安全专家告诉我们以下两个事实:第一,即使精通技术的人也对攻击者的物理访问无能为力;其次,设施管理和维护人员成为软目标。
这正是西雅图Providence Health & Services首席信息安全官Eric Cowperthwaite建议开发培训管理员、清洁工和其他设施管理工作人员的特殊培训和意识计划的原因。
他说:“关键在于利用多种传播工具,包括电子媒介、人员授课和纸质材料。”例如,Providence向工作人员分发他们可以装在自己的钱包中的折叠小册子和卡片。每个月,Providence都通过电子邮件发布长度为半页的安全公告,里面的内容包括1个新安全话题以及3~5个如何识别和防止威胁的建议。
当考虑公司面临的潜在威胁时,请记住以下3件事:
1.不要想当然
如果某人佩带着证章,多数雇员会认为他是获得了授权可以出现在这里。但是,美国国家侦察办公室计算机反间谍主管Michael Theis指出,拥有一台彩色打印机的10岁小孩就可以轻松制作假证章。
IT的应对措施:Theis说:“应该通过安全培训让雇员树立他们必须好奇的概念。如果你看到你不认识的人,询问他们的身份。”
Vertafore公司CIO Darryl Lemecha向公司的保安、看门人和物业人员提供外部服务工作人员(如允许进入大楼的送货人员和清洁工)的名单和照片。
2.当心小包裹中的大风险
寄来的信件和包裹可以很容易篡改投递路线,但它们到达公司的邮件设施时却很少被仔细检查,这会造成大问题。Vertafore公司就经常收到存有客户数据的CD、磁带或其他媒介。
IT的应对措施:Vertafore开发了一个确保接收包裹前包裹完好无损的核查流程。Lemecha说:“我们拒绝运输过程中损坏的包裹,因为客户数据可能丢失或被篡改。”
3.改变访问密码
走廊门、电梯以及数据中心大门上的4位或5位数按键锁阻止入侵者的又一道防线。但是,专家说,访问密码常常几年不变。这意味着任何以前在这个大楼中工作过的人仍可以进入他们现在不应当进入的区域。
Benchmark Group工作站管理员Chris Blake说:“我所在的大楼的电梯使用密码,但这个密码自打我们3年前搬到这里就从没有改变过。所有到过这个大楼的人都知道这个密码,但大楼所有者却不愿让我们修改它。”
IT的应对措施:制定一个修改进入安全区域的密码的正规的时间表。此外,当雇员离开公司时,他们的钥匙卡应当被撤销,他们的证章应当被收回并销毁。
