私たちは最近、企業のフィッシングテストを実行するように契約しました。それを会社と呼びましょうが、基本的にはフィッシングキャンペーンで環境のセキュリティを評価することを法律で義務付けられています。
私たちが最初のキャンペーンを実行したのはそれほど昔ではなく、結果はかなり悪かった。ユーザーの70%以上が私たちが送信した「悪意のある電子メール」を信頼し、電子メールで要求されたすべてのことを行いました。
それが終わった後、私たちはもちろん、私たちの調査結果の詳細を簡単に説明しました。端的に言えば、彼らはフィッシングに陥った人物の識別子(メール、ユーザー名など)を必要としませんでした。彼らは、「Xのうち300」が電子メールを特定できないことを望んでいました。彼らの理由は、誰も気分を害したくなかったからです。 (従業員が攻撃の可能性に陥り、情報が漏洩した場合、顧客の気持ちが傷つくと言いたかったのですが)私は、チェックボックスをオンにしていて、実際にユーザーの教育に興味がないと非難しました。彼らはあまり幸せではなかった。私は、彼らが2つのレポートさえも望んでいないと述べて詳しく説明する必要があります。1つはメールを表示し、もう1つは表示しません。彼らに提供したのは、少なくとも彼らが個々の人々がさまざまなキャンペーンに時間をかけてどのように反応するかを見ることができるからです。これは、ユーザー「Sam」が10のキャンペーンの過程で毎回電子メールのすべてのリンクをクリックする場合に絶対に役立ちます。確かに、他のユーザーとは異なる方法でサムを教育したいと思いますか?
私の質問は、これはフィッシングキャンペーンの目的を無効にし、ネットワーク内の情報のセキュリティを向上させないのですか?これは正常ですか?
この最初のキャンペーンは、最初にベースラインを確立しました。だから、はい、それは正常です。 「会社としての立場はどうですか。どのレベルまでトレーニングする必要がありますか。全体として、安全なユーザーがいますか、それとも、全体として、安全でないユーザーがいますか?」このレポートは、これと、経営陣がフィッシングトレーニングに従事する必要がある範囲を示しています。ユーザーの5%だけがフィッシング攻撃に陥った場合、トレーニングの焦点は大きく異なります。現状では、経営陣は本質的に全社的な問題があり、フィッシングキャンペーンは基本的に成功する確率が70%であることを知っています。
これで、会社が将来のフィッシングトレーニングを行うときに、結果を比較して、トレーニングが成功したかどうかを判断できます。 「最初は70%の確率で失敗しました。今回は68%の確率で失敗しました。したがって、成功しませんでした。」あるいは、「最初は70%の確率で失敗しましたが、今では50%の確率で失敗しました。より良い結果を出していますが、さらにトレーニングが必要です。」
いいえ、あなたが非難を割り当てている名前を与えることにより、セキュリティは個人を非難することから離れ、代わりにそれを全体としてとらえる必要があります。これは、Webサイトでセキュリティの脆弱性を見つけることと同じです。開発者を責めるのではなく、プロセス全体の改善を検討する必要があります。
フィッシングキャンペーンを実施しており、ユーザーを特定することはありません。私たちがそれを使用するのは、私たちの弱点を特定し、スタッフをよりよく訓練する必要があることです。このトレーニングを1人だけに焦点を当てても意味がありません。
キャンペーン終了後、すべてのスタッフにメールを送信し、失敗/成功の統計情報を提供し、フィッシングを特定するためのヒントとメールの一般的な取り扱い方法を提供します。
これを見る正しい角度は、次の質問をすることです:
テストに不合格だった人の数を考慮して、会社がこれらの名前を持っている場合、どのような(セキュリティ)目標が達成されますか?
私はこう言います:none。
とにかく、全社的なフィッシングテストのセキュリティ目標は何ですか?
通常、ITに依存し、一定数の従業員を抱えるすべての企業では、これらの従業員は情報セキュリティトレーニングを受けています。これらのトレーニングは、主に電子メール通信、デスクトップセキュリティなどの基本的なトピックをカバーしています。フィッシングテストを実行するとき、経営者は次のことを知りたいと考えています。
あなたが彼らの請負業者として彼らに「あなたの従業員の70%がテストに失敗した」と言ったら、それは上記の2つの質問に答えます。経営者が300人以上の従業員を抱える会社で名前を尋ねた場合、彼らはこれ以上関連情報を取得せず、彼らの仕事を正しく行っていません。
次のステップは、新しいセキュリティ目標を定義することです。次のように表示されます。
「今後Xか月以内に、すべての従業員がセキュリティトレーニングに参加する必要があります。$年間の$か月までに、$ contractorに別のフィッシングテストを実施してもらい、このテストに失敗した人の割合はX%未満にする必要があります。」
これらのトレーニングは、フィッシングテストに不合格だった従業員だけが参加する必要がある場合、より費用効果が高いでしょうか。多分。
しかし、あなたはそれらを会社の30%(行かなくてもよい企業)に「フィッシングの試みを特定するには愚かすぎる」と提示します。これが士気に及ぼす影響は、すべての従業員をトレーニングに派遣するだけのすべてのコストを上回ります。また、情報セキュリティに関する30%のもう1つの注意点は、実際には害にはなりません。
これが良いアイデアである理由はもう1つあります。通常、フィッシングテストを実行しても、フィッシングテストが実行されたとしても、人々がそのテストに失敗しなかった理由はわかりません。彼らの一部は、休暇中だった、病気だった、または単にスキップしたため、電子メールを読んでいない可能性があります。次回のテストに合格するかどうかは誰にもわかりません。従業員は常にあなたの最大のリスク要因です。可能であれば彼らを訓練してください。
他の回答でこれまで見逃されていたもう1つのポイントは、結果の伝達方法によって異なります。ほとんどの人は、テストに失敗したことを知っています。
あなたは何らかの方法で従業員に通知する必要があり、私はこれがほとんどの企業がそうする方法であると思います:フィッシングメールのスクリーンショットを添えて全社的な電子メールを送信します。
「親愛なる従業員の皆さん、申し訳ありませんが、これはフィッシングテストでした。あなたを待っている無料のヨットはありません。テストに合格しなかった人の数は悪かったので、セキュリティトレーニングを近い将来、請負業者が私たちのためにこれを行い、私たちは個人データを収集しなかったため、誰がリンクをクリックし、誰がクリックしなかったかはわかりません。影響はありません。フィッシングメールは、次のような本当に悪い結果をもたらす可能性があります。 ... yadda、yadda、yadda ..」.
人々は自分の受信箱をチェックし、それがそれほど昔ではない場合は、彼らが何をしたかを覚えています。 これは、セキュリティトレーニングと行動の調整に対する受け入れを後押しします。恐怖を呼び起こし、人々に圧力をかけることは良くありません。
これらのテストの目的について誤解があるようです。
識別子を使用することは、それらを教育および/または罰するために、責任者を見つけることを意味します。これは、人を特定できないテストの明示的なパラメーターである可能性があります。多くのヨーロッパの国では、地元の労働者評議会または労働組合の代表者がそのようなテストに同意する必要があり、これを条件とする可能性があります。
統計を使用するということは、パフォーマンス指標を識別するを意味します。これらを相互に測定して、たとえば、改善しているのか、実施した意識向上キャンペーンが効果的だったのかを特定できます。あなたはこれのために識別された人々を必要としません、そしてそれは結果をさえぼかすかもしれません。
最後に、顧客が請求書を支払います。あなたは彼らのために働いているので、あなたが持っている専門家の懸念や考えを指摘する必要がありますが、それが個人または専門家の倫理(例えば、メンバーである場合はISACA倫理基準)に反しない限り、顧客が求めるものを提供します。
あなたの質問に答えるには:
これはフィッシングキャンペーンの目的を無効にし、ネットワーク内の情報のセキュリティを向上させませんか?これは正常ですか?
いいえ。お客様が調査の結果の詳細なバージョンを必要とする場合、それは最終的に彼らの電話です。しかし、あなたには最高のアドバイスを提供し、それらに選択の力を与えるすべての権利があります。
このような顧客の反応に直面するのは普通ですか?はい、それは常に発生する可能性があり、それは多くのことの結果である可能性があります。レポートが公開された後、顧客は自分自身に不安を抱く可能性があります(たとえば、経営陣のメンバーが捕まった場合の対処法、それを処理する方法)、または従業員を軽視したくない場合、後でトレーニングを処理する方法を知らない可能性があります。
彼らがそれを支払うものであるならば、あなたは彼らの顧問として最終的に彼らの決定を尊重しなければなりません。
補足として、私が気づいたことについて:
私は、チェックボックスをオンにしていて、実際にユーザーの教育に興味がないと非難しました。
あなたが今言ったことを丁寧に言う方法はありません。しかし、すべての間違いに遭遇することなくそれを言う他の方法があります。政治の世界へようこそ。他のほとんどの回答はセキュリティの側面をカバーしているので、私の回答では他の微妙な政治的側面をカバーしたいと思います。
あなたには目に見えるほどの善意とノウハウがあり、その顧客は、その演習の全体に行き着かないという観点から、頑固に見えます。
私はそのような何かを伝えるための最良の方法を見つけました。それは、顧客に必ずしも迷惑をかけたり、顧客にショットを呼ばせたり、批判したりするように顧客を感じさせたりせずに、あなたの原因を促進することです。彼と間違った方法に出くわしました。
ビジョンを促進するのに役立つと思われる方法をいくつか紹介します。それはすべて政治であり、個別に研究することができます。
どちらの場合も、Are you sure you want to do that Mr. Customer?
。それは選択の力と呼ばれ、彼らの行動や思考を変更しようとする試みの終わりに、選択を彼らの手に戻します。
あなたが成功せず、それでも彼らが望んでいない場合は、成功させましょう。とにかくあなたには権限がありませんでした。あなたにできることは、できる限り最善を尽くして彼らにアドバイスすることです。しかし、それでも、別のシナリオでは、顧客の考えに影響を与えて、それを自分のやり方にした可能性があります。しかし、常にそうであるとは限りません。
私はそのようなキャンペーンを(顧客として)終了し、ユーザーの絶対的な匿名性を求めていました。
いくつかの理由があり、その中で最も重要なものは
顧客には他の理由があった可能性があります。あなたは彼らに完全な結果を得る機会を与えました、おそらくいくつかの助言で。彼らは匿名バージョン、彼らの選択を望んだ。
注:入力ミスのため申し訳ありません(または実際には-電話でのオートコンプリートの誤り)。これにより、私の最初の答えはかなり奇妙に見えました。
私はあなたがそのデータをキャプチャしたいというあなたの願望を完全に理解しています。匿名化してください。一般的なアイデアは、小文字のメールアドレスのMD5ハッシュを取得し、必要な解像度のビットを取得し、それらをb7R+
のままにするか、shave-pen-osram
のような「AOLパスワード」に変換することです。
禁じられた
John Smith FAIL
Frank Frink FAIL
Juliana Crain PASS
あなたが許可されるかもしれないもの
Rufus-Castle-Uniform-Enemy FAIL
Zion-Lathe-Shoot-Loyal FAIL
Flee-Worldly-Variable-Key PASS
さらに安全なもの
Bucket Stop-Bad 4/6 failed (66%)
Bucket Wax-Scissors 5/6 failed (83%)
Bucket Memory-Egg 4/5 failed (80%)
nビットに従業員の数を含めることができる(たとえば、employees = 700 n = 10)ことができるということを想像して、匿名性については2つの方法があります。
Rufus-Castle-Uniform-Enemy
通常は[email protected]にのみハッシュアウトします...Gotcha!2回目のメールがあるかもしれませんが、ビット数が多いほど、可能性は低くなります。Stop-Bad
jsmith、emccarthy、jcrian、tkido、ctagawa、andffrinkにハッシュし、報復を実行不可能にします。これにより、「バケット」のグループが作成されます。彼らの理由に対するあなたの意見の相違は古典的な workplace.se 問題ですが、彼らはあなたにすべての理由を伝えているわけではありません*。とにかく、あなたは彼らへのあなたの報告を遵守しなければなりません。
ここで匿名化を提供したメソッドを使用すると、レポートに、表示したい詳細データを表示することができ、技術的にはそれらのディレクティブに準拠します。 n+ many形式で行うことができます。これにより、ユーザーが本当に必要な場合に個々のユーザーに戻ることができます-または、バケット形式ではできません。
「バケット127で、4/6ユーザーがフィッシングに陥った」と提示しない限り、バケットは70%とかなり役に立たない。バケット化は、ヒット率がバケット数の3分の1以下の場合に最適に機能するため、同じバケット内で2つのヒットが発生することはまれです。 「512個のバケットで、90個のバケットにヒットがあり、おそらく90〜95人であり、これは必要な数です。
*訴訟担当者として、私は非常に大きな訴訟を考えることができます。もし私だったら、個人的なデータを「日常的に」削除してしまいます。召喚令状が来るまで、すべてを永久に保存することは、すべて楽しくてゲームです。
私はクライアントの選択が一見改善の機会を妨げていることに同意します。ただし、改善する別の方法があります。
すべての従業員に知らせてください。「誰が倒したのか、誰が倒したのかはわからないため、解雇したり、報酬を与えることはできません。ただし、このテストは毎月行い、パーセンテージを公開します。年末までに70%が20%に下がると、すべての従業員がボーナスを受け取ります。ボーナスの大きさは、20未満の量に依存します。この目標を達成するために、フィッシングを特定するためのテクニックを毎週メールでお知らせします。来年のボーナスは四半期ごとですが、目標も四半期ごとに小さくなります。」