Безопасность через технологии, обучение и процедуры
Компании, которые проводят тесты на безопасность, заявляют, что все попытки проникновения в клиентские компьютерные системы с использованием социоинженерных практик оказались почти на 100 процентов успешными. Технологии, сами по себе, могут лишь затруднить эти атаки, если совсем исключить человеческий фактор из сферы принятия того или иного решения. Однако единственно верный и по-настоящему эффективный подход заключается в комбинировании технологий безопасности с политикой информационной безопасности, подкрепленной соответствующим обучением и тренировкой кадров.
Ваши производственные планы могут находиться в безопасности только при одном условии: работники предприятия компетентны в вопросах обеспечения защиты. А для этого необходимо не только проводить тренинги по использованию процедур и правил политики информационной безопасности, но и, что еще важнее, необходимо создать программу повышения компетентности в вопросах защиты предприятия. Некоторые специалисты рекомендуют тратить на эту программу до 40 и более процентов корпоративного бюджета, выделенного на безопасность.
Прежде всего, придется убедить каждого сотрудника организации в том, что на свете существуют беспринципные люди, которые при помощи обмана могут психологически воздействовать и манипулировать им. Затем служащие должны понять, какую именно информацию необходимо защищать и как именно ее защищать. Однажды поняв, как ими могут манипулировать, люди в дальнейшем более подготовлены для того, чтобы идентифицировать и предупредить атаку.
Повышение компетентности подразумевает также обучение сотрудников правилам и процедурам, которые описаны в корпоративной политике безопасности. В следующей главе говорится именно о том, что политика – это свод неоспоримых правил, в рамках которых должен действовать служащий и которые позволяют обеспечить защиту информационных систем и служебной информации предприятия.
Эта и следующая главы представляют собой описание проекта системы безопасности, которая оградит вас от дорогостоящих атак на информацию. И если у вас бдительных и обученных работников, которые руководствуются хорошо продуманными правилами, то уже не важно как, а остается под вопросом только когда вы отдадите свою самую ценную информацию в руки социоинженеру. Реализуйте правила безопасности как можно скорее, не ждите, пока вам нанесут удар – он может оказаться просто сокрушительным для бизнеса и благополучия ваших сотрудников.