美国邮政服务收到了一些令人沮丧的消息在10月初的监察长办公室在它的有效性安全意识培训。
内部USPS钓鱼运动仿真发现,25%以上的3125名员工测试点击一个假的链接。更重要的是,93%的饵员工没有报告这一事件USPS计算机应急响应小组,根据该报告。
测试后不到一年的时间了美国邮政总局数据泄露了800000名员工的个人信息,以及一些客户联系了政府。2014年11月的网络入侵似乎引起的网络钓鱼电子邮件攻击,根据该报告。美国邮政总局已经年度安全意识培训和网络访问提供给所有员工。
这种令人沮丧的结果求的问题:有多少安全意识培训足够的员工得到的?
马尔科姆·格拉德威尔声称10000小时的神奇数字实现掌握一项技能在他的书“异常值”,但谁有这样的时间呢?
运动心理学家建议,运动记忆新技能可以达到15个重复,但检测复杂和微妙的网络钓鱼诈骗通常是比记忆中更复杂。
运动记忆能力,完美的熟能生巧,每个重复提高的事情,但当谈到改变行为,比如试图阻止人们被网络钓鱼诈骗挫败,这是一个完全不同的锅鱼,”格雷格马丁博士说,认知行为从业者和董事会认证神经心理学家在广州,俄亥俄州。“如果你告诉一个专业超过两到三次,他们倾向于你。”
需要多少重复的答案之前,员工可以持续识别网络钓鱼诈骗和其他在线威胁是介于每年一次和不断强化的偏执,据研究人员和安全专家。
一个起点
“我希望答案是五次,”汤姆·发展起来说,首席策略师安全、隐私和合规MediaPro,它提供了安全意识培训。”,但在现实中,更多的是关于重复培训和网络钓鱼模拟直到你意识的一般水平,,有时甚至偏执,人们真正,真正寻找这些(诈骗)。
首先,一年一度的安全意识培训是不够的,心理学家说。人们倾向于把他们的记忆新学到的知识在几天或几周的问题,除非他们有意识地回顾学习材料。
卡内基梅隆大学的CyLab研究500人,发送假的网络钓鱼电子邮件一个月。点击第一个电子邮件诈骗的人立即确认并给予培训在未来所要注意的问题。一个月后,模拟的人数下降了网络钓鱼电子邮件下降了50%。三个多月,失败率是每次测试被减少一半。这项研究在2009年进行的,没有看保留超过三个月。
CyLab教授杰森在香港,一个作家的研究,认为研究结果今天仍然适用。“这是唯一真正的新是有更多的沟通渠道(除了邮件。]Now people try phishing attacks on Facebook or Twitter, but the general theme is still essentially the same. We haven’t seen any major new innovations in phishing attacks, other than the attacker may have more information about you.”
尽管钓鱼仿真提供“啊哈!”对于很多员工来说,它并不能解决所有的安全意识问题,乔·费拉拉说袋熊安全技术的总裁兼首席执行官。“你必须遵循与深入的教育。”
发展建议开始按季度提供安全教育。一旦你确定有多少惯犯,然后“定制你的钓鱼运动你的听众,”发展起来说。例如,如果销售团队显示更容易受到网络钓鱼诱饵,然后发送钓鱼每月模拟和提醒。
他还建议一个季度刷新其他安全意识的方法。“也许你有一个有趣的关于钓鱼的视频,你在第一季度。然后做一些在第二季度事故报告。我们知道报告网络钓鱼事件一样重要不回复他们,所以它可以识别的威胁来自哪里和追求它,”他补充道。
员工学习更快的“条件”
美国著名心理学家斯金纳教老鼠如何推动控制杆在一个单一的尝试——当杠杆分发食物。他称之为一个“有条件的关系。“今天公司使用相同的心理来奖励员工检测和报告网络钓鱼诈骗、钓鱼失误有时甚至惩罚他们。
一家公司,正在寻求降低网络钓鱼事件低于1%已经尽可能将钓鱼失败到它的补偿制度,费拉拉说,指的是一个客户。“当人们做秋天的模拟攻击,他们实际上是看作为方法论的奖金公式的一部分,”他说。
(还在方案:安全意识培训甚至工作吗?]
奖励(更小的)更常见的员工可以检测到真正的网络钓鱼诈骗。在安全科学公司UL公司当员工检测和报告网络钓鱼诈骗安全团队给他们验证通过发送一封感谢信和复制他们的上司,业务单位的负责人和偶尔的CEO。“很长一段路,”史蒂夫说Wenc,高级副总裁兼首席风险官。
保险提供者XL集团创建了一些视频在保护公司的信息,包括网络钓鱼诈骗,和向员工发出挑战,每个视图的视频中,该公司将捐赠一美元给无国界医生组织、国际医疗人道主义组织在近70个国家提供了援助。运动超过10000的目标视图、组织筹集了10000美元。
人的本性很难改变,网络攻击的威胁,将安全意识培训公司的议程,但训练和测试频率将取决于期望的结果,费拉拉说。
“这是一场永无止尽的长期战役,”费拉拉说。“就像任何事情一样,没有什么是100%,但是你总是试图降低你的风险。”
这个故事,“需要多长时间为员工安全意识?”最初发表的方案 。