|
Процесс проверки требует балансировочного акта, который каждая компания должна определить для себя: безопасность против продуктивности. Какой приоритет будет назначен для усиления мер безопасности? Будут ли сотрудники сопротивляться следованию процедур безопасности, и даже обходить их в порядке дополнения к их рабочим обязанностям? Понимают ли сотрудники почему безопасность важна для компании и для них самих? На эти вопросы должны быть найдены ответы чтобы разработать политику безопасности, основанную на корпоративной культуре и деловых нуждах. Большинство людей неизбежно видят досаду во всем, что пересекается с выполнением их работы, и могут обойти любые меры безопасности, которые кажутся пустой тратой времени. Мотивировать сотрудников сделать безопасность частью их повседневных обязанностей через обучение и осведомленность – это и есть ключ. И хотя сервис “caller ID” никогда не должен использоваться в смысле аутентификации для голосовых звонков извне компании, другой метод, называемый Автоматическим Определением Номера (АОН – Automated Number Identification, ANI), может. Эта услуга предоставляется когда компания подписывается на бесплатные услуги, где компания платит за исходящие звонки и надежна для идентификации. В отличие от “caller ID”, коммутатор телефонной компании не использует любого рода информацию, которая посылается от потребителя когда предоставляется номер вызывающего. Номер, передаваемый АОН’ом, является оплачиваемым номером, назначенным звонящей стороне. Заметьте, что несколько изготовителей модемов добавили функцию “caller ID” в их продукты, защищая корпоративную сеть путем дозволения звонков удаленного доступа только из списка заранее авторизованных телефонных номеров. Модемы с “caller ID” – дупустимая мера аутентификации в низко‑безопасном окружении, но, как уже должно быть ясно, подмена caller ID – относительно простая техника для компьютерных злоумышленников, и поэтому не должна служить опорой для подтверждения личности звонящего или местнонахождения в обстановке высокой безопасности. Чтобы адресовать случай с воровством личности, как в истории с обманом администратора для создания ящика голосовой почты на корпоративной телефонной системе, сделайте такую политику, чтобы весь телефонный сервис, все ящики голосовой почты, и все записи в корпоративный справочник, обоих видов – печатные и онлайновые – должны быть запрошены в письменном виде, на бланке/форме по назначению. Менеджер сотрудника должен подписать запрос, а администратор голосовой почты должен проверить подпись. — 147 —
|