Il problema principale con la consapevolezza della sicurezza è che si tratta in gran parte del "frutto basso appeso". Nella mia esperienza, le campagne di ingegneria sociale sono in grado di rendere meno sofisticato il più ampio possibile. Se scegli come target la forza lavoro di un'intera grande azienda, hai solo bisogno di qualcosa che sembra semi-coerente per un dipendente della scrivania affamato di caffeina di fare clic distrattamente sul link / aprire il documento.
Se ti rivolgi a gruppi o individui specifici, è necessaria ulteriore ricerca, preparazione e cura per raggiungere lo stesso livello di successo (ammettiamolo, puoi fare una campagna su misura per un pubblico più ampio e avere una maggiore diffusione, ma la sartoria ha il questione inerente di diventare più specifico per il gruppo). Gli attacchi più sofisticati sono meno distinguibili dalla normale attività quotidiana dei lavoratori (non è possibile verificare manualmente ogni e-mail che si riceve).
Con tutti questi attacchi, un tasso di rendimento incredibilmente basso è tutto ciò che è necessario per essere considerato un successo. Il tuo addestramento per la consapevolezza della sicurezza deve diventare una seconda natura non solo per i tuoi esperti tecnici, ma anche per il personale amministrativo potenzialmente più banale e per i dirigenti impegnati. Tutti coloro che sono coinvolti devono avere questo immediato ripensamento ogni volta che arriva un'e-mail sospetta. Deve essere adattato al modo in cui è strutturata la tua organizzazione, al modo in cui operi e al tuo aspetto esteriore.
Un gruppo di materiali per la formazione di una sola taglia non è adatto a nessuno è più probabile che venga liquidato come generico e "beh, sì, ma ciò non vale per me lo fa? ". Ho cercato qualcosa che equivalesse a un modello standard, ma non ho trovato molto di più sopra i punti elenco di ciò che dovrebbe essere contenuto.