Come scrivere una e-mail riguardante la sicurezza IT che verrà letta e non ignorata dall'utente finale?

Un piccolo trucco che ho imparato anni fa: metti la tua email in questo modo:

Short Version

• Small number of very short succinct points
• If X, then you need to do this
• Else, then you need to do that (or don't need to do anything)

Long Version or Full Details

...and here you lay out whatever full version you want.

Il 97% dei tuoi utenti non leggerà mai la versione lunga, quindi fai il conteggio della versione breve. Tuttavia , la chiave qui è che la maggior parte degli utenti leggerà la versione breve se gli viene data una scelta tra quella e la versione lunga . Quando inserisci l'intestazione della sezione "Versione breve", stai attirandoli a leggerlo perché ritengono di poter "scappare" semplicemente leggendo la versione breve. È tipo psicologia o qualcosa del genere.

Molti dei tuoi utenti continueranno a non leggere i messaggi indipendentemente da ciò che fai . Tuttavia, grazie a questo metodo, ho ottenuto percentuali di successo migliori rispetto a non.

Poiché @gowenfawr dice molti utenti non leggeranno i messaggi non importa quello che fai .

Quindi, nei casi in cui è necessario garantire che il messaggio sia stato consegnato al cervello e non solo alla posta in arrivo, o al comportamento, ciò di cui hai bisogno è un meccanismo di feedback.

Può essere semplice, usando un approccio sociale - per esempio chiedendo agli utenti una domanda essenzialmente falsa fornendo informazioni. Ad esempio, se stai fornendo diversi metodi per gestire un determinato problema, potresti chiedere loro di dirti quale è più adatto per il loro lavoro o chiedere loro di ordinarli secondo convenienza e insistere sulla risposta. Le persone che non rispondono probabilmente non l'hanno letto e puoi seguirle.

Puoi fare un ulteriore passo avanti e creare effettivamente un test rapido che devono completare per dimostrare che hanno "ricevuto il messaggio" (questo farà causa reclami, ma è efficace e nel caso in cui tu riceva il luce verde dalla gestione questo approccio può davvero trasformare alcune cose intorno.

Mi considero di avere elevate competenze tecniche, e di solito mi trovo a scremare o semplicemente ignorando me stesso questo tipo di messaggi. Tuttavia, di recente stavo installando un prodotto Google con la seguente intestazione:

Please read this carefully - It's not just the usual yada yada.

Data la natura leggera di questo, mi sono ritrovato a leggere a fondo i documenti e ho iniziato a usare questa tecnica nel mio lavoro.

Ho riscontrato che gli utenti leggono generalmente i messaggi amministrativi quando viene stabilita una connessione fisica / psicologica tra il sysadmin e l'utente. Questo, nel caso di Google, era un'osservazione di jokey.

Un altro metodo che si è dimostrato efficace è l'aggiunta di interattività al tuo messaggio con una ricompensa molto chiara per l'interazione . Qualcosa di semplice come "Sei d'accordo con questo SÌ | NO" o pollice su / giù per determinate politiche, e una ricompensa del credito di stampa, per esempio.

Alcuni punti che mi vengono in mente:

• Sii conciso e preciso. I messaggi troppo lunghi vengono generalmente eliminati.

• Categorizza il messaggio utilizzando l'argomento: manutenzione, avviso, importante. E rendi l'argomento chiaro (ma breve).

• Se possibile, configura il client di posta elettronica per colorare le intestazioni delle email per impostazione predefinita. Con un insieme coerente di regole puoi ottenere più attenzione. Rendi la cosa importante in rosso, ma non abusarne.

• Finalmente, allena il tuo utente. Organizzare sessioni di sensibilizzazione per insegnare loro come reagire. Il messaggio di manutenzione importante è? Cosa devo fare quando ricevo un avviso importante? Chi mi manda un avviso?

Un punto è inviare messaggi di posta elettronica solo quando è importante e critico da leggere - non usarli per newsletter normali o informazioni noiose - gli utenti impareranno a ignorarli molto rapidamente.

Per la consapevolezza della sicurezza generale, usa ogni volta diversi meccanismi e rendila interessante, vale la pena o se fallisce: obbligatorio, ad esempio, con la cancellazione annuale della politica d'uso aziendale accettabile.

Come ha detto @RobertDavidGraham - non inviare loro e-mail di manutenzione - queste dovrebbero provenire da operazioni o comunque cambiare gestione.

Penso che non puoi guardare solo un messaggio di posta. Avendo visto i nostri gruppi IT e ITSEC evolversi nel corso degli anni, ho notato che la percezione comune di loro ha a che fare con il complesso corpo di e-mail che hanno emesso, niente viene risolto con pochi grandi messaggi di posta elettronica.

Ecco alcuni pensieri generali:

• non utilizzare un solo mezzo di comunicazione : so che vuoi risolvere questo problema con 1 e-mail succinta, ma potrebbe non essere fattibile. Quando qualcosa è importante - spediscilo più volte e rendi gli utenti consapevoli delle ripetizioni. Ogni volta che un pezzo di informazione è presente nella posta elettronica, c'è anche un archivio sul sito aziendale interno a cui gli utenti possono accedere facilmente, e averlo in cima alla pila per i ragazzi che fanno il supporto telefonico. Quando è assolutamente critico, prendi in considerazione la possibilità di postare segnali alle uscite principali.

• aiuta la priorità degli utenti - hai già elencato una bella raccolta di tipi tipici di messaggi. Alcuni di questi sono drop dead must-know-on-a-deadline (cioè, stiamo aggiornando il tuo computer, se non fai quello che ti diciamo, ci vorranno 3 giorni per ripristinare un sistema funzionante), alcuni sono piccoli cambiamenti che potrebbero non interessarli. Per le grandi cose, colpiscili strong. Per le cose minori - dai loro gli strumenti, in primo piano, per determinare se si adattano a un gruppo interessato. Ciò significa che devi conoscere abbastanza i tuoi utenti e come si definiscono per dare al tuo pubblico una linea di base.

• fai attenzione, in generale, al rapporto tra rumore e volume : i messaggi giornalieri, indipendentemente da quanto significhi, verranno ignorati. Gli utenti non si preoccupano molto della sicurezza. Raggruppa le modifiche di grande impatto insieme, trova un modo di mostrare le informazioni a bassa priorità sull'argomento come priorità bassa e sii consapevole, nel complesso, di quante informazioni il tuo dipartimento pubblica nel suo insieme.

Lol.

La prima cosa è rendersi conto che gli utenti generalmente ignorano tutte le tue e-mail. Smetti di immaginare che questo problema possa essere risolto.

Certamente, ci sono cose che puoi fare per rendere le tue e-mail lette da altri utenti.

No, i messaggi HTML non sono migliori. Gli studi hanno dimostrato che gli utenti prestano maggiore attenzione ai messaggi di testo e alle pagine HTML.

Più breve è l'e-mail, meglio è. Più lunga è l'e-mail, più è probabile che l'utente lo ignori. Oppure, se l'utente lo legge, leggerà solo le prime due frasi. Considera la piramide inversa degli articoli di giornale: il bit più importato è nella prima frase, il primo paragrafo, la prima sezione. Più prosegui nell'articolo, meno diventa importante l'informazione, in parte perché i lettori possono annoiarsi e scaricare la cauzione prima di finire l'articolo.

Smetti di dirgli cosa fare. "Chiudi tutte le applicazioni e disconnetti per le patch" è una stupida email. Una migliore è "Il sistema verrà riavviato per il patching, se hai applicazioni aperte, potresti perdere i dati".

Interrompere l'invio di e-mail inutili come "La manutenzione verrà eseguita alle 23:00 e alle 06:00. Aspettatevi un'interruzione del servizio". Non si applica comunque al 99% degli utenti, quindi perché preoccupare tutti con qualcosa che si applica all'1% degli utenti? Quelle persone che lavorano a tarda ora sanno che le interruzioni sono probabilmente dovute comunque alla manutenzione.

Più email invii, più è probabile che vengano ignorate. Invia il minor numero possibile - o anche meno.

Per esempio, smetti di phishing i tuoi utenti dicendo loro che hanno bisogno di installare una patch. Quando invii loro tali e-mail in modo legittimo, sono più probabilità di essere vittime di attacchi di phishing che sembrano identici alle e-mail che hai inviato, ma che puntano a una falsa patch.

Sì, l'indirizzo DA è importante. Sì, l'argomento è importante. Puoi presumere che leggano la riga dell'oggetto e che di solito è l'unica cosa che leggono. Certo, se provi a mettere l'intera email nella riga dell'oggetto, O FACCIA TUTTI I CAPS, è probabile che venga ignorata.

Osservazioni:

Alcuni utenti potrebbero capire che il tuo messaggio è importante ma comunque "lasciarlo per dopo", o pensare che sia un buon riferimento ma metterlo da parte per un tempo in cui "succede qualcosa di brutto" (accade molto con i nostri messaggi di consapevolezza ).

Ho anche dovuto affrontare l'insistenza dei manager di livello medio che tutti i messaggi indirizzati internamente all'organizzazione dovrebbero seguire un certo stile ufficiale, un sicuro spegnimento per qualsiasi utente che inizierebbe a leggerli.

Quindi, i miei 2 suggerimenti:

1. Pensa al tuo pubblico. Cosa li rende interessati, cosa cattura la loro attenzione, come potrebbero ricevere il tuo messaggio. Sono i tuoi colleghi, dopo tutto.

2. Concentrati sui messaggi importanti, ovvero Training della consapevolezza o Notifiche automatiche. Se sono davvero importanti, allora componili in uno stile che li renderà "irresistibili".

Alcuni suggerimenti (utili soprattutto per i messaggi di sensibilizzazione):

• Abbassa il gergo ufficiale delle organizzazioni, lascia la legalese, sii personale.

• Cerca di pensare come i tuoi utenti, poni domande ipotetiche che li faranno pensare al "cosa succede se". Rendi eccitanti i tuoi discorsi sulla sicurezza! E che ne dite di renderli un po 'preoccupati per la sicurezza dei propri dati personali? Un sistema sfruttato potrebbe essere usato per rubare dati personali e aziendali. Bonus aggiuntivo: prendono la lezione a casa.

• Usa caselle di testo (a colori) per riepilogare il tuo messaggio. I loro occhi li avranno lì.

• Lascia dei suggerimenti sulle loro responsabilità nell'organizzazione.

Un trucco che ho usato con un certo successo per cose che richiedono azioni dell'utente è di inviarlo una richiesta di riunione. Trick funziona per diversi motivi:

• Le persone tendono a rispondere alle richieste di riunione.
• Consente di creare promemoria prima di eventi che richiedono azioni dell'utente.
• In realtà mette le cose come i tempi di inattività programmati nei calendari delle persone.

Non lo farei per tutto perché potrebbe diventare controproducente, ma per cose abbastanza importanti ha senso.

Per i messaggi di avviso sui virus, oltre a modificare il contenuto del messaggio, assicurarsi che l'intestazione From: del messaggio provenga dal gestore di linea dell'utente. CC anche quella persona. Non è questo inganno? No. È responsabilità del manager di linea assicurarsi che le politiche siano divulgate e seguite dai loro rapporti, quindi stai inviando il messaggio per loro conto.

Per i tempi di inattività e le notifiche di manutenzione, ci sono due fattori: il primo è quello di evitare che gli utenti interrompano la manutenzione. Il secondo è che dovresti considerare di avvisare gli utenti tramite i sistemi broadcast o message-of-the-day, perché come hai trovato la posta elettronica non è un buon mezzo.

Se hai davvero qualcosa da dire (non il tipo di interruzione prevista per la posta elettronica), puoi inserire il nome del destinatario nell'oggetto . Sì, questo è quello che di solito fanno gli spammer.

Soggetto come Richard, per favore guarda presta immediatamente attenzione e tu dai circa 10 secondi a esprimi il problema in breve (es. spiega le politiche sono cambiate, il software è aggiornato, ecc.)

Si prega di mai usarlo per i messaggi any autogenerati.
Assicurati che l'indirizzo Da sia autorizzato in tutti i computer.

Il fatto è che gli utenti che non sanno molto dei computer non si preoccupano molto dell'email che non capiscono. Inoltre, secondo punto, le persone si abituano a email simili che arrivano spesso e iniziano a non leggerle.

Puoi fare qualcosa contro quello ... probabilmente non così tanto.

Consiglierei di inserire alcune categorie nella tua email come titolo. Consiglierei di creare un CODICE COLORE per ogni categoria. Consiglierei di scrivere una breve istruzione all'inizio del corpo e una lunga informazione dettagliata subito dopo la breve dichiarazione.

Inoltre, prenditi cura delle parole che userai e cerca di capire che alcune persone non hanno familiarità con i termini tecnici del computer. Evita di usarli o se vengono utilizzati definiscili.

Pensa a cosa pensano le persone non tecniche quando le avvisi su un virus? Pensano di avere una bestia nella macchina ... e nient'altro.

Sii pedagogico con loro. Usa parole che conoscono. Sii chiaro su cosa dovrebbero fare.

Molte risposte eccellenti qui, l'unica cosa che vale la pena di aggiungere è, per il caso RARE che veramente richiede l'attenzione e / o la risposta degli utenti, molti client di posta elettronica (ad esempio Outlook ) consente al mittente di designare una data / ora di promemoria, momento in cui il client potrebbe effettivamente visualizzare un messaggio di promemoria.
Si prega di usare questo con parsimonia, però, in quanto è piuttosto invadente - anche se è molto utile, se ne avete bisogno. (Se lo usi eccessivamente, sarà sovrascritto / ignorato).

A seconda della gerarchia della tua organizzazione, ho trovato alcune cose molto efficaci.

Invia un'email al manager o ai supervisori del resto degli utenti, quando lo inoltrano insieme a un breve "leggi questo se hai ancora bisogno del tuo lavoro" digita una lettera (di solito non è rozzo ma ottieni il punto) I ' d dire che quasi il 70% degli utenti prova a leggere il bollettino importante che è stato inviato.

In secondo luogo, utilizzo una riga dell'oggetto che attira l'attenzione, di seguito alcuni esempi e una breve spiegazione del lato tecnico.

Subj: cattive notizie l'e-mail conterrà qualcosa di naturale che potremmo considerare cattive notizie, ma l'utente potrebbe non accorgersene, tuttavia dobbiamo documentare "cosa facciamo" nel caso in cui le persone minori che hanno difficoltà a comprendere "ciò che viene pagato per fare" nel loro gli occhi sfidano qualsiasi problema che li abbia "avvertiti"

Subj: Compliance Problem o Compliance Audit Questo di solito fa squillare il mio telefono dal momento che LE PERSONE NON LEGGONO il corpo del messaggio ma di solito è qualcosa sulla falsariga del rinnovo dei servizi di crittografia, ma se il mio argomento lo dicesse, allora andrebbe ignorato fino a quando il servizio non verrà interrotto a causa della mancanza di pagamento puntuale; quindi devo lavorare al di fuori del normale orario lavorativo senza ulteriori compensi / straordinari.

Subj: URGENT! (X numeri) Quando si utilizza questo, è come ultima risorsa. Ad esempio URGENTE! Il sistema client SARÀ GIÙ fino a quando la licenza non verrà rinnovata. (probabilmente puoi dire che alla mia azienda piace pagare tutto ULTIMO SECONDO e ovviamente il lavoro ricade su di me per "risolverlo" almeno con questo argomento e le informazioni nell'email quando vengono attaccate dal management su "perché paghiamo i dipendenti nella filiale uffici che non possono lavorare nel nostro sistema?! È inattivo / interrotto "Rispondo semplicemente, se è urgente come pretendi che paghi il / i rinnovo / i in tempo per evitare che la situazione abbia inizio. Magicamente avere le carte di credito per riacquistare le licenze una volta che questo accade (ogni 6-12 mesi) YAY!

Subj: sistema giù Io uso questo per notificare che un particolare sistema verrà programmato per un certo periodo di tempo per manutenzione o aggiornamenti / aggiornamenti.

Infine, e suppongo che avrei dovuto dire prima di tutto di non mandare più email del necessario, e le immagini sembrano attirare l'attenzione (a condizione che i loro client di posta elettronica siano configurati per visualizzarle). Poiché invii la posta elettronica alla maggior parte della gestione solo alcune volte alla settimana, a meno che non risponda a una domanda; le mie e-mail hanno più peso rispetto agli altri admin con cui ho lavorato. Sfortunatamente, a meno che qualcosa non si rompa, la maggior parte degli utenti continua a NON LEGGERE finché hai la prova documentata che qualcuno è stato avvisato che il tuo terreno dovrebbe essere abbastanza solido. Dico sempre: "Se prima non capiscono cosa stai cercando di dire, abbassa le tue aspettative". ; -)

Unico modo per fare veramente le cose tramite e-mail da solo:

• AZIONE RICHIESTA nell'oggetto
• Un modo per indicare che lo leggono o hanno fatto l'azione richiesta.
• Escalation al gestore se non lo fanno.
• Escalation al manager manager se ancora non lo fanno.

Perché non importa quello che fai nella tua email, una buona percentuale non la aprirà nemmeno.