Σε περίπτωση που ανακαλύπτατε ότι η επιχείρησή σας έπεσε θύμα hacking, επειδή ένας από τους υπαλλήλους σας ξεγελάστηκε από ένα phishing email, θα σκεφτόσασταν να απολύσετε τον συγκεκριμένο υπάλληλο; Ή αν ακόμα όλο αυτό ήταν ένα μέρος ενός τεστ που θα διενεργούσατε για να δοκιμάστε τους υπαλλήλους σας, θα προχωρούσατε σε μία τέτοια ενέργεια;
Ας ξεκινήσουμε όμως από τους λόγους για τους οποίους θα θέλατε να κάνετε ένα τέτοιο τεστ.
Ασφαλώς και επιθυμείτε η επιχείρησή σας να είναι ασφαλής από τους κινδύνους που εξελίσσονται όλο και περισσότερο στην εποχή μας. Από το 2005 έως το 2018, έχουν αναφερθεί περισσότερες από 8.854 επιθέσεις και σίγουρα θα υπάρχουν ακόμα περισσότερες που δεν έγιναν ποτέ γνωστές.
Επιπλέον το Phishing, έχει αποδειχτεί ένα ιδιαίτερα χρήσιμο εργαλείο για τους hackers και μπορεί να έχει καταστροφικά αποτελέσματα για μία επιχείρηση, ενώ ταυτόχρονα είναι και μία σχετικά εύκολη μέθοδος για έναν κακόβουλο παράγοντα.
Οπότε είναι ζωτικής σημασίας για έναν οργανισμό, τα άτομα που εργάζονται γι’ αυτόν να είναι σε θέση να αναγνωρίσουν ένα phishing email. Ένα τεστ θα μπορούσε ενδεχομένως να σας ενημερώσει για τις ικανότητες ενός υπαλλήλου όσον αφορά στην αναγνώριση και αντιμετώπιση ενός τέτοιου περιστατικού. Ωστόσο πρέπει να λάβετε υπόψην ότι αυτό το τεστ δεν αξιολογεί τις γενικότερες ικανότητες των υπαλλήλων σας.
Ορισμένες εταιρείες επιδεικνύουν πολύ χαμηλή ανοχή στις αποτυχίες ενός phishing test. Αυτό ισχύει ιδιαίτερα στον χρηματοπιστωτικό κλάδο, αλλά και μεταξύ άλλων βιομηχανιών για λόγους που είναι αρκετά κατανοητοί. Ωστόσο, υπάρχουν εκείνες οι εταιρείες που θα απολύσουν τους εργαζόμενους που αποτυγχάνουν σε έναν μεγάλο αριθμό αυτών των αξιολογήσεων. Άλλες πάλι, κάνουν αυτές τις δοκιμές για να κρατούν τους υπαλλήλους τους σε εγρήγορση.
Δυστυχώς γι ‘αυτές τις εταιρείες, αυτό που αποτυγχάνουν να συνειδητοποιήσουν είναι ότι αυτές οι συμπεριφορές δεν θα βελτιώσουν την ασφάλειά τους. Σίγουρα, το να απολύσουν κάποιον που δυσκολεύεται να αναγνωρίσει ένα μήνυμα ηλεκτρονικού “ψαρέματος” σημαίνει ότι το άτομο αυτό δεν θα βάλει σε κίνδυνο την εταιρεία, αλλά ποιος λέει ότι αυτό που θα πάρει τη θέση του θα μπορέσει να τα αναγνωρίσει καλύτερα; Για να μην αναφέρουμε, ότι η απόλυση ενός ατόμου δεν θα βοηθήσει στο να εκπαιδευτούν οι υπόλοιποι υπάλληλοί σας πάνω στις επιθέσεις phishing.
Τέλος, σκεφτείτε πώς η απειλή των συνεπειών μπορεί να επηρεάσει τις αποφάσεις ενός υπαλλήλου. Πολλές λύσεις προσφέρουν τη δυνατότητα αναφοράς ύποπτων ηλεκτρονικών μηνυμάτων και πολλοί υπάλληλοι (ακόμη και αν έχουν ήδη κάνει κλικ στον σύνδεσμο) θα τα αναφέρουν. Αλλά αν υπάρχουν συνέπειες για το λάθος τους, χάνουν το κίνητρο να το αναφέρουν. Με λίγα λόγια, οι υπάλληλοί σας δεν θα σας εμπιστεύονται αρκετά για να σας πουν την αλήθεια.
Ποιος είναι ο πιο σωστός τρόπος;
Μια απροειδοποίητη δοκιμή phishing είναι καλή, εφόσον συνοδεύεται από μια αναθεώρηση των αποτελεσμάτων και ακολουθείτε από εκπαίδευση που θα βοηθήσει τους υπαλλήλους να βελτιωθούν.
Μπορείτε επίσης, αντί να εστιάζετε στο αρνητικό να χρησιμοποιείτε θετική επιβράβευση. Η ανταμοιβή του τμήματος με την μεγαλύτερη επιτυχία στο τεστ, με ένα μικρό μπόνους ή κάρτες δώρων, θα παρακινήσει όλους τους υπαλλήλους να είναι πιο προσεκτικοί. Μπορείτε ακόμα να υποβάλετε ένα είδος ποινής στην ομάδα με την μικρότερη επιτυχία, όπως για παράδειγμα να αγοράσει μεσημεριανό για τις υπόλοιπες, το οποίο είναι κάπως αρνητικό για αυτόν που δεν τα κατάφερε καλά, αλλά σίγουρα δεν είναι τόσο υπερβολικό όπως η απόλυση.
