MetaBlog

Rimani informato sui temi della formazione sulla consapevolezza informatica e attenua il rischio nella tua organizzazione.

Suggerimenti per eseguire con successo un test di phishing nella vostra organizzazione

Simulazione di phishing

sull'autore

Condividi su linkedin
Condividi su twitter
Condividi su facebook

Se la tua organizzazione vuole migliorare la consapevolezza della sicurezza informatica, responsabilizzare i dipendenti e difendersi dagli attacchi, un test di phishing può essere uno dei modi migliori per farlo.

Il phishing è ora diventato la più grande minaccia informatica in tutto il mondo, e nell'ultimo anno, gli attacchi sono aumentati del 350% poiché i criminali informatici sfruttano la paura e il caos causati dalla pandemia del coronavirus.

Con enormi fasce di forza lavoro che continuano a lavorare da casa, è fondamentale che i dipendenti possano riconoscere le minacce di phishing sofisticate e sapere come affrontarle in modo appropriato.

Cos'è un test di phishing?

Un test di phishing, o simulazione di phishing come è altrimenti conosciuto, è usato dalle organizzazioni per determinare quanto il loro personale sia suscettibile agli attacchi di phishing. Usando un ambiente sicuro e controllato, le organizzazioni possono inviare ai dipendenti email di phishing realistiche per misurare la loro consapevolezza dei metodi di attacco e scoprire come reagirebbero se la minaccia fosse reale.

Questi attacchi simulati aiutano i dipendenti a identificare le minacce attuali e forniscono un'educazione tempestiva su come possono migliorare i comportamenti di sicurezza. Se un dipendente fa clic su un phish, gli viene immediatamente presentata un'esperienza di apprendimento che lo aiuta a riconoscere i segni di un attacco di phishing e lo incoraggia a segnalare qualsiasi attività sospetta. Le organizzazioni possono a loro volta utilizzare questi dati per identificare le aree di debolezza, personalizzare la formazione per affrontare le lacune nella consapevolezza e tracciare i progressi nel tempo.

Come eseguire un test di phishing efficace

Test di phishing

Stabilire una linea di base

Prima di lanciare il vostro programma di sensibilizzazione al phishing, è necessario stabilire una linea di base. Questo aiuterà a determinare quanto la tua azienda sia suscettibile alle email di phishing fraudolente e quale percentuale dei tuoi dipendenti sarebbe caduta nell'attacco se fosse stato reale. Puoi informare i dipendenti che stai per lanciare un test di phishing, spiegando quali sono i tuoi obiettivi e cosa speri di ottenere, oppure puoi lanciare un test di phishing a sorpresa senza alcuna pre-educazione. Questa decisione dipende interamente dalla tua organizzazione, anche se la seconda opzione offre il quadro più chiaro di quanto il tuo staff sia vulnerabile agli attacchi di phishing. Una volta che hai registrato la tua linea di base, puoi usare questi risultati come punto di riferimento per tracciare l'efficacia dei futuri test di simulazione di phishing.

Pianifica il tuo test di phishing

Una volta stabilita una linea di base, si può iniziare a pianificare la campagna di phishing per l'anno successivo. In questa fase, i dipendenti dovrebbero essere informati e formati su come identificare un'e-mail sospetta e su cosa fare se ne ricevono una. Con qualsiasi campagna di phishing, è meglio iniziare in piccolo e poi aumentare. I tuoi test iniziali di phishing dovrebbero essere relativamente facili da individuare e includere i classici segni di un'email di phishing come un saluto generico, errori di ortografia e cattiva grammatica. Tuttavia, man mano che la tua campagna progredisce, il livello di difficoltà dovrebbe aumentare per riflettere gli attacchi del mondo reale che potrebbero essere utilizzati per colpire il tuo staff.

Scaglionare il rilascio del test di phishing

La tempistica è la chiave per il successo del tuo test di phishing. Un errore comune è l'invio di un test di phishing generale a tutta l'organizzazione nello stesso momento. Questo non fa altro che aumentare i sospetti e i membri dello staff che hanno identificato l'email come un phish inizieranno ad avvisare i colleghi. Se non vuoi finire con risultati distorti, dovresti scaglionare il tuo test di phishing in diverse fasce orarie per assicurare un reporting più accurato.

Includere i dirigenti senior nei test di phishing

test di phishing per alti dirigenti

Tutti gli utenti sono suscettibili agli attacchi di phishing, ma ci sono alcuni dipendenti che hanno un profilo di rischio più alto di altri. Gli amministratori delegati, i direttori finanziari e i dirigenti sono alcuni degli obiettivi di phishing più popolari a causa del loro accesso di alto livello a preziose informazioni aziendali. È fondamentale che questi membri del personale siano inclusi in tutti i test di phishing, non solo dal punto di vista del rischio, ma anche per dimostrare agli altri dipendenti che stanno prendendo sul serio la sicurezza informatica.

Utilizzare una varietà di metodi

I test di simulazione di phishing dovrebbero riflettere accuratamente le diverse minacce che i vostri dipendenti affrontano quotidianamente. I criminali informatici stanno diventando sempre più subdoli nei loro metodi di attacco, quindi i vostri test di phishing devono riflettere questo. Mentre molti dipendenti saranno in guardia contro gli attacchi esterni, potrebbero essere più compiacenti con le e-mail che sembrano provenire dall'interno dell'organizzazione. Le email potrebbero essere inviate impersonando l'ufficio delle risorse umane per informare il personale sulle indennità di vacanza o sul libro paga. Mescolando gli stili e le tecniche del tuo test, otterrai una migliore comprensione della consapevolezza dei dipendenti.

Analizzare i dati

I dati prodotti dai tuoi test di phishing sono cruciali per scoprire se la tua campagna ha avuto successo. Ti aiuteranno a identificare le tendenze, i dipendenti vulnerabili, i bisogni di formazione e a informare la pianificazione di futuri test di phishing.

I vostri rapporti dovrebbero analizzare:

  • Numero di persone che hanno cliccato.
  • Numero di persone che hanno presentato informazioni sensibili.
  • Numero di persone che hanno segnalato l'email di phishing.

Nel corso del tempo, si dovrebbe vedere una diminuzione delle prime due categorie e un aumento delle segnalazioni. I dipendenti che hanno cliccato sull'e-mail di phishing e/o hanno inviato informazioni sensibili dovrebbero ricevere ulteriore formazione per migliorare i comportamenti di sicurezza. Il personale ha bisogno di capire le conseguenze reali di un attacco di phishing e perché è così importante che possano identificare efficacemente un sospetto phish. Non si tratta di catturare le persone, ma di misurare la consapevolezza e identificare le aree che potrebbero essere migliorate. Allo stesso modo, i dipendenti che hanno dimostrato buoni comportamenti di sicurezza, identificando le e-mail di phishing e segnalandole al personale IT, dovrebbero essere lodati.

Introdurre la formazione sul phishing come parte di un più ampio programma di consapevolezza della sicurezza informatica

Per essere veramente efficaci, i test di phishing dovrebbero essere introdotti come parte di un più ampio programma di consapevolezza della sicurezza informatica. Questo è il modo migliore per educare il personale, migliorare i comportamenti di sicurezza e creare una forza lavoro più resiliente dal punto di vista informatico. Potete scegliere argomenti che affrontano i vostri rischi organizzativi e utilizzare un approccio misto per coinvolgere il personale e aumentare la consapevolezza. Oltre ai vostri test di phishing, l'eLearning mirato, i blog, i poster e le infografiche possono essere utilizzati per aiutare a rafforzare i messaggi chiave.

Pensieri finali

Una volta che hai stabilito il tuo programma di consapevolezza del phishing, è importante mantenere lo slancio. Creare una cultura di consapevolezza richiede tempo e non può essere raggiunto con un esercizio annuale una tantum. Test di phishing regolari aiuteranno ad aumentare la vigilanza dei dipendenti, a migliorare la consapevolezza e a identificare qualsiasi area di debolezza che potrebbe rappresentare un rischio per la sicurezza della tua organizzazione.

La guida definitiva al phishing

potrebbe piacerti leggere questi