрование данных? Нет.
Ограничение доступа к номерам дозвона модемов? Нет.
Кодовые имена серверов, которые затрудняют определение местонахождения проекта
искомого продукта? Нет.
Смысл здесь в том, что никакая технология в мире не сможет противостоять атаке
социального инженера.
Обеспечение безопасности с помощью технологии, тренировки и процедуры
Компании, которые проводят тесты на возможность проникновения, сообщают, что их
попытки проникнуть в компьютерную систему компании с помощью методов социнженерии
практически в 100% случаев удаются. Технологии безопасности могут усложнить этот тип
атак путем исключения людей из процесса принятия решений. Тем не менее истинно
эффективный путь ослабить угрозу социальной инженерии можно через использование
технологий безопасности, комбинированных с политикой безопасности, которая
устанавливает правила поведения служащих, а также включающих обучение и тренировку
сотрудников.
Единственный путь сохранить разработки Вашего продукта нетронутыми иметь
тренированную, знающую и добросовестную рабочую команду. Это подразумевает
тренировку с использованием политик и процедур, но, вероятно, более важным является
переход к программе распределенной осведомленности. Некоторые компании,
занимающиеся вопросами безопасности, рекомендуют тратить на тренировку таких
программ до 40% бюджета компании.
Первый шаг приучить каждого на предприятии к мысли, что существуют
бессовестные люди, которые могут с помощью обмана и психологии манипулировать ими.
Служащие должны знать, какая информация нуждается в защите, и как эту защиту
осуществлять. Однажды хорошо прочувствовав и поняв, как можно поддаться чужим
манипуляциям, они будут находиться в намного более выгодной позиции, чтобы распознать
атаку.
Осведомление о безопасности включает также обучение каждого работающего в
компании политикам и процедурам. Как обсуждается в главе 17, политики это
необходимые и обязательные правила, которые описывают поведение сотрудников для
защиты корпоративной информационной системы и особо ценной информации.
Эта и следующая главы показывают безопасный шаблон (blueprint синька,
светокопия), который обезопасит Вас от атак, которые дорого могут Вам обойтись. Если Вы
не тренируете персонал, следующий процедурам обработки информации (well thought out
procedures), это до того момента, пока Вы не потеряете информацию благодаря
социальному инженеру. Не тратьте время, ожидая атак, которые могут случиться, пока
решаете, разрабатывать или не разрабатывать политики безопасности: они могут разорить
Ваш бизнес и разрушить благополучие Ваших рабочих.
|