In che modo conduci di norma un esercizio di phishing sicuro per testare la consapevolezza della sicurezza dello staff? Come assicurate che lo staff non sia offeso da un simile esercizio? Vorresti in alcune circostanze includere anche il CEO senza farglielo sapere?
Penso che in alcune aree è una cosa abbastanza controversa da fare in un'organizzazione. Sto cercando di scoprire se è adatto per noi per eseguire uno per la nostra organizzazione per aumentare la consapevolezza.
Eseguo un servizio che mette alla prova le persone e le organizzazioni nella loro capacità di individuare e rispondere correttamente ai tentativi di phishing.
Tu devi far sapere a tutti gli utenti che verrà eseguito un test, anche il CEO. Questo non significa che tu li informi e poi prova a digitarli immediatamente. Con alcuni giorni di ritardo, la gente smetterà di stare in guardia contro un test.
Come questo è fatto, e se questo è fatto, deve arrivare alla direzione della tua organizzazione e al reparto risorse umane. Anche con l'avvertimento, le persone si sentiranno intrappolate, prese di mira e possibilmente vittime di bullismo. L'avviso aiuta a ridurre questi sentimenti e il reparto risorse umane ti aiuterà a trovare un modo in cui le persone possano esprimere le loro preoccupazioni, se ce ne sono.
Nessuno può dirti se è appropriato farlo nella tua organizzazione ma nella tua gestione. Fai NOT lancia un test senza autorizzazione e approvazione dalla tua gestione.
La prima cosa è non farlo senza permesso.
Per evitare che le persone vengano offese, fai sapere loro che un test di phishing verrà eseguito entro le prossime settimane.
Infine, se qualcuno cade vittima del tuo attacco di phishing, è importante non escludere nessuno. Anonimizza la loro risposta in qualsiasi rapporto e riassume semplicemente le statistiche per misurare il suo successo.
per es.
Emails sent = 100
Beacons received = 80
Clicks received = 50
Credentials harvested = 5
Gran parte del modo in cui le persone rispondono a questi test ha a che fare con il motivo per cui pensano che il test venga dato. Le persone sembrano a posto con test in esecuzione per misurare l'efficacia dei programmi di formazione aziendale ma meno felici se sentono di essere testati individualmente.
Metti in chiaro che non ci sono premi o punizioni per le loro prestazioni nel test. Non ci sarà educazione speciale o imbarazzo pubblico se "falliscono". Invece, affermare che i dati saranno utilizzati per generare statistiche per l'azienda nel suo insieme e misurare l'efficacia della formazione esistente.
E devi dire in anticipo alla gente che ci saranno dei test perché devi istruirli su cosa fare quando ricevono un'e-mail sospetta prima di testarli. Esistono strumenti che è possibile utilizzare per supportare la segnalazione degli utenti di e-mail sospette, ma l'inoltro di una e-mail a [email protected] potrebbe essere sufficiente. Quella formazione è un buon momento per far loro sapere che ci sarà un controllo a campione per raccogliere statistiche sull'efficacia della formazione.
Leggi altre domande sui tag phishing