End User Security

Bezpečnosť koncových používateľov

Zosilnite najslabší bezpečnostný článok vo vašej spoločnosti

Bezpečnosť informačných technológií v organizácii je vždy na takej úrovni, na akej je ich najslabší článok. A tým obvykle bývajú koncoví používatelia. Zamestnanci s nízkou úrovňou bezpečnostného povedomia môžu spôsobiť závažné bezpečnostné incidenty. Ani to najlepšie a veľmi nákladné technické zabezpečenie pred nimi organizáciu neuchráni.
Spoločnosť Cleverlance dokáže vďaka prepracovanému súboru aktivít a opatrení bezpečnosť koncových používateľov výrazne zvýšiť. Využívajú sa hlavne testy metódami sociálneho inžinierstva, školenia informačnej bezpečnosti, implementácie bezpečnostnej dokumentácie a procesné audity.

Prečo si vybrať na zaistenie bezpečnosti koncových používateľov práve Cleverlance

• Jedinečný široký tím certifikovaných špecialistov pre rôzne platformy s úplnou zastupiteľnosťou.
• Znalosti a skúsenosti na poli informačnej bezpečnosti za viac ako 20 rokov na trhu.
• Sledovanie trendov a samostatný rozvoj tejto špecifickej oblasti.
• Vlastná metodika aj softvérové nástroje.

Viac o zaistení bezpečnosti koncových používateľov na stránkach AEC (divízia spoločnosti Cleverlance)

Najdôležitejšie výhody a prínosy riešení Cleverlance

• Získate reálnu predstavu, čoho sú vaši používatelia schopní a aké predstavujú riziko.
• Dostanete argumenty na podporu stanovenia bezpečnostných pravidiel pre používateľov, školení na zvýšenie bezpečnostného povedomia apod.
• Už samotná realizácia testov spravidla samovoľne zvyšuje bezpečnostné povedomie zamestnancov organizácie (stávajú sa témou rozhovorov a diskusií).
• Zníži sa riziko úniku údajov napríklad prostredníctvom e-mailovej komunikácie.
  

​Ako konkrétne zaistiť bezpečnosť koncových používateľov

Ak si nie ste istí, či vaši používatelia dokážu odolať útokom založeným na sociálnom inžinierstve, tak si ich vyskúšajte. Tím špecialistov AEC (divízia spoločnosti Cleverlance) podnikne reálne simulácie útokov.

Testy zamerané na sociálne inžinierstvo je vhodné vykonávať v rámci vonkajších aj vnútorných penetračných testov. Prípadne aj samostatne ako overenie správnych návykov používateľov informačných systémov alebo napríklad po školení používateľov o informačnej bezpečnosti.

Ako sociálne inžinierstvo označujeme súbor techník, s ktorých pomocou je možné efektívne útočiť na najslabší článok informačného systému, ktorým je človek, respektíve používateľ. Metódy sociálneho inžinierstva dokážu ľudí prinútiť, aby urobili to, čo útočník chce, a nepremýšľali, či je to správne, alebo nie.

Testy metódami sociálneho inžinierstva

Cieľom testov metódami sociálneho inžinierstva je prinútiť testovanú osobu, aby prezradila určitú informáciu (typicky login, heslo) alebo vykonala určitú činnosť (typicky spustila vírus). Najbežnejšie metódy a kanály sociálneho inžinierstva sú:

• E-mail – testovaným osobám sa rozošle e-mail napríklad s vtipmi a v prílohe je „infikovaný“ súbor s testovacím kódom.
• Telefón – testovaným osobám sa volá pod najrôznejšími zámienkami – napríklad, že ich počítač šíri vírus.
• Fyzický kontakt – pokusy o prienik do chránených priestorov organizácie cez recepciu, dvere na kartu a podobne.
• Distribúcia údajových médií – „náhodné“ rozšírenie údajových médií (CD, USB) obsahujúcich testovací kód po priestoroch organizácie.

Snažíme sa zistiť podrobnosti o prostredí firmy, informačnom systéme, štruktúre siete, mená konkrétnych ľudí, telefónne čísla alebo e-mailové adresy zamestnancov. Zhromaždením často aj pomerne nedôležitých údajov môže potenciálny útočník odvodiť veľa zaujímavých poznatkov, ktoré do značnej miery uľahčujú realizáciu útoku.

Školenie informačnej bezpečnosti

Aktuálne školenia nájdete tu na stránkach AEC.

Rozšírenie a presah školenia:

• Prezentačné – prednášky lektora pre rôzne úrovne vedomostí informačnej bezpečnosti vrátane záverečného testu.
• E-learning – vývoj aplikácií, ktoré zákazník nasadí vo vnútri organizácie, a každý zamestnanec sa vzdeláva sám.
• Bezpečnostný portál – spracovanie podkladov a materiálov pre portál (periodický bulletin obsahujúci aktuality, školiace materiály, bezpečnostnú dokumentáciu, odkazy na zaujímavé weby atp.).

Implementácia bezpečnostnej dokumentácie

Aktuálne informácie o dokumentácii nájdete TU. Implementácia bezpečnostnej dokumentácie logicky spadá pod oblasť Information Security Management System (ISMS).

Procesné audity

Formou interview sú identifikované postupy a bezpečnostné nedostatky procesov napríklad životného cyklu bankového účtu, administrácie aplikácie a podobne. Procesné audity logicky spadajú aj pod oblasť Information Security Management System (ISMS). Tu sú zahrnuté z pohľadu bezpečnosti koncových používateľov.

Propagovanie bezpečnosti

Bezpečnostný portál – spracovanie podkladov a materiálov pre portál (periodický bulletin obsahujúci aktuality, plagáty, komiksy, školiace materiály, bezpečnostnú dokumentáciu, odkazy na zaujímavé weby atď.).

Implementácia bezpečnostnej dokumentácie

• Bezpečnostné politiky – vytvorenie alebo aktualizácia celkovej bezpečnostnej politiky, systémovej bezpečnostnej politiky atď.
• Vytvorenie bezpečnostných príručiek pre administrátorov, používateľov, bezpečnostných manažérov a podobne.

Sociálne siete:

• Preverenie zamestnancov – čo zverejňujú o organizácii na sociálnych sieťach.
• Social hacking – zbieranie informácií o organizácii prostredníctvom falošnej identity na sociálnej sieti.

Metodika, nástroje, technológie

Viac o bezpečnosti koncových používateľov na stránkach AEC (divízia spoločnosti Cleverlance)