Como diz o ditado; até mesmo os verdadeiros paranoicos provavelmente têm inimigos.
Devemos assumir que cada empresa também tem os seus — os atacantes que visam a infra-estrutura da rede para comprometer os segredos da empresa.
Não acabe sendo uma estatística nos crimes de computadores; está mais do que na hora de armazenar as defesas necessárias implementando controles adequados por meio de políticas de segurança e procedimentos bem planejados.
Os códigos contábeis dos grupos de trabalho e deparamentos, bem como as cópias do diretório corporativo (uma cópia impressa, um arquivo de dados ou uma lista eletrônica de telefones na intranet) são alvos freqüentes dos engenheiros sociais.
Cada empresa precisa ter uma política escrita e bem divulgada sobre a revelação desse tipo de informação.
As salvaguardas devem incluir a manutenção de um registro de auditoria que estabelece os casos em que as informações sigilosas são divulgadas para as pessoas de fora da empresa.
• Informações, tais como um número de empregado, por si só, não devem ser usadas como nenhum tipo de autenticação.
Todo empregado deve ser treinado para verificar não apenas a identidade do solicitante, como também a necessidade que o requisitante tem de saber
• No seu treinamento de segurança, você deve pensar em ensinar essa abordagem aos funcionários: sempre que um estranho pedir um favor, saiba primeiro como negar educadamente até que a solicitação possa ser verificada. Em seguida, antes de ceder ao desejo natural de ser o Sr ou a Sra. Ajuda, siga as políticas e os procedimentos da empresa com relação a verificação e divulgação das informações não públicas. Esse estilo pode ir contra a nossa tendência natural de ajudar os outros, mas um pouco de paranóia saudável pode ser necessária para evitar ser a próxima vítima do engenheiro social.
Kevin Mitnik
Nenhum comentário:
Postar um comentário