Trabajo como contratista de TI para una gran compañía de seguros en el Reino Unido.
De vez en cuando, nuestro equipo de seguridad enviará un correo electrónico falso a nuestra oficina para probar que las personas puedan reconocer y marcar los correos electrónicos de phishing/spam.
El problema es que, en los 8 meses que he trabajado para esta empresa, cada vez que se ha enviado una de estas pruebas de phishing, alguien ha advertido a toda la oficina a los pocos minutos de haberlo enviado. Este suele ser un gerente/líder de equipo de alguna descripción que tiene acceso a las listas de correo del departamento.
Para mí, esto es irresponsable y, en realidad, es un problema de seguridad bastante grande. Mi razonamiento es que la seguridad envió esta prueba esperando recibir datos precisos, que está siendo sesgado por alguien que advierte a toda la oficina que no caiga en la trampa. Además de esto, los empleados que podrían haber caído en la trampa no están aprendiendo nada. Es fácil sentarse y pensar "¡Oh, sí, me habría dado cuenta de que la dirección de correo electrónico es ligeramente diferente, no hay problema!", Cuando en la práctica, muchas personas definitivamente caerían en el ataque de phishing, al menos lo suficiente como para abrir el correo electrónico. Incluso recibimos un correo electrónico elogiando nuestro bajo porcentaje de fallas, diciendo que fue inesperadamente bajo .
Decidí interrogar a la última persona para advertirles a todos sobre esto y expuse mis razones como se indicó anteriormente. Esta persona ocupa una posición significativamente alta en el negocio, tal vez al nivel de un gerente de área/departamento. La respuesta que dieron fue "Soy todo acerca de la educación, anon ", luego procedieron a explicar cómo esto era como entrenar a un perro, y tenía que haber medidas tanto positivas como negativas.
Para mí está claro que esta persona no es consciente del daño que podría estar causando, se niega a considerarlo o es tan arrogante que cree que sabe más que todo un departamento de seguridad. O simplemente podrían estar interesados en tener una alta tasa de aprobación para su departamento.
Solo soy un empleado común y corriente, y como contratista mi voz tiene incluso menos peso contra alguien con este nivel de antigüedad, y me preocupa que esto se refleje mal en mí si discuto más con esta persona.
Mi pregunta es:
DOCUMENTAR TODO
Tienes razón en tu evaluación de tu ser sin poder e influencia. Por lo tanto, todo lo que puede hacer, y todo lo que debe hacer, es documentar las vulnerabilidades e informar a su supervisor inmediato de lo que ha encontrado. Luego, déjelo mientras continúa manteniendo sus registros para que, si ocurre una violación de seguridad, no se le culpe.
Si fuera un empleado permanente a tiempo completo, le diría que empuje esto un poco más, pero como contratista, lo único que logrará es cancelar su contrato.
DOCUMENTAR, ESCALAR, RETIRAR
Creo que tu reacción es inapropiada. Las personas mayores que advierten a las personas menores son parte de la respuesta de su organización a los correos electrónicos de phishing. En el escenario más común del mundo real, un ataque específico golpea a todos los que alcanzará en una organización dentro de un período de tiempo bastante corto; ¿No quieres que los empleados más inteligentes adviertan a los demás entonces?
Si desea hacer una prueba solo con las personas con menos conocimientos de TI, desarrolle algún tipo de criterio de exclusión y excluya a los "reporteros" de su correo. Pero, francamente, no veo el valor.
david k
paparazzi
Neo
rath
somebody has warned the entire office
Chico, estaría cabreado si fuera tú. Será mejor que alguien pueda explicar por qué desperdician el dinero de la empresa 1) haciéndote perder el tiempo 2) creando una gran responsabilidadJorge Patscheider
to test that people can recognize and flag phishing/spam emails
- ¿Cuál es el comportamiento esperado si reciben un correo de phishing real ? ¿ Nowarn the entiere office
deberían ? ¿Deberían, en cambio, solo marcarlo para TI sin decírselo a nadie más? Esto parece introducir demoras innecesarias y aumentar el riesgo de que alguien responda al correo de phishing. Me parece que su proceso es defectuoso y desea castigar a las personas que realmente se comportan correctamente; si un correo electrónico me parece sospechoso, advertiré a todos mis colegas lo más rápido posible para evitar daños.Korthalion