Mi piacerebbe offrire rispettosamente una prospettiva diversa dalla risposta e dai commenti perfettamente validi già qui.
Sto leggendo molto tra le righe, ma credo che la domanda iniziale stia cercando di ottenere una cosa abbastanza buona (e difficile) - dare priorità alla consapevolezza della sicurezza a livello di reparto, con misurazioni oggettive di consapevolezza.
L'effetto è che i vari manager sono consapevoli di quanto siano validi i report diretti sulla sicurezza IT e ci sono numeri difficili a cui fare riferimento, non singoli incidenti. Non è lasciato solo come un'altra cosa per le risorse umane da affrontare - lo stai trattando come un allenamento, invece di disciplina.
Ritengo che la sicurezza IT sia così sfumata che i singoli manager sono più adatti a valutare i loro rapporti diretti di quelli delle risorse umane.
Il phishing è molto più pericoloso per i dirigenti oi controllori finanziari. È importante che siano "phishing-resilient" perché i loro account hanno accesso a sistemi business critical. Non sono preoccupato se il team di manutenzione ha un punteggio scarso contro il phishing - i loro account hanno probabilmente pochi privilegi. Al contrario, l'equipaggio di manutenzione deve essere bravo in sicurezza fisica, perché ha accesso all'intero edificio (che può includere armadi elettrici, cavi, ecc.)
La parte metrica è ottima perché è meglio avere numeri da uno studio accurato anziché da singoli casi. Ma questa è la parte difficile.
Per fare ciò avresti bisogno di un framework ben progettato per la valutazione costante e sistematica di ogni membro dello staff, E un "team rosso" che cerca costantemente di entrare negli edifici, lascia USB "dannoso" guida nei parcheggi dei dipendenti, dipendenti phish, invia email nude-pics.jpg.exe al personale, ecc. Alla fine della giornata, puoi davvero costruire grandi misure oggettive:
Eccellente, ma molto dispendioso in termini di risorse. Potresti quindi gamificare il sistema per aumentare la risposta confrontando le valutazioni tra reparti, miglioramenti nel tempo, riconoscimenti per punteggi perfetti, ecc.
Se hai pianificato di ricavare metriche da incidenti non relativi alla formazione, nel mondo reale, concordo sul fatto che sono meno utili per la formazione e la consapevolezza dello staff.
Questa è una risposta semplicemente perché il sistema dei commenti è troppo corto.
Sono d'accordo con Panther sul fatto che "le metriche sulle prestazioni di sicurezza" sono sostanzialmente prive di significato.
La tua azienda dovrebbe avere una politica di sicurezza e un modo per far rispettare detta politica. Il manuale del dipendente dovrebbe essere chiaro in merito alle ripercussioni della violazione di tali politiche. Che si tratti di uno schiaffo al polso o di un arresto definitivo. Come minimo, dovrebbe mettere in guardia il dipendente anche per un incidente minore, con la consapevolezza che un secondo incidente porta alla perdita del posto di lavoro. Per qualsiasi "grave" violazione della sicurezza, come distribuire la propria password o, peggio, le PII a qualcuno che non è adeguatamente controllato, allora dovrebbe essere la risoluzione immediata e il loro materiale inviato a loro.
I meccanismi per la gestione di queste cose sono già HR 101, quindi non c'è davvero bisogno di aggiungere altro alla recensione. "Oh, guarda che non hai violato la nostra politica di sicurezza. o "guarda, ti darei il rilancio ma sei già in acqua calda su quella cosa della posta elettronica truffa nigeriana. Riprova l'anno prossimo."
Per quanto riguarda la formazione sulla sicurezza, ecc, di nuovo quelli dovrebbero essere gestiti proprio come gli altri articoli di formazione relativi al lavoro - un elemento pubblicitario nella loro cartella. Hanno ricevuto un bel certificato con il loro nome? Coolio. Hanno omesso di partecipare a qualcuno dei tuoi corsi obbligatori che sarebbero stati licenziati per dispersi? - beh, questo dovrebbe risolversi da solo.
Hai menzionato "resistenza all'attacco di phishing" .. Cosa significa? "Guarda, ho visto che hai cancellato 923.234 pezzi di spam dalla tua casella di posta l'anno scorso. Bel lavoro!" :: :: eyeroll
Sì, questa risposta è gocciolante di sarcasmo. Non perché non trovo che la sicurezza sia un argomento di cui ogni dipendente dovrebbe essere a conoscenza. Piuttosto, trovo che si tratti di un argomento che dovrebbe già essere gestito dalla normale formazione dei dipendenti, dal manuale dei dipendenti e dalle politiche delle risorse umane esistenti. Se non lo è, allora non hai fatto il tuo lavoro .... e ci dovrebbe essere un elemento pubblicitario nella tua revisione annuale per questo.
Che cos'è questa ossessione per la "resistenza al phishing"? Che dire del rispetto delle politiche e delle procedure di sicurezza? Che dire di individuare e segnalare incidenti, nuovi rischi, nuove opportunità? Partecipare attivamente alla sicurezza delle informazioni e alle attività di gestione dei rischi? Aiutando con la pianificazione della continuità operativa o testando le funzioni di sicurezza sui nuovi sistemi? .... Ci sono un sacco di cose legate alla sicurezza che fanno i dipendenti attenti alla sicurezza, e possono essere misurati tutti, se è quello che vuoi veramente fare.
Ma, davvero, qual è il punto?
Riporta le cose indietro di un paio di passi: quali sono gli obiettivi di business relativi alla consapevolezza della sicurezza dei dipendenti? Che cosa sta cercando di ottenere l'organizzazione? In qualche modo, dubito delle caratteristiche di "resistenza al phishing" nell'elenco. Quindi, perché misurarlo?
Più probabilmente sono obiettivi come "Costruire una strong cultura della sicurezza" ... e misurare la cultura ci porta in una direzione metrica totalmente diversa.
Leggi altre domande sui tag metrics corporate-policy people-management