Un recente studio a UC San Diego Health solleva domande sull’efficacia di Allenamento di consapevolezza del phishing obbligatorioun comune Formazione sulla sicurezza informatica Metodo utilizzato in tutta l’America corporativa. La ricerca, condotta oltre otto mesi nel 2023 con quasi 20.000 dipendenti, ha esaminato se questi programmi riducono significativamente la suscettibilità ai dipendenti a attacchi di phishing.
Valutazione della formazione di consapevolezza del phishing
Lo studio ha sottoposto i dipendenti a 10 campagne di phishing simulate Per valutare se la formazione annuale standard migliora la capacità di riconoscere ed evitare e -mail dannose. I risultati non hanno mostrato alcuna riduzione significativa dei tassi di fallimento del phishing, indipendentemente da quando i dipendenti hanno completato l’ultima volta la formazione.
Grant Ho, assistente professore presso l’Università di Chicago e coautore dello studio, ha dichiarato: “Ciò suggerisce che la formazione obbligatoria di sensibilizzazione sul cyber non ha fornito conoscenze utili alla sicurezza agli utenti”.
Risultati chiave sul comportamento della sicurezza informatica dei dipendenti
- I dipendenti che hanno completato la formazione hanno mostrato solo piccoli miglioramenti, con tassi di fallimento medio di phishing che sono diminuiti di appena l’1,7%.
- Risultati immediati post-allenamento hanno mostrato alti tassi di fallimento, indicando un impatto limitato dei tradizionali programmi di addestramento sulla sicurezza informatica.
- Il coinvolgimento con i moduli online era basso: più di tre quarti di dipendenti spesi meno di un minuto sul materiale e il 37-51% ha chiuso la pagina di formazione quasi immediatamente.
Ho notato che i dipendenti spesso trattano la formazione come un’interruzione, controllando invece le e -mail o navigando sul Web, riducendo la fidelizzazione e l’attenzione.
Testare diversi approcci di addestramento alla sicurezza informatica
I ricercatori hanno segmentato i dipendenti in gruppi dopo simulazioni di phishing:
- Suggerimenti generali di sicurezza informatica
- Moduli di domande e risposte interattive
- Briefing dettagliati sull’attacco simulato specifico
- Una combinazione di questi metodi
- Gruppo di controllo senza formazione di follow-up
Lezioni interattive di domande e risposte ha prodotto il più grande vantaggio misurabile, ma solo quando i dipendenti si sono completamente coinvolti. Il completamento della formazione interattiva ha ridotto la suscettibilità agli attacchi di phishing del 19%, evidenziando il potenziale degli approcci interattivi. Bassi tassi di completamento, tuttavia, hanno limitato l’efficacia complessiva.
Lo studio ha anche suggerito che i dipendenti che completano volontariamente la formazione potrebbero già avere tratti che li rendono meno suscettibili agli attacchi di phishing, sollevando domande sulla formazione rispetto al comportamento intrinseco.
Implicazioni per la sicurezza informatica aziendale
Il phishing continua a rappresentare una grande minaccia e fare affidamento esclusivamente Formazione di sensibilizzazione del phishing dei dipendenti Lascia le organizzazioni vulnerabili. I ricercatori raccomandano una strategia di sicurezza informatica a più livelli, combinando la formazione con strumenti automatizzati per rilevare e bloccare messaggi sospetti prima di raggiungere la posta in arrivo.
Ho concluso,
“La formazione in quanto comunemente distribuito non fornisce una protezione sufficiente dal phishing da solo.”
