Door Erik van Straten: Mensen die niet vooraf geïnformeerd zijn en in jullie test trappen worden -m.i. terecht- hartstikke boos, en dat gaat tegen je werken. Het risico bestaat dat zij,
nog méér dan daarvoor, over security denken: "Not my problem" (zie -Engels-
https://infosec.exchange/@ErikvanStraten/111996985377746835).
Tenzij je persé eerst een nulmeting wilt doen (hou de uitkomsten dan geheim, ga zeker geen man en paard noemen), geef eerst een training (desnoods een foldertje) over phishing.
En wees eerlijk: bijna NIEMAND kan een "goede" nepmail van een echte onderscheiden; da's technisch vaak onmogelijk - naast dat er steeds meer mail vanaf gehackte accounts wordt verzonden.
Eerst een nulmeting doen, waarbij je niet naar personen kijkt maar naar afdelingen. Vergeet niet het management in de nul-meting mee te nemen want dat zijn degene die je het hardst nodig hebt om veranderingen te bewerkstelligen. Op basis van de meting kun je gericht kijken welke aandacht er nodig is.
Ik ben het overigens niet met je eens dat niemand een phishing email zou kunnen herkennen want dat is gewoon niet waar. Er zijn e-mails in omloop die heel lastig zijn om van nep te onderscheiden maar met de juiste kennis en gezond wantrouwen zou iedereen in staat moeten zijn om ze te herkennen. Wat naar mijn ervaring eerder een veel groter probleem is het gebrek aan digitale vaardigheden bij veel medewerkers. Je kunt ze van alles proberen te leren maar als ze de digitale basis vaardigheden niet hebben ga je nooit iets veranderen of een hogere score op het herkennen van o.a. nepmails bewerkstelligen. Mijn advies is dan ook om juist de basisvaardigheden van medewerkers in zo'n onderzoek mee te nemen. Het zal je verbazen hoe sterk de bewustwording van medewerkers verbeterd als er wordt geinvesteerd in het op niveau brengen van digitale basis vaardigheden.
Daarna kun je altijd phishing testen organiseren maar er moet voorkomen worden dat het de bedoeling is om mensen erin te luizen. Verbind idd nooit en te nimmer een beloning aan een phishing e-mail. Als je tenminste niet gelyncht wilt worden.
Maak een goede landingspagina waar mensen op terecht komen en waar ze exact wordt verteld hoe ze hadden kunnen herkennen dat ze op een verkeerde link hebben geklikt. Keep it simple & stupid.
Publiceer de uitkomsten van de phishing test op het Intranet (leest toch niemand!) maar alleen in het percentage klikkers. Medewerkers weten van zichzelf wel of zij wel of niet bij dat percentage klikkers behoren of niet. Verder leren veel mensen door betrokken te worden i.p.v. het alleen maar aanhoren dus neem ze vooral mee in de ontwikkelingen. En communiceer alleen gericht en vooral niet overdreven veel, want bij veel grote organisaties ontvangen medewerkers zoveel e-mail dat ze jouw zoveelste e-mail zullen negeren.
Voornaamste taak is om management commitment, dus geld, tijd en middelen plus eigen inzet, te krijgen. Zonder dat voer je een kansloze strijd en krjg je alleen de reeds digitaal vaardigen mee. Afhankelijk van je business kunnen dat er veel zijn maar wees je bewust van de zwakke schakels. Er hoeven maar een paar medewerkers niet mee te doen om daarmee potentieel grote schade te kunnen aanrichten.