Oltre ai tradizionali test di phishing via email, quali altri indicatori di prestazioni chiave di sicurezza possono essere utilizzati per misurare la consapevolezza della sicurezza degli utenti finali in un'organizzazione?
Osservando il controllo di sicurezza critico SANS # 9 :
- 9.4 Validate and improve awareness levels through periodic tests to see whether employees will click on a link from suspicious e-mail or provide sensitive information on the telephone without following appropriate procedures for authenticating a caller; targeted training should be provided to those who fall victim to the exercise.
Sto cercando di venire con un'indicazione che guardi oltre le e-mail di phishing o fornisca informazioni sensibili al telefono. Ad esempio, come faccio a sapere che le persone sono consapevoli dei pericoli derivanti dall'uso di USB infetti nell'organizzazione? Disabilitare l'uso dell'USB impedisce la violazione della sicurezza ma non rende più consapevole la consapevolezza dell'utente finale del problema. Gli utenti di solito lo vedono come un controllo fastidioso che impedisce loro di eseguire i loro compiti. USB è solo un esempio, come faccio a sapere che gli utenti sono consapevoli dei pericoli della condivisione dei loro nomi utente? e allo stesso modo altre pratiche sbagliate. ottenere le risposte sull'argomento dai sondaggi è una parte, ci sono altre indicazioni?