Політика соціальних мереж

Що таке Політика соціальних мереж?

Політика соціальних мереж Вашої компанії існує тому, що один необережний пост може розкрити конфіденційну інформацію, завдати шкоди бренду або дати зловмисникам розвідувальні дані для цільової атаки. Ця вправа починається з набору реальних сценаріїв із фактичних інцидентів. В одному працівник публікує у LinkedIn пост про 'велику угоду, що закривається наступного тижня', що надає інформацію конкуренту. В іншому фото, зроблене в офісі, показує монітор зі списком клієнтів. Третій сценарій стосується працівника, який скаржиться на робочі розчарування у спосіб, що порушує правила публічних комунікацій компанії. Ви оцінюєте кожну публікацію, визначаєте конкретний ризик і переписуєте контент, видаляючи загрозу без втрати суті повідомлення. Далі симуляція переходить до Вашої власної активності: Ви переглядаєте макет профілю в соціальних мережах і визначаєте деталі, які зловмисник міг би використати для створення цільової phishing-кампанії проти Вас або Вашої компанії. Посади, структура підпорядкування, згадки технологічного стеку, плани подорожей. Все це корисно для зловмисників.

Що ви дізнаєтесь у Політика соціальних мереж

• Визначати типи корпоративної інформації, яка не повинна з'являтися в особистих або професійних профілях у соціальних мережах
• Оцінювати публікації у соціальних мережах щодо операційних ризиків безпеки, включаючи дані про місцезнаходження, організаційні схеми та технологічні деталі
• Переписувати контент для соціальних мереж, видаляючи конфіденційну інформацію, зберігаючи мету оригінального повідомлення
• Розпізнавати, як зловмисники використовують публічні профілі в соціальних мережах для побудови претекстних сценаріїв цільових атак
• Застосовувати політику соціальних мереж організації до неоднозначних ситуацій, де перетинаються особисте самовираження та корпоративний ризик

Політика соціальних мереж — Кроки навчання

1. Ласкаво просимо до Catalyst Innovations

   Це звичайний ранок середи. Ви влаштувалися у своєму домашньому офісі і збираєтеся перевірити свої повідомлення.

2. Повідомлення від Марка

   У телефоні Аліси дзижчить повідомлення Telegram від її колеги Марка Чена, старшого розробника в команді.

3. Публікація Марка на LinkedOut

   Зацікавившись тим, чим поділився Марк, Аліса відкриває LinkedOut на робочому столі, щоб знайти його публікацію.

4. Що Марк поділився

   Пост Марка викликає ентузіазм, але подивіться уважніше, яку інформацію він оприлюднив.

5. Електронний лист від TechForge

   Минуло п'ять днів. Аліса отримує електронний лист, очевидно, від TechForge Solutions про співпрацю в проекті Helios.

6. Натиснувши посилання

   Електронний лист виглядає законним – у ньому згадується проект Helios, згадується ім’я Марка та відомо про кінцевий термін Q2. Аліса натискає посилання, щоб отримати доступ до партнерського порталу.

7. Вхід на портал

   Партнерський портал просить Алісу ввійти за допомогою її робочих облікових даних.

8. Помилка автентифікації

   На сторінці відображається помилка автентифікації. Дивно – Аліса впевнена, що ввела свій пароль правильно. В її животі утворюється вузол. Чому не працює? Вона вирішує почекати і спробувати ще раз пізніше, але почуття неспокою залишається.

9. Щось не так

   Через дві години Аліса отримує терміновий електронний лист від Центру безпеки інновацій Catalyst.

10. Домен відправника

    Аліса розуміє, що сталося. Давайте повернемося до вихідного електронного листа та розглянемо червоні прапорці, які вона пропустила. По-перше, адреса електронної пошти відправника.