[ Pobierz całość w formacie PDF ]
.W pewnych wypadkach konieczne jest polecenie wszystkim pracownikomdziału zwalnianej osoby dokonania zmiany haseł.(Kiedy zostałem zwol-niony z GTE z powodu mojej reputacji hakera, firma poleciła zmianę hasełwszystkim pracownikom firmy).17.2.Informowanie działu informatykiInstrukcja.Za każdym razem, gdy firma kogoś zwalnia, kadry powinnyniezwłocznie powiadomić o tym dział informatyki, aby zlikwidowane zosta-ły jego konta, w tym konta używane do korzystania z baz danych, do łącze-nia się przez modem lub Internet ze zdalnych lokalizacji.Uwagi.Bardzo istotne jest dezaktywowanie wszelkiego rodzaju możliwo-ści dostępu byłego pracownika do systemów komputerowych firmy, urzą-dzeń sieciowych, baz danych i innych z chwilą jego zwolnienia.Nie robiąctego, firma zostawia  otwarte drzwi niezadowolonym pracownikom, któ-rzy mogą dostać się do systemu i wyrządzić w nim znaczne szkody.35017.3.Tajne informacje wykorzystywane w procesie rekrutacyjnymInstrukcja.Ogłoszenia i inne formy publicznej rekrutacji kandydatów nawolne miejsca pracy powinny w miarę możliwości unikać identyfikacjisprzętu komputerowego i oprogramowania używanego przez firmę.Uwagi.Kierownictwo oraz personel działu kadr powinny ujawniać tylkotyle informacji na temat stosowanego przez firmę sprzętu i oprogramowa-nia, ile jest niezbędne, aby otrzymać aplikacje od odpowiednio wykwalifiko-wanych kandydatów.Hakerzy czytają gazety, informacje publikowane przez firmy i odwiedza-ją strony internetowe w poszukiwaniu ofert pracy.Często firmy ujawniająwiele informacji o stosowanym sprzęcie i oprogramowaniu, aby zachęcić po-tencjalnych kandydatów.Intruz wyposażony w wiedzę na temat systemówinformatycznych firmy jest gotowy do drugiej fazy ataku.Na przykład wie-dząc, że firma korzysta z systemu VMS, napastnik może wykonać telefon,aby wyłudzić numer stosowanej wersji systemu, a następnie przesłać fałszy-wy awaryjny pakiet aktualizacyjny wydający się pochodzić od producenta.Po jego zainstalowaniu napastnik jest już  w środku17.4.Osobiste dane pracownikaInstrukcja.Dział kadr nie może ujawniać informacji osobistych dotyczącychaktualnie zatrudnionych lub byłych pracowników, osób wykonujących zle-cenia, konsultantów czy zatrudnionych tymczasowo, chyba że pracowniklub szef działu kadr wyraził wcześniej pisemną zgodę.Uwagi.A
owcy głów, prywatni detektywi i złodzieje tożsamości poszukujączęsto danych pracownika, takich jak numer pracownika, numer NIP, dataurodzenia, historia zarobków, dane finansowe łącznie z informacjami o de-pozytach, dane ubezpieczeniowe.Socjotechnik dzięki tym informacjom może podawać się za daną osobę.Poza tym nazwiska nowo zatrudnionych mogą być niezwykle cennym łu-pem dla złodziei informacji.Nowi pracownicy zwykle podporządkowują sięprośbom osób z większym stażem i władzą oraz każdej osobie, która oświad-czy, że zajmuje się sprawami bezpieczeństwa.17.5.Wywiad na temat pracownikówInstrukcja.Wymagane jest dokonanie wywiadu na temat każdego nowoprzyjętego pracownika, wykonawcy zlecenia, konsultanta i pracownikatymczasowego przed zaoferowaniem stałej umowy o pracę lub kontraktu.351Uwagi.Z uwagi na koszty, wymaganie przeprowadzenia wywiadu możnaograniczyć do pewnych stanowisk, na których muszą znalez
ć się ludzie god-ni zaufania.Z drugiej strony, należy pamiętać, że każda osoba, której udzie-lamy fizycznego dostępu do biur firmy, stanowi potencjalne zagrożenie.Naprzykład ekipy sprzątające mają dostęp do biur pracowników, a tym samymdo znajdujących się tam systemów komputerowych.Napastnik posiadającyfizyczny dostęp do komputera może zainstalować sprzętowy skaner klawia-tury do przechwytywania haseł w czasie krótszym niż minuta.Intruzi komputerowi czasami są gotowi postarać się o zatrudnienie w fir-mie, aby uzyskać dostęp do systemów komputerowych i sieci.Napastnikmoże w prosty sposób zdobyć nazwę firmy wykonującej tam usługi zwią-zane ze sprzątaniem pomieszczeń.Może, na przykład, zadzwonić do osobyodpowiedzialnej za te sprawy i podać się za przedstawiciela podobnej firmyusługowej szukającej zleceń, by otrzymać nazwę firmy, która bieżąco zajmu-je się tym w interesującym go przedsiębiorstwie.Instrukcje dotyczące bezpieczeństwa fizycz-negoCo prawda socjotechnicy starają się nie pojawiać osobiście w firmach, któ-re zamierzają zaatakować, jednak zdarzają się wyjątki.Opisane tu instrukcjepomogą zabezpieczyć teren firmy przed zagrożeniami.18.1.Identyfikacja osób niezatrudnionychInstrukcja.Dostawcy oraz inne osoby niezatrudnione, które mają potrzebęregularnego wchodzenia na teren firmy, muszą posiadać specjalne identyfi-katory lub inne formy identyfikacji zgodne z instrukcją ustanowioną przezochronę firmy.Uwagi.Osobom niezatrudnionym, które muszą regularnie wchodzić na te-ren firmy (na przykład dostawcy jedzenia i napojów do bufetów, serwisan-ci kserokopiarek lub telemonterzy), powinno się wydać specjalnie stworzonedo tego celu identyfikatory.Inne osoby, które mają potrzebę wchodzenia nateren firmy od czasu do czasu lub jednorazowego wejścia, muszą być trakto-wane jako goście i powinny być każdorazowo eskortowane.35218.2.Identyfikacja gościInstrukcja.Każdy gość musi okazać dowód osobisty lub inny dokument zezdjęciem, aby zostać wpuszczonym na teren firmy.Uwagi.Pracownicy ochrony lub recepcjonistka powinni zrobić kopię doku-mentu przed wydaniem identyfikatora.Kopia powinna być przechowywanaw dzienniku gości [ Pobierz całość w formacie PDF ]