Искусство обмана
Download 0.94 Mb. Pdf ko'rish
|
Iskusstvo obmana sotsialnaya inzheneria
- Bu sahifa navigatsiya:
- Структура тренинга
|
Заметка:
Для тех компаний, которые не имеют средств для самостоятельной разработки программы информационной безопасности существуют компании, предоставляющие данную услугу. Их можно найти на одной из выставочных площадок, например на http://www.secureworldexpo.com. Истории в этой книге представляют собой огромное количество материала для объяснения методов и тактик социальной инженерии, поднятия уровня осведомленности и демонстрации уязвимостей человеческой натуры. Можно полагать, что использование этих историй даст необ- ходимую базу для ролевых игр. Истории также являются яркими темами для оживленных дис- 110 Вильям Саймон и др.: «Искусство обмана» куссий о том, как жертвы должны действовать, чтобы предотвратить успешную атаку. Грамотные разработчики и преподаватели данных тренингов найдут множество трудно- стей, но также множество возможностей оживить учебный процесс, заставить окружающих стать его частью. Структура тренинга В своей основе обучающая программа должна быть спроектирована таким образом, чтобы посещалась всеми сотрудниками. Новые служащие должны посещать тренинг как часть первона- чального ознакомления и знакомства с новым местом работы. Я рекомендую вообще не допус- кать сотрудника до работы с компьютерами, пока он не ознакомится с основами программы ин- формационной безопасности. Для начала я рекомендую занятие, посвященное внештатным ситуациям и системе опове- щений. Пока бОльшая часть материала еще впереди, ознакомление с набором коротких важных сообщений значительно облегчит восприятие на полудневных и полнодневных занятиях, когда людям сложно усвоить такое количество материла. Особое значение первого занятия будет в выражении особой роли гармонии, которая будет царить в компании, пока все руководствуются данной программой. Более важным, нежели обу- чающие тренировки, будет мотивация, побуждающая сотрудников принять персональную ответ- ственность за безопасность. В ситуациях, когда некоторые работники не могут посещать общие занятия, компания должна прибегнуть к иным формам обучения, таким как видео, компьютерные программы, он- лайн-курсы или печатные материалы. После короткого вводного занятия остальные более длинные уроки должны быть сплани- рованы таким образом, чтобы все работники внимательно ознакомились со слабыми местами и техниками атак, которые могут применяться конкретно к ним соответственно занимаемым ме- стам в компании. Необходимо раз в год проводить занятия для повторения и освежения данных правил. Природа угроз и методов использования людей постоянно меняются, поэтому весь мате- риал программы должен постоянно обновляться. Более того, осведомленность и бдительность людей со временем ослабляется, поэтому тренинги должны повторяться через определенные промежутки времени. Особое значение имеет здесь убеждение рабочих в важности политик без- опасности и мотивация следовать им, чем демонстрация специфических угроз и методов соц- инженерии. Менеджеры должны бать готовы к трате времени на своих подчиненных, чтобы помочь им вникнуть и самим поучаствовать в процессе обучения. Сотрудники далеко не будут довольны, если им придется посещать занятия в нерабочее время. Это стоит учитывать и при ознакомлении с положениями новых сотрудников – они должны иметь достаточно свободного времени, чтобы освоиться со своими рабочими обязанностями. Сотрудники, получающие повышение с доступом к важной информации несомненно долж- ны пройти тренинг соответственно их новым обязанностям. Например, когда оператор ПК стано- вится системным администратором, или секретарь переходит на должность ассистента админи- стратора – тренинг необходим. Download 0.94 Mb. Do'stlaringiz bilan baham: 
|