Безопасность и Internet - статьи

Как защититься?


Никакими техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что злоумышленники используют слабости не технических средств, а как уже говорилось выше, слабость человеческой души. Поэтому единственный способ противодействовать злоумышленникам - постоянная и правильная работа с человеческим фактором.

Если вы - сотрудник организации, то необходимо провести обучение корпоративных пользователей, включая и тех, кто обращается к данным, системам и сетям извне (т.е. партнеров и клиентов). Такое обучение может проводиться как силами самой организации, так и при помощи приглашенных специалистов, а также в специализированных учебных центрах, которые стали в последнее время появляться в России, как грибы после дождя. Форма обучения может быть разная - начиная от теоретических занятий и обычных прктикумов и заканчивая online-семинарами, проводимыми через Internet, и ролевыми играми. Во время обучения обычные пользователи (не занимающиеся вопросами информационной безопасности в рамках своей основной работы) должны изучить следующие темы (помимо других тем, связанных с правильным выбором паролей, общими положениями политики безопасности организации и т.д.):

  • Как идентифицировать подозрительные действия и куда сообщать о них?
  • Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? Ни в коем случае нельзя забывать о внутренних угрозах - ведь по статистике основное число инцидентов безопасности происходит именно изнутри организации.
  • Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям?
  • Эти же темы должны изучаться и теми пользователями, которые используют компьютеры и сеть Internet из дома, в своих личных целях. Однако, если для корпоративного пользователя возможны описанные выше варианты обучения, то домашний пользователь может о них забыть. Не каждый человек готов выложить из своего кармана от 100 до 500 долларов за курс, выгода от которого достаточно эфемерна. Ведь атаку вас может ждать в будущем, а деньги надо выкладывать уже сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и Internet, которые подчас ничем не уступают дорогостоящему обучению (в части информативности).

    Прежде чем начинать реализовывать процесс корпоративного обучения, зачастую очень дорогостоящий, необходимо оценить уровень знаний персонала компании, который будет эксплуатировать имеющуюся или создаваемую инфраструктуру защиты информации. Если персонал не обладает необходимыми знаниями, то спросите кандидатов на обучение, каких знаний им не хватает. Несмотря на кажущуюся абсурдность этого совета, зачастую это самый простой путь, чтобы с минимальными затратами достичь максимальных результатов. Особенно тогда, когда вы не в состоянии правильно оценить уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте (возможно с привлечением сторонних организаций) программу обучения сотрудников по вопросам обеспечения информационной безопасности. Такая программа должна быть разделена как минимум на две части. Первая часть должна быть ориентирована на рядовых сотрудников, а вторая - на персонал, отвечающий за информационную безопасность. Помимо всего прочего обучение должно быть обязательным для всех новых сотрудников, принимаемых на работу, и должно рассматривать все аспекты функциональных обязанностей служащего. По мере разработки этой программы примените ее в организации.

    Необходимо периодически проверять эффективность обучения и готовности служащих к выполнению действий, связанных с обеспечением информационной безопасности. Регулярно проводите для своего персонала занятия по повышению квалификации, рассказывающие о новых изменениях в стратегии и процедурах безопасности, а также устраивайте "разбор полетов" после зафиксированных серьезных инцидентов. Для этого необходимо проводить регулярные тренинги, повышающие квалификацию персонала и отрабатывающие ситуации, которые могут появляться в реальности. Если такие ролевые игры проводятся у военных или в авиакомпаниях, то почему бы вам не использовать этот проверенный временем способ? Это позволит удостовериться, что персонал организации знает свои обязанности "на 5" и сможет адекватно реагировать на регулярно возникающие в последнее время критические ситуации, связанные с информационной безопасностью.



    Содержание раздела