¿Cómo suele realizar un ejercicio de suplantación de identidad seguro para probar la conciencia de seguridad del personal? ¿Cómo se asegura de que el personal no se sienta ofendido por tal ejercicio? En algunas circunstancias, ¿incluiría también al CEO sin informarle al respecto?
Creo que en algunas áreas es bastante controvertido hacer en una organización. Estoy tratando de averiguar si es adecuado para nosotros realizar una para que nuestra organización cree conciencia.
Ejecuto un servicio que pone a prueba a personas y organizaciones en su capacidad para detectar y responder adecuadamente a los intentos de phishing.
Usted debe informar a todos los usuarios que se realizará una prueba, incluso el CEO. Esto no significa que usted les informe, luego trate de engañarlos de inmediato. Con unos pocos días de retraso, las personas dejarán de estar en guardia contra una prueba.
Cómo se hace esto, y si esto se hace, depende de la administración y el departamento de recursos humanos de su organización. Incluso con una advertencia, las personas se sentirán atrapadas, atacadas y posiblemente acosadas. La advertencia ayuda a reducir estos sentimientos y su departamento de recursos humanos lo ayudará a idear una forma para que las personas expresen sus inquietudes, si las hay.
Nadie puede decirle si es apropiado hacer esto en su organización, excepto en su administración. No NO inicie una prueba sin la autorización y aprobación de su administración.
Lo primero es no hacer esto sin permiso.
Para evitar que las personas se ofendan, hágales saber que se realizará una prueba de phishing en las próximas semanas.
Finalmente, si alguien es víctima de su ataque de phishing, es importante no soltar a nadie. Anonimice su respuesta en cualquier informe y simplemente resuma las estadísticas para medir su éxito.
por ejemplo
Emails sent = 100
Beacons received = 80
Clicks received = 50
Credentials harvested = 5
Una gran parte de la forma en que las personas responden a estas pruebas tiene que ver con el motivo por el que creen que se realiza la prueba. La gente parece estar bien con las pruebas en ejecución para medir la efectividad de los programas de capacitación corporativos, pero menos contenta si sienten que se están probando individualmente.
Deje en claro que no hay recompensa o castigo por su desempeño en la prueba. No habrá educación especial o vergüenza pública si "fallan". En su lugar, establezca que los datos se utilizarán para generar estadísticas para la empresa en su conjunto y medir qué tan efectiva es la capacitación existente.
Y, básicamente, tiene que decirle a la gente de antemano que se harán algunas pruebas porque debe informarles sobre qué hacer cuando reciben un correo electrónico sospechoso antes de probarlas. Existen herramientas que puede utilizar para admitir informes de correo electrónico sospechosos por parte de los usuarios, pero puede ser suficiente reenviar un correo electrónico a [email protected] Ese entrenamiento es un buen momento para hacerles saber que se realizará una inspección in situ para recopilar estadísticas sobre la efectividad de la capacitación.
Lea otras preguntas en las etiquetas phishing