Υπηρεσίες προσομοίωσης phishing: Τι πρέπει να απαιτούν οι ομάδες ασφαλείας (ασφάλεια, προστασία της ιδιωτικής ζωής και αποδεικτικά στοιχεία)
Το «Simulated phishing» ακούγεται απλό, μέχρι να προσπαθήσετε να το εκτελέσετε ως πραγματικό πρόγραμμα και όχι ως μια μεμονωμένη καμπάνια.

Η αποστολή ενός ψεύτικου email phishing είναι εύκολη. Η εκτέλεση ενός προγράμματος προσομοίωσης που είναι ασφαλές, υπερασπίσιμο, με σεβασμό στην ιδιωτικότητα, λειτουργικά βιώσιμο και χρήσιμο για την ηγεσία δεν είναι. Εκεί είναι που πολλά προγράμματα αποτυγχάνουν. Όχι επειδή οι ομάδες ασφαλείας δεν μπορούν να σχεδιάσουν ένα πειστικό δόλωμα, αλλά επειδή το περιβάλλον σύστημα γίνεται το πραγματικό βάρος: εγκρίσεις, προσδοκίες των εργαζομένων, παράδοση στο inbox, διακυβέρνηση, ποιότητα αναφορών, εκπαίδευση παρακολούθησης και το διαρκές ερώτημα αν η άσκηση βελτιώνει την ανθεκτικότητα ή απλώς δημιουργεί θόρυβο.
Γι' αυτό οι ομάδες πρέπει να σταματήσουν να αξιολογούν τα εργαλεία προσομοίωσης phishing ως «προϊόντα δοκιμής email» και να αρχίσουν να τα αξιολογούν ως επιχειρησιακούς ελέγχους. Μια καλή υπηρεσία προσομοίωσης phishing δεν είναι απλώς μια βιβλιοθήκη προτύπων. Είναι εν μέρει σύστημα εκπαίδευσης, εν μέρει ροή εργασιών διακυβέρνησης, εν μέρει πλαίσιο μέτρησης και εν μέρει σύμβαση εμπιστοσύνης με τους υπαλλήλους.
Αυτός ο οδηγός εξηγεί τι πρέπει να περιμένουν οι ομάδες ασφάλειας από τις υπηρεσίες προσομοίωσης phishing, πώς να αξιολογούν τους παρόχους χωρίς να εισάγουν περιττό κίνδυνο και τι στοιχεία πρέπει να παράγει ένα ώριμο πρόγραμμα για τη διοίκηση, τους ελεγκτές και τους εσωτερικούς ενδιαφερόμενους.
Τι είναι πραγματικά οι υπηρεσίες προσομοίωσης phishing;
Στην αγορά, οι «υπηρεσίες προσομοίωσης phishing» συνήθως αναφέρονται σε ένα από τα τρία μοντέλα:
- Διαχειριζόμενη υπηρεσία — ο πάροχος σχεδιάζει και εκτελεί καμπάνιες για εσάς
- Πλατφόρμα — η ομάδα σας είναι υπεύθυνη για το σχεδιασμό, τον προγραμματισμό και τις λειτουργίες
- Υβριδικό μοντέλο — εργαλεία αυτοεξυπηρέτησης συν ενσωμάτωση, συμβουλευτική και προαιρετική διαχειριζόμενη εκτέλεση
Αυτές οι κατηγορίες έχουν σημασία, αλλά δεν αγγίζουν την ουσία της απόφασης.
Το πιο χρήσιμο ερώτημα είναι το εξής:
Μπορεί αυτό το πρόγραμμα να συνεχίσει να λειτουργεί με ασφάλεια, συνέπεια και αξιοπιστία ακόμα και όταν το άτομο που το έθεσε αρχικά σε λειτουργία δεν είναι διαθέσιμο;
Αυτή η δοκιμή αποκαλύπτει αν αγοράζετε έναν πραγματικό μηχανισμό ελέγχου ή απλώς ένα ακόμη εργαλείο που απαιτεί έντονη διαχειριστική εργασία.
Μια ώριμη υπηρεσία προσομοίωσης phishing θα πρέπει να μειώνει την εξάρτηση από ατομικές ηρωικές πράξεις. Θα πρέπει να καθιστά τον έλεγχο επαναλαμβανόμενο. Θα πρέπει να ενσωματώνει προστατευτικά μέτρα στις ροές εργασίας. Θα πρέπει να διατηρεί τη μνήμη του οργανισμού μέσω προτύπων, εγκρίσεων, τεκμηρίωσης και αναφορών που εξακολουθούν να έχουν νόημα έξι μήνες αργότερα. Και θα πρέπει να κάνει όλα αυτά χωρίς να ωθεί τις ομάδες ασφάλειας να γίνουν προσωπικό λειτουργιών email μερικής απασχόλησης.
Με άλλα λόγια, αυτό που αγοράζετε στην πραγματικότητα δεν είναι «ψεύτικα email phishing». Αγοράζετε έναν τρόπο να εκτελείτε έναν επαναλαμβανόμενο έλεγχο ανθρώπινου κινδύνου με αποδεκτό λειτουργικό κόστος.
Το πραγματικό ερώτημα ωριμότητας: όχι «διαχειριζόμενη ή αυτοεξυπηρετούμενη», αλλά «πόσο λειτουργικό βάρος μπορούμε να αντέξουμε;»
Οι ομάδες συχνά πλαισιώνουν την απόφαση ως διαχειριζόμενη υπηρεσία έναντι πλατφόρμας. Αυτό είναι πολύ περιοριστικό.
Η πρακτική διάκριση είναι πόσο από τις παρακάτω εργασίες είναι η ομάδα σας έτοιμη να αναλάβει:
- επιλογή σεναρίων
- καθορισμός του κοινού
- συντονισμός με νομικά/ανθρώπινο δυναμικό/επιτροπή εργαζομένων
- αποφάσεις σχετικά με την προστασία της ιδιωτικής ζωής
- ρύθμιση παράδοσης και αντιμετώπιση προβλημάτων
- προγραμματισμός καμπάνιας
- διαχείριση helpdesk ή κλιμάκωσης
- σχεδιασμός εκπαίδευσης μετά το κλικ
- παραγωγή αποδεικτικών στοιχείων
- τριμηνιαία αναφορά και ερμηνεία τάσεων
Μια πλατφόρμα αυτοεξυπηρέτησης μπορεί να είναι εξαιρετική αν έχετε ήδη κάποιον που έχει την ευαισθητοποίηση ως πραγματική ευθύνη, όχι ως δευτερεύουσα αποστολή. Μια διαχειριζόμενη υπηρεσία μπορεί να είναι η καλύτερη επιλογή αν η ευαισθητοποίηση είναι σημαντική, αλλά κανείς εσωτερικά δεν έχει τη δυνατότητα να διαχειρίζεται συνεχώς τον μηχανισμό γύρω από αυτήν. Ένα υβριδικό μοντέλο είναι συχνά η καλύτερη επιλογή όταν επιθυμείτε εσωτερική ευθύνη, αλλά χρειάζεστε επίσης δομή, ενσωμάτωση και ένα δίχτυ ασφαλείας κατά τη διάρκεια περιόδων αιχμής.
Επιλέξτε μια διαχειριζόμενη υπηρεσία όταν
Ένα διαχειριζόμενο μοντέλο συνήθως έχει νόημα όταν η ευαισθητοποίηση είναι απαραίτητη, αλλά δεν αποτελεί κεντρικό στοιχείο του ρόλου της ομάδας σας.
Τυπικά σημάδια:
- η ομάδα ασφάλειας ή πληροφορικής σας είναι μικρή και ήδη υπερφορτωμένη
- οι προσομοιώσεις phishing πρέπει να πραγματοποιούνται με συνέπεια, αλλά συνεχώς παραμελούνται λόγω εργασιών υψηλότερης προτεραιότητας
- η διαχείριση των ενδιαφερόμενων μερών αποτελεί εμπόδιο, ειδικά με το τμήμα ανθρώπινου δυναμικού, το νομικό τμήμα, το τμήμα συμμόρφωσης ή την εκπροσώπηση των εργαζομένων
- χρειάζεστε περιλήψεις έτοιμες για το διοικητικό συμβούλιο ή αποδεικτικά στοιχεία ελέγχου χωρίς να χτίσετε τη διαδικασία αναφοράς από το μηδέν
Οι διαχειριζόμενες υπηρεσίες είναι επίσης πολύτιμες όταν η κρυφή εργασία έχει μεγαλύτερη σημασία από την ορατή. Οι περισσότερες ομάδες μπορούν να κάνουν κλικ στο «εκκίνηση καμπάνιας». Λιγότερες ομάδες θέλουν να σχεδιάσουν το λειτουργικό μοντέλο πίσω από αυτήν.
Επιλέξτε μια πλατφόρμα όταν
Μια προσέγγιση που δίνει προτεραιότητα στην πλατφόρμα λειτουργεί καλά όταν θέλετε περισσότερο έλεγχο και διαθέτετε την εσωτερική ωριμότητα για να τη χρησιμοποιήσετε υπεύθυνα.
Τυπικά σημάδια:
- Έχετε ήδη έναν υπεύθυνο ευαισθητοποίησης ή κάποιον με αρκετή ευθύνη για να διαχειρίζεται ένα πρόγραμμα συνεχώς
- Θέλετε στενότερη ενσωμάτωση με συστήματα ταυτότητας, HRIS ή συχνές αλλαγές στον κύκλο ζωής των χρηστών
- Σκοπεύετε να εκτελέσετε προγράμματα βασισμένα σε ρόλους ή σενάρια αντί για γενικές καμπάνιες
- θέλετε να πειραματιστείτε με διαφορετικές προσεγγίσεις εκπαίδευσης και να χρησιμοποιήσετε τα αποτελέσματα για να βελτιώσετε το πρόγραμμα
- διαθέτετε ήδη εσωτερικούς κανόνες πολιτικής που ορίζουν τι επιτρέπεται και τι απαγορεύεται
Μια πλατφόρμα προσφέρει ευελιξία, αλλά η ευελιξία χωρίς διακυβέρνηση συνήθως μετατρέπεται σε ασυνέπεια.
Επιλέξτε ένα υβριδικό μοντέλο όταν
Το υβριδικό μοντέλο είναι συχνά η πιο ρεαλιστική επιλογή.
Λειτουργεί ιδιαίτερα καλά όταν:
- θέλετε μακροπρόθεσμη εσωτερική κυριότητα, αλλά δεν θέλετε να σχεδιάσετε τα πάντα από το μηδέν
- ο οργανισμός σας χρειάζεται αρχική δομή, πρότυπα ή υποστήριξη διακυβέρνησης
- είστε MSP ή φορέας που διαχειρίζεται πολλές οντότητες και θέλετε ένα επαναλαμβανόμενο μοντέλο για όλους τους πελάτες ή τις θυγατρικές σας
- χρειάζεστε τη δυνατότητα να εναλλάσσεστε μεταξύ αυτοεξυπηρέτησης και «παρακαλώ χειριστείτε αυτό για εμάς» ανάλογα με την πίεση στο τέλος του τριμήνου, τους ελέγχους ή τις αλλαγές στο προσωπικό
Για πολλούς οργανισμούς, το υβριδικό μοντέλο δεν αποτελεί συμβιβασμό. Είναι το ώριμο μοντέλο λειτουργίας.
Τι πρέπει να σημαίνει στην πραγματικότητα το «ασφαλές εξ ορισμού»
Ένας πάροχος δεν πρέπει να απαιτεί από εσάς να δημιουργήσετε από το μηδέν τα δικά σας ηθικά και λειτουργικά προστατευτικά μέτρα. Αυτά τα προστατευτικά μέτρα πρέπει να υπάρχουν ήδη στο προϊόν και στο μοντέλο υπηρεσιών.
Εάν ένα πρόγραμμα προσομοίωσης λειτουργεί με ασφάλεια μόνο στα χέρια ενός ειδικού διαχειριστή, δεν είναι πραγματικά ασφαλές εξ ορισμού.
Αυτό είναι που πρέπει να σημαίνει στην πράξη.
1. Προστατευτικά μέτρα που μειώνουν τη βλάβη σε άτομα και συστήματα
Το πρώτο ερώτημα δεν είναι «Πόσο ρεαλιστικές είναι οι προσομοιώσεις;». Είναι «Πώς ο πάροχος αποτρέπει τον ρεαλισμό από το να μετατραπεί σε απερισκεψία;»
Οι ομάδες ασφάλειας πρέπει να είναι επιφυλακτικές απέναντι σε προμηθευτές που εξισώνουν την ωριμότητα με την επιθετικότητα. Οι υπερβολικά ρεαλιστικές προσομοιώσεις μπορούν να δημιουργήσουν σύγχυση, δυσπιστία, επιβάρυνση του helpdesk ή βλάβη στη φήμη, χωρίς να προσφέρουν καλύτερα μαθησιακά αποτελέσματα.
Ρωτήστε πώς ο πάροχος χειρίζεται τα ακόλουθα εξ ορισμού:
-
Καμία συλλογή διαπιστευτηρίων εκτός αν δικαιολογείται ρητά και διέπεται από κανόνες
Πολλές οργανώσεις δεν θα πρέπει ποτέ να το χρειαστούν. Εάν το προϊόν το υποστηρίζει, θα πρέπει να υπάρχουν ρητοί έλεγχοι, εγκρίσεις και ορατές διασφαλίσεις. -
Καμία ροή εργασίας προσομοίωσης κακόβουλου λογισμικού ή ωφέλιμου φορτίου
Η εκπαίδευση θα πρέπει να ενισχύει την αναγνώριση, την επαλήθευση και την αναφορά. Δεν θα πρέπει να κανονικοποιεί ή να λειτουργεί μηχανισμούς παράδοσης που ενέχουν κίνδυνο. -
Καμία μηχανική τιμωρίας που μεταμφιέζεται ως εμπλοκή
Οι κατατάξεις που βασίζονται στην ντροπή, τα ταμπλό «hall of shame» ή τα εργαλεία ταπείνωσης που απευθύνονται στους διευθυντές συχνά βλάπτουν την εμπιστοσύνη πιο γρήγορα από ό,τι βελτιώνουν τη συμπεριφορά. -
Σαφείς διδακτικές στιγμές μετά την αλληλεπίδραση
Ένα κλικ πρέπει να οδηγεί σε άμεση μάθηση συγκεκριμένου πλαισίου: ποια στοιχεία παραβλέφθηκαν, τι θα έπρεπε να είχε προκαλέσει αμφιβολία και ποια θα ήταν η καλύτερη ενέργεια. -
Μια σαφής διαδικασία αναφοράς όταν οι εργαζόμενοι πιστεύουν ότι η προσομοίωση είναι πραγματικό περιστατικό
Δεν πρόκειται για διαχείριση ακραίων περιπτώσεων. Είναι βασική απαίτηση. Εάν κάποιος αναφέρει ή αναφέρει μια προσομοίωση ως πραγματική, η διαδικασία πρέπει να είναι σαφής, γρήγορη και χωρίς σύγχυση.
Αν θέλετε μια πιο αναλυτική ματιά στο σχεδιασμό των αναφορών χωρίς να δημιουργείτε λάθος κίνητρα, δείτε το Αναφορές προσομοίωσης phishing: 12 χαρακτηριστικά που πρέπει να συγκρίνουν οι ομάδες ασφαλείας (Πίνακες ελέγχου, μετρήσεις και αποδεικτικά στοιχεία ελέγχου).
2. Μια στάση απέναντι στην προστασία της ιδιωτικής ζωής που μπορείτε να υπερασπιστείτε εσωτερικά
Οι περισσότερες ομάδες συζητούν για την προστασία της ιδιωτικής ζωής πολύ αργά, συνήθως μετά την προμήθεια ή μετά την πρώτη δυσάρεστη αντίδραση των εργαζομένων.
Αυτό είναι λάθος.
Το μοντέλο προστασίας της ιδιωτικής ζωής ενός προγράμματος προσομοίωσης phishing πρέπει να αποφασιστεί πριν από την επιλογή του εργαλείου, επειδή καθορίζει τι σημαίνει «επιτυχία». Ορισμένοι οργανισμοί επιθυμούν ονομαστικά δεδομένα για στοχευμένη καθοδήγηση. Άλλοι επιθυμούν αναφορές σε επίπεδο ομάδας ή ανώνυμες αναφορές, επειδή η εμπιστοσύνη, οι προσδοκίες του συμβουλίου εργαζομένων ή η εσωτερική κουλτούρα καθιστούν την ατομική παρακολούθηση αντιπαραγωγική.
Κανένα από τα δύο μοντέλα δεν είναι αυτόματα σωστό. Αυτό που έχει σημασία είναι ότι ο πάροχος μπορεί να υποστηρίξει αυτό που μπορείτε να υπερασπιστείτε.
Ένας αξιόπιστος πάροχος θα πρέπει να υποστηρίζει τουλάχιστον τα εξής:
-
ελαχιστοποίηση δεδομένων
Συλλέξτε μόνο τα δεδομένα που απαιτούνται για τον σκοπό της εκπαίδευσης, όχι κάθε μετρήσιμο συμβάν απλώς και μόνο επειδή η πλατφόρμα μπορεί. -
διαμορφώσιμη διατήρηση
Τα παλιά λεπτομερή δεδομένα καμπάνιας δεν πρέπει να παραμένουν για πάντα από προεπιλογή. Οι ομάδες πρέπει να μπορούν να διαγράφουν λεπτομερή αρχεία, διατηρώντας παράλληλα συγκεντρωτικά στοιχεία ή περιλήψεις τάσεων. -
λεπτομερής έλεγχος πρόσβασης βάσει ρόλου
Η πρόσβαση σε ονομαστικά αποτελέσματα, προβολές τάσεων και διοικητικές ενέργειες πρέπει να περιορίζεται ανά ρόλο. Η διοικητική ορατότητα δεν πρέπει να είναι «όλα ή τίποτα». -
δυνατότητα ελέγχου της πρόσβασης και των αλλαγών
Εάν είναι ορατά ευαίσθητα αποτελέσματα, πρέπει να είναι δυνατό να εμφανίζεται ποιος είχε πρόσβαση σε τι και πότε. -
διαφάνεια σε απλή γλώσσα
Οι εργαζόμενοι πρέπει να μπορούν να κατανοήσουν τι μετράται, γιατί μετράται, για πόσο καιρό διατηρούνται τα δεδομένα και ποιος μπορεί να τα δει. -
υποστήριξη για ανώνυμες ή ψευδώνυμες λειτουργίες
Αυτό δεν είναι απλώς ένα «καλό να υπάρχει» για περιβάλλοντα με έντονη ευρωπαϊκή παρουσία. Σε πολλούς οργανισμούς, είναι η διαφορά μεταξύ ενός προγράμματος που γίνεται αποδεκτό και ενός που συναντά αντίσταση.
Το υποκείμενο ζήτημα δεν είναι μόνο ο νομικός κίνδυνος. Είναι η νομιμότητα. Ένα πρόγραμμα που είναι τεχνικά συμμορφωμένο αλλά αντιμετωπίζει πολιτισμική δυσπιστία θα δυσκολευτεί να δημιουργήσει ειλικρινή συμμετοχή.
Εάν δραστηριοποιείστε σε περιβάλλοντα με ισχυρή εκπροσώπηση των εργαζομένων ή αυστηρότερες εσωτερικές προσδοκίες, δείτε το Εκπαίδευση σε θέματα phishing με σεβασμό στην ιδιωτικότητα: Επιτροπές Εργαζομένων, Συγκατάθεση και Βασικά Στοιχεία του GDPR.
3. Αποδεικτικά στοιχεία που αντιστοιχούν σε αναγνωρίσιμη γλώσσα ελέγχου
Το προσομοιωμένο phishing δεν δημιουργεί από μόνο του συμμόρφωση. Δεν ικανοποιεί μαγικά τα πλαίσια. Δεν αποδεικνύει ότι οι χρήστες είναι «ασφαλείς».
Αυτό που μπορεί να κάνει, όταν είναι καλά σχεδιασμένο, είναι να παράγει αποδεικτικά στοιχεία ότι εφαρμόζετε έναν έλεγχο ευαισθητοποίησης με διακυβέρνηση, ρυθμό και συνεχή βελτίωση.
Αυτή η διάκριση έχει σημασία. Οι ελεγκτές και η ηγεσία συνήθως ενδιαφέρονται λιγότερο για τα θεαματικά αποτελέσματα μιας εκστρατείας και περισσότερο για το αν ο έλεγχος είναι σκόπιμος, τεκμηριωμένος και διατηρήσιμος.
Ένας χρήσιμος τρόπος για να πλαισιώσετε το πρόγραμμα είναι να το αντιστοιχίσετε σε καθιερωμένες προσδοκίες ευαισθητοποίησης και εκπαίδευσης. Για παράδειγμα, το NIST αντιμετωπίζει την Ευαισθητοποίηση και την Εκπαίδευση ως μια επίσημη οικογένεια ελέγχων στο NIST SP 800-53 Rev. 5.
Αυτό που συνήθως θέλουν να δουν η ηγεσία και οι ελεγκτές είναι πιο απλό από ό,τι υπονοούν πολλοί προμηθευτές:
- μια τεκμηριωμένη πολιτική ευαισθητοποίησης ή περιγραφή του προγράμματος
- ιδιοκτησία και λογοδοσία
- έναν καθιερωμένο ρυθμό
- αρχεία εγκρίσεων ή αποφάσεων διακυβέρνησης
- τεκμηρίωση των σεναρίων ή του περιεχομένου εκπαίδευσης που χρησιμοποιήθηκε
- περιλήψεις των αποτελεσμάτων με την πάροδο του χρόνου
- αποδεικτικά στοιχεία ότι τα αποτελέσματα προκάλεσαν κάποια ενέργεια παρακολούθησης
Το τελευταίο σημείο είναι ιδιαίτερα σημαντικό. Ένα ώριμο πρόγραμμα δεν μετράει μόνο τη συμπεριφορά. Αλλάζει κάτι με βάση αυτά που μαθαίνει. Ίσως μια συγκεκριμένη διαδικασία έγκρισης είναι αδύναμη. Ίσως οι οικονομικές ομάδες χρειάζονται έναν αυστηρότερο κανόνα επανεξέτασης. Ίσως οι υπάλληλοι παραβλέπουν επανειλημμένα το ίδιο μήνυμα σε μηνύματα με θέμα τις τιμολογήσεις. Η χρήσιμη απόδειξη δεν είναι απλώς ότι οι άνθρωποι έκαναν κλικ. Είναι ότι ο οργανισμός προσαρμόστηκε.
4. Αναφορές που αντέχουν στον έλεγχο
Πολλά ταμπλό είναι οπτικά καλοφτιαγμένα αλλά λειτουργικά αδύναμα.
Ένα ταμπλό δεν αποτελεί απόδειξη απλώς και μόνο επειδή περιέχει γραφήματα. Ένας δείκτης δεν είναι σημαντικός απλώς και μόνο επειδή είναι εύκολο να μετρηθεί. Και μια τριμηνιαία αναφορά δεν είναι χρήσιμη αν κανείς δεν μπορεί να εξηγήσει τι σημαίνουν πραγματικά οι αριθμοί.
Οι ομάδες ασφάλειας πρέπει να πιέζουν τους παρόχους για την ποιότητα των αναφορών πολύ πιο έντονα από ό,τι συνήθως κάνουν.
Κατ' ελάχιστον, οι αναφορές πρέπει να είναι:
-
εξαγώγιμες
Δεν πρέπει να χρειάζεται να τραβάτε screenshot των αποδεικτικών στοιχείων σας. -
συνεπείς στο χρόνο
Μια έκθεση του επόμενου τριμήνου πρέπει να είναι δομικά συγκρίσιμη με την έκθεση του τρέχοντος τριμήνου. -
καθορισμένες
Κάθε βασικός δείκτης πρέπει να συνοδεύεται από έναν ορισμό και γνωστές προειδοποιήσεις. -
ερμηνεύσιμες
Ένας ενδιαφερόμενος πρέπει να κατανοεί τι άλλαξε και γιατί έχει σημασία. -
προσανατολισμένη στη δράση
Το αποτέλεσμα πρέπει να δείχνει τα επόμενα βήματα, όχι μόνο τα γεγονότα του παρελθόντος.
Κατά την αξιολόγηση της αναφοράς, ζητήστε από τον πάροχο να εξηγήσει:
- πώς ορίζουν τα γεγονότα παράδοσης, ανοίγματος, κλικ, αναφοράς και ολοκλήρωσης
- ποιος τεχνικός θόρυβος μπορεί να παραμορφώσει αυτούς τους αριθμούς
- πώς αντιμετωπίζουν τα εργαλεία ασφάλειας email, την προξενία εικόνων, την αναδιατύπωση ασφαλών συνδέσμων ή τις αυτοματοποιημένες προεπισκοπήσεις
- αν το «ποσοστό ανοίγματος» θεωρείται ουσιαστικό ή απλώς διαθέσιμο
- πώς συμπεριφέρονται οι μετρήσεις σε ανώνυμες ή ψευδώνυμες λειτουργίες
- αν οι αναφορές υποστηρίζουν τάσεις σε επίπεδο ομάδας, προβολές βάσει ρόλων και διαχρονική ανάλυση
Στην πράξη, οι πιο παραπλανητικές μετρήσεις είναι συχνά οι πιο βολικές. Τα ανοίγματα είναι γνωστά για τον θόρυβο που δημιουργούν. Τα ακατέργαστα ποσοστά κλικ χωρίς πλαίσιο μπορούν επίσης να παραπλανήσουν, ειδικά αν τα σενάρια διαφέρουν ως προς τη δυσκολία ή αν η συμπεριφορά αναφοράς βελτιώθηκε ακόμη και όταν τα κλικ δεν μειώθηκαν αμέσως.
Η καλή αναφορά σας βοηθά να απαντήσετε: Αναγνωρίζουν καλύτερα οι χρήστες τα ερεθίσματα; Αναφέρουν τα περιστατικά πιο γρήγορα; Συγκεντρώνονται τα επαναλαμβανόμενα λάθη γύρω από συγκεκριμένα θέματα ή ρόλους; Μαθαίνει ο οργανισμός;
Η κακή αναφορά απλώς σας δίνει μια πιο ευχάριστη εκδοχή του «X άτομα απέτυχαν».
Τι να ρωτήσετε τους παρόχους αν θέλετε να αποκαλύψετε το πραγματικό λειτουργικό κόστος
Πολλά κόστη εμφανίζονται μόνο μετά την υπογραφή της σύμβασης. Οι σωστές ερωτήσεις κατά τη διάρκεια της επίδειξης τα αποκαλύπτουν νωρίς.
Λειτουργίες του προγράμματος
Ρωτήστε:
- Πόσο χρόνο χρειάζεται για να ξεκινήσει μια καμπάνια από την αρχή μέχρι το τέλος, συμπεριλαμβανομένων των εγκρίσεων;
- Μπορούμε να ενσωματώσουμε τα δικά μας μέτρα ασφαλείας σε επαναχρησιμοποιήσιμα πρότυπα ή ρυθμίσεις πολιτικής;
- Ποια μέρη της ροής εργασίας είναι πραγματικά αυτοματοποιημένα και ποια απαιτούν ακόμα χειροκίνητη διοικητική εργασία;
- Τι συμβαίνει όταν κάποιος μπερδεύει μια προσομοίωση με ένα πραγματικό περιστατικό;
- Πώς αντιμετωπίζονται οι εξαιρέσεις για ευαίσθητες ομάδες, στελέχη ή ειδικές περιπτώσεις;
Αυτές οι ερωτήσεις αποκαλύπτουν αν το προϊόν υποστηρίζει ένα πρόγραμμα ή απλώς μια λειτουργία.
Παράδοση email χωρίς να μετατρέψετε την ομάδα σας σε μηχανικούς email
Η παράδοση είναι συχνά το σημείο όπου ο ενθουσιασμός σβήνει.
Ρωτήστε:
- Ποια domain αποστολέα χρησιμοποιούνται και ποιος τα ελέγχει;
- Τι εργασία παραδοσιμότητας αναμένεται από εμάς;
- Πώς μειώνετε την πιθανότητα σύγχυσης με πραγματικά περιστατικά ή εσωτερικές επικοινωνίες;
- Πώς λαμβάνει υπόψη ο πάροχος τα εργαλεία ασφαλείας που αναδιατυπώνουν συνδέσμους, προβάλλουν μηνύματα σε προεπισκόπηση ή ενεργοποιούν αυτόματα το άνοιγμα;
- Ποιες λειτουργικές οδηγίες παρέχονται για τη συνύπαρξη με ασφαλείς πύλες email και προστασίες γραμματοκιβωτίων;
Μια καλή απάντηση θα πρέπει να αναγνωρίζει ότι η παράδοση δεν είναι ποτέ «ρυθμίστε και ξεχάστε» σε απόλυτο βαθμό, αλλά και να δείχνει ότι ο πάροχος έχει σχεδιάσει το σύστημα με βάση αυτή την πραγματικότητα.
Ταυτότητα και κύκλος ζωής χρήστη
Ρωτήστε:
- Πώς προστίθενται, ενημερώνονται και αφαιρούνται οι χρήστες;
- Μπορεί το πεδίο εφαρμογής να ελέγχεται ανά ρόλο, τμήμα, οντότητα, τοποθεσία ή άλλα οργανωτικά χαρακτηριστικά;
- Τι συμβαίνει όταν αλλάζει η δομή του οργανισμού;
- Πώς αντιμετωπίζονται οι αποχωρούντες;
- Μπορούν οι κατανεμημένοι διαχειριστές να εργάζονται σε ξεχωριστά πεδία εφαρμογής χωρίς να βλέπουν τα πάντα;
Αυτό είναι ιδιαίτερα σημαντικό αν έχετε θυγατρικές, περιβάλλοντα που λειτουργούν από συνεργάτες ή περιπτώσεις χρήσης τύπου MSP.
Απόρρητο και διακυβέρνηση
Ρωτήστε:
- Ποια δεδομένα συλλέγονται από προεπιλογή;
- Ποια δεδομένα είναι προαιρετικά;
- Πώς περιορίζεται και καταγράφεται η πρόσβαση;
- Μπορεί η διατήρηση να διαμορφωθεί χωρίς αιτήματα υποστήριξης ή προσαρμοσμένα συμβόλαια;
- Ποια υλικά διαφάνειας είναι διαθέσιμα για εσωτερική επικοινωνία;
- Μπορούν οι ονομαστικές και οι ανώνυμες λειτουργίες να συνυπάρχουν με ελεγχόμενο τρόπο εάν διαφορετικά τμήματα του οργανισμού χρειάζονται διαφορετικές προβολές;
Μια ασαφής απάντηση εδώ είναι συνήθως κακό σημάδι.
Προειδοποιητικά σημάδια που πρέπει να κάνουν τις ομάδες ασφαλείας να σταματήσουν
Ένας πάροχος προσομοίωσης phishing θα πρέπει να μειώνει τις οργανωτικές τριβές και τον κίνδυνο. Αν κατά την αξιολόγηση φαίνεται να ισχύει το αντίθετο, πιστέψτε αυτό το σήμα.
Να είστε προσεκτικοί όταν παρατηρήσετε οποιοδήποτε από τα παρακάτω:
Ο «μέγιστος ρεαλισμός» χρησιμοποιείται ως υποκατάστατο του καλού σχεδιασμού
Ο ρεαλισμός έχει σημασία, αλλά δεν είναι το ίδιο με την αποτελεσματικότητα. Ένας πάροχος που έχει εμμονή με το πόσο πειστικά μπορεί να ξεγελάσει τους χρήστες ενδέχεται να μην επενδύει αρκετά στην ασφάλεια, τον σχεδιασμό μάθησης ή τη διακυβέρνηση.
Η τιμωρία παρουσιάζεται ως λογοδοσία
Εάν το μοντέλο συμμετοχής του προγράμματος βασίζεται στην ταπείνωση, την κλιμάκωση ή τη διαχειριστική εξευτελισμό, πιθανότατα αγοράζετε μια βραχυπρόθεσμη έξαρση συναισθημάτων αντί για μια διαρκή βελτίωση στη συμπεριφορά.
Η αναφορά είναι εντυπωσιακή στην οθόνη αλλά αδύναμη στην ουσία
Εάν οι αναφορές δεν μπορούν να εξαχθούν καθαρά, να εξηγηθούν με σαφήνεια ή να συγκριθούν διαχρονικά, το πρόγραμμα θα αντιμετωπίσει δυσκολίες στους ελέγχους και στις συζητήσεις με την ηγεσία.
Οι απαντήσεις σχετικά με την προστασία της ιδιωτικής ζωής είναι ασαφείς ή εξαρτώνται από την υποστήριξη
Εάν η διαγραφή, οι αλλαγές στη διατήρηση ή οι έλεγχοι πρόσβασης ακούγονται αυτοσχέδιοι, υποθέστε ότι θα γίνουν επώδυνοι αργότερα.
Ο πελάτης γίνεται ο κινητήρας της ροής εργασίας
Εάν ο μόνος τρόπος για να λειτουργήσει το πρόγραμμα αξιόπιστα είναι η διατήρηση υπολογιστικών φύλλων, χειροκίνητων χρονοδιαγραμμάτων και τεκμηρίωσης παράπλευρων καναλιών, το εργαλείο δεν μειώνει το λειτουργικό βάρος. Το μετατοπίζει.
Μια προσέγγιση υλοποίησης που λειτουργεί στις περισσότερες οργανώσεις
Οι ομάδες συχνά περιπλέκουν υπερβολικά την πρώτη εφαρμογή. Ο πειρασμός είναι να σχεδιάσουν αμέσως εξαιρετικά ρεαλιστικά σενάρια και να αντιμετωπίσουν την πρώτη εκστρατεία σαν δοκιμή αντοχής.
Αυτό συνήθως αποτελεί λάθος.
Ο στόχος της πρώτης φάσης δεν είναι ο θεατρικός ρεαλισμός. Είναι η καθιέρωση της νομιμότητας, του ρυθμού και ενός κλειστού κύκλου ανατροφοδότησης.
Εβδομάδα 1: καθορισμός των ορίων λειτουργίας
Πριν από την πρώτη εκστρατεία, αποφασίστε:
- ποια σενάρια εμπίπτουν στα όρια
- ποια σενάρια είναι εκτός ορίων
- πώς θα αξιολογούνται τα αποτελέσματα
- ποιος θα έχει πρόσβαση
- για πόσο καιρό θα διατηρούνται τα δεδομένα
- πώς θα περιγράφεται το πρόγραμμα εσωτερικά
- πώς θα αντιμετωπίζονται οι αναφορές για «πιθανά πραγματικά περιστατικά»
Αυτή είναι η βάση. Αν την παραλείψετε, η πρώτη εκστρατεία θα μετατραπεί σε διαμάχη σχετικά με τις προθέσεις αντί για μια άσκηση μάθησης.
Εβδομάδες 2–3: εκτελέστε μια βασική δοκιμή χωρίς έντονο δράμα
Ξεκινήστε με ένα σενάριο που διδάσκει ένα ή δύο σημάδια με σαφήνεια, αντί να προσπαθείτε να μιμηθείτε τέλεια μια εξελιγμένη επίθεση.
Εστιάστε στα εξής:
- την καθιέρωση των μηχανισμών του προγράμματος
- την παρατήρηση της συμπεριφοράς αναφοράς
- την επιβεβαίωση ότι η εκπαίδευση μετά το κλικ θεωρείται εποικοδομητική
- τη δοκιμή των εσωτερικών διαδρομών κλιμάκωσης και επικοινωνίας
- τη δημιουργία της πρώτης σας βασικής αναφοράς
Η πρώτη επιτυχημένη εκστρατεία είναι αυτή που δημιουργεί σαφήνεια και εμπιστοσύνη, όχι αυτή με το υψηλότερο ποσοστό κλικ.
Εβδομάδα 4: κλείστε τον κύκλο δημόσια και με ηρεμία
Μια ώριμη υλοποίηση κλείνει τον κύκλο.
Αυτό μπορεί να περιλαμβάνει:
- τη σύνοψη των ενδείξεων που συνήθως αγνοούνταν
- την κοινοποίηση απλών διδαγμάτων που αντλήθηκαν
- την προσαρμογή μιας διαδικασίας ή πολιτικής με βάση τα ευρήματα
- τον καθορισμό του ρυθμού της επόμενης εκστρατείας
- την επίδειξη ότι ο στόχος είναι η βελτίωση του οργανισμού, όχι η ταπείνωση των εργαζομένων
Εδώ είναι που η εμπιστοσύνη είτε ενισχύεται είτε υπονομεύεται. Εάν οι εργαζόμενοι διαπιστώσουν ότι η άσκηση οδήγησε σε χρήσιμες οδηγίες και όχι σε επίρριψη ευθυνών, η μακροπρόθεσμη συμμετοχή βελτιώνεται.
Τι προσπαθούν πραγματικά να μετρήσουν τα καλύτερα προγράμματα
Ένα συνηθισμένο λάθος στις προσομοιώσεις phishing είναι η υπόθεση ότι το βασικό ερώτημα είναι «Ποιος έκανε κλικ;»
Αυτό είναι μόνο ένα μέρος της εικόνας, και συχνά όχι το πιο σημαντικό.
Πιο ουσιαστικά ερωτήματα περιλαμβάνουν:
- Αναφέρουν οι εργαζόμενοι ύποπτα μηνύματα πιο συχνά;
- Τα αναφέρουν πιο γρήγορα;
- Επαναλαμβάνονται τα ίδια λάθη ή αλλάζουν τα μοτίβα;
- Χρειάζονται ορισμένοι ρόλοι ή ομάδες καλύτερη υποστήριξη διαδικασιών, και όχι απλώς περισσότερη εκπαίδευση;
- Οι προσομοιώσεις επιφέρουν αλλαγές στη συμπεριφορά επαλήθευσης;
- Γίνεται ο οργανισμός καλύτερος στο να διακόπτει επικίνδυνες ενέργειες πριν αυτές εξελιχθούν σε περιστατικό;
Γι' αυτό τα ώριμα προγράμματα εστιάζουν περισσότερο στην ποιότητα της αντίδρασης και στα σήματα μάθησης παρά σε μετρήσεις τύπου «εντοπισμού και επίρριψης ευθυνών».
Συχνές ερωτήσεις
Οι υπηρεσίες προσομοίωσης phishing είναι το ίδιο με την εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας;
Όχι απαραίτητα.
Ορισμένοι πάροχοι συνδυάζουν και τα δύο. Άλλοι εστιάζουν κυρίως στις προσομοιώσεις. Ωστόσο, η καλύτερη διάκριση είναι μεταξύ δραστηριότητας και αποτελέσματος.
Μια πλατφόρμα που στέλνει καμπάνιες αλλά δεν παράγει μετρήσιμη αλλαγή στη συμπεριφορά δεν αποτελεί ουσιαστικά σύστημα εκπαίδευσης. Αντίθετα, ένας πάροχος που συνδυάζει προσομοιώσεις με άμεσες, σχετικές στιγμές μάθησης και καλή αναφορά λειτουργεί πολύ πιο κοντά σε έναν πραγματικό έλεγχο ευαισθητοποίησης.
Το βασικό ερώτημα δεν είναι αν υπάρχει περιεχόμενο. Είναι αν το πρόγραμμα αλλάζει τη συμπεριφορά με μετρήσιμο τρόπο.
Μπορούν οι προσομοιώσεις phishing να βλάψουν την εμπιστοσύνη των εργαζομένων;
Μπορούν, αν είναι μυστικές, τιμωρητικές ή δεν συνάδουν με την κουλτούρα του οργανισμού.
Η εμπιστοσύνη διατηρείται πολύ πιο εύκολα όταν το πρόγραμμα είναι διαφανές ως προς τον σκοπό του, συντηρητικό ως προς τα προεπιλεγμένα όρια ασφαλείας και επικεντρώνεται στη μάθηση και όχι στην ταπείνωση. Η αναφορά με σεβασμό στην ιδιωτικότητα, η σαφής επικοινωνία και η σεβαστή παρακολούθηση έχουν την ίδια σημασία με την τεχνική ποιότητα.
Ποιοι δείκτες έχουν τη μεγαλύτερη σημασία;
Οι πιο χρήσιμοι δείκτες είναι συνήθως:
- ποσοστό αναφοράς
- χρόνος αναφοράς
- επαναλαμβανόμενα μοτίβα κινδύνου
- αδυναμίες συγκεκριμένων σεναρίων ή ερεθισμάτων
- τάσεις με την πάροδο του χρόνου
Τα ποσοστά ανοίγματος είναι συχνά τεχνικά θορυβώδη. Τα ακατέργαστα ποσοστά κλικ μπορούν επίσης να είναι παραπλανητικά αν ληφθούν μεμονωμένα. Το πιο ώριμο ερώτημα δεν είναι «Πόσοι έκαναν κλικ;», αλλά «Τι μάθαμε και τι άλλαξε μετά;»
Πρέπει οι προσομοιώσεις να είναι εξαιρετικά ρεαλιστικές για να λειτουργήσουν;
Όχι.
Ο ρεαλισμός βοηθά μόνο μέχρι το σημείο που βελτιώνει τη μάθηση. Πέρα από αυτό το σημείο, μπορεί να αυξήσει τη σύγχυση και το οργανωτικό κόστος χωρίς αντίστοιχο όφελος. Ένα προοδευτικό μοντέλο είναι συνήθως καλύτερο: ξεκινήστε με σαφήνεια και στη συνέχεια αυξήστε την πολυπλοκότητα με την πάροδο του χρόνου, παραμένοντας εντός των συμφωνημένων ορίων.
Πώς πρέπει να μιλάμε για τις προσομοιώσεις phishing σε ελέγχους ή αξιολογήσεις;
Αποφύγετε να ισχυρίζεστε ότι μια δοκιμή phishing δημιουργεί από μόνη της συμμόρφωση.
Μια καλύτερη προσέγγιση είναι ότι το πρόγραμμα παρέχει αποδεικτικά στοιχεία για έναν ελεγχόμενο έλεγχο ευαισθητοποίησης μέσω:
- πολιτικής και ευθύνης
- προγραμματισμένης εκτέλεσης
- τεκμηριωμένων αποτελεσμάτων
- διατηρούμενων αποδεικτικών στοιχείων
- συνεχούς βελτίωσης
Αυτή είναι μια ισχυρότερη και πιο υπερασπίσιμη θέση.
Τι πρέπει τελικά να απαιτούν οι ομάδες ασφάλειας
Μια ισχυρή υπηρεσία προσομοίωσης phishing πρέπει να κάνει περισσότερα από το να στέλνει πειστικά δόλωμα.
Πρέπει να βοηθά τον οργανισμό σας να εφαρμόζει έναν επαναλαμβανόμενο έλεγχο που είναι:
- ασφαλής εξ ορισμού
- σχεδιασμένος με γνώμονα την προστασία της ιδιωτικότητας
- λειτουργικά βιώσιμος
- εξηγήσιμος στην ηγεσία
- υπερασπίσιμος στους ελεγκτές
- αξιόπιστος στους υπαλλήλους
Αυτό είναι το κριτήριο που αξίζει να χρησιμοποιείται στις αξιολογήσεις.
Επειδή ο πραγματικός τρόπος αποτυχίας στα προγράμματα προσομοίωσης phishing σπάνια είναι «μας έλειπαν πρότυπα». Ο τρόπος αποτυχίας είναι ότι το πρόγραμμα γίνεται σιωπηλά υπερβολικά χειροκίνητο, υπερβολικά θορυβώδες, υπερβολικά τιμωρητικό, υπερβολικά ασαφές ή υπερβολικά δύσκολο να υπερασπιστεί. Σε εκείνο το σημείο, παύει να είναι ένας έλεγχος και γίνεται πηγή εσωτερικής τριβής.
Οι πάροχοι που αξίζει να ληφθούν σοβαρά υπόψη είναι εκείνοι που μειώνουν αυτές τις τριβές, παράγοντας παράλληλα μετρήσιμη μάθηση και αξιόπιστα στοιχεία.
Είστε έτοιμοι να εκτελέσετε προσομοιώσεις phishing με ασφάλεια;
Το AutoPhish έχει σχεδιαστεί για προσομοιώσεις phishing που είναι ασφαλείς εξ ορισμού και βοηθούν τις ομάδες να μειώσουν τον ανθρώπινο κίνδυνο, χωρίς να μετατρέπουν την ευαισθητοποίηση σε μηχανή επίρριψης ευθυνών ή σε επιπλέον εργασία για τους ήδη υπερφορτωμένους διαχειριστές.
- Εκτελέστε προσομοιώσεις με σαφή όρια
- Διατηρήστε την ιδιωτικότητα και την εμπιστοσύνη των εργαζομένων
- Δημιουργήστε αναφορές που μπορούν να χρησιμοποιήσουν πραγματικά η διοίκηση και οι ελεγκτές
- Διατηρήστε το λειτουργικό φορτίο αρκετά χαμηλό ώστε να διατηρηθεί το πρόγραμμα
Επειδή ένα πρόγραμμα phishing λειτουργεί μόνο αν παραμείνει τόσο αποτελεσματικό όσο και εκτελέσιμο.