El problema principal con la conciencia de seguridad es que se trata en gran parte de la "fruta de bajo rendimiento". En mi experiencia, las campañas de ingeniería social pueden ser menos sofisticadas cuanto más amplias son. Si se dirige a la fuerza laboral de toda una gran empresa, solo necesita algo que parezca semi-coherente para que algún empleado de escritorio carente de cafeína haga clic en el enlace / abra el documento.
A medida que se dirige a grupos o individuos más específicos, se necesita investigación, preparación y cuidado adicionales para lograr el mismo nivel de éxito (es cierto, puede hacer una campaña personalizada para una audiencia más amplia y tener una mayor aceptación, pero la adaptación tiene el problema inherente de volverse más específico al grupo). Los ataques más sofisticados se distinguen menos de la actividad cotidiana habitual de los trabajadores (no se puede verificar manualmente todos y cada uno de los correos electrónicos que recibe).
Con todos estos ataques, todo lo que se necesita es una tasa de retorno increíblemente pequeña para que se considere exitoso. Su capacitación en conciencia de seguridad debe convertirse en una segunda naturaleza no solo para sus expertos jefes de tecnología, sino también para el personal administrativo más mundano y los ejecutivos ocupados. Todas las personas involucradas deben tener esa idea inmediata cada vez que llegue un correo electrónico posiblemente sospechoso. Debe adaptarse a la estructura de su organización, a la forma en que opera y al aspecto externo.
Es más probable que un conjunto de materiales de capacitación de talla única no se ajuste a nadie es genérico y "bueno, sí, pero eso no se aplica a yo lo hace? ". He buscado algo que se parece a una plantilla estándar, pero no he encontrado mucho de nada por encima de las viñetas de lo que debería estar contenido.