¿Cómo escribir un correo electrónico sobre la seguridad de TI que será leído y no ignorado por el usuario final?

Me considero que tengo habilidades técnicas elevadas y, por lo general, me encuentro hojeando o simplemente ignorando este tipo de mensajes. Sin embargo, recientemente estaba instalando un producto de Google que tenía el siguiente encabezado:

Please read this carefully - It's not just the usual yada yada.

Debido a la naturaleza alegre de esto, me encontré a mí misma leyendo los documentos a fondo, y he comenzado a usar esta técnica en mi trabajo.

Descubrí que los usuarios generalmente leen mensajes administrativos cuando se realiza una conexión física / psicológica entre el administrador del sistema y el usuario. Esto, en el caso de Google, fue una observación jocosa.

Otro método que ha tenido éxito es agregar interactividad a tu mensaje con una recompensa muy clara por interactuar . Algo simple como "¿Estaría de acuerdo con este SÍ | NO" o con los pulgares hacia arriba / abajo para ciertas políticas, y una recompensa de crédito de impresión, por ejemplo.

Algunos puntos que vienen a mi mente:

• Sea conciso y preciso. Los mensajes demasiado largos generalmente se eliminan.

• Clasifique el mensaje usando el tema: mantenimiento, aviso, importante. Y deja el tema claro (pero corto).

• Si es posible, configure el cliente de correo electrónico para colorear los encabezados de correo electrónico de forma predeterminada. Con un conjunto consistente de reglas puedes obtener más atención. Haz algo importante en rojo, pero no abuses de él.

• Por fin, entrena a tu usuario. Organiza sesiones de sensibilización para enseñarles cómo reaccionar. ¿Es el mensaje de mantenimiento importante? ¿Qué debo hacer cuando recibo un aviso importante? ¿Quién me envía un aviso?

Un punto es enviar mensajes de correo electrónico solo cuando es importante y fundamental que se lean, no los use para boletines de noticias normales o información aburrida, los usuarios aprenderán a ignorarlos muy rápidamente.

Para la conciencia general de seguridad, use diferentes mecanismos cada vez, y haga que sea interesante, que valga la pena o si fallan: obligatorio, junto con la aprobación anual de la política corporativa de uso aceptable.

Como dijo @RobertDavidGraham: no les envíe correos electrónicos de mantenimiento; estos deberían proceder de operaciones o de gestión de cambios de todos modos.

Creo que no puedes mirar un solo mensaje de correo. Habiendo observado cómo evolucionaban nuestros grupos de TI e ITSEC a lo largo de los años, he notado que la percepción común de ellos tiene que ver con el conjunto global de correos electrónicos que publican, nada se soluciona con solo unos pocos excelentes correos electrónicos.

Aquí hay algunos pensamientos generales:

• no utilice un solo medio de comunicación . Sé que desea resolver esto con 1 correo electrónico sucinto, pero puede que no sea posible. Cuando algo es importante, envíelo por correo varias veces y avise a los usuarios de las repeticiones. Siempre que haya una información en el correo electrónico, también tenga un archivo en el sitio corporativo interno al que los usuarios puedan acceder fácilmente, y lo tenga en la parte superior de la pila para los usuarios que brindan asistencia telefónica. Cuando sea absolutamente crítico y sangrante, considere colocar letreros en las salidas principales.

• ayuda a los usuarios a establecer prioridades : ya has incluido una buena colección de tipos típicos de mensajes. Algunos de estos documentos se deben entregar en un plazo límite (es decir, estamos actualizando su computadora, si no hace lo que le decimos, le llevará 3 días recuperar un sistema que funcione), algunos Son cambios menores que pueden no afectarlos. Para las cosas grandes, golpéalos con fuerza. Para las cosas menores: deles las herramientas por adelantado para determinar si encajan en un grupo afectado. Esto significa que tendrá que saber lo suficiente acerca de sus usuarios y cómo se definen ellos mismos para proporcionarle a su audiencia un poco de referencia.

• tenga en cuenta, en general, su relación ruido / volumen : los mensajes diarios, independientemente de su significado, se ignorarán. A los usuarios simplemente no les importa mucho la seguridad. Combine los grandes cambios de impacto, encuentre una manera de mostrar la información de baja prioridad para el FYI como prioridad baja, y tenga en cuenta, en general, la cantidad de información que su departamento publica en conjunto.

Lol.

Lo primero es darse cuenta de que los usuarios generalmente ignorarán todos sus correos electrónicos. Deja de imaginar que este problema se puede resolver.

Ciertamente, hay cosas que puedes hacer para que más usuarios puedan leer tus correos electrónicos.

No, los mensajes HTML no son mejores. Los estudios han demostrado que los usuarios prestan más atención a los mensajes de texto y las páginas HTML.

Cuanto más corto sea el correo electrónico, mejor. Cuanto más largo sea el correo electrónico, más probable será que el usuario lo ignore. O, si el usuario lo lee, solo leerá las dos primeras oraciones. Considere la pirámide inversa de los artículos periodísticos: el bit más importante se encuentra en la primera oración, el primer párrafo, la primera sección. Cuanto más se profundiza en el artículo, menos importante se vuelve la información, en parte porque es probable que los lectores se aburran y abandonen antes de terminar el artículo.

Deja de decirles qué hacer. "Cerrar todas las aplicaciones y cerrar sesión para aplicar parches" es un correo electrónico estúpido. Una mejor es "Su sistema se reiniciará para parchear; si tiene aplicaciones abiertas, puede perder datos".

Deje de enviarles correos electrónicos inútiles como "El mantenimiento se realizará entre las 11 pm y las 6 am. Espere una interrupción en el servicio". De todos modos, no se aplica al 99% de los usuarios, ¿por qué molestar a todos con algo que se aplique al 1% de los usuarios? Aquellas personas que trabajan a altas horas de la noche saben que las interrupciones probablemente se deben al mantenimiento de todos modos.

Cuantos más correos electrónicos envíes, más probabilidades habrá de que sean ignorados. Envíe la menor cantidad posible, o incluso menos.

Detenga el phishing de sus usuarios, por ejemplo, diciéndoles que necesitan instalar un parche. Cuando les envía legítimamente tales correos electrónicos, es más probable que sean víctimas de ataques de phishing que parecen idénticos a los correos electrónicos que envió, pero que apuntan a un parche falso.

Sí, la dirección FROM es importante. Sí, el tema es importante. Puede suponer que leen la línea de asunto, y que generalmente es lo único que leen. Por supuesto, si intenta poner el correo electrónico completo en la línea del asunto, O HACERLO TODAS LAS CAPS, es probable que se ignore.

Observaciones:

Algunos usuarios pueden entender que su mensaje es importante pero aún así "déjelo para más adelante", o piensan que es una buena referencia, pero déjelo de lado por un momento en que "algo malo sucede" (sucede mucho con nuestros mensajes de concienciación). ).

También tuve que enfrentar la insistencia de los gerentes de nivel medio de que todos los mensajes dirigidos internamente a la organización deben seguir un cierto estilo oficial, un apagado seguro para cualquier usuario que comience a leerlos.

Por lo tanto, mis 2 sugerencias:

1. Piensa en tu audiencia. Lo que los hace interesados, lo que les llama la atención, la mejor forma de recibir su mensaje. Son tus colegas después de todo.

2. Concéntrese en los mensajes importantes, ya que se trata de la Capacitación de concienciación o las Notificaciones automáticas. Si son realmente importantes, compóngalos en un estilo que los haga "irresistibles".

Algunos consejos (en su mayoría útiles para mensajes de concientización):

• Suelte el lenguaje de la organización oficial, elimine los términos legales, sea personal.

• Trate de pensar como sus usuarios, haga preguntas hipotéticas que los hagan pensar "qué pasaría si". Haz que tu charla de seguridad sea emocionante! ¿Y qué les parece preocuparles un poco la seguridad de sus propios datos personales? Un sistema explotado podría usarse para robar datos personales y corporativos. Bonificación adicional: llevan la lección a casa.

• Use los cuadros de texto (color) que resumen su mensaje. Sus ojos los llevarán allí.

• Deje sugerencias sobre sus responsabilidades en la organización.

Un truco que he usado con cierto éxito para cosas que requieren acciones del usuario es enviar una convocatoria de reunión. El truco funciona por varias razones:

• Las personas tienden a responder a las solicitudes de reunión.
• Le permite crear recordatorios antes de eventos que requieren acciones del usuario.
• En realidad pone cosas como el tiempo de inactividad programado en los calendarios de las personas.

No lo haría por todo, ya que podría ser contraproducente, pero para cosas tan importantes tiene sentido.

Para los correos de alerta de virus, además de cambiar el contenido del mensaje, asegúrese de que el encabezado del mensaje De: indique que proviene del administrador de línea del usuario. CC esa persona también. ¿No es eso hacer trampa? No. Es responsabilidad del gerente de línea asegurarse de que las políticas sean difundidas y seguidas por sus informes, por lo que está enviando el mensaje en su nombre.

Para las notificaciones de tiempo de inactividad y mantenimiento, hay dos factores: el primero es evitar que los usuarios interrumpan el mantenimiento. La segunda es que debe considerar notificar a los usuarios a través de sistemas de transmisión o de mensajes del día, porque como ha encontrado, el correo electrónico no es un buen medio.

Si realmente tiene algo que decir (no el tipo de correo electrónico de "espera de interrupción"), puede poner el nombre del destinatario en el asunto . Sí, esto es lo que suelen hacer los spammers.

Un sujeto como Richard, eche un vistazo llama la atención de inmediato y le da unos 10 segundos a exprese el problema brevemente (es decir, explique se modificaron las políticas, se actualizó el software, etc.).

Por favor, nunca use esto para cualquier mensajes generados automáticamente.
Y asegúrese de que la dirección de origen esté en la lista blanca de todas las computadoras.

El problema es que a los usuarios que no saben mucho sobre computadoras no les importa mucho el correo electrónico que no entienden. Y también, segundo punto, la gente simplemente se acostumbra a recibir correos electrónicos similares y comienzan a no leerlos.

¿Puedes hacer algo contra eso? Probablemente no tanto.

Recomendaría hacer alguna categoría en tu correo electrónico como título. Recomendaría hacer un código de color para cada categoría. Recomendaría escribir una breve declaración al comienzo del cuerpo y una información detallada a largo después de la breve.

Además, cuide las palabras que usará y trate de comprender que algunas personas no están familiarizadas con los términos técnicos de la computadora. Evite utilizarlos o, si se utilizan, defínalos.

Considere lo que piensa la gente no técnica cuando les advierte sobre un virus. Creen que tienen una bestia en la máquina ... y nada más.

Sé pedagógico con ellos. Usa palabras que ellos conozcan. Sea claro en lo que deben hacer.

Muchas respuestas excelentes aquí, lo único que vale la pena agregar es que, en el caso de RARE , usted realmente requiere la atención y / o respuesta de los usuarios, muchos clientes de correo electrónico (por ejemplo, Outlook). ) permiten al remitente designar una fecha / hora de recordatorio, momento en el que el cliente abrirá un mensaje con un recordatorio.
Sin embargo, use esto con moderación, ya que es bastante intrusivo, aunque es muy útil, si lo necesita. (Si lo sobreutiliza, será anulado / ignorado).

Dependiendo de la jerarquía de su organización, he encontrado algunas cosas que son bastante efectivas.

Le envié un correo electrónico al administrador o a los supervisores del resto de los usuarios, cuando lo reenvíen junto con un breve "lea esto si todavía necesita su trabajo", escriba un liner (generalmente no tan crudo, pero se entiende). Digo que cerca del 70% de los usuarios intentan leer el importante boletín que se envió.

En segundo lugar, utilizo una línea de asunto que llama la atención, a continuación hay algunos ejemplos y una breve explicación del aspecto técnico.

Subj: Malas noticias El correo electrónico contendrá algo en la naturaleza que podríamos considerar malas noticias, pero el usuario ni siquiera lo notará, sin embargo, debemos documentar "lo que hacemos" en el caso de personas menores que tienen dificultades para comprender "lo que nos pagan por hacer" por su cuenta. los ojos cuestionan cualquier problema sobre el que les "advertimos"

Subj: problema de cumplimiento o auditoría de cumplimiento Esto usualmente hace que mi teléfono suene, ya que las PERSONAS NO LEEN el cuerpo del mensaje, pero generalmente es algo parecido a la renovación de los servicios de encriptación, pero si el sujeto lo dice, entonces se ignorará hasta que el servicio se apague por falta. de pago oportuno; luego tengo que trabajar fuera del horario laboral normal sin compensación / horas extras adicionales.

Subj: URGENTE! (X problemas) Al usar esto, es como último recurso. Por ejemplo URGENTE! El sistema cliente ESTARÁ ABAJO hasta que se renueve la licencia. (probablemente se puede decir que a mi compañía le gusta pagar todo el ÚLTIMO SEGUNDO y, por supuesto, el trabajo me incumbe para "arreglarlo" Al menos con este tema e información en el correo electrónico cuando es atacado por la gerencia en "por qué pagamos a los empleados en la sucursal ¿Oficinas que no pueden trabajar en nuestro sistema ?! Está caído / roto "Simplemente respondo con, si es tan urgente como dice que es, entonces pague la (s) renovación (s) a tiempo para evitar que empiece la situación. Mágicamente, tenga tarjetas de crédito para volver a comprar las licencias una vez que esto suceda (cada 6-12 meses) ¡YAY!

Subj: Sistema abajo Uso esto para notificar que un sistema en particular se programará para que esté inactivo durante un cierto período de tiempo para mantenimiento o actualizaciones / actualizaciones.

Por último, y supongo que debería haber dicho que lo primero es no enviar un correo electrónico más de lo necesario, y las imágenes parecen llamar la atención (siempre que sus clientes de correo electrónico estén configurados para mostrarlas). Desde que envié un correo electrónico a la mayoría de la administración solo unas pocas veces a la semana, a menos que responda una pregunta; mis correos electrónicos tienen más peso que el otro administrador con el que solía trabajar. Desafortunadamente, a menos que se rompa algo, la mayoría de los usuarios aún NO LEEN, siempre y cuando haya documentado pruebas de que alguien recibió una notificación de que su motivo debería ser bastante sólido. Siempre digo: "Si primero no entienden lo que intentas decir, baja tus expectativas". ;-)

Única forma de hacer las cosas realmente solo por correo electrónico:

• ACCIÓN REQUERIDA en el tema
• Alguna forma de indicar que lo leyeron o realizaron la acción solicitada.
• Escalada al administrador si no lo hacen.
• Escalado al gerente del gerente si aún no lo hacen.

Porque no importa lo que haga en su correo electrónico, un buen porcentaje ni siquiera lo abrirá.