Искусство обмана   ::   Митник Кевин

Если занятия по повышению осведомленности и общего уровня безопасности могут изменить поведение каждого сотрудника, что они будут тщательно проверять каждый запрос, исходя из положений программы. Следовательно, риск подвергнуться атаке социнженера резко падает.

Практическая информация тренинга по безопасности, описывающего черты человеческого характера и связанные с ними аспекты социнженерии, должна включать:

Описание того, как атакующий использует навыки социнженерии для обмана людей.

Описание методов, используемых социнженером для достижения цели.

Как предупреждать возможные атаки с использованием социальной инженерии.

Процедуру обработки подозрительных запросов.

Куда сообщать о попытках или удачных атаках.

Важность проверки того, кто делает подозрительный запрос, не считаясь с должностью или важностью.

Факт в том, что сотрудники не должны безоговорочно верить кому-то без надлежащей проверки, даже если первым побуждением будет сразу дать ответ.

Важность идентификации и проверки авторизованности кого-либо, кто делает запрос для получения информации или выполнения какого-либо действия с вашей стороны (см. «Процедуры проверки и авторизации», гл. 16, для способов проверки личности).

Процедуры защиты важной информации, включая любые данные для о системе ее хранения.

Положение политик и процедур безопасности компании и их важность в защите информации и корпоративной информационной системы.

Аннотация ключевых политик безопасности и их назначение.