Повышение осведомлённости персонала в вопросах информационной безопасности

Тестирование с элементами социальной инженерии – наиболее действенная проверка знаний сотрудников в вопросах информационной безопасности при работе с критичными технологиями. Для проверки осведомленности в вопросах работы с электронной почтой и интернетом подготавливаются и рассылаются письма, содержащие текст, подталкивающий пользователя на:

• переход по ссылке на подготовленный фишинговый ресурс, визуально дублирующий оформление корпоративных или известных сайтов, и ввод на нем данных корпоративной учётной записи;
• запуск вложения к письму, содержащеuj подготовленную троянскую программу, с целью получения доступа к корпоративной рабочей станции;
• загрузку по ссылке пиратского контента на корпоративную рабочую станцию и др.

Для тестирования в вопросах обращения с парольной и конфиденциальной информацией, а также по ряду других тем, осуществляются звонки пользователям как с внешних, так и с внутренних номеров, от имени системных администраторов, прочих сотрудников компании, контрагентов. Специально подготовленные flash-накопители, содержащие подготовленную троянскую программу, «случайно» оставленные в публично доступном месте на территории офиса, используются для тестирования осведомленности при работе с накопителями. Для усиления эффекта могут содержать пометку о конфиденциальности. Могут быть разработаны различные векторы тестирования под конкретные цели, в том числе с использованием соцсетей, SMS и др.