Phishing Testing SaaS алати за усаглашеност: Шта купци заправо треба да питају
Већина водича за куповину у овој категорији упоређује шаблоне и стопе клика. То није оно на шта ревизори обраћају пажњу — и то није ни оно по чему бисмо желели да нас купци оцењују.
Неколико месеци након почетка изградње AutoPhish-а, почео је да се појављује образац у продајним позивима. Купци оријентисани на усаглашеност — људи из SOC 2, ISO 27001, Европљани који су свесни улоге већа радника — нису питали за шаблоне или стопе клика. Питали су нешто много досадније: како доказ заправо изгледа када га ревизор затражи?
То је право питање. И управо је то питање које недостаје у већини јавних упоредби SaaS алата за тестирање фишинга у сврху усаглашености.
Овај пост је водич за куповину написан из унутрашњости ове категорије. То је разговор који бисмо желели да више купаца наметне продавачима — укључујући, по потреби, и нама. Ако процењујете SaaS алате за тестирање фишинга у сврху усаглашености и желите брже да сузите своју скраћену листу, ова питања ће обавити то сужење.
Престаните да оцењујете добављаче на основу стопе клика
Најчешћа грешка коју видимо у овој категорији — а виђамо је и код добро вођених безбедносних тимова који би требало да знају боље — јесте третирање "стопе клика на кампању током времена" као главне метрике.
То је корисна дијагностика. Као доказ у погледу усаглашености, то је ужасан материјал.
Чист низбивни тренд стопе клика рецензенту отприлике не говори ништа о томе да ли је ваш програм подизања свести уређен. То им не говори ко је одобрио кампању, ко је могао да види именоване резултате, шта се десило са људима који су кликнули, да ли је неко поново обучен или да ли су подаци задржани дуже него што то дозвољава ваша сопствена политика.
Унутрашњи тест на који се стално враћамо када градимо функције у AutoPhish-у јесте: ако би од нас SOC 2 ревизор или рецензент набавке код клијента затражио да ово демонстрирамо за петнаест минута, да ли бисмо могли? Тај критеријум — петнаест минута, без уплашених Slack низова, без снимака екрана снимака екрана — много боље је средство за приоритизацију функција од тога "шта би добро изгледало у демонстрацији".
Дакле: када добављач истиче контролне табле са стопом клика, то није нужно алармантан знак. Али то је знак да ћете морати сами да поставите следеће питање, јер они то неће учинити.
Шта заправо значи "спремно за усаглашеност"
Ова фраза се претерано користи. Ево шта она значи у пракси и шта сваки озбиљан SaaS алат за тестирање фишинга за усаглашеност треба да олакша у односу на то како би било без њега:
- Понављајуће операције. Кампање заказане у одређеном ритму, а не херојски организоване свака три месеца од стране једне особе која је на ивици прегоревања.
- Чисти докази. Извезени подаци које ревизор може да прочита без потребе да их ви тумачите — обухватајући обим, одобрења, резултате и отклањање недостатака.
- Оправдано управљање. Раздвајање улога, евиденција одобрења, администраторски трагови ревизије. Негламuroзна машинерија која вам омогућава да одговорите на питање "ко је шта урадио, када" без устручавања.
- Пропорционално руковање подацима. Анонимизација где је то прикладно, задржавање података које можете конфигурисати, брисање које можете доказати, видљивост резултата по кориснику коју можете бранити.
Запазите шта није на тој листи: шаблони, мамци генерисани вештачком интелигенцијом, табле за рангирање у оквиру гамификације, топлотне мапе прилагођене руководиоцима. Те ствари су у реду. Неке од њих су чак и корисне. Ниједна од њих није разлог због којег би купац оријентисан на усаглашеност требао да изабере једну платформу уместо друге.
За дужу верзију о томе како конкретно размишљамо о извештавању, Извештавање о симулацији фишинга је најближа ствар коју AutoPhish има јавној спецификацији за то како добри докази треба да изгледају.
Питања која треба поставити у демонстрацији
Заборавите стандардни RFP. Ако имате тридесет минута са добављачем и бринете о доказима усаглашености, ево где да их искористите.
"Покажите ми кампању која је већ вођена и прођите са мном кроз сваки артефакт који би ревизор могао да затражи."
Погледајте шта се дешава. Добри провајдери ће вам показати чист извоз података — датуме, обим, ко је одобрио, ко је предузео које радње, који је праћени задатак додељен, шта је затворено. Слабији ће превлачити курсором по контролној табли, показивати на ствари и рећи: "Можете да направите снимак екрана овога."
Снимци екрана нису доказ. Или, прецизније, јесу — али су лош доказ. Лако се оспорити, мучно их је репродуковати годину дана касније када се ревизор врати.
"Ко у нашој организацији може да види да је Сара из одељења за рачуноводство кликнула на линк?"
Већина платформи може да одговори на ово. Мање их може да одговори на то подесиво, са видљивошћу заснованом на улогама која се заиста поклапа са тим како стварна организација спроводи подизање свести. И готово ниједна не олакшава демонстрирање одбору радника или ревизору за приватност да је приступ по именима ограничен по дизајну, а не само добрим намерама.
Ако послујете у Европи или било где где је јака традиција заштите података о запосленима, ово је питање које тихо одлучује да ли ће ваш програм проћи проверу. Више о том специфичном режиму неуспеха можете пронаћи у Privacy-Friendly Phishing Training.
"Шта се дешава након што неко кликне?"
Искрен одговор за многе платформе је "то снимамо". То није програм — то је надзорном систему причвршћен модул за обуку.
Одговор прилагођен прописима изгледа овако: тренутна повратна информација са корисничке стране, аутоматски накнадни задатак за обуку, документован поступак за поновно понашање и евиденција затворене петље да је исправка заиста извршена. Ако добављач не може да опише тај радни ток без уопштавања, платформа ће производити доказе о неуспеху без доказа о побољшању — а то је заиста горе него да се уопште не спроводи ниједан програм, јер документује ваш проблем, а не документује ваш одговор.
"Које тврдње о усаглашености одбијате да изнесете?"
Ово је питање које раздваја добављаче који разумеју ову категорију од оних који је само користе.
Искрен одговор — онај који ми дајемо, а који би требало да да и сваки добављач од кога вреди купити — јесте: ми вас не чинимо усаглашеним. SaaS алати за тестирање фишинга за усаглашеност помажу вам да произведете доказе који потврђују свест и контроле обуке у оквиру оквира као што је SOC 2 или ISO 27001, заснованог на нечему као што је NIST SP 800-50. Они вас не сертификују. Не могу. Ниједна платформа то не може.
Продавац који наговештава супротно или нема пажње према језику или вам продаје причу. У оба случаја, то је позив који љубазно прекидате.
Где SaaS заиста побеђује, а где не
SaaS алати за хостовано тестирање фишинга за усаглашеност заиста побеђују када је у питању оперативни терет. Пosao вођења мејл инфраструктуре, решавања питања испоручености, закрпавања, надоградње и састављања доказа приликом ревизије је стваран — и углавном је невидљив све док не постане видљив. Хостована платформа која те ствари третира као свој проблем, а не као ваш, структурно је лакша за одбрану у прегледу.
Шта SaaS не решава, а шта вам ниједна демонстрација производа неће решити:
- Политички рад на усклађивању ставова служби за људске ресурсе, правне службе и синдиката о томе шта је прихватљиво.
- Одлуке о политици у вези са тим ко у вашој организацији види конкретне резултате.
- Теже питање чему ваш програм заправо служи — смањењу ризика, обуци, промени понашања, пружању доказа — јер су то различити програми и карактеристике платформе које им служе се разликују.
- Ваш одговор на инциденте, ваш систем безбедности е-поште, ваше контроле идентитета. Симулације фишинга су алат за подизање свести, а не компензациона контрола.
Купци понекад убеде сами себе да је куповина платформе решила проблеме који су се заправо односили на власништво и политику. То никада не бива. Најбоље чему се можете надати јесте да пракса платформа престане да додаје проблеме тој гомили. Погрешна платформа ће тихо створити нове проблеме — обично у вези са задржавањем података и приступом резултатима по именима — који ће испливати осамнаест месеци касније када се нико не буде сећао оригиналне одлуке о конфигурацији.
Ако је ваш обим шири од једног тима, enterprise compliance је верзија овог водича написана за набавку, а не за практичаре.
Кратак, субјективан водич
Ако морате брзо да оцените скраћену листу SaaS алата за тестирање фишинга у погледу усаглашености, ово је оно што заправо треба да користите.
Јаки сигнали: извоз доказа који можете да предате ревизору без додатног рада; видљивост резултата по улогама; могућност подешавања задржавања и брисања података; аутоматизовани ток рада након што неко кликне; добављач који може јасно да изнесе шта неће тврдити о усаглашености.
Слаби сигнали: контролне табле фокусиране на стопе клика; нејачни одговори о одобрењима и админ логовима; анонимизација која постоји само у теорији, а не у подешавањима; велики напор у сваком циклусу; свака реченица која садржи фразу "чини вас у складу са прописима".
Досадни провајдери обично побеђују у овој категорији. То није жалба — то је цела понуда.
Понедељков тест
Ако сте на почетку ове процене, ево најмањег корисног корака: изаберите два добављача са ваше кратке листе и затражите од сваког да вам пошаље стварни извоз доказа из стварне (анонимисане) кампање. Није то лажни PDF, није демонстрациона контролна табла — већ сама датотека коју би ревизор добио.
Сазнаћете више из те две приложене датотеке него из шест сати демонстрација. То је тест који бисмо волели да више купаца спроведе на нама, јер су продавачи који не могу да га прођу управо они који ову категорију чине тешком за продају свима осталима.
Ако желите да видите како изгледа AutoPhish-ова верзија тог извоза, Пријавите се — управо је то артефакт око кога је производ изграђен.