Non puoi impedire completamente l'ingegneria sociale, quindi devi lavorare sulla limitazione dei danni. L'ingegneria sociale funziona solo su persone che hanno il privilegio di fare qualcosa o di sapere qualcosa di importante. Se rimuovi le informazioni sensibili e i privilegi rischiosi, riduci in maniera massiccia il tuo impatto sulla sicurezza.
Quello che stai cercando è separazione dei compiti , combinato con un'autenticazione corretta. Cioè, tu dai a ciascun utente i privilegi minimi assoluti di cui hanno bisogno per svolgere il proprio lavoro, ma permetti loro di trasformare un'attività o una procedura a un superiore che abbia i privilegi richiesti, o di passare l'operazione a un dipartimento alternativo che abbia il privilegio richiesto. Fornisci inoltre meccanismi di autenticazione appropriati per rafforzare l'identità.
Ad esempio, in una banca potresti dare al personale del call center la possibilità di modificare il limite di credito, ma non la possibilità di contrassegnare una transazione come fraudolenta. Il reparto frodi sarebbe in grado di contrassegnare una transazione, ma non modificare il limite di credito. Inoltre, il personale del call center non ha potuto approvare un prestito direttamente, ma sarebbe in grado di inviare la richiesta di prestito al proprio responsabile, che può approvare o respingere la domanda. Tutti gli accessi al sistema devono essere implementati con una password e un token hardware (ad es. Carta magnetica, RSA Securekey, ecc.), In modo tale che l'identità venga applicata e sia possibile dimostrare una catena di custodia.
Per accedere a posizioni privilegiate (ad es. server room o un accesso tramite SSH) è necessario richiedere l'autenticazione a più fattori. L'ingegneria sociale è efficace nell'ottenere cose che conosci, ma non è neanche lontanamente così efficace nell'ottenere cose che hai o sono. Utilizzare la corretta sicurezza fisica e l'autenticazione digitale che richiede l'autenticazione a due o tre fattori per ottenere l'accesso. Nei casi in cui si accede a un asset altamente sensibile, è necessaria l'autenticazione a più fattori da più di un dipendente.
Oltre a tutto ciò, usa la registrazione di controllo ovunque. Ogni singolo cambiamento effettuato da una persona deve essere registrato, con le misure appropriate adottate per garantire che i registri non possano essere distrutti o falsificati. Questo fornisce un modo per identificare i problemi, e ti lascia con ricorso legale se un dipendente fa qualcosa di malevolo.