Как оценить программу повышения осведомленности?

К теме повышения осведомленности я обращался не раз. К теме оценки эффективности и измерению ИБ тоже . И вот решил я объединить их, тем более, что в курсе по измерению ИБ я эту тему освещаю. Как измерить эффективность программы повышения осведомленности? Очевидно, что не по посещаемости и не по отношению посетивших и не посетивших тренинги по безопасности. Ведь задача таких курсов (очных или онлайн) - не галочку поставить, а научить пользователей правильно действовать и реагировать на те или иные события ИБ. Я могу выделить следующие метрики для оценки программы повышения осведомленности: Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?Сколько инцидентов ИБ связано с человеческим фактором? Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?Сколько пользователей открывают письмо от незнакомца?Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.