💡 ИБ за 60 секунд

⁉Снизить процент перехода по фишинговым ссылкам с 80% до 2%? Реально?

🗣Обсудим эту тему вместе с Ольгой Поздняк, продюсером «Код ИБ» и Юрием Другачом, методологом по повышению осведомленности, StopPhish.

🕺Корнем любой проблемы в ИБ является человек, поэтому повышение уровня осведомленности сотрудников👩🏻‍💼🧑🏼‍💼👨🏽‍💼 крайне важно.

⚠Помните, если не тренировать сотрудников, их навыки проверят злоумышленники.

💥Пошаговый план повышения осведомленности:

1️⃣ Получаем список email сотрудников с именами;

2️⃣ Рассылаем 3 учебные атаки, не предупреждая, что будет фишинг от имени ИБ. Для рассылки используем бесплатные сервисы Gophish, King Phisher или свои разработки. Потребуется 3 письма📨: с кражей учетных данных, с вредоносным файлом, с подменой отправителя;

3️⃣ Собираем полученные данные, анализируем общую картину;

Готовим фишинг на год вперед:

4️⃣ Создаем таблицу персонализации📋 (учитывая индивидуальные интересы сотрудников). Важно понимать, что рядовых сотрудников могут заинтересовать скидки в «Пятерочке», а топов льготная ипотека от «Сбербанка». Но будьте осторожны, сотрудники могут начать действительно обивать пороги «Пятерочки» и «Сбербанка». Учитывать нужно также и то, на чьи письма реагируют определенные отделы, например, топы реагируют на письма от СМИ и гос. органов.

5️⃣ Готовим обучающие материалы📚:
Как распознать фишинговые письма, вредоносные файлы, сомнительные ссылки, курсы размещаем в своей LMS.

6️⃣ Предупреждаем об учебных атаках⚔ (если вы перейдете по вредоносной ссылке, то Вам будет предложено пройти мини-урок).
Регулярно рассылаем атаки (каждые 2 месяца 4 письма, после каждого инцидента, отправляем сотрудника на курс.

7️⃣ Замеряем результаты (время прохождения обучения и процент правильного реагирования на атаку).
Создаем систему рейтинга📊 сотрудника, учитывающей, сколько раз сотрудник попался, прошёл обучение, не открыл письмо, завершил обучение.

8️⃣ Подводим итоги и обозначаем сроки.

Еще больше бесплатных материалов, рекомендаций и лайфхаков ⬇️