Anti-Phishing Schulung: Warum „Einstellen und Vergessen“ ein Fehler ist

Share with your network!

 

Obwohl die Budgets für Cybersicherheit heute größer sind als in den vergangenen Jahren, sind Sicherheitstalente immer noch Mangelware. Das bedeutet, dass Infosec-Schulungsteams weiterhin vor dem Problem stehen, mit weniger mehr erreichen zu müssen. Daher ist der Reiz der Automatisierung groß. Wenn Sie die Idee einer „Einstellen und Vergessen“-Sicherheitsschulung attraktiv finden, sollten Sie die negativen Auswirkungen dieses Hands-Off-Ansatzes berücksichtigen.

DIE EFFEKTIVSTEN PROGRAMME SIND AGIL UND REAKTIONSFÄHIG

In enger Zusammenarbeit mit unseren Kunden und unserem Managed-Services-Team haben wir bewährte Verfahren für die Schulung des Sicherheitsbewusstseins entwickelt. Alle Tipps basieren auf praxiserprobten Methoden. Das Endergebnis: Die besten Ergebnisse liefern Programme, die aktiv gemessen und verwaltet werden und strategisch zugeschnittene Aktivitäten ermöglichen, die auf den Ergebnissen von Sicherheitsbewertungen und -schulungen basieren.

Ein gutes Beispiel dafür sind simulierte Phishing-Angriffe. Einige Anbieter von Anti-Phishing-Schulungen weisen auf die Zeitmanagement-Vorteile hin, die mit einem Programm verbunden sind, das automatisch ein Jahr lang läuft. Wir empfehlen zwar, monatliche Phishing-Tests (mit unserem ThreatSim®-Tool) zu verschicken, aber wir warnen davor, auf einen agilen Anti-Phishing-Ansatz zu verzichten. Ihr Programm sollte überwacht und Metriken sollten regelmäßig analysiert werden; die Ergebnisse Ihrer Sicherheitsbewertungen zeigen Ihnen, wo Schwachstellen liegen, und Sie sollten in der Lage sein, flexibel darauf zu reagieren. Folgendes entgeht Ihnen bei automatisch durchgeführten Bewertungen, die zu weit im Voraus geplant sind:

  • Die Möglichkeit, simulierte Phishing-Kampagnen zu „aktuellen Ereignissen“ durchzuführen, um Ihre Endbenutzer auf diese Art von Bedrohungen aufmerksam zu machen.
  • Die Flexibilität, Ihre Cyber-Sicherheitsbeurteilungen auf der Grundlage früherer Ergebnisse zu planen. Sie können z. B. zusätzliche Anhang-basierte Kampagnen durchführen, wenn Sie bei dieser Art von Angriffen eine große Anzahl von Klicks sehen (sei es bei Phishing-Tests oder in der Praxis).
  • Die Möglichkeit, die Themen und den Zeitplan Ihrer Cybersicherheitsschulungen strategisch auf die in Ihren Bewertungen ermittelten Schwachstellen zuzuschneiden.
  • Die Möglichkeit, Bewertungen und Schulungen als Reaktion auf neu auftretende Bedrohungen zu integrieren. (Ransomware ist ein großartiges Beispiel dafür, da es in relativ kurzer Zeit von einer „Belästigung“ zu einer erhöhten Bedrohung wurde).

 

SUCHEN SIE NACH EINER EINFACHEN MÖGLICHKEIT, DAS WISSEN IHRER ENDBENUTZER ÜBER BEWÄHRTE PRAKTIKEN IM BEREICH DER CYBERSICHERHEIT ZU ERWEITERN? UNSER MANAGED-SERVICES-TEAM KANN EIN PROGRAMM NACH IHREN VORGABEN PLANEN UND AUSFÜHREN.

Sicherlich erscheint ein „Einstellen und Vergessen“-Ansatz oberflächlich betrachtet großartig – aber er wird wahrscheinlich nicht die besten Ergebnisse liefern. Wenn Sie ein Jahr im Voraus einen Phishing-Schulungsplan aufstellen, schränken Sie Ihre Reaktionsfähigkeit ein und können bei Bedarf keine Änderungen vornehmen. Ein derartiger Ansatz ist vergleichbar mit einem „Check the box“-Ansatz mit minimalem Aufwand und, offen gesagt, minimaler Aufwand ist fast immer mit schlechter Leistung verbunden.

Verstehen Sie das nicht falsch, wir befürworten definitiv eine vorausschauende Planung. Wir sind nur nicht der Meinung, dass es im besten Interesse eines Unternehmens (oder eines Programmadministrators) liegt, die Inhalte und Themen der Sicherheitsbeurteilungen eines Jahres auf einmal festzulegen. Abgesehen von der mangelnden Flexibilität kann dieser Ansatz vergeudete Zeit bedeuten, da Sie Ihre Inhalte wahrscheinlich auf der Grundlage des Endbenutzer-Verhaltens und der Bedrohungsentwicklung in der Branche anpassen wollen. Zu wissen, was Sie tun möchten, ist immer hilfreich. Sie sollten aber immer die Möglichkeit haben, das zu tun, was Sie tun müssen, um die gewünschten Ergebnisse zu erzielen.