End User Security

Latest tweets

O naše zkušenosti s vývojem a dodávkou MOBILNÍ BANKY se podělí @JiriProchazka. Mobile Monday, 3. 6., Bratislava - http://t.co/SzetzdhqKw

Naši kolegové a kolegyně přijali výzvu v podobě akce #dopracenakole. Přejeme, ať jim to šlape! http://t.co/KnCLqaKiDa

Kariéra

Další pozice

Přehled
Technické informace

Bezpečnost koncových uživatelů
Zesilte nejslabší bezpečnostní článek ve vaší společnosti

Bezpečnost informačních technologií v organizaci je vždy na takové úrovni, na jaké je jejich nejslabší článek. A tím obvykle bývají koncoví uživatelé. Zaměstnanci s nízkou úrovní bezpečnostního povědomí mohou způsobit závažné bezpečnostní incidenty. Ani sebelepší a sebenákladnější technické zabezpečení před nimi organizaci neuchrání.
Společnost Cleverlance dokáže díky propracovanému souboru aktivit a opatření bezpečnost koncových uživatelů výrazně zvýšit. Využívají se hlavně testy metodami sociálního inženýrství, školení informační bezpečnosti, implementace bezpečnostní dokumentace a procesní audity.
Proč si vybrat pro zajištění bezpečnosti koncových uživatelů právě Cleverlance

Jedinečný široký tým certifikovaných specialistů pro různé platformy s plnou zastupitelností.
Znalosti a zkušenosti na poli informační bezpečnosti za více než 20 let na trhu.
Sledování trendů a samostatný rozvoj této specifické oblasti.
Vlastní metodika i softwarové nástroje.

Více o zajištění bezpečnosti koncových uživatelů na stránkách AEC (divize společnosti Cleverlance)

Nejdůležitější výhody a přínosy Cleverlance řešení

Získáte reálnou představu, čeho jsou vaši uživatelé schopni a jaké představují riziko.
Dostanete argumenty na podporu stanovení bezpečnostních pravidel pro uživatele, školení ke zvýšení bezpečnostního povědomí apod.
Už samotná realizace testů zpravidla samovolně zvyšuje bezpečnostní povědomí zaměstnanců organizace (stávají se tématem rozhovorů a diskuzí).
Sníží se riziko úniku dat například prostřednictvím e-mailové komunikace.

Jak konkrétně zajistit bezpečnost koncových uživatelů
Pokud si nejste jisti, zda vaši uživatelé dokážou odolat útokům založeným na sociálním inženýrství, tak si je vyzkoušejte. Tým specialistů AEC (divize společnosti Cleverlance) podnikne reálné simulace útoků.
Testy zaměřené na sociální inženýrství je vhodné provádět v rámci vnějších i vnitřních penetračních testů. Případně i samostatně jako ověření správných návyků uživatelů informačních systémů nebo například po školení uživatelů o informační bezpečnosti.
Jako sociální inženýrství označujeme soubor technik, s jejichž pomocí lze efektivně útočit na nejslabší článek informačního systému, kterým je člověk, respektive uživatel. Metody sociálního inženýrství dokážou lidi přimět, aby udělali to, co útočník chce, a nepřemýšleli, zda je to správné, nebo ne.

Testy metodami sociálního inženýrství

Cílem testů metodami sociálního inženýrství je přimět testovanou osobu, aby prozradila určitou informaci (typicky login, heslo) nebo vykonala určitou činnost (typicky spustila virus). Nejběžnější metody a kanály sociálního inženýrství jsou:

E-mail – testovaným osobám se rozešle e-mail například s vtipy a v příloze je „infikovaný“ soubor s testovacím kódem.
Telefon – testovaným osobám je voláno pod nejrůznějšími záminkami - například, že jejich PC šíří virus.
Fyzický kontakt – pokusy o průnik do chráněných prostor organizace přes recepci, dveře na kartu a podobně.
Distribuce datových médií – „náhodné“ rozšíření datových médií (CD, USB) obsahujících testovací kód po prostorách organizace.

Snažíme se zjistit podrobnosti o prostředí firmy, informačním systému, struktuře sítě, jména konkrétních lidí, telefonní čísla nebo e-mailové adresy zaměstnanců. Shromážděním často i poměrně nedůležitých údajů může potenciální útočník odvodit spoustu zajímavých poznatků, které do značné míry usnadňují provedení útoku.

Školení informační bezpečnosti
Aktuální školení naleznete zde na stránkách AEC.

Rozšíření a přesah školení:

Prezentační – přednášky lektora pro různé úrovně znalostí informační bezpečnosti včetně závěrečného testu.
E-learning – vývoj aplikací, které zákazník nasadí uvnitř organizace, a každý zaměstnanec se vzdělává sám.
Bezpečnostní portál – zpracování podkladů a materiálů pro portál (periodický bulletin obsahující aktuality, školicí materiály, bezpečnostní dokumentace, odkazy na zajímavé weby atp.).

Implementace bezpečnostní dokumentace
Aktuální informace o dokumentaci naleznete ZDE. Implementace bezpečnostní dokumentace logicky spadá pod oblast Information Security Management System (ISMS).
Procesní audity
Formou interview jsou identifikovány postupy a bezpečnostní nedostatky procesů například životního cyklu bankovního účtu, administrace aplikace a podobně. Procesní audity logicky spadají také pod oblast Information Security Management System (ISMS). Zde jsou zahrnuty z pohledu bezpečnosti koncových uživatelů.
Propagace bezpečnosti

Bezpečnostní portál - zpracování podkladů a materiálů pro portál (periodický bulletin obsahující aktuality, plakáty, komiksy, školicí materiály, bezpečnostní dokumentace, odkazy na zajímavé weby atd.).
Implementace bezpečnostní dokumentace

Bezpečnostní politiky - vytvoření či aktualizace celkové bezpečnostní politiky, systémové bezpečnostní politiky atd.
Vytvoření bezpečnostních příruček pro administrátory, uživatele, bezpečnostní manažery a podobně.

Sociální sítě:

Prověření zaměstnanců – co zveřejňují o organizaci na sociálních sítích.
Social hacking – sbírání informací o organizaci prostřednictvím falešné identity na sociální síti.

Metodika, nástroje, technologie

Více o bezpečnost koncových uživatelů na stránkách AEC (divize společnosti Cleverlance)