I test di phishing possono essere un modo efficace per migliorare la consapevolezza della sicurezza informatica, responsabilizzare i dipendenti e difendersi dagli attacchi informatici.
Il phishing è diventato la principale minaccia informatica a livello mondiale e nell'ultimo anno le truffe sono aumentate del 350% , poiché i criminali informatici sfruttano la paura e il caos causati dalla pandemia di coronavirus. Gli attacchi di ingegneria sociale come il phishing si basano sulla capacità dell'aggressore di sfruttare le vulnerabilità umane e le emozioni per raggiungere i propri obiettivi.
Poiché gran parte della forza lavoro continua a lavorare da casa, è fondamentale che i dipendenti sappiano riconoscere le minacce di phishing più sofisticate nelle loro caselle di posta elettronica e sappiano come affrontarle in modo appropriato.
Che cos'è un test di phishing?
Un test di phishing, o simulazione di phishing è utilizzato dalle organizzazioni per determinare quanto il loro personale sia suscettibile agli attacchi di phishing. Utilizzando un ambiente sicuro e controllato, le organizzazioni possono inviare ai dipendenti e-mail di phishing realistiche per misurare la loro consapevolezza dei metodi di attacco e scoprire come reagirebbero se la minaccia fosse reale.
Questi attacchi simulati aiutano i dipendenti a identificare le minacce attuali e forniscono una formazione tempestiva su come migliorare i comportamenti di sicurezza. Se un dipendente clicca su un phish, gli viene immediatamente presentata un'esperienza di apprendimento che lo aiuta a riconoscere i segni di un attacco di phishing. attacco di phishing e incoraggiarli a segnalare i tentativi di phishing.
Le organizzazioni possono a loro volta utilizzare questi dati per identificare le aree di debolezza, adattare la formazione per colmare le lacune di consapevolezza e tracciare i progressi nel tempo.
Come eseguire un test di phishing efficace
Stabilire una linea di base
Prima di lanciare il vostro programma di sensibilizzazione sul phishing, dovrete stabilire una linea di base. Questo vi aiuterà a determinare quanto la vostra azienda sia suscettibile alle e-mail di phishing fraudolente e quale percentuale dei vostri dipendenti sarebbe caduta nell'attacco se fosse stato reale.
Potete informare i dipendenti che farete un test di phishing, spiegando quali sono i vostri obiettivi e cosa sperate di ottenere, oppure potete fare un test di phishing a sorpresa senza alcuna formazione preliminare.
La decisione spetta esclusivamente alla vostra organizzazione, anche se quest'ultima offre il quadro più chiaro di quanto il vostro personale sia vulnerabile agli attacchi di phishing del mondo reale. Una volta registrata la vostra linea di base, potrete utilizzare questi risultati come benchmark per monitorare l'efficacia dei futuri test di simulazione di phishing.
Pianificare iltest di phishing
Una volta stabilita una base di riferimento, si può iniziare a pianificare la campagna di phishing per l'anno successivo. In questa fase, i dipendenti devono essere informati e formati su come identificare un'e-mail sospetta e su cosa fare se ne ricevono una.
Per qualsiasi campagna di phishing, è meglio iniziare in piccolo e poi aumentare. I test iniziali di phishing dovrebbero essere relativamente facili da individuare e includere i classici segni di un'e-mail di phishing, come un saluto generico, errori di ortografia e cattiva grammatica.
Tuttavia, con il progredire della campagna, il livello di difficoltà dovrebbe aumentare per riflettere gli attacchi reali che potrebbero essere utilizzati per colpire il personale.
Scaglionare il rilascio deltest di phishing
Il tempismo è fondamentale per il successo del test di phishing. Un errore comune è quello di inviare un test di phishing generalizzato a tutta l'organizzazione nello stesso momento. Questo non fa altro che aumentare i sospetti e i membri del personale che hanno identificato l'e-mail come un phishing inizieranno ad avvisare i colleghi.
Se non volete ottenere risultati distorti, dovreste scaglionare il vostro test di phishing in diverse fasce orarie per garantire una reportistica più accurata.
Includere i dirigenti neitest di phishing
Tutti gli utenti sono suscettibili di attacchi di phishing, ma ci sono alcuni dipendenti che hanno un profilo di rischio più elevato di altri. Gli amministratori delegati, i direttori finanziari e i dirigenti di alto livello sono tra i bersagli più popolari del phishing a causa del loro accesso ad alto livello a preziose informazioni aziendali.
È fondamentale che questi membri del personale siano inclusi in tutti i test di phishing, non solo dal punto di vista del rischio, ma anche per dimostrare agli altri dipendenti che stanno prendendo sul serio la sicurezza informatica.
Utilizzare una varietà di metodi
I test di simulazione del phishing devono riflettere accuratamente le diverse minacce che i vostri dipendenti devono affrontare quotidianamente. I criminali informatici stanno diventando sempre più subdoli nei loro metodi di attacco, quindi i vostri test di phishing devono riflettere questa situazione. Sebbene molti dipendenti stiano in guardia contro gli attacchi esterni, potrebbero essere più compiacenti con le e-mail che sembrano provenire dall'interno dell'organizzazione.
Si potrebbero inviare e-mail spacciate per l'ufficio risorse umane, per informare il personale sulle ferie o sulla busta paga. Mescolando gli stili e le tecniche del vostro test, otterrete una migliore comprensione della consapevolezza dei dipendenti.
Analizzare i dati
I dati prodotti dai test di phishing sono fondamentali per capire se la campagna ha avuto successo. Vi aiuteranno a identificare le tendenze, i dipendenti vulnerabili, le esigenze di formazione e a pianificare i futuri test di phishing.
I vostri rapporti dovrebbero analizzare:
- Numero di persone che hanno cliccato.
- Numero di persone che hanno inviato informazioni sensibili.
- Numero di persone che hanno segnalato l'e-mail di phishing.
Con il tempo, si dovrebbe assistere a una diminuzione delle prime due categorie e a un aumento delle segnalazioni. I dipendenti che hanno cliccato sull'e-mail di phishing e/o hanno inviato informazioni sensibili dovrebbero ricevere un'ulteriore formazione per migliorare i comportamenti di sicurezza.
Il personale deve comprendere le conseguenze reali di un attacco di phishing e perché è così importante che sia in grado di identificare efficacemente un sospetto phish. Non si tratta di catturare le persone, ma di misurare la consapevolezza e identificare le aree che potrebbero essere migliorate.
Allo stesso modo, vanno elogiati i dipendenti che hanno dimostrato un buon comportamento in materia di sicurezza, individuando le e-mail di phishing e segnalandole al personale IT.
Introdurre laformazione sul phishing come parte di un più ampio programma disensibilizzazione sulla sicurezzainformatica
Per essere veramente efficaci, i test di phishing dovrebbero essere introdotti come parte di un più ampio programma di sensibilizzazione sulla sicurezzainformatica. Questo è il modo migliore per educare il personale, migliorare i comportamenti di sicurezza e creare una forza lavoro più resiliente dal punto di vista informatico. Potete scegliere argomenti che affrontano i rischi della vostra organizzazione e utilizzare un approccio misto per coinvolgere il personale e aumentare la consapevolezza.
Oltre ai test di phishing, è possibile utilizzare eLearning, blog, poster e infografiche per rafforzare i messaggi chiave.
Pensieri finali
Una volta stabilito il programma di sensibilizzazione sul phishing, è importante mantenere lo slancio. La creazione di una cultura della consapevolezza richiede tempo e non può essere ottenuta con un esercizio annuale una tantum.
Test di phishing regolari contribuiranno ad aumentare la vigilanza dei dipendenti, a migliorare la consapevolezza e a identificare eventuali aree di debolezza che potrebbero rappresentare un rischio per la sicurezza della vostra organizzazione.