#004 Simulert phishing
Er det innafor å lure sine egne kolleger? Med simulert phishing er det nettopp dette vi gjør, når vi sender ut falsk e-post til folk for å se om de lar seg lure, gjerne for å øke bevisstheten.
Fordelen er at alt skjer i trygge omgivelser, og ingen blir faktisk hacket på ekte.
Denne typen opplæring kan gjerne oppfattes som mye mer engasjerende enn andre typer opplæring. Samtidig kan dette bli en snakkis på arbeidsplassen, og folk som ellers ikke ville brydd seg så mye kan la seg engasjere av hvem som ble lurt og ikke.
Måling av effekt
Det er flere måter vi kan måle resultater her:
Ett av de er å se på om vi klarte å lure flest mulig. Men det er kanskje ikke her vi har lyst til å begynne, for hvis vi bruker alle triksene i boka i første omgang, så kan folk oppleve at det blir litt "feige lag". Det blir liksom de på sikkerhetsavdelingen som er så proffe, og vi "normale" fikk ikke så mye forvarsel. Så det er lurt å gjøre gode forberedelser.
En annet ting vi kan måle, er jo hvor mange som klikker, generelt og over tid på e-posten. Dette har en liten utfordring, og det er nemlig at det varierer mye med hvor godt utformet e-posten er, for hvor mange som klikker på lenken eller vedlegget. Dermed så blir tallet egentlig en måling på at NOEN vil la seg lure, og i tillegg et slags måltall på hvor godt utformet e-posten var.
En tredje ting vi kan måle, er hvor mange som rapporterer e-posten som mistenkelig. Og det er gjerne her vi finner grunnlag for å måle sikkerhetskulturen i virksomheten. Uavhengig av hvor godt utformet e-posten var, så har vi bruk for folk som rapporterer den. Folk vil i stadig større grad bli bevisstgjort på mulighet og fremgangsmåte for å rapporte e-posten. Og dermed gjerne også viljen til å gjøre dette i løpet av deres ellers travle arbeidshverdag.
Og dette siste tallet kan vi godt bruke også som et positivt forankringsgrunnlag for å bygge sikkerhetskulturen videre. Dette handler ikke om noe negativt, om hvor mange som lot seg lure. Men det handler om at vi bygger opp den rapporteringsgraden og gode målinger på det.
Verd å prøve ut
Etter øvelser med simulert phishing kommer det jevnlig tilbakemeldinger fra folk som opplever å bli lurt – eller nesten. Eller ikke i det hele tatt. Ikke minst får vi høre fra brukere som setter pris på hvordan MailRisk gjør det enkelt å sjekke og avsløre den mistenkelige e-posten.
- Se også: Erfaringer med simulert phishing
Økt rapporteringsgrad for mistenkelig e-post er et veldig nyttig utfall . Ved å kommunisere og legge til rette for at slik rapportering kan skje, kan øvelsen bli noe mer enn bare bevisstgjøring – rett og slett en start på nye vaner som bidrar til noe positivt for alle i virksomheten.
Last updated:
23 May 2019
Share this:
Language:
Norwegian
Show translation:
Contact the author:
MailRisk integrerer simulert phishing med effektiv rapportering.
Prøv selv med en helt uforpliktende prøveperiode.
Continue reading
Simulated phishing: How to design a suitable scam
How do you prepare the most effective phishing email to serve the goal of your exercise? In the third part of this series on simulated phishing, we describe various approaches to designing phishing content.
How to succeed with security behavior change
To stay safe online, people need to care more about the security decisions they face every day. But unless the obvious gains obviously exceed the required effort, change is often avoided. Luckily, behavior change in general has been subject to a lot of research, and here are some takeaways for information security professionals.
Simulated phishing: Communications strategy
How do you prepare an organization for you to try and trick them? In the second part of this series on simulated phishing, we provide the outline for a communications plan.
Ready to get started?
We have written a guide for you to get started with human-centered security. Access our free resource now, and learn:
- How to nurture drivers for employee engagement
- How to avoid common obstacles for reporting
- Practical examples and steps to get started