Безопасность не должна восприниматься как отвлеченное понятие или специализация соответствующего отдела. В повседневной практике каждый сотрудник обязан думать о нуждах безопасности — это очень важно. Специалисты службы безопасности, в свою очередь, всегда должны тесно сотрудничать с другими отделами фирмы, быть доступными для любого работника и не должны восприниматься, как недосягаемые гуру или «сетевая полиция». Специалисты по безопасности всегда должны быть готовы к диалогу с персоналом компании — это тоже не менее важно. Если каждый член коллектива начнет обращать внимание на вещи, способные угрожать конфиденциальности клиентов и работоспособности сайта, защита станет намного эффективней. Такого внимания от сотрудников можно добиться только с помощью специального обучения. Компетентность работников компании — это та вещь, которая способна обезоружить любого злоумышленника, рассчитывающего на недостатки в межличностных коммуникациях, плохо организованный деловой процесс или безразличие человека. Атаки, использующие подобные недостатки, часто называются собирательным выражением Социальная инженерия.
Лучший способ защиты от таких нападений — заблаговременное информирование сотрудников о принятой на фирме политике безопасности и о мерах, которые должны применяться для сохранения конфиденциальности В компаниях малого и среднего бизнеса часто можно найти «тонкие» места, которые подходят для применения методов социальной инженерии. Здесь в большинстве случаев акцентируются на романтике сетевой безопасности, отслеживая невидимые атаки и применяя экзотичные способы защиты. При этом забываются или игнорируются простые и важные меры предосторожности. К сожалению, приходится признавать, что предотвращение атак социальной инженерии — это палка о двух концах. Я говорю о том, что, пока защитные меры не приняты в полном объеме, они только вынуждают пользователей пренебрегать ими.
Продолжение Перечислим основные моменты, представляющие опасность сточки зрения социальной инженерии: Пароли. Пользователи записывают сложные пароли, и они часто становятся доступными для посторонних. С другой стороны, легко запоминающиеся пароли можно подобрать. Некоторые фирмы применяют строгую аутентификацию, когда сотрудник помимо ввода пароля обязан пользоваться специальным электронным ключом.
