Cómo saber si tu programa de reconocimiento de phishing funciona

Para determinar con mayor precisión la efectividad y el buen rendimiento de un programa de phishing, se hace necesario evaluar toda una serie de parámetros en lugar de observar una métrica limitada, pero ¿por qué?

La razón es que, al mirar solo una estadística, ésta a menudo no tiene sentido. Por tanto, ya se trate de valorar carreras o tasas de clics, el uso de una sola métrica hace que las personas tengan una visión sesgada y por tanto desconozcan lo que realmente está ocurriendo.

Mirando más allá de la tasa de clics

Entonces, si no se puede confiar solo en la tasa de clics, ¿cómo se puede medir con precisión el éxito? ¿Qué combinación de métricas se deberían usar para crear una imagen completa y precisa de si el programa de capacitación está logrando sus objetivos o no? ¿Cómo se puede determinar si los empleados son cada vez más exitosos para evitar intentos de phishing con cada interacción?

Para tener una conclusión más precisa, se deberían evaluar los siguientes factores: el período de tiempo, la variedad de correos electrónicos y la población que recibe estos correos para crear una imagen general y precisa. Veamos cómo el uso de cada una de estas métricas proporciona una comprensión mucho más precisa de cómo le va al equipo:

  • Periodo de tiempo. Compara los resultados de, por ejemplo, la séptima simulación con los resultados de la tercera simulación. Esto ayuda a determinar si los empleados están internalizando los mensajes de la formación a lo largo del tiempo.
  • Variedad. Dado que no hay dos estafas de phishing exactamente iguales, es importante determinar cómo actúan los empleados ante una amplia gama de correos electrónicos en lugar de las mismas plantillas una y otra vez.

    Por ejemplo, pueden saber que deben ser cautelosos cuando se trata de mensajes de correo electrónico con beneficios percibidos, por ejemplo, "Haga clic aquí para canjear su viaje gratis a Cancún". Por otra parte, los correos electrónicos amenazantes que parecen proceder del director ejecutivo, del departamento de TI o de los organismos encargados de la aplicación de la ley pueden suscitar respuestas y reacciones diferentes.
  • Población. Los empleados van y vienen, por lo tanto, hay que determinar si se está buscando al mismo grupo de personas o si hay nuevos empleados a tener en cuenta. Los empleados más nuevos no tienen la misma cantidad de aprendizaje en su haber. Por lo tanto, no es justo ni realista esperar el mismo nivel de madurez en el aprendizaje que los empleados que han pasado por el proceso de simulación durante un período de tiempo más largo.

Conclusión

Las métricas son solo el inicio. Saber utilizar las correctas para cambiar el juego, o decidir cuáles se deben lanzar y entregar es un proceso necesario para comprender realmente los riesgos y éxitos de la organización. Por lo tanto, reconocer que la tasa de clics por sí sola no es suficiente ya es un primer paso.

Cuando se trata de ayudar a una organización a evitar ataques de phishing, se necesita más ciencia que intuición para guiar los esfuerzos, por lo que es recomendable abandonar la fijación por la tasa de clics para empezar a entender, si los esfuerzos de concienciación de phishing realmente funcionan o no.

Fuente original: CibeReady