Mi piacerebbe offrire rispettosamente una prospettiva diversa dalla risposta e dai commenti perfettamente validi già qui.
Sto leggendo molto tra le righe, ma credo che la domanda iniziale stia cercando di ottenere una cosa abbastanza buona (e difficile) - dare priorità alla consapevolezza della sicurezza a livello di reparto, con misurazioni oggettive di consapevolezza.
L'effetto è che i vari manager sono consapevoli di quanto siano validi i report diretti sulla sicurezza IT e ci sono numeri difficili a cui fare riferimento, non singoli incidenti. Non è lasciato solo come un'altra cosa per le risorse umane da affrontare - lo stai trattando come un allenamento, invece di disciplina.
Ritengo che la sicurezza IT sia così sfumata che i singoli manager sono più adatti a valutare i loro rapporti diretti di quelli delle risorse umane.
Il phishing è molto più pericoloso per i dirigenti oi controllori finanziari. È importante che siano "phishing-resilient" perché i loro account hanno accesso a sistemi business critical. Non sono preoccupato se il team di manutenzione ha un punteggio scarso contro il phishing - i loro account hanno probabilmente pochi privilegi. Al contrario, l'equipaggio di manutenzione deve essere bravo in sicurezza fisica, perché ha accesso all'intero edificio (che può includere armadi elettrici, cavi, ecc.)
La parte metrica è ottima perché è meglio avere numeri da uno studio accurato anziché da singoli casi. Ma questa è la parte difficile.
Per fare ciò avresti bisogno di un framework ben progettato per la valutazione costante e sistematica di ogni membro dello staff, E un "team rosso" che cerca costantemente di entrare negli edifici, lascia USB "dannoso" guida nei parcheggi dei dipendenti, dipendenti phish, invia email nude-pics.jpg.exe al personale, ecc. Alla fine della giornata, puoi davvero costruire grandi misure oggettive:
- "Resistenza all'attacco di phishing": ha ricevuto 24 email di phishing di prova, ha visitato la pagina phish 2 volte, ha inserito le credenziali 0 volte,
- "Trattamento sicuro di unità USB sconosciute": restituito 2 unità USB "perse" su 2 all'Help Desk IT.
Eccellente, ma molto dispendioso in termini di risorse. Potresti quindi gamificare il sistema per aumentare la risposta confrontando le valutazioni tra reparti, miglioramenti nel tempo, riconoscimenti per punteggi perfetti, ecc.
Se hai pianificato di ricavare metriche da incidenti non relativi alla formazione, nel mondo reale, concordo sul fatto che sono meno utili per la formazione e la consapevolezza dello staff.