Ljudski resursi kritična su karika u lancu sigurnosti svakog informacijskog sustava. O znanju korisnika, njihovim stavovima i navikama ovisi hoće li se iskoristiti svi sustavi zaštite koji osiguravaju infrastruktura, tehnički sustavi, zakoni te propisi i pravila.
Metode i postupci kojima se napada ljudski faktor radi proboja zaštite informacijskog sustava zajedničkim se imenom zovu „socijalni inženjering“. Ranjivost ljudskih resursa na napad tehnikama socijalnog inženjeringa teško se može provjeriti automatskim alatima.
Za uspješno testiranje ljudskih ranjivosti potreban je intenzivan rad iskusnih profesionalaca koji dobro poznaju tehnike i metode koje koriste socijalni inženjeri. Neke od tih metoda su:
- prikupljanje informacija o žrtvi,
- phishing - lažne e-mail poruke i lažne web stranice,
- baiting - mamljenje žrtava da kopiraju na svoje računalo zaražene sadržaje
- fizički prodor u prostorije organizacije,
- lažni telefonski pozivi itd.
Osim klasičnih metoda, ranjivost zaposlenika i organizacije može se ispitati i metodom anketiranja zaposlenika, odnosno utvrđivanjem njihovih stavova i navika, te metodom inspekcije prostorija organizacije.
Kako bi se organizacija adekvatno zaštitila od socijalnog inženjeringa potrebna je:
- redovita provedba sigurnosnih testiranja socijalnim inženjeringom,
- edukacija zaposlenika o socijalnom inženjeringu, sigurnosnim rizicima i pravilnim postupcima u rukovanju dokumentima i tehnologijom,
- izrada internih propisa i procedura,
- izrada i primjena sigurnosne politike organizacije te
- vanjska kontrola primjene sigurnosnih procedura.
Cjenik za usluge penetracijskog testiranja ljudskih resursa možete pogledati na stranici: Pentest kalkulator.