E-ITSPEA 14: Andmeturveː tehnoloogia, koolitus ja reeglid
Social engineering ehk manipuleerimise analüüs:
Manipuleerimine on turvarisk mida kiputakse eriti IT-vallas ignoreerima või peetakse teisejärguliseks, kuna see ei ole otseselt seotud tehnoloogiaga vaid inimestega kes tehnoloogiat kasutavad. Tihti saab manipuleerimise abil kallitest ja hästi töötavatest turvasüsteemidest läbi, kasutades ära paljude süsteemide turvaalaselt nõrgeimat lüli ehk inimest.
Manipuleerimise riski maandamiseks "Mitnicki valemi" järgi:
Tehnoloogia - tehnoloogiat võiks rakendada valve- ja ligipääsusüsteemide puhul, et tagada ainult õigetele inimestele ligipääs sinna kuhu vaja (nii füüsiliselt kui digitaalselt) ning seda ka valvata.
Koolitus - organisatsiooni töötajatele tuleb tutvustada tehnoloogia kasutamist ja reegleid, et oleks ohtude maandamiseks loodud lahendustest ka kasu. Samuti tuleks tutvustada manipuleerimise üldiseid põhimõtteid, et inimesed suudaksid seda jooksvalt tuvastada ja oleksid valvsamad.
Reeglid - tuleks luua kindlad reeglid organisatsiooni välistele inimestele info ja ligipääsu jagamiseks. Reeglid on ka vajalikud et inimesed julgeksid olla "ebaviisakad" - ei hoia ust võõrale lahti kui see viib kuhugi ettevõtte hoonesse, küsib võõrastelt et kes nad on ja nii edasi.
Comments
Post a Comment