Искусство обмана


Download 0.94 Mb.
Pdf ko'rish
bet151/158
Sana13.04.2023
Hajmi0.94 Mb.
#1352083
TuriКнига
1   ...   147   148   149   150   151   152   153   154   ...   158
Bog'liq
Iskusstvo obmana sotsialnaya inzheneria

Заметка:
Для тех компаний, которые не имеют средств для самостоятельной разработки программы 
информационной безопасности существуют компании, предоставляющие данную услугу. Их 
можно найти на одной из выставочных площадок, например на 
http://www.secureworldexpo.com.
Истории в этой книге представляют собой огромное количество материала для объяснения 
методов и тактик социальной инженерии, поднятия уровня осведомленности и демонстрации 
уязвимостей человеческой натуры. Можно полагать, что использование этих историй даст необ-
ходимую базу для ролевых игр. Истории также являются яркими темами для оживленных дис-
110


Вильям Саймон и др.: «Искусство обмана»
куссий о том, как жертвы должны действовать, чтобы предотвратить успешную атаку.
Грамотные разработчики и преподаватели данных тренингов найдут множество трудно-
стей, но также множество возможностей оживить учебный процесс, заставить окружающих 
стать его частью.
Структура тренинга
В своей основе обучающая программа должна быть спроектирована таким образом, чтобы 
посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первона-
чального ознакомления и знакомства с новым местом работы. Я рекомендую вообще не допус-
кать сотрудника до работы с компьютерами, пока он не ознакомится с основами программы ин-
формационной безопасности.
Для начала я рекомендую занятие, посвященное внештатным ситуациям и системе опове-
щений. Пока бОльшая часть материала еще впереди, ознакомление с набором коротких важных 
сообщений значительно облегчит восприятие на полудневных и полнодневных занятиях, когда 
людям сложно усвоить такое количество материла.
Особое значение первого занятия будет в выражении особой роли гармонии, которая будет 
царить в компании, пока все руководствуются данной программой. Более важным, нежели обу-
чающие тренировки, будет мотивация, побуждающая сотрудников принять персональную ответ-
ственность за безопасность.
В ситуациях, когда некоторые работники не могут посещать общие занятия, компания 
должна прибегнуть к иным формам обучения, таким как видео, компьютерные программы, он-
лайн-курсы или печатные материалы.
После короткого вводного занятия остальные более длинные уроки должны быть сплани-
рованы таким образом, чтобы все работники внимательно ознакомились со слабыми местами и 
техниками атак, которые могут применяться конкретно к ним соответственно занимаемым ме-
стам в компании. Необходимо раз в год проводить занятия для повторения и освежения данных 
правил. Природа угроз и методов использования людей постоянно меняются, поэтому весь мате-
риал программы должен постоянно обновляться. Более того, осведомленность и бдительность 
людей со временем ослабляется, поэтому тренинги должны повторяться через определенные 
промежутки времени. Особое значение имеет здесь убеждение рабочих в важности политик без-
опасности и мотивация следовать им, чем демонстрация специфических угроз и методов соц-
инженерии.
Менеджеры должны бать готовы к трате времени на своих подчиненных, чтобы помочь им 
вникнуть и самим поучаствовать в процессе обучения. Сотрудники далеко не будут довольны, 
если им придется посещать занятия в нерабочее время. Это стоит учитывать и при ознакомлении 
с положениями новых сотрудников – они должны иметь достаточно свободного времени, чтобы 
освоиться со своими рабочими обязанностями.
Сотрудники, получающие повышение с доступом к важной информации несомненно долж-
ны пройти тренинг соответственно их новым обязанностям. Например, когда оператор ПК стано-
вится системным администратором, или секретарь переходит на должность ассистента админи-
стратора – тренинг необходим.

Download 0.94 Mb.

Do'stlaringiz bilan baham:
1   ...   147   148   149   150   151   152   153   154   ...   158




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling