Penso che l'angolo corretto per guardare a questo, è quello di porre la seguente domanda:
Con la quantità di persone che hanno fallito il test, quali obiettivi (di sicurezza) sarebbero stati raggiunti se la compagnia avesse questi nomi?
Direi: nessuno .
Qual è l'obiettivo di sicurezza di un test di phishing a livello aziendale?
Tipicamente in ogni azienda che fa affidamento sull'IT e ha una certa quantità di dipendenti, questi dipendenti sono soggetti a corsi di formazione sulla sicurezza delle informazioni. Questi corsi di formazione riguardano principalmente argomenti di base come la comunicazione via e-mail, la sicurezza del desktop e così via. Quando si esegue un test di phishing, la direzione vuole sapere:
- se questi corsi di formazione hanno avuto successo (come in: vale il loro prezzo)
- se qualsiasi dato o sistema IT che appartiene alla società può essere compromesso a causa della mancanza di un buon addestramento
Se tu, come loro appaltatore, dici che "il 70% dei tuoi dipendenti non ha superato il test", risponde alle due domande precedenti. Se la direzione richiede nomi in un'azienda con oltre 300 dipendenti, non ottiene più informazioni pertinenti e non sta facendo il proprio lavoro correttamente.
Il prossimo passo è ora, per definire un nuovo obiettivo di sicurezza. Dovrebbe leggere qualcosa del genere:
"Nei prossimi X mesi ogni dipendente deve partecipare a una formazione sulla sicurezza. Entro $ mese di $ anno vogliamo che $ appaltatore effettui un altro test di phishing e la percentuale di persone che non superano questo test dovrebbe essere inferiore al X%."
Questi corsi di formazione sarebbero stati più efficienti in termini di costi, se solo quei dipendenti dovessero partecipare, cosa che non ha superato il test di phishing? Probabilmente.
Ma: li presenti al 30% della società (quelli che non devono andare) come "troppo stupidi per identificare un tentativo di phishing". Ciò che fa al morale supera tutto il costo di un semplice invio di tutti i tuoi dipendenti a un corso di formazione. Inoltre: un altro promemoria per il 30% sulla sicurezza delle informazioni non fa davvero male.
C'è un'altra ragione per cui questa è una buona idea: in genere se esegui un test di phishing, non sai, perché la gente non si è innamorata di esso. Forse alcuni di loro non hanno letto l'e-mail perché erano in vacanza, malati o semplicemente ignorati, perché hanno una casella di posta piena di messaggi più importanti. Nessuno può dirti, se passeranno il test la prossima volta. I dipendenti sono sempre il fattore di rischio numero uno, allenati se puoi.
Un altro punto che voglio menzionare è che finora mancavano le risposte, a seconda di come si comunicano i risultati: la maggior parte delle persone si rende conto di non aver superato tale test .
Devi informare i tuoi dipendenti in un modo o nell'altro e presumo che questo è il modo in cui la maggior parte delle aziende lo fa: invia una e-mail aziendale con uno screenshot della mail di phishing.
"Dear employees, sorry to tell you, but this was a phishing test. There is no free yacht waiting for you. The numbers of people who didn't pass the test were bad, that's why we'll have some security trainings in the near future. A contractor did this for us and we did not collect any personal data, so we do not know who clicked on a link and who didn't. There will be no repercussions. Phishing mails can have really really bad consequences such as... yadda, yadda, yadda..".
Le persone controlleranno la loro posta in arrivo e, se non è troppo tempo fa, ricorda cosa hanno fatto. Questo promuoverà l'accettazione di un allenamento sulla sicurezza e un adattamento del comportamento. Invocare paura e fare pressione sulle persone non va bene.