Tips & Tricks - Tips om uw organisatie te beschermen tegen fysieke social engineering
Tijdens cybersecurity audits bij twee verschillende organisaties verkreeg ik via social engineering (impersonatie) fysieke toegang hun kritieke assets.
Tips
Graag geef ik enkele tips om uw organisatie tegen fysieke social engineering te beschermen.
Beperk de digitale voetafdruk van uw organisatie
Let op welke informatie u openbaar deelt op het internet. Wees terughoudend met het online publiceren van namen, rollen en foto's van personeel. Deze informatie is een goudmijn voor aanvallers die een geloofwaardige dekmantel willen creëren.
Cultiveer waakzaamheid
Maak medewerkers duidelijk dat ze op hun intuïtie mogen vertrouwen en altijd voldoende tijd mogen nemen om zaken te verifiëren. Laat hen weten dat waakzaamheid altijd gewaardeerd wordt en nooit gestraft zal worden, ook als het uiteindelijk om een vals alarm blijkt te gaan.
Verplicht verificatie bij elke interventie
Verifieer steeds afspraken en identiteiten. Een logo op een polo, een visitekaartje en documentatie kunnen namelijk makkelijk geloofwaardig worden nagemaakt. Implementeer procedures waarbij de overdracht van informatie altijd wordt bevestigd via een vooraf bekend en betrouwbaar kanaal.
Creëer extra fysieke verdedigingslinies
Houd kritieke assets steeds achter vergrendelde deuren of in gesloten kasten en beveilig de toegang tot werkstations met een wachtwoord. Deze extra perimeters vertragen de aanvaller, waardoor de kans veel groter wordt dat een medewerker een verdachte situatie opmerkt.
Spreken is zilver, zwijgen is goud
Vermeld tijdens gesprekken nooit als eerste de namen van medewerkers in uw organisatie of namen van partnerbedrijven en hun medewerkers. Zo geeft u aanvallers geen mogelijkheid om hun dekmantel te versterken.