Además de las pruebas de phishing de correo electrónico convencionales, ¿qué otros indicadores clave de rendimiento de seguridad se pueden usar para medir la conciencia de seguridad del usuario final en una organización?
Mirando el control de seguridad crítico SANS # 9 :
- 9.4 Valide y mejore los niveles de conocimiento a través de pruebas periódicas para ver si los empleados hacen clic en un enlace de correo electrónico sospechoso o Proporcionar información sensible en el teléfono sin seguir procedimientos apropiados para autenticar a una persona que llama; entrenamiento dirigido debe proporcionarse a aquellos que son víctimas del ejercicio.
Estoy tratando de llegar con una indicación que mire más allá de los correos electrónicos de phishing o que proporcione información confidencial por teléfono. Por ejemplo, ¿cómo sabría que las personas son conscientes de los peligros de usar USB infectados en la organización? La desactivación del uso del USB evita la violación de la seguridad, pero no beneficia la conciencia del usuario final sobre el problema. Los usuarios generalmente lo ven como un control molesto que les impide realizar sus tareas. USB es solo un ejemplo, ¿cómo sabría que los usuarios son conscientes de los peligros de compartir sus nombres de usuario? y de manera similar otras prácticas erróneas. obtener sus respuestas sobre el tema mediante encuestas es una parte, ¿existen otras indicaciones?