Представлен новый метод оценки эффективности обучения сотрудников защите от фишинга

Представлен новый метод оценки эффективности обучения сотрудников защите от фишинга

Phish Scale позволит кураторам обучения понять, почему сотрудникам легко или сложно распознавать те или иные фишинговые письма.

image

Специалисты Национального института стандартов и технологий США (NIST) разработали новый метод оценки эффективности обучения, который позволит организациям лучше учить своих сотрудников, как распознавать и защищаться от фишинговых атак.

Во многих организациях есть программы обучения сотрудников по защите от фишинга. Как правило, они предполагают рассылку сотрудникам фишинговых писем, созданных самой организацией и призванных научить их распознавать подделку. Курирующие данные программы директора по информационной безопасности затем подсчитывают количество кликов на эти письма и таким образом определяют эффективность обучения (чем меньше кликов, тем эффективнее прошло обучение).

Тем не менее, одна лишь статистика по кликам не отображает всей картины в целом. Разработанный специалистами NIST метод обучения под названием Phish Scale обеспечивает более глубокое понимание того, насколько сложно конкретной целевой аудитории распознавать конкретные фишинговые письма. По словам исследовательницы NIST Мишель Стивенс (Michelle Steves), Phish Scale позволяет понять, почему кликов на поддельные письма было именно столько.

Phish Scale использует рейтинговую систему, базирующуюся на содержании фишинговых писем. Кроме того, используются пять элементов, которые оцениваются по 5-балльной шкале и соответствуют тому или иному сценарию атаки. Общее число баллов затем позволяет куратору оценить эффективность обучения как низкую, среднюю или высокую.

Другими словами, главный «плюс» Phish Scale заключается в том, что кураторы обучений получают не просто сухую статистику по кликам, а могут понять, почему количество кликов оказалось большим или меленьким.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.