[ Pobierz całość w formacie PDF ]
.3002.10.Transfer plików lub danychInstrukcja.Pliki i dane nie powinny być kopiowane na jakiekolwiek przeno-śne media, chyba że prosi o to osoba zaufana, której tożsamość została zwe-ryfikowana i która ma potrzebę posiadania danych w tym formacie.Uwaga: Socjotechnik potrafi w prosty sposób oszukać pracownika, podającmu wiarygodny powód, dla którego potrzebuje skopiowania poufnych in-formacji na dyskietkę, płytę CD-ROM lub inne przenośne medium i przesła-nia mu lub pozostawienia do odebrania w recepcji.Zarządzanie rozmowami telefonicznymiInstrukcje zarządzania rozmowami telefonicznymi zapewniają, że pra-cownicy potrafią zweryfikować tożsamość dzwoniącego i ochraniać swojewłasne dane kontaktowe przed osobami, które dzwonią do firmy.3.1.Przekierowywanie rozmów na numery dostępowe do sieci lubfaksyInstrukcja.Usługi przekierowujące rozmowy na numery zewnętrzne niemogą być przyporządkowywane jakimkolwiek numerom dostępowym dosieci i faksom na terenie firmy.Uwaga: Wyrafinowani napastnicy mogą próbować oszukać personel firmytelekomunikacyjnej lub pracowników centrali wewnętrznej, aby ci włączy-li przekierowywanie wewnętrznych numerów na numery zewnętrzne, któ-re są pod kontrolą napastników.Taki atak umożliwia intruzowi przejmowa-nie faksów, formułowanie próśb o przesłanie poufnej informacji na numerwewnętrzny (personel zakłada, że przesyłanie faksów wewnątrz organizacjijest bezpieczne) lub wyłudzanie od użytkowników wdzwaniających się z ze-wnątrz do firmowej sieci hasła, poprzez przekierowanie linii dostępowej nakomputer, który symuluje proces logowania.W zależności od typu centrali używanej w firmie, przekierowywaniemoże znajdować się w gestii operatora zewnętrznego, a nie obsługi centraliwewnętrznej.W takiej sytuacji należy zażądać od dostawcy usług telekomu-nikacyjnych, aby włączenie przekierowywania na numerach faksów lub li-niach dostępowych nie było możliwe.3013.2.Identyfikacja rozmówcyInstrukcja.Firmowy system telefoniczny musi zapewniać identyfikację roz-mówcy na wszystkich wewnętrznych aparatach telefonicznych i w miaręmożliwości umożliwiać przyporządkowanie innego dzwonka rozmowomnadchodzącym z zewnątrz.Uwagi.Jeżeli pracownicy mogą zweryfikować tożsamość rozmówcówdzwoniących z zewnątrz, może to pomóc w zapobieżeniu atakowi lubw identyfikacji numeru, spod którego dzwonił napastnik.3.3.Telefony ogólnodostępneInstrukcja.W celu zapobieżenia sytuacji, gdy gość podaje się za pracowni-ka firmy, wszelkie telefony ogólnodostępne powinny jasno wskazywać loka-lizację dzwoniącego (np.portiernia, korytarz) na wyświetlaczu odbierające-go telefon.Uwagi.Jeżeli identyfikacja rozmówcy umożliwia wyświetlanie tylko nu-merów, należy wprowadzić odpowiednie zabezpieczenie dla rozmów wy-konywanych z ogólnodostępnych telefonów znajdujących się na terenie fir-my.Należy uniemożliwić sytuację, aby napastnik mógł, dzwoniąc z telefo-nu ogólnodostępnego, podać się za pracownika i sugerować, że dzwoni z li-nii wewnętrznej.3.4.Domyślne hasła producentów systemów telefoniiInstrukcja.Administrator poczty głosowej musi zmienić wszystkie domyśl-ne hasła, które były ustanowione w systemie, zanim przejdzie on w ręce per-sonelu firmy.Uwagi.Socjotechnik potrafi zdobyć listę domyślnych haseł od producentai używać ich, aby dostać się na konta administracyjne.3.5.Wydziałowe skrzynki poczty głosowejInstrukcja.Ustanów odrębne skrzynki poczty głosowej dla każdego działu,który ma zwykle kontakty z osobami z zewnątrz firmy.Uwagi.Pierwszym krokiem w ataku socjotechnicznym jest gromadzenie in-formacji o firmie i jej personelu.Poprzez ograniczenie dostępności nazwiski numerów telefonów do pracowników, utrudniamy socjotechnikowi identy-fikację celów ataku i zdobycie nazwisk pracowników, za których mógłby siępodawać wobec innych osób.3023.6.Weryfikacja serwisantów systemu telefonicznegoInstrukcja.Nie wolno wyrażać zgody na zdalny dostęp serwisantów do sys-temu telefonicznego firmy bez ich pozytywnej identyfikacji i sprawdzeniauprawnień do wykonania takiej czynności.Uwaga: Komputerowi intruzi, którzy uzyskują dostęp do firmowych syste-mów telefonicznych, zyskują możliwość tworzenia skrzynek poczty głoso-wej, przechwytywania wiadomości przeznaczonych dla innych osób lub pro-wadzenia rozmów na koszt firmy.3.7.Konfiguracja systemu telefonicznegoInstrukcja.Administrator poczty głosowej musi zwiększyć bezpieczeństwopoprzez konfigurację odpowiednich parametrów w systemie telefonicznym.Uwagi.Systemy telefoniczne można ustawić na większy lub mniejszy po-ziom bezpieczeństwa dla wiadomości przekazywanych pocztą głosową.Ad-ministrator musi być uświadomiony w kwestiach bezpieczeństwa i wspólniez personelem zajmującym się bezpieczeństwem skonfigurować system tele-foniczny w sposób umożliwiający ochronę poufnych danych.3.8.Z
ledzenie rozmowyInstrukcja [ Pobierz całość w formacie PDF ]